Ende November 2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK), eine Orientierungshilfe für Anbieter:innen von digitalen Diensten veröffentlicht. Tatsächlich handelt es sich hierbei – mit geringfügig geänderten Namen – lediglich um die Aktualisierung einer bereits im Jahr 2021 veröffentlichten Orientierungshilfe. Was es hiermit auf sich hat und welche wesentlichen Änderungen sich aus der Orientierungshilfe ergeben, erfahren Sie im nachfolgenden Beitrag.

Telemedien werden zu digitalen Diensten

Vor etwas mehr als drei Jahren – am 20. Dezember 2021 – veröffentlichte die Datenschutzkonferenz die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (wir berichteten). Hintergrund hierfür war insbesondere die geänderte Rechtslage durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) sowie durch Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Wesentliche Auswirkungen hatte dies zum damaligen Zeitpunkt insbesondere auf den Einsatz von Cookies und vergleichbaren Technologien. Die Orientierungshilfe thematisierte den rechtskonformen Einsatz, den Grundsatz der Einwilligungsbedürftigkeit sowie die diversen Anforderungen an Einwilligungen und die Gestaltung sogenannter Cookie-Banner.

Zwischenzeitlich ergaben sich aufgrund des europäischen Digital Services Act (DSA) im Mai 2024 wiederum Änderungen am TTDSG sowie am TMG – die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz wurde so das Digitale-Dienste-Gesetz (DDG) und aus dem Telekommunikation-Telemedien-Datenschutzgesetz das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Insofern überrascht es nicht, dass auch die Datenschutzkonferenz die Notwendigkeit sah, die bisherige Orientierungshilfe an die neuen Begrifflichkeiten anzupassen. Doch bei einer rein sprachlichen Anpassung blieb es nicht…

Weitere Anpassungen an die aktuelle Rechtslage

Auch weitere Entwicklungen der Rechtslage fanden in die jüngst überarbeitete Orientierungshilfe Eingang: So wird das seit Juli 2023 bestehende EU-U.S. Data Privacy Framework für Übermittlungen personenbezogener Daten in die USA nun zumindest in einer Fußnote berücksichtigt.

Weiterhin wurden die Ausführungen der Orientierungshilfe an die Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA) zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angelehnt. Änderungen ergeben sich hierdurch hauptsächlich im strengeren Verständnis des Begriffs Zugriff auf Endeinrichtungen. So liegt demnach ein Zugriff bereits dann vor, wenn bei der Nutzung eines digitalen Dienstes Informationen übermittelt werden, die Aufschluss über technische Konfigurationen liefern, sogenanntes Browser-Fingerprinting: „Auch ist es als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“

Einige inhaltliche Ergänzungen

Ergänzungen sieht die überarbeitete Orientierungshilfe hinsichtlich der Gestaltung von Einwilligungsbannern („Cookie-Bannern“) vor. So heißt es beispielsweise nun: „Eine Ablehnfunktion auf erster Ebene ist aus Sicht der Aufsichtsbehörden nicht generell erforderlich, sondern nur dann, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen.“

Auch zum Nudging führt die Datenschutzkonferenz nun differenzierter aus: „Eine Verhaltenssteuerung durch die Gestaltung, die allgemein als Nudging bezeichnet wird, ist daher nicht generell unzulässig. […] Zur Erfüllung des Merkmals der Freiwilligkeit ist es erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich ist. Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist.“ Jedoch: „Die Möglichkeit keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option „Einwilligung erteilen“ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button „Einwilligung erteilen“ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button „Weiter ohne Einwilligung“ finden lässt.“

Weiterhin führt die Orientierungshilfe nun ergänzend zu Informationspflichten und einigen Betroffenenrechten aus. In Bezug auf das Auskunftsrecht stellt die Datenschutzkonferenz beispielsweise dar, dass es Betreibern von Internetseiten oftmals nicht möglich ist, den Namen eines Betroffenen weiteren Daten zuzuordnen. In diesen Fällen sei es mit Verweis auf Art. 11 Abs. 2 Satz 2 DS-GVO möglich, weitere Identifikationsmerkmale anzufordern. Diese Vorschrift berechtige jedoch ausdrücklich nicht zu einer routinemäßigen Identitätsprüfung. Hinsichtlich des Rechts auf Löschung weist die Datenschutzkonferenz darauf hin, dass Cookies standardmäßig mit Laufzeiten zu versehen sind, die sich am Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DS-GVO zu orientieren haben. Eine automatisierte Löschung von Cookies muss demnach in jedem Fall gegeben sein.

Über die umrissenen Ergänzungen hinaus, blieben die wesentlichen Aussagen der bisherigen Orientierungshilfe jedoch von Änderungen verschont.

Fazit

Betreiber von digitalen Diensten sollten die überarbeiteten Ausführungen der Datenschutzkonferenz unbedingt bei der Ausgestaltung von Einwilligungsbannern und dem Einsatz von Cookies berücksichtigen, hilft diese doch rechtliche Unsicherheiten zu minimieren. Nichtsdestotrotz macht die Orientierungshilfe an einigen Stellen deutlich, dass es stets einer fundierten Einzelfallbetrachtung bedarf. Hierbei kann der Datenschutzbeauftragte eine entscheidende Rolle spielen – wir unterstützen Sie gern!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Sommer berichteten wir bereits darüber, dass die Sächsische Datenschutz- und Transparenzbeauftragte (STDB) etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrollierte. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Im Rahmen einer kürzlich veröffentlichten Pressemitteilung zieht die sächsische Aufsichtsbehörde Bilanz.

