DSGVO: Fanseiten auf Facebook & Co.
Datenschutzrecht
“Mein Follower, bitte gib mir Deine Daten!”
Update zum EuGH Urteil für Fanseitenbetreiber in sozialen Netzwerken wie Facebook und Co.
Im Sommer hatte der EuGH in einem viel beachteten Urteil (EuGH, Urteil vom 05.06.2018, Az. C-210/16) entschieden, dass die Betreiber von Fanseiten gemeinsam mit den Anbietern sozialer Netzwerke, hier Facebook, für den Datenschutz haften.
Ein solcher Betreiber ist nämlich an der Entscheidung, wie und wofür er personenbezogene Daten der Besucher seiner Fanpage verarbeitet, beteiligt. Er kann durch verschiedene Einstellungen der Seite diverse Daten über seine Zielgruppe und die einzelnen Fans erlangen. Er kann daraufhin sein Informationsangebot so zielgerichtet wie möglich gestalten. Die Tatsache, dass sich der Inhaber der Fanseite, der von Facebook eingerichteten Plattform und ihrer Funktionalitäten, als Werkzeug für eigene Zwecke bedient, befreit ihn nicht von seinen Datenschutzpflichten nach der Datenschutzgrundverordnung (DSGVO).
Sinn und Zweck der Klarstellung einer gemeinschaftlichen Verantwortlichkeit von Plattform- und Fanseitenbetreiber lagen für den EuGH primär darin, zugunsten derjenigen betroffenen Personen, deren Daten verarbeitet werden, ein hohes Maß an Transparenz zur Datenverarbeitung, sowie einen effektiven Rechtsschutz zu gewähren. Denn im Ergebnis ist seit der Entscheidung nicht nur Facebook und jeder andere Social Network-Betreiber, sondern vor allem auch jeder, der eine Fanseite mit entsprechenden Tools zur Datensammlung einrichtet gut beraten, die Pflichten der DSGVO umfassend zu beachten.
Infolge des EuGH-Urteils hatten die deutschen Aufsichtsbehörden darauf hingewiesen, dass in Bezug auf die DSGVO-Pflichten dringender Handlungsbedarf zur Datenverarbeitung bei Facebook bestehe. Da die Durchsetzung des Datenschutzes in Deutschland nach dem föderalistischen Prinzip grundsätzlich Sache der Bundesländer ist, konnte hierzu jeder Landesdatenschutzbeauftragte seine Ansichten äußern. Ein gemeinsames Sprachrohr der Landesdatenschützer bildet indes die sogenannte DSK (Gemeinsame Datenschutzkonferenz der Länder), die zwar weder eine offizielle Stelle der Legislative, Judikative noch der Exekutive ist, deren Kommunikation jedoch mittlerweile eine recht erhebliche Signalwirkung für das praktische Verständnis des Datenschutzes entfaltet. Entsprechend wirkungsvoll schlug nicht nur die Entschließung der DSK vom 06.06.2018 ein, sondern noch deutlicher der Nachschlag drei Monate später (Beschluss der DSK vom 05.09.2018). In Letzterem stellt die DSK klar, dass Artikel 26 DSGVO zu beachten und der Betrieb von Facebook-Fanseiten ohne klare Vereinbarungen zur Verantwortlichkeit rechtswidrig sei.
Daraufhin hat Facebook mit einer Vereinbarung mit den Fanseiten-Betreibern unter der Überschrift „Seiten-Insights“ reagiert. Facebook geht davon aus, dass allein die Weiternutzung der Fanseiten durch den Betreiber dessen konkludente Willenserklärung zum Abschluss der Vereinbarung abbildet. Vorteilhaft für den Seitenbetreiber ist, dass Facebook sich im Innenverhältnis zu den Fanseitenbetreibern als primär verantwortlich erklärt. Freilich ist es Facebook nicht möglich, dadurch die gemeinschaftliche Außenhaftung nach Artikel 26 Absatz 3 DSGVO zu beschränken. Diese versucht Facebook nun dadurch abzufangen, dass der Seitenbetreiber bei datenschutzbezogenen Angriffen Dritter verpflichtet ist, mittels eines Online-Formulars Facebook in Kenntnis zu setzen und Facebook die Verteidigung nach außen zu überlassen.
Wir werden dazu erste Fallkonstellationen beobachten und über die Entwicklungen weiter berichten. Wer indes die grundsätzlichen Informationspflichten bei dem Betrieb seiner Social Network-Fanseite ebenso beachtet, wie bei dem Betrieb einer eigenen Homepage, der sollte beruhigt weitermachen und nicht dem Ruf derer folgen, die noch immer von einer erforderlichen Schließung aller Facebook-Fanseiten sprechen.