Tatsache ist: Fanpages bzw. Unternehmensprofile bei Facebook sind bzw. waren bisher nach DSGVO rechtswidrig.

Ein Urteil des Europäischen Gerichtshofs (EuGH) sorgte für Aufruhr mit dem Ergebnis, dass zahlreiche Unternehmen ihre Profile bei Facebook deaktivierten. Mittlerweile reagierte Facebook und bessere nach, so dass die datenschutzrechtlichen Bedenken für eine Facebook-Fanpage etwas weniger ausfallen dürften.

Problem: Gemeinsamen Verarbeitung

Das Urteil des Europäische Gerichtshofes vom 5. Juni 2018 lautet: Facebook-Fanpages sind in der aktuellen Gestaltung nicht datenschutzkonform. Beide Parteien – also Facebook und das Unternehmen der Fanpage sind laut EuGH für Verstöße gegen den Datenschutz verantwortlich und können bei Nichteinhaltung mit Strafen versehen werden.

Konkret geht es vor allem um die Auswertung von Fanpage-Besuchen und Nutzerdaten mit der sogenannten „Insights-Funktion“. Betreiber können damit Besucher ihrer Fanpage nach vorkonfigurierten Einstellungen „tracken“. Darin sieht das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit zwischen Fanpagebetreiber und Facebook. Denn die Voraussetzungen des neuen Art. 26 DSGVO (EU-Datenschutz-Grundverordnung) sind zwingend von beiden Parteien zu erfüllen.

Nachdem der Druck auf Facebook durch dieses Urteil und konsequenten zahlreichen Nachfragen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder immer größer geworden ist, wurde nun endlich reagiert und eine sogenannte “Seiten-Insights-Ergänzung bezüglich des Verantwortlichen” den Seitenbetreibern zur Verfügung gestellt. Damit möchte Facebook den betroffenen Betreibern eine Rechtsgrundlage für die Verarbeitung der Insight-Daten an die Hand geben. Diese ergänzten Vertragsbedingungen stellen fest, dass die Seitenbetreiber und Facebook gemeinsame Verantwortliche für die Verarbeitung von Insights-Daten sind und dass mit diesen Daten eine statistische Auswertung über die Besucher der Seite möglich ist (und genau diese Möglichkeit war Grundlage für das Urteil des EuGH, beide Seiten in die Pflicht zu nehmen).

Diesen Vertragszusatz hat Facebook mittlerweile in einem sogenannten Addendum veröffentlicht.

Allerdings behält sich Facebook vor, dieses Addendum im Laufe der Zeit einseitig zu aktualisieren – mit der weiteren Nutzung der Fanpage werden die Inhalte automatisch akzeptiert ohne irgendeine Einspruchsmöglichkeit des Seitenbetreibers. Außerdem gelten die Ergänzungen der Nutzungsbedingungen nur für die Verarbeitung der Insight-Daten, alles andere bleibt unerwähnt (z. B. weitere Verwendung der Daten

Hier der genaue Wortlaut der Ergänzung:

Der genaue Inhalt lautet:

„    Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf die Verarbeitung von Insights-Daten fest.

    Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen.

    Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.

    Du stimmst zu, dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten treffen und umsetzen kann. Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt. Du stimmst zu, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Außerdem erkennst du an, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde für diese Verarbeitung ist.

    Facebook Ireland bleibt alleinig verantwortlich für die Verarbeitung solcher personenbezogenen Daten im Zusammenhang mit Seiten-Insights, die nicht unter diese Seiten-Insights-Ergänzung fallen. Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen.

    Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.

    Wenn du eine Seite für irgendeinen geschäftlichen oder gewerblichen Zweck nutzt bzw. auf sie zugreifst (u. a. wenn du eine Seite für ein Unternehmen verwaltest), stimmst du zu, dass jedweder Anspruch, Klagegenstand oder Streitfall, den du uns gegenüber hast und der sich aus dieser Seiten-Insights-Ergänzung ergibt oder damit in Verbindung steht, ausschließlich von den Gerichten in Irland zu klären ist, dass du dich für das Prozessieren jedwedes derartigen Anspruchs unwiderruflich der Rechtsprechung der irischen Gerichte unterwirfst und dass diese Seiten-Insights-Ergänzung irischem Recht unterliegt.

    Möglicherweise müssen wir diese Seiten-Insights-Ergänzung von Zeit zu Zeit aktualisieren. Deshalb empfehlen wir dir, sie regelmäßig auf Aktualisierungen zu prüfen. Durch deinen weiteren Zugriff auf Seiten bzw. deren weitere Nutzung nach irgendeiner Benachrichtigung über eine Aktualisierung dieser Seiten-Insights-Ergänzung stimmst du zu, an sie gebunden zu sein. Solltest du der aktualisierten Seiten-Insights-Ergänzung nicht zustimmen, beende bitte jedwede Nutzung von Seiten. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur 4.1 unserer Facebook-Nutzungsbedingungen für Aktualisierungen dieser Seiten-Insights-Ergänzung.

    Sollte irgendein Teil dieser Seiten-Insights-Ergänzung für nicht durchsetzbar erachtet werden, so bleiben die übrigen Bestimmungen in vollem Umfang wirksam und in Kraft. Ein Versäumnis unsererseits, irgendeinen Teil dieser Seiten-Insights-Ergänzung durchzusetzen, stellt keinen Rechtsverzicht dar. Jedwede Änderung dieser Nutzungsbedingungen oder der Verzicht auf diese muss in schriftlicher Form erfolgen und von uns unterzeichnet werden.

    „personenbezogene Daten“, „betroffene Person“ und „Verantwortlicher“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.“

Unser Fazit:

Die von Facebook zur Verfügung gestellte Ergänzung ist sicher ein Schritt in die richtige Richtung und erfüllt in der jetzigen Form den Großteil des Art. 26 DSGVO. Das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 DSGVO wurde dadurch auf jeden Fall deutlich minimiert. Allerdings fehlen nach wie vor die Einflussmöglichkeiten für Fanpagebetreiber selbst.

Unsere Empfehlung zur weiteren Risikominimierung bei Verwendung einer Facebook-Fanpage:

  • Fügen Sie Sie Ihren eigenen Datenschutzhinweisen auf Ihrer Website die wichtigsten Inhalte der Ergänzungsvereinbarung mit Facebook bei.

Die Inhalte der Ergänzung Ihrer Datenschutzerklärung sollte im Kontext folgendes enthalten:

  • die Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook
  • Betroffenenrechte können bei Facebook Ireland und Ihnen geltend gemacht werden
  • Facebook bestätigt die Erfüllung sämtlicher Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten
  • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung
  • Sie als Seitenbetreiber tragen keine Verantwortung hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen (z. B. die Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten)
  • Verlinken Sie die Ergänzung Ihrer Datenschutzrichtlinie mit einem gut sichtbaren Hinweis auf Ihrer Facebook Fanseite.
  • Bei Anfragen von Betroffenen oder sogar der Aufsichtsbehörde, geben Sie diese Anfrage schnellstmöglich (aber spätestens innerhalb der von Facebook gesetzten Frist von maximal 7 Kalendertagen) mit dem von Facebook zur Verfügung gestellten Formular an Facebook weiter.

TIPP: Sollten Sie noch andere Firmenportale mit Auswertungsmöglichkeiten von Nutzerdaten haben, sollte man diese dringend ebenfalls auf ihre Rechtmäßigkeit hinsichtlich  Art. 26 DSGVO überprüfen.