Berliner Beauftragte für Datenschutz bringt Zündstoff in die Diskussion um Facebook-Fanpages

10.12.2018

Als am 5. Juni 2018 der EuGH entschieden hat, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher der Fanpages datenschutzrechtlich verantwortlich sind (wir berichteten), sind viele Unternehmen aufgeschreckt. Als daraufhin im September 2018 die Datenschutzkonferenz einen Beschluss veröffentlicht hat, welcher sinngemäß aussagt, dass Facebook-Fanpages ohne entsprechende Vereinbarung nicht rechtmäßig betrieben werden können, schlossen viele Unternehmen tatsächlich ihre Fanpages. Als Facebook kurze Zeit später reagierte und eine Vereinbarung zur gemeinsamen Verantwortlichkeit – sog. Page Controller Addendum – zur Verfügung stellte, atmeten viele wieder auf und sahen das Problem als gelöst an.

Seit dem 15. November 2018 versendet nun aber die Berliner Beauftragte für Datenschutz und Informationsfreiheit Anhörungsschreiben. Darin werden 15 Fragen zur datenschutzrechtlichen Mit-Verantwortlichkeit an den Facebook-Fanseiten gestellt. Diese gehen wesentlich weiter in die Details als die Fragen, welche die Datenschutzkonferenz in ihrem Beschluss aus dem September stellte. Unternehmen dürfte es schwer fallen, diese Fragen ohne die Hilfe von Facebook zu beantworten. Allein anhand dieser Fragen lässt sich feststellen, dass die Berliner Behörde wohl weiterhin Zweifel an der Rechtmäßigkeit des Betriebs einer Fanpage hat. In einer parallelen Pressemitteilung heißt es dazu auch:

„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.“

Was aber sollen Unternehmen nun tun?

Praxishinweise:

Fanpage-Betreiber sollten nicht in Panik verfallen. Die Vereinbarung des Page Controller Addendum durch Akzeptieren der Nutzungsbedingungen – im Endeffekt einfacher Weiterbetrieb der Fanpage – ist ein erster Schritt, um den Anforderungen der Datenschutzkonferenz nachzukommen. Ferner muss in der eigenen Datenschutzerklärung ein Hinweis auf den Betrieb der Fanpage, die gemeinsame Verantwortlichkeit und den Grobinhalt der Vereinbarung aufgenommen werden. Zwar hat sich Facebook in dem Addendum verpflichtet, den Nutzern den Grobinhalt des Addendums zu Verfügung zu stellen, solange dies jedoch noch nicht der Fall ist, sollten sich Betreiber einer Fanpage entsprechend selbst absichern. Zudem müssen Betreiber einer Fanpage für die eigene Verarbeitung eine Rechtsgrundlage für die Verarbeitung darlegen. Dies dürfte in aller Regel das berechtigte Interesse des Betreibers an Marketing und Auswertung der Marketingaktivitäten sein. Schließlich sollten sich Unternehmen mit den Fragen der Datenschutzkonferenz als auch mit den Fragen der Berliner Behörde befassen und diese im Zweifel beantworten können.

Zwar können auch diese Maßnahmen keinen vollumfänglichen Schutz gewährleisten, aber bis das Bundesverwaltungsgericht abschließend entscheiden hat, sollten keine voreiligen Handlungen vorgenommen werden.