Automatisierte Prüfung durch die Aufsichtsbehörde

Eine solch flächendeckende Prüfung von automatisierten Datenverarbeitungen dürfte in Sachsen zum ersten Mal stattgefunden haben. Schließlich setzt die Überprüfung von Internetseiten in solch einem Umfang eine entsprechende technische Ausstattung voraus. Bereits im Sommer dieses Jahres wies die sächsische Aufsichtsbehörde diesbezüglich auf das neu eingerichtete IT-Labor hin. Mit moderner Hard- und Software sei nun auch eine datenschutzrechtliche Analyse von Internetseiten, Anwendungen und IT-Produkten in größerem Umfang möglich. Wie auch aus der aktuellen Pressemitteilung zu entnehmen ist, stehen für die Zukunft weitere Prüfungen von Internetseiten an. Somit sollten Verantwortliche in Sachsen ab sofort regelmäßig die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Aufsichtsbehörde zieht positives Fazit

Rückblickend auf die erste Überprüfung zieht Dr. Juliane Hundert ein positives Fazit: „Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte.“ Für den Datenschutz im Internet sei das eine gute Nachricht. Im Rahmen einer veröffentlichten Statistik stellt die sächsische Aufsichtsbehörde hierzu mit konkreten Zahlen insbesondere den Rückgang von Google Analytics-Einbindungen, Drittanfragen und Drittanbieter-Cookies dar.

Weiterhin wird über die große Resonanz bei den Verantwortlichen berichtet: „Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.“ Dies zeigt einerseits, dass Aufsichtsbehörden grundsätzlich auch eine beratende Funktion übernehmen können, andererseits jedoch auch, dass auf Seiten der Verantwortlichen weiterhin große Unsicherheiten in Bezug auf Datenschutz und Internetseiten bestehen.

Einigen Stellen drohen nun Konsequenzen

Doch bei weitem nicht alle der 2.300 Seitenbetreiber sind auf die Hinweise der Aufsichtsbehörde eingegangen und haben datenschutzrechtliche Nachbesserungen vorgenommen. Diesen könnten nun entsprechende Konsequenzen bevorstehen: „Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.“ Unter Berücksichtigung des Art. 58 DS-GVO wären hierbei beispielsweise Verwarnungen, Bußgelder, Untersagungen der weiteren Datenverarbeitungen, aber auch Löschverpflichtungen denkbar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie mit der Pressemitteilung vom 13. Juni 2024 der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Kommen Verantwortliche dieser Aufforderung nicht nach, droht ihnen im Rahmen einer erneuten Überprüfung die Eröffnung eines förmlichen Verwaltungsverfahrens.

Kein Tracking ohne Einwilligung

„Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen“, so Dr. Juliane Hundert im Rahmen der Pressemitteilung. An sich ist es keine neue Anforderung, dass Verantwortliche die Nutzung von Google Analytics von der freiwilligen und informierten Einwilligung der Nutzerinnen und Nutzer abhängig machen müssen. Bereits im Jahr 2020 machte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen eines Hinweises darauf aufmerksam, dass der Einsatz von Google Analytics in der Regel der Einwilligung bedürfe.

Dennoch konnten nun in etwa 2.300 Fällen Verstöße wegen einer fehlenden oder unvollständigen Einwilligung ermittelt werden. Hinsichtlich der Gründe für die Verstöße lässt sich nur spekulieren. Regelmäßig lassen sich auf bereits lange bestehenden Internetseiten Rückstände früherer Implementierungen von Google Analytics finden, eine Nutzung von Google Analytics erfolgte ohne Rücksprache mit dem Datenschutzbeauftragten und ohne datenschutzrechtliches Know-how der Marketing-Agenturen oder es handelt sich um eine „Schatten-Internetseite“, die ohne Kenntnis des Verantwortlichen – zum Beispiel durch eine Fachabteilung – eigenmächtig und ebenfalls ohne datenschutzrechtliche Prüfung veröffentlicht wurde.

Aus diesem Grund sind Verantwortliche gut beraten, an einer zentralen Stelle eine Übersicht der aktuellen Internetseiten und Präsenzen in sozialen Netzwerken zu pflegen. Diese sollten zudem in regelmäßigen Abständen, beispielsweise mit Unterstützung des Datenschutzbeauftragten, hinsichtlich der jeweiligen Datenverarbeitungen sowie der Umsetzung der einschlägigen datenschutzrechtlichen Anforderungen überprüft werden. Technische Unterstützung für einen Quick-Check der Internetseite bieten hierbei Dienste wie Webbkoll oder Browser-Add-Ins wie uBlock Origin.

Google Analytics und der Datenschutz

Die datenschutzrechtliche Zulässigkeit der Nutzung von Google Analytics wird regelmäßig diskutiert. So sorgte beispielsweise die auf eine Musterbeschwerde von noyb folgende Untersagung der Nutzung von Google Analytics für ein Unternehmen in Österreich für Aufsehen. Hintergrund war dort insbesondere die rechtswidrige Übermittlung personenbezogener Daten in die USA. Auch die zwingende Einführung des Consent Mode v2 im Frühjahr dieses Jahres führte erneut zu der Frage, ob Google Analytics datenschutzkonform eingesetzt werden könne.

Zum Unmut vieler Betreiber und Betreiberinnen von Internetseiten kann diese Frage nicht mit einem klaren „ja“ oder „nein“ beantwortet werden. Vielmehr kommt es auf die konkrete Implementierung und die vorgenommenen Einstellungen an. Neben der sauberen Implementierung eines Einwilligungsmanagements („Cookie-Banner“), sollte darauf geachtet werden, Google Analytics möglichst datensparsam und unter dem Blickwinkel der Erforderlichkeit einzurichten (z. B. Reduzierung der Speicherdauer, Berichte zu demografischen Merkmalen gegebenenfalls deaktivieren).

Darüber hinaus sollten auch die neben Google Analytics bestehenden Alternativen geprüft werden. Zwischenzeitlich bestehen eine Reihe sinnvoller Anwendungen, deren Datenverarbeitung ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums stattfindet. Zwar kann so das Einwilligungserfordernis nicht umgangen, aber ein Nutzertracking abseits etwaiger Übermittlungsproblematiken in datenschutzrechtliche Drittländer realisiert werden.

