Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenanneten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Facebook besteht. Nunmehr hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) FAQ zu den Facebook-Fanpages veröffentlicht und somit ein weiteres Kapitel der Saga aufgeschlagen. Der nachfolgende Beitrag soll in Ergänzung zu unserem kurzen Überblick aus April 2022 die bisherige Entwicklung, den Inhalt der FAQ und mögliche Auswirkungen für die Praxis darstellen und näher beleuchten.
WIE NAHM DAS UNHEIL SEINEN LAUF?
Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der DSK unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Dem liegt zu Grunde, dass über die Funktion „Insights“ den Fanpage-Betreiberinnen und Fanpage-Betreiber eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt wird. Unter anderem aufgrund dieser Funktion habe der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit im Sinne des Art. 4 Nr. 8 und Art. 26 DS-GVO zwischen Fanpage- und Plattformbetreiber besteht. Demnach ergeben sich für Betreiberinnen und Betreiber von Facebook-Fanpages zahlreiche Pflichten zu denen u.a. gehören, dass transparent und in verständlicher Form darüber informiert werden muss, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden und dass für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreiberinnen und Fanpage-Betreiber in einer (transparenten) Vereinbarung festzulegen, wer welche Verpflichtung aus der Datenschutz-Grundverordnung (DS-GVO) erfüllt. Diese Vereinbarung muss darüber hinaus in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sog. „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO, da insbesondere die alleinige Entscheidungsmacht seitens Facebook „hinsichtlich der Verarbeitung von Insights-Daten“ im Widerspruch zur gemeinsamen Verantwortlichkeit stehe wie die DSK in der „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ vom 1. April 2019 deutlich machte.
Am 20. Mai 2019 richtete sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor.
Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die DSK in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. In einem bisher letzten Akt geht insbesondere der BfDI noch weiter und versendet mittlerweile Anhörungen zu Facebook-Fanpages.
WORUM GEHT ES NUN IN DEN FAQ FACEBOOK-FANPAGE DER DSK?
Nach einem Problemaufriss inklusive Herausstellung des eigentlichen Knackpunktes, dass Meta Platforms als Betreiber des Dienstes Facebook die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiberinnen und Fanpage-Betreiber die Vorgaben der DS-GVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht. Demnach können verantwortliche Betreiberinnen und Betreiber häufig eine rechtskonforme Verarbeitung personenbezogener Daten nicht sicherstellen. Das betrifft insbesondere die Frage, in welchem Umfang eine Übermittlung personenbezogener in datenschutzrechtliche Drittländer stattfindet, wobei in derartigen Fällen die speziellen Anforderungen der Art. 44 ff. DS-GVO einzuhalten sind.
FÜR WEN GELTEN DIE AKTUELLEN HINWEISE DER DSK UND WELCHE KONSEQUENZEN DROHEN?
Unter Ziff. 6 ff. der FAQ führt die DSK weiter aus, dass Facebook-Fanpages nur dann betrieben werden dürfen, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die DS-GVO dar. Dies gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Jedoch sind öffentliche Stellen in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion sollen diese durch die Datenschutzaufsichtsbehörden nun vorrangig in die Pflicht genommen werden. Dies werde auch durch das Urteil des OVG Schleswig-Holstein vom 25.11.2021 (Az. 4 LB 20/13) gestützt, welches die Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein Marit Hansen gegenüber einer öffentliche Stelle bestätigte.
Die obigen Ausführungen zu Grunde gelegt kommt die DSK zu dem Ergebnis, dass Fanpage-Betreiberinnen und Fanpage-Betreiber die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können müssen, dies ihnen für den Betrieb von Facebook-Fanpages zurzeit jedoch nicht möglich ist. Datenschutzrechtlich Verantwortliche können in dieser Situation daher nach Ansicht der DSK nur eine (unverzügliche) Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DS-GVO zu erfüllen. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, sieht die DSK zudem keine Lösung durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite. Nichts desto trotz ergeht der Hinweise, dass sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, eine Facebook-Fanpage dann wieder in Betrieb genommen werden könnte. Ob und wann dies der Fall sein könnte, gleicht wohl jedoch einem Blick in die berühmte Glaskugel.
Weiterhin verweist die DSK darauf, dass viele der Erkenntnisse auch auf andere Social-Media-Auftritte (bspw. Instagram, Twitter, TikTok usw.) übertragbar sein dürften. Die Umstände seien häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.
FAZIT
Die eigentlich Rechtsproblematik für Betreiberinnen und Betreiber von Facebook-Fanpages ist nicht erst durch die neuerdings veröffentlichen FAQ der DSK zu einer Herausforderung für datenschutzrechtliche Verantwortliche erwachsen. Vielmehr schwillt der Konflikt rund um das Urteil des EuGH aus dem Jahre 2018 und die Gemeinsame Verantwortlichkeit zwischen Facebook und Betreiberinnern und Betreibern bereits seit Jahren und gleicht einem Stück in mehreren Akten, bei dem aktuell das vorläufige Ende zumindest vieler Facebook-Fanpages öffentlicher Stellen durch deren Abschaltung gekommen zu sein scheint. Allerdings wird das letzte Wort noch lange nicht gesprochen sein.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
