Alles zum Datenschutz auf Facebook-Fanpages

Zu der Berichterstattung über relevante Datenschutz-Versäumnisse bei Facebook gesellte sich im Juni 2018 ein wichtiges Urteil des Europäischen Gerichtshofs (EuGH).

Die Richter entschieden, dass ein datenschutzkonformes Betreiben einer Facebook-Fanpage nur möglich ist, wenn der Betreiber und Facebook gemeinsam Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher übernehmen. Das löste international Verunsicherung bei Unternehmen aus, die daraufhin ihre Facebook-Seiten vorsichtshalber aus dem Netz nahmen. Auch das DSB-Portal deaktivierte seine Fanpage, weil sich nach unserer Meinung ein Datenschutz-Portal nicht mit den nachlässigen Praktiken von Facebook vereinbaren lässt. Hat Facebook wie angekündigt reagiert? Wie ist der Stand der Dinge beim Thema Fanpage?

Neue AGB sollten es richten

Eine datenschutzrechtliche Grundlage für eine Facebook-Fanseite fehlt laut dem Gerichtshof aufgrund des Art. 26 DSGVO. Ein gesetzeskonformes Betreiben einer Fanpage war laut Datenschutzkonferenz damit nicht mehr möglich. Deshalb erklärte die Konferenz unabhängiger Datenschutzaufsichtsbehörden des Bunds und der Länder (DSK) kurz darauf, dass Facebook-Fanpages illegal seien. Als Reaktion darauf änderte der Milliardenkonzern kurzerhand seine allgemeinen Geschäftsbedingungen. Das neue „Page Controller Addendum“ sieht vor, dass sich Seitenbetreiber und Facebook die Verantwortung der Fanseite teilen. Alle relevanten Pflichten für den eingeforderten Datenschutz liegen bei Facebook.

Facebook muss dringend nachbessern

Facebooks Bemühungen zum Trotz monierte die DSK die AGB-Änderungen erneut: „Diese von Facebook veröffentlichte Seiten-Insights-Ergänzung bezüglich des Verantwortlichen erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO.“ Im Gegenteil: Facebook konterkariert damit die Anforderung an eine gemeinsamen Verantwortlichkeit. Der Social-Media-Gigant lässt sich hinsichtlich der Verarbeitung von Insights-Daten die alleinige Entscheidungsmacht einräumen. Verarbeitungstätigkeiten seien nicht hinreichend transparent dargestellt und reichten nicht aus, „die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen“. Während die DSK mit Facebook hart ins Gericht ging, unterstrichen die Experten wieder einmal die Rechenschaftspflicht jedes Betreibers einer Fanpage – unbeschadet der von Facebook erklärten Verantwortlichkeit. Von Facebook werden dringende Nachbesserungen erwartet.

Datenschutzkonformer Betrieb kaum möglich

Unter gegenwärtigen Umständen scheint der datenschutzkonforme Betrieb einer Facebook-Fanpage für Interessenverbände kaum möglich. Grüne und Verbraucherzentrale monieren vor allem den zu geringen Einfluss der Betreiber auf den Umgang mit den hinterlegten Nutzerdaten. Hier hat sich Facebook das alleinige Entscheidungsmonopol gesichert. Ferner fordert die DSGVO eine Einwilligung des Users für das Tracking, das auf einer Fanseite allerdings nicht manuell ein- oder ausgeschaltet werden kann. Facebook fing sich neben vielen schwergewichtigen Klagen bald auch eine der Verbraucherzentrale Sachsen ein. Und der Berliner Datenschutzbeauftragte, ebenfalls unzufrieden mit der von Facebook im letzten Jahr angebotenen Lösung, hatte im Spätherbst sogar Anhörungsschreiben mit 15 Fragen an die Landesverwaltung von Berlin sowie einige Unternehmen und Institutionen versendet. Die angeschriebenen Datenschutzverantwortlichen sahen sich inquisitorisch geprüft, wenn etwa die Behörde wissen wollte: „Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt? Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DSGVO?“

Nützliche Maßnahmen für Betreiber von Facebook-Fanpages

Für die DSK steht fest, dass nach den jüngsten Forderungen Facebooks Datenschutz-Politik weiter nachgebessert werden muss. Ein risikoarmes Weiternutzen der Fanpages ist für Betreiber unter gewissen Umständen möglich. Zu den wichtigsten Vorkehrungen gehört unter anderem, einen Mitarbeiter als Projektverantwortlichen für die Fanpage festzulegen. Auf der Unternehmenswebseite kann ein Opt-in-Banner platziert werden. Dieser ermöglicht anderen Unternehmen, in das Tracking auf der Facebook-Fanseite ausdrücklich einzuwilligen. Das „Page Controller Addendum“ von Facebook sollte in den Datenschutzhinweisen des Unternehmens einbezogen werden. Wenn die eigene Firma von Datenschützern oder Betroffenen um eine Stellungnahme zum Datenschutz gebeten wird, kann das Facebook-Formular „Anfragen zur Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ genutzt werden. Zusätzlich empfiehlt sich im Infobereich der Fanpage ein Link zu den ergänzten Datenschutzhinweisen.