Fazit

Die SDTB lässt im Rahmen der Pressemitteilung durchblicken, dass von nun an derartige Prüfungen auch im vorliegenden Größenumfang regelmäßiger vorkommen können. Hierfür stehe der Aufsichtsbehörde seit kurzem ein entsprechendes IT-Labor zur Verfügung: „Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“ Somit sollten Verantwortliche in Sachsen ab sofort regelmäßiger die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Aus TMG wird DDG…

Betreiber von Internetseiten sollten im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Inhaltliche Änderungen sind hingegen nicht notwendig. Jedoch kann zugleich hinterfragt werden, ob ein spezifischer Normenverweis überhaupt erforderlich ist. Weder § 5 TMG, noch § 5 DDG setz(t)en dies voraus – eine gut aufzufindende Bezeichnung als Impressum oder Anbieterkennzeichnung ist ausreichend. Ein künftiger Aktualisierungsaufwand aufgrund von Änderungen an Gesetzesbezeichnungen kann so vermieden werden.

…TTDSG zu TDDDG…

Auch hinsichtlich des bisherigen TTDSG sind die Änderungen wenig aufregend: Es ändert sich ausschließlich der Name des Gesetzes – und somit wird aus einer sperrigen Abkürzung nur eine noch schrecklichere. Relevant ist dies hinsichtlich der weit überwiegenden Mehrheit an Datenschutzinformationen und Cookie-Banner. Für das Setzen von Cookies und der daraus resultierenden Verarbeitung personenbezogener Daten, bedarf es neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO auch einer nach § 25 TTDSG, nun § 25 TDDDG. Wird im Rahmen der Datenschutzinformation oder des Cookie-Banners über die jeweilige Rechtsgrundlage informiert (Art. 13 Abs. 1 lit. c) DS-GVO), sind auch hier die entsprechenden Verweise anzupassen.

MfG der DSB, ojemine?

Auch wenn die Namensänderungen für den juristischen Laien unnötig erscheinen, waren sie für eine zutreffende Beschreibung der jeweiligen Dienste erforderlich. Betreiber von Internetseiten sollten nun zeitnah die betreffenden Texte prüfen und erforderlichenfalls Anpassungen vornehmen. Auch wenn – entgegen einigen panischen Meldungen – aufgrund einer fehlerhaften Bezeichnung von Gesetzestexten keine flächenmäßigen Abmahnungen zu befürchten sind, lassen aktualisierte Pflichtinformationen die Betreiber von Internetseiten in einem besseren Licht dastehen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden. Im Ergebnis also alles nur halb so schlimm!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat das Bundespresseamt (BPA) mit Bescheid vom 17. Februar 2023 angewiesen, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Begründet wurde dies mit den fahrlässigen Verstößen gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, gegen die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie gegen § 25 Abs. 1 TTDSG. Prof. Ulrich Kelber betont in diesem Zusammenhang: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Die Hintergründe.

Die Problematik mit Facebook-Fanpages

Auch wenn die Mitteilung über die Untersagungsverfügung für den einen oder anderen vielleicht überraschend kam, so war die Entscheidung des BfDI abzusehen: Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenannten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Meta besteht.

Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sogenannten „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO.

Am 20. Mai 2019 richtete sich der BfDI in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor. Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte die DSK erneut in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der BfDI noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages.

Zur Begründung des Bescheids

Auf den insgesamt 44 Seiten des Bescheids lassen sich zur Begründung die bereits mehrfach aufgeführten Rechtsauffassungen der Datenschutzbehörden sowie Zitationen bisherig in dieser Sache ergangener Urteile wiederfinden.

Nicht überraschend, aber dennoch besonders erwähnenswert und für die Beratungspraxis besonders relevant sind darüber hinaus die Ausführungen des BfDI zur datenschutzrechtlichen Verantwortlichkeit bei Deaktivierung der Insights-Funktionen: „Eine gemeinsame Verantwortlichkeit besteht auch dann, wenn die Statistiken für das BPA deaktiviert werden. Durch die Deaktivierung verändert sich nämlich die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum. Den Betreibern werden lediglich aus den – nach wie vor – verarbeiteten Nutzungsdaten keine Statistiken mehr ausgespielt. Das BPA hat auch bei abgeschalteter Insight-Funktion zumindest für die nachgelagerte Datenverarbeitung auf Basis des Setzens und Auslesens von Cookies eine gemeinsame Verantwortlichkeit mit Meta inne.“

Im Ergebnis führt der BfDI an: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, durch das c_user-, das datr- und das fr-Cookie keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist. […] Darüber hinaus hat das BPA fahrlässig gegen Artikel 5 Absatz 1 littera a in Verbindung mit Artikel 6 Absatz 1 DSGVO verstoßen, da es an einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Betrieb der Fanpage durch das BPA mangelt.“

Zur Fahrlässigkeit des BPA nimmt der BfDI Bezug auf die einschlägigen Urteile, die Stellungnahmen der DSK sowie die Anschreiben des BfDI selbst und führt aus: „Indem das BPA die Facebook-Fanpage der Bundesregierung trotz all der genannten Informationen weiterhin betrieben hat, hat es zumindest fahrlässig, das heißt ohne die im Verkehr erforderliche Sorgfalt, und damit schuldhaft gegen seine Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO verstoßen.“

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI vor dem Verwaltungsgericht Köln Klage einzureichen.

Bedeutung des Bescheids für andere Verantwortliche

Der Bescheid des BfDI wirft nun die Frage auf, welche Auswirkungen dieser auf den Betrieb von Facebook-Fanpages anderer Verantwortlicher hat. Zunächst ist anzumerken, dass der Bescheid noch keinerlei Rechtskraft entfaltet. Dass das BPA gegen den Bescheid beim Verwaltungsgericht Köln Klage einreichen wird, gilt als nicht unwahrscheinlich.

Weiterhin ist abzusehen, dass sich die Aufsichtsbehörden aufgrund der Vorbildfunktion von Behörden und anderen öffentlichen Stellen, zunächst auf den Betrieb der Facebook-Fanpages dieser Stellen fokussieren werden. Ein zum Bescheid des BfDI vergleichbarer Sachverhalt deutet sich bereits in Bezug auf die sächsische Landesregierung an.

