Facebook-Fanpages: Datenschutzkonformer Betrieb nicht möglich
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 18. März 2022 ein Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages veröffentlicht. Mit Beschluss vom 23. März 2022 hat die Datenschutzkonferenz das Kurzgutachten sodann zur Kenntnis genommen und dessen Bewertung zugestimmt. Es sollen nunmehr Absprachen zum weiteren Vorgehen getroffen werden.
Facebook und Betreiber einer Facebook-Fanpage gemeinsam Verantwortliche
Bereits mit Urteil vom 05. Juni 2018 hat der EuGH entschieden, dass Betreiber von so genannten Facebook-Fanpages einerseits und Facebook andererseits datenschutzrechtlich gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind.
Allerdings vertrat das OVG Schleswig in einer späteren Entscheidung vom 25.11.2021 die Auffassung, dass hinsichtlich der Speicherung der Verknüpfung solcher Daten mit dem Fanpageaufruf zur Erstellung von Profilen und zu Werbezwecken keine gemeinsame Verantwortlichkeit vorliege. Es fehle an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung, diese erfolge nicht im Interesse des Betreibers der Fanpage und biete dieser keinerlei Vorteile. Dieser Auffassung wird im Kurzgutachten mit beachtlichen Argumenten entgegengetreten, eine höchstrichterliche Entscheidung auf nationaler oder europäischer Ebene hierzu existiert bislang nicht.
Unabhängig von diesem Teilaspekt ist jedenfalls hinsichtlich der Verarbeitung der Daten von nicht bei Facebook registrierter Besucher der Fanpage darauf hinzuwiesen, dass Betreiber der Fanpages insoweit nach der Rechtsprechung des EuGH sogar eine erhöhte Verantwortlichkeit trifft.
Pflichten der gemeinsam Verantwortlichen
Aufgrund der gemeinsamen Verantwortlichkeit müsste insbesondere auch eine Rechtsgrundlage für die Datenverarbeitung durch den Betreiber von Facebook-Fanpages vorliegen.
Daneben sind auch die Betreiber der Fanpage verpflichtet, die Grundsätze von Art. 5 Abs. 1 DSGVO einzuhalten und dessen Einhaltung nachweisen zu können. Hierzu zählt, personenbezogene Daten auf rechtmäßige, für die betroffene Person nachvollziehbare Weise zu verarbeiten. Zudem dürfen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Schließlich sind gemeinsam Verantwortliche verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Eine solche Vereinbarung muss insbesondere die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen wahrheitsgemäß wiedergeben. Es müssen daher klare Informationen mit Erläuterungen zu den verschiedenen Phasen und Akteuren der Verarbeitung gegeben werden.
Bestehende Pflichten nicht erfüllt und nicht erfüllbar
Hinsichtlich sämtlicher oben skizzierter Anforderungen kommt das Kurzgutachten zu einem vernichtenden Ergebnis:
Keine wirksame Einwilligung
Die von Facebook eingeholte Einwilligung ist sowohl im Sinne von Art. 6 Abs. 1 lit. a DSGVO als auch im Sinne von § 25 Abs. 1 TTDSG unwirksam. So bleibt bereits unklar, ob vom Nutzer eine Einwilligung nach einer der beiden Rechtsgrundlagen oder aber für beide erbeten wird. Zudem werden nicht alle für eine wirksame Einwilligung erforderlichen Informationen erteilt. Es fehlt ein ausdrücklicher Hinweis auf das Recht, die Einwilligung jederzeit widerrufen zu können. Es wird nicht darauf hingewiesen, dass individuelle Nutzerprofile erstellt oder angereichert werden und dass eine Datenverarbeitung außerhalb des Europäischen Wirtschaftsraums erfolgt. Die Ausgestaltung des Einwilligungs-Banners ist aufgrund unterschiedlicher farblicher Gestaltung zudem geeignet, dass Verhalten des Besuchers bewusst zu beeinflussen.
Keine andere Rechtsgrundlage
Einer Datenverarbeitung auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO steht entgegen, dass sowohl öffentliche als auch nicht-öffentliche Betreiber der Facebook-Fanpage aufgrund der ihnen von Facebook zur Verfügung gestellten oder öffentlich zugänglichen Informationen nach wie vor nicht in der Lage sind, die Rechtskonformität der Verarbeitung vor ihrer Aufnahme überhaupt zu prüfen.
Zusammenfassung
Das Kurzgutachten führt zusammenfassend treffend aus:
„Schon alleine mangels hinreichender Informationen über die Verarbeitungen, die im Zusammenhang mit Insights durchgeführt werden, scheidet ein rechtskonformer Betrieb einer Fanpage durch Betreiber:innen aus. Aus diesem Grund scheidet auch die Einholung einer wirksamen Einwilligung nach Art. 6 Abs.1 Buchst. a DS‐GVO aus, da die notwendigen Informationen, die im Rahmen der informierten Einwilligung an die betroffenen Personen übermittelt werden müssen, mangels eigener Kenntnis nicht gegeben werden können.“
Eine wirksame Rechtsgrundlage
- für die bei dem Besuch einer Facebook-Fanpage ausgelöste Speicherung von Informationen im Endgerät des Nutzers,
- den Zugriff auf solche Informationen und
- die Verarbeitung personenbezogener Daten, die von den Seitenbetreibern verantwortet werden,
liegt nach dem Ergebnis des Kurzgutachtens nicht vor. Zudem können die gesetzlichen Informationspflichten nicht erfüllt werden. Die Datenverarbeitung ist nicht zulässig, das Betreiben von Facebook-Fanpages verstößt daher gegen Datenschutzrecht.
Nicht Gegenstand des Kurzgutachtens waren mit der Übermittlung von Daten in ein Drittland auf der Basis von Standardvertragsklauseln nach Wegfall des so genannten Privacy-Shield verbundene Fragen.
Die DSK hat angekündigt, Absprachen zum weiteren Vorgehen zu treffen. Es ist davon auszugehen, dass Betreiber