Festzuhalten ist jedoch, dass ein rechtskonformer Betrieb von Facebook-Fanpages durch keinen Verantwortlichen möglich sein wird. Insoweit ergeben sich auch unabhängig von etwaigen aufsichtsbehördlichen Verfahren für sämtliche Verantwortliche datenschutzrechtliche Risiken. Insoweit gilt: Wer auf Nummer sicher gehen möchte, sollte sich zeitnah nach rechtskonformen Alternativen umsehen – Instagram, Twitter und Telegram zählen da übrigens ausdrücklich nicht dazu.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Derzeit erhalten verantwortliche Stellen wieder vermehrt Abmahnungen aufgrund einer rechtswidrigen Einbindung von Google Fonts. Teilweise wird in diesem Zusammenhang ebenfalls eine vollumfängliche Auskunft nach Art. 15 DS-GVO oder Löschung der personenbezogenen Daten nach Art. 17 DS-GVO verlangt. Was es mit derartigen Abmahnungen auf sich hat, wie Sie einer solchen Abmahnung vorbeugen können und was Sie tun können, wenn Sie bereits eine solche Abmahnung erhalten haben, erfahren Sie in diesem Blog-Beitrag.

Nutzung von Google Fonts

In der Regel können Schriftarten wie Google Fonts über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).

Das LG München I stellte mit seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) fest, dass eine dynamische Einbindung von Google Fonts unter diesen Voraussetzungen nicht auf Grundlage des sogenannten berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gestützt werden könne (wir berichteten). Weiterhin erschien dem Gericht der geltend gemachte Schadenersatz in Höhe von 100€ angemessen.

Mit dem Urteil folg(t)en Abmahnungen

Auf Grundlage dieses Urteils stützen sich nun zahlreiche Abmahnungen – sowohl von Rechtsanwälten als auch von Privatpersonen. Nach einer ersten Abmahnwelle im Sommer dieses Jahres, erreichen nun auch im Herbst wieder zahlreiche verantwortliche Stellen derartige Schreiben. Dabei sind nicht ausschließlich verantwortliche Stellen betroffen, welche Google Fonts direkt nutzen, sondern ebenfalls solche, die andere Google-Dienste ohne Einwilligung der Nutzenden verwenden, die wiederum auf Google Fonts zurückgreifen.

In den Abmahnungen heißt es beispielsweise: „Mein Mandant nimmt Sie als Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO (Datenschutz-Grundverordnung) in Anspruch. Denn nach dem Aufruf Ihrer Website musste meine Mandantschaft feststellen, dass Sie nicht die Zustimmung meiner Mandantschaft besitzen, seine IP-Adresse zu nutzen bzw. an den Internet-Konzern Google durch Nutzung von Google Fonts weiterzuleiten. Diesen Verstoß kann meine Mandantschaft leicht durch Screenshots und andere Urkunden nachsehen. So wurden von unserer Mandantschaft mit folgendem Aufrufen seine IP übergeben: […]. Dazu haben wir folgenden Request-Header dokumentiert: […].“

Aufbauend auf der Sachverhaltsdarstellung wird ein Anspruch auf Löschung und Unterlassung gemäß Art. 17 DS-GVO sowie § 823 Abs. 1 i.V.m. § 1004 BGB, ein Anspruch auf Auskunft über die Datenverarbeitung entsprechend Art. 15 DS-GVO sowie ein Anspruch auf Schadenersatz entsprechend Art. 82 Abs. 1 DS-GVO geltend gemacht. Weiterhin wird die Zahlung einer Vergleichssumme angeboten, nach deren Bezahlung sich die Mandantschaft dazu verpflichtet „keine weiteren juristischen Schritte aus dieser Cause [sic] gegen Sie einzuleiten.“

Empfohlene Maßnahmen

Grundsätzlich ist jedem Betreiber einer Internetseite zu empfehlen, die eigenen Internetseiten stets auf eine rechtskonforme Einbindung etwaiger Drittinhalte zu überprüfen. Findet im Rahmen einer solchen Einbindung eine Übermittlung personenbezogener Daten (z.B. IP-Adressen) statt, bedarf es hierfür regelmäßig der informierten Einwilligung der Nutzenden. Gern unterstützen wir Sie auch bei einer entsprechenden Überprüfung Ihrer Internetseite, kommen Sie hierfür jederzeit auf uns zu!

Haben Sie bereits eine Abmahnung erhalten, stellen Sie sich sicher die Frage, wie Sie hierauf am besten reagieren können. Hierbei bestehen verschiedene Möglichkeiten:

• Sie können den angegebenen Vergleichsbetrag bezahlen. Damit unterstützen Sie jedoch grundsätzlich auch dieses Vorgehen sogenannter „Abmahn-Anwälte“.

• Sie können die Abmahnung ignorieren. Oftmals werden die Abmahnungen flächendeckend immer wieder durch identische Personen geltend gemacht. Das lässt darauf schließen, dass hierbei vorsätzlich Internetseiten mit fehlerhafter Einbindung einwilligungsbedürftiger Drittinhalte aufgesucht werden, um etwaige Ansprüche geltend zu machen. Dies ist grundsätzlich rechtsmissbräuchlich, sodass diese Ansprüche voraussichtlich nicht gerichtlich geltend gemacht werden können. Hinsichtlich der Betroffenenrechte kann sich auf die Ausnahmeregelung des Art. 12 Abs. 5 DS-GVO (offenkundig unbegründete oder exzessive Anträge einer betroffenen Person) gestützt werden. Fraglich ist, ob vorliegend die betroffene Person hierüber informiert werden müsste – sofern diese tatsächlich existiert. Die Gefahr einer weiteren Verfolgung der datenschutzrechtlichen Rechte ist zudem voraussichtlich gering.

• Sie können die Ansprüche zurückweisen. Alternativ können Sie ebenfalls mit Unterstützung eines rechtlichen Beistandes die Ansprüche umfassend zurückweisen und eine Verweigerung der Bearbeitung der Betroffenenanfragen mitteilen. Ersten Rückmeldungen zufolge wird dann jedoch teilweise versucht, das Szenario weiter zu konstruieren. So wurden in weiteren Schritten beispielsweise angebliche Vollmachten übermittelt, welche sich nicht weiter überprüfen ließen. Im Ergebnis besteht somit auch hier keine vollumfängliche Rechtssicherheit.

Fazit

Auch wenn die geltend gemachten Ansprüche aller Voraussicht nach vor Gericht keinen Bestand haben dürften, zeigt sich wieder einmal, dass mit dem datenschutzkonformen Betrieb einer Internetseite viel Stress erspart bleiben kann. Eine regelmäßige Überprüfung der dortigen Datenverarbeitungen ist stets zu empfehlen. Wie im Einzelfall bei dem Vorliegen einer Abmahnung weiter vorgegangen wird, obliegt unter Berücksichtigung der obigen Argumente der verantwortlichen Stelle. Jedenfalls sollte spätestens zu diesem Zeitpunkt eine detaillierte Prüfung und Überarbeitung der Internetseite erfolgen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Als Datenschutzbeauftragter gehört die datenschutzrechtliche Überprüfung von Internetseiten zum kleinen Einmaleins. Dabei ist oftmals festzustellen, dass verantwortliche Stellen kaum einen aktuellen Überblick über die tatsächlichen Datenverarbeitungen der eigenen Internetseite haben und/oder das Bewusstsein für die datenschutzrechtliche Relevanz fehlt. Der folgende Blog-Beitrag zeigt überblicksartig auf, welche datenschutzrechtliche Anforderungen im Zusammenhang mit Internetseiten bestehen und wie in wenigen Schritten eine Überprüfung der eigenen Internetseiten erfolgen kann.

Relevanz des Themas

Nahezu jede verantwortliche Stelle, egal ob Behörde, Unternehmen oder Verein, betreibt eine Internetseite, über die sich interessierte Personen über Neuigkeiten informieren, Produkte kaufen oder Anfragen stellen können. Unabhängig von den konkreten Inhalten der jeweiligen Internetseite, werden bei einem jedem Aufruf personenbezogene Daten, beispielsweise in Form von IP-Adressen, verarbeitet. Datenschutzwidrige Verarbeitungen stellen somit aufgrund der Vielzahl betroffener Personen und der vergleichsweisen leichten Überprüfbarkeit der Datenverarbeitungen ein hohes Risiko für verantwortliche Stellen dar. Weiterhin steht gemäß Art. 77 DS-GVO jeder von einer Datenverarbeitung betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, sofern die betroffene Person bereits nur der Ansicht ist, dass eine Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt.

Datenschutzrechtliche Anforderungen

Die konkreten Anforderungen an eine datenschutzkonforme Verarbeitung durch eine Internetseite ergibt sich im Wesentlichen aus den Normen der DS-GVO sowie des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Zu benennen sind in diesem Zusammenhang die Rechtsgrundlagen nach Art. 6 Abs. 1 Satz 1 DS-GVO und § 25 TTDSG, die Verpflichtung zur Bereitstellung von Datenschutzinformationen nach Art. 13 DS-GVO, die Notwendigkeit zum Abschluss von Verträgen zur Auftragsverarbeitung mit eingesetzten Dienstleistern (z.B. Hosting-Dienstleistern) nach Art. 28 DS-GVO sowie die besonderen Anforderungen im Zusammenhang  mit der Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.

Grundsätzlich sollte sichergestellt sein, dass sämtliche Datenverarbeitungen einer Internetseite auf einschlägige Rechtsgrundlagen gestützt werden. Wie im Rahmen unseres Blog-Beitrags Analysen, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten bereits dargestellt, ist zunächst zwischen einwilligungsfreien und einwilligungsbedürftigen Datenverarbeitungen zu unterscheiden. Eine Datenverarbeitung ist grundsätzlich ohne Einwilligung möglich, soweit diese für die Bereitstellung der Internetseite zwingend erforderlich ist – das heißt, ein fehlerfreier Abruf der Internetseite ohne diese Datenverarbeitung gänzlich unmöglich ist. Alle weiteren Datenverarbeitungen, zum Beispiel im Zusammenhang mit einem Nutzer-Tracking oder der Bereitstellung von Medieninhalten, bedürfen in der Regel einer Einwilligung der Nutzenden. Weiterführende Informationen zur Anforderung an Einwilligungen auf Internetseiten, können in dem oben genannten Blog-Beitrag oder in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 202 nachgelesen werden.

Unabhängig von der Einwilligungsbedürftigkeit von Datenverarbeitungen ist darauf zu achten, dass personenbezogene Daten ausschließlich so lange gespeichert werden dürfen, wie es zur Erfüllung des Verarbeitungszwecks zwingend erforderlich ist. Neben Protokollierungen und Logfiles, deren Speicherdauer in der Regel 30 Tage nicht übersteigen sollte, betrifft dies ebenfalls Cookies und weitere personenbeziehbare Daten, wie beispielsweise Analysen des Nutzungsverhaltens.

Wichtig ist, dass sämtliche Datenverarbeitungen im Rahmen einer Datenschutzinformation (auch „Datenschutzerklärung“ genannt) transparent beschrieben werden. Die konkreten Anforderungen an eine solche Datenschutzinformation ergeben sich im Detail aus den Artikeln 12 bis 14 DS-GVO. Die im Rahmen einer Datenschutzinformation geschilderten Sachverhalte müssen stets zutreffend sein, es dürfen also ausschließlich solche Datenverarbeitungen beschrieben werden, welche tatsächlich auch stattfinden. Auch sollte möglichst auf Phrasen und Begriffsdefinitionen verzichtet werden, welche den Informationstext für die betroffene Person unnötig in die Länge ziehen. In diesem Zusammenhang ist ebenfalls darauf hinzuweisen, dass sogenannte „Generatoren für Datenschutzerklärungen“ ausschließlich mit Vorsicht zu gebrauchen sind. Sie ermöglichen bereits mit wenigen Klicks die Erstellung umfassender Datenschutzinformationen, welche meist jedoch nicht auf die Besonderheiten einer Internetseite angepasst sind. Werden Internetseiten mehrsprachig zur Verfügung gestellt, ist in den gleichen Sprachen ebenfalls die Datenschutzinformation bereitzustellen.

Überprüfung der INternetseite

Da bereits minimale Anpassungen an Internetseiten eine Änderung der jeweiligen Datenverarbeitungen bewirken kann, sollte diese regelmäßig überprüft werden. So kann stets auch eine Aktualität der Datenschutzinformation sichergestellt werden. Im Folgenden sollen einige Werkzeuge und Möglichkeiten dargestellt werden:

Identifizierung des Hosting-Dienstleisters
Zum Teil bestehen Unsicherheiten hinsichtlich des konkreten Hosting-Dienstleisters. Beispielsweise geben Agenturen gelegentlich an, ein Hosting der Internetseite selbst durchzuführen. Eine nähere Betrachtung zeigt oftmals jedoch, dass das Hosting durch einen Subdienstleister realisiert wird. Als Werkzeug bietet sich hierbei als Firefox Browser Add-On „Flagfox“ an. Über eine Länderflagge in der Adresszeile des Browsers wird stets der Standort des jeweiligen Servers angezeigt. Mit einem Klick auf die Länderflagge folgt eine Darstellung weiterführender Informationen, unter anderem auch der Name des Hosting-Dienstleisters.

Identifizierung von Datenübermittlungen und Konfigurationen
Zur Visualisierung der Übermittlungen personenbezogener Daten können verschiedene Werkzeuge genutzt werden. Beispielsweise Webbkoll überprüft bei einer Internetseite durch das Fingieren eines Seitenaufrufs, welche Konfigurationen (z.B. Verschlüsselung, Content Security Policy, Referrer Policy) aktiv sind, welche Anfragen an Drittanbieter übermittelt und ob Informationen auf dem Gerätespeicher abgelegt werden. Hinsichtlich der Anfragen an Drittanbieter erfolgt eine Auflistung der jeweiligen Inhalte und über welche IP-Adressen diese Anfragen bearbeitet werden. So lassen sich beispielsweise auch Übermittlungen personenbezogener Daten in Drittländer identifizieren. Bei der Verwendung von Webbkoll ist zu beachten, dass hierbei nur Datenverarbeitungen angezeigt werden können, welche ohne Reaktion auf etwaig verwendete Cookie-Banner stattfinden.

Für eine technisch detailliertere Darstellung umgesetzter Konfigurationen eignet sich PrivacyScore. In der Übersicht lassen sich neben grundlegenden Informationen zu Drittinhalten auch die Absicherungen gegen typische Angriffsszenarien auf Internetseiten überprüfen.

Aber auch die browsereigenen Mittel ermöglichen eine gute Übersicht über Datenübermittlungen bei einem Aufruf der Internetseite. Bei Firefox ist dies beispielsweise per Rechtsklick auf der Internetseite und einem Klick auf „Untersuchen“ möglich. Über den Reiter „Netzwerkanalyse“ werden bei einem Laden der Internetseite sämtliche Ressourcen und angefragte Hosts aufgelistet.

Identifizierung von Cookies und Nutzung des Gerätespeichers
Ebenfalls über den jeweiligen Browser ist eine Ermittlung der gesetzten Cookies und der Nutzung des Gerätespeichers möglich. Hierzu wird wie zuvor beschrieben der Reiter „Web-Speicher“ aufgerufen. Unter „Cookies“ werden mit Angabe der jeweiligen Speicherdauer die Cookies der jeweiligen Hosts aufgelistet. Über den Abschnitt „Local Storage“ erfolgt eine Darstellung, welche Informationen innerhalb des internen Gerätespeichers abgelegt werden.

Identifizierung von Facebook-Inhalten
Gelegentlich werden auf Internetseiten Facebook-Inhalte verwendet, welche bereits ohne Einwilligung der Nutzenden eine Serververbindung zu Facebook aufbauen. Das Firefox Browser Add-On „Facebook Container“ identifiziert (und blockiert) derartige Inhalte und kennzeichnet diese durch ein farbiges Symbol. Das Add-On eignet sich insbesondere zur Überprüfung, ob Facebook-Inhalte tatsächlich nur mit Einwilligung aktiv sind oder diese erfolgreich von der Internetseite entfernt wurden.

Fazit

Datenschutzwidrige Datenverarbeitungen und unzutreffende Datenschutzinformationen stellen auf Internetseiten ein besonderes Risiko für verantwortliche Stellen dar. Eine regelmäßige Überprüfung der eigenen Internetseite kann helfen, Mängel zu identifizieren und das rechtliche Risiko so zu minimieren. Auch wenn durch die aufgezeigten Hilfsmittel nicht immer alle Datenverarbeitungen zweifelsfrei abgebildet werden, decken diese die „gröbsten Schnitzer“ allemal auf.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenanneten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Facebook besteht. Nunmehr hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) FAQ zu den Facebook-Fanpages veröffentlicht und somit ein weiteres Kapitel der Saga aufgeschlagen. Der nachfolgende Beitrag soll in Ergänzung zu unserem kurzen Überblick aus April 2022 die bisherige Entwicklung, den Inhalt der FAQ und mögliche Auswirkungen für die Praxis darstellen und näher beleuchten.

WIE NAHM DAS UNHEIL SEINEN LAUF?

Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der DSK unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Dem liegt zu Grunde, dass über die Funktion „Insights“ den Fanpage-Betreiberinnen und Fanpage-Betreiber eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt wird. Unter anderem aufgrund dieser Funktion habe der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit im Sinne des Art. 4 Nr. 8 und Art. 26 DS-GVO zwischen Fanpage- und Plattformbetreiber besteht. Demnach ergeben sich für Betreiberinnen und Betreiber von Facebook-Fanpages zahlreiche Pflichten zu denen u.a. gehören, dass transparent und in verständlicher Form darüber informiert werden muss, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden und dass für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreiberinnen und Fanpage-Betreiber in einer (transparenten) Vereinbarung festzulegen, wer welche Verpflichtung aus der Datenschutz-Grundverordnung (DS-GVO) erfüllt. Diese Vereinbarung muss darüber hinaus in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sog. „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO, da insbesondere die alleinige Entscheidungsmacht seitens Facebook „hinsichtlich der Verarbeitung von Insights-Daten“ im Widerspruch zur gemeinsamen Verantwortlichkeit stehe wie die DSK in der „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ vom 1. April 2019 deutlich machte.

Am 20. Mai 2019 richtete sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die DSK in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. In einem bisher letzten Akt geht insbesondere der BfDI noch weiter und versendet mittlerweile Anhörungen zu Facebook-Fanpages.

WORUM GEHT ES NUN IN DEN FAQ FACEBOOK-FANPAGE DER DSK?

Nach einem Problemaufriss inklusive Herausstellung des eigentlichen Knackpunktes, dass Meta Platforms als Betreiber des Dienstes Facebook die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiberinnen und Fanpage-Betreiber die Vorgaben der DS-GVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht. Demnach können verantwortliche Betreiberinnen und Betreiber häufig eine rechtskonforme Verarbeitung personenbezogener Daten nicht sicherstellen. Das betrifft insbesondere die Frage, in welchem Umfang eine Übermittlung personenbezogener in datenschutzrechtliche Drittländer stattfindet, wobei in derartigen Fällen die speziellen Anforderungen der Art. 44 ff. DS-GVO einzuhalten sind.

FÜR WEN GELTEN DIE AKTUELLEN HINWEISE DER DSK UND WELCHE KONSEQUENZEN DROHEN?

Unter Ziff. 6 ff. der FAQ führt die DSK weiter aus, dass Facebook-Fanpages nur dann betrieben werden dürfen, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die DS-GVO dar. Dies gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Jedoch sind öffentliche Stellen in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion sollen diese durch die Datenschutzaufsichtsbehörden nun vorrangig in die Pflicht genommen werden. Dies werde auch durch das Urteil des OVG Schleswig-Holstein vom 25.11.2021 (Az. 4 LB 20/13) gestützt, welches die Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein Marit Hansen gegenüber einer öffentliche Stelle bestätigte.

Die obigen Ausführungen zu Grunde gelegt kommt die DSK zu dem Ergebnis, dass Fanpage-Betreiberinnen und Fanpage-Betreiber die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können müssen, dies ihnen für den Betrieb von Facebook-Fanpages zurzeit jedoch nicht möglich ist. Datenschutzrechtlich Verantwortliche können in dieser Situation daher nach Ansicht der DSK nur eine (unverzügliche) Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DS-GVO zu erfüllen. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, sieht die DSK zudem keine Lösung durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite. Nichts desto trotz ergeht der Hinweise, dass sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, eine Facebook-Fanpage dann wieder in Betrieb genommen werden könnte. Ob und wann dies der Fall sein könnte, gleicht wohl jedoch einem Blick in die berühmte Glaskugel.

Weiterhin verweist die DSK darauf, dass viele der Erkenntnisse auch auf andere Social-Media-Auftritte (bspw. Instagram, Twitter, TikTok usw.) übertragbar sein dürften. Die Umstände seien häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.

FAZIT

Die eigentlich Rechtsproblematik für Betreiberinnen und Betreiber von Facebook-Fanpages ist nicht erst durch die neuerdings veröffentlichen FAQ der DSK zu einer Herausforderung für datenschutzrechtliche Verantwortliche erwachsen. Vielmehr schwillt der Konflikt rund um das Urteil des EuGH aus dem Jahre 2018 und die Gemeinsame Verantwortlichkeit zwischen Facebook und Betreiberinnern und Betreibern bereits seit Jahren und gleicht einem Stück in mehreren Akten, bei dem aktuell das vorläufige Ende zumindest vieler Facebook-Fanpages öffentlicher Stellen durch deren Abschaltung gekommen zu sein scheint. Allerdings wird das letzte Wort noch lange nicht gesprochen sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.

Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.

WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?

Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.

Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.

Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.

Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.

WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN

Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.

WOHIN MIT DEN PFLICHTANGABEN?

Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.

Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.

Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.

FAZIT

Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage –  nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.

Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.

Zum 18. März 2022 hat die „Taskforce Facebook-Fanpages“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) ein 40-seitiges Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vorgelegt. Darin finden insbesondere die seit dem 01. Dezember 2021 geltenden Regelungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und dessen Auswirkungen auf die rechtliche Beurteilung der Zulässigkeit des Betriebs einer Facebook-Fanpage Berücksichtigung. Die Taskforce nimmt dabei ebenfalls Bezug auf ein aktuelles Urteil des OVG Schleswig vom 25. November 2021. Die Inhalte und Auswirkungen des Kurzgutachtens für verantwortliche Stellen soll der nachfolgende Beitrag näher beleuchten.

WOMIT BEFASST SICH DAS KURZGUTACHTEN UND WOMIT NICHT?

Das Kurzgutachten befasst sich unter Berücksichtigung des seit 01. Dezember 2021 anzuwendenden TTDSG hauptsächlich mit der Speicherung von und dem Zugriff auf Informationen (Cookies) in den Endeinrichtungen von Nutzenden. Weiterhin wird die sich daran anschließende Verarbeitung und Verknüpfung mit Nutzungsdaten zu Statistikzwecken sowie zur Profilbildung und zu Werbezwecken thematisiert.

Lediglich umrissen wird hingegen die generellen datenschutzrechtlichen Anforderungen für Betreibende von Facebook-Fanpages sowie eine weitere Positionierung zur datenschutzrechtlichen Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages. Hierzu hatte die DSK bereits im September 2018 sowie April 2019 entsprechende Stellungnahmen veröffentlicht. Bereits aus diesen ging hervor, dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann.

VEREINBARKEIT MIT DEM TTDSG

Im Rahmen des Kurzgutachtens wird zunächst eine Darstellung der beim Aufruf von Facebook-Fanpages gesetzten Cookies vorgenommen. Hierbei sind grundsätzlich Cookies zu unterscheiden, die bei nicht-registrierten Nutzenden sowie bei registrierten Nutzenden gesetzt werden.

Unstreitig ist eine Facebook-Fanpage als Telemediendienst einzustufen, an deren Bereitstellung der jeweilige Betreiber der Facebook-Fanpage mitwirkt. Dementsprechend handelt es sich bei dem Betreiber um einen „Anbieter von Telemedien“ im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Somit obliegt diesem ebenfalls die Verpflichtung zur Einhaltung der Regelungen des § 25 TTDSG. Entsprechend des § 25 TTDSG bedürfen Cookies, welche nicht zur Erbringung des jeweiligen Dienstes technisch zwingend benötigt werden, einer Einwilligung. Im Ergebnis ist somit der Betreiber einer Facebook-Fanpage neben Facebook für das Einholen einer gegebenenfalls erforderlichen wirksamen Einwilligung (mit-)verantwortlich.

Das Kurzgutachten widmet sich unter Berücksichtigung dieser Grundvoraussetzungen der Frage, ob die Bereitstellung einer Facebook-Fanpage den Anforderungen aus § 25 TTDSG nachkommen kann. In diesem Zusammenhang wird sich ausführlich mit der Frage auseinandergesetzt, ob die im Rahmen einer Facebook-Fanpage gesetzten Cookies zur Erbringung des Telemediendienstes als technisch zwingend erforderlich bezeichnet werden können. Aufgrund der untrennbaren Verknüpfung mit Verarbeitungen zu Analyse- und Werbezwecken kommt die Taskforce unter Bezugnahme auf die Ausführungen des OVG Schleswig jedoch zu dem Ergebnis, dass die gesetzten Cookies nicht (ausschließlich) zur Erbringung des Telemediendienstes erforderlich und mithin einwilligungsbedürftig sind.

Das seitens Facebook bereitgestellte Einwilligungs-Banner bietet unter Berücksichtigung der Ausführungen der Taskforce sowie des OVG Schleswig zwar grundsätzlich die Möglichkeit Cookies zu akzeptieren bzw. weiterführende Einstellungen vorzunehmen, es erfüllt inhaltlich jedoch nicht die Anforderungen, welche an eine rechtskonforme Einwilligungserklärung zu stellen sind. Das Kurzgutachten kommt dementsprechend zu dem Ergebnis, dass für das Setzen der Cookies keine wirksame Einwilligung eingeholt wird. Die im Rahmen eines Aufrufes einer Facebook-Fanpage gesetzten Cookies werden somit ohne einschlägige Rechtsgrundlage gesetzt. Der Betrieb einer Facebook-Fanpage ist demnach unter Berücksichtigung der Anforderungen des § 25 TTDSG nicht mit dem TTDSG vereinbar.

VEREINBARKEIT MIT DER DS-GVO

Zur Vereinbarkeit der Verarbeitung personenbezogenen Daten im Rahmen von Facebook-Fanpages, insbesondere bezüglich der jeweiligen Insight-Statistiken, führt das Kurzgutachten zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit von Facebook und dem jeweiligen Betreiber der Facebook-Fanpage aus. Die Einstufung als gemeinsame Verantwortliche im Sinne des Art. 26 DS-GVO entstammt der Rechtsprechung des Europäischen Gerichtshofes und wurde sowohl durch das Bundesverwaltungsgericht als auch das OVG Schleswig aufgegriffen.

An dieser Stelle positiv hervorzuheben ist, dass das OVG Schleswig in der Datenverarbeitung zu Werbezwecken durch Facebook keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sieht. Hierbei fehle es „insoweit jedenfalls an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung.“ Dieser Ansicht folgt die Taskforce jedoch nicht. Sie sieht in der Nutzung eines werbefinanzierten Dienstes durch den Betreiber der Facebook-Fanpage durchaus ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten von Facebook. Auch wenn die Taskforce die Argumentation unter Nennung des sogenannten „Netzwerkeffektes“ stützt, kann diese im Ergebnis nicht überzeugen.

Übereinstimmend kann jedoch eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten zu Insight-Statistiken angenommen werden. Das Kurzgutachten weist in diesem Zusammenhang darauf hin, dass eine jede Verarbeitung personenbezogener Daten einer einschlägigen Rechtsgrundlage bedarf. Eine solche liege jedoch für die Anfertigung von Statistiken ausdrücklich nicht vor. Die Annahme einer Einwilligung scheitere bereits aufgrund der Ausführungen zur Einwilligung hinsichtlich des Setzens von Cookies, die Durchführung einer Interessenabwägung sei bereits wegen einer unmöglich vorzunehmenden Prüfung der Rechtskonformität nicht möglich.

Abschließend verweist das Kurzgutachten auf die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DS-GVO sowie die Verpflichtung zur Bereitstellung transparenter Informationen nach Art. 26 DS-GVO hinsichtlich der gemeinsamen Verarbeitung personenbezogener Daten durch Facebook und dem jeweiligen Betreiber der Facebook-Fanpage sowie nach Art. 13 DS-GVO hinsichtlich der jeweils eigenverantwortlichen Verarbeitung personenbezogener Daten. Beide Informationspflichten lassen sich nach Auffassung der Taskforce aufgrund unzureichender Informationsbereitstellung durch Facebook nicht im erforderlichen Rahmen bereitstellen. Im Ergebnis ist dem Kurzgutachten eine deutliche Verneinung der Vereinbarkeit mit der DS-GVO zu entnehmen.

ERGEBNIS DES KURZGUTACHTENS

Auch wenn einige Ausführungen des Kurzgutachtens äußerst komplex dargestellt werden, erfreut sich das Ergebnis einer besonders klaren Formulierung: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.“ Facebook-Fanpages lassen sich somit nicht datenschutzkonform betreiben.

FAZIT

Die Inhalte des Kurzgutachtens sind inhaltlich (weitestgehend) nicht zu beanstanden, überraschen darüber hinaus jedoch auch wenig. Im Ergebnis ist festzuhalten, dass das vorliegende Kurzgutachten durch die betreffenden verantwortlichen Stellen – wenn überhaupt – nur schulterzuckend zur Kenntnis genommen werden wird. Dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann, ist bereits seit einigen Jahren Gegenstand der datenschutzrechtlichen Beratungspraxis. Eine entsprechende Sanktionierung seitens der Aufsichtsbehörden blieb bislang weitestgehend aus, sodass sich verantwortliche Stellen auch weiterhin in der Breite dieses Marketinginstrumentes bedienen werden. Daran wird auch das Veröffentlichen eines weiteren Gutachtens nichts ändern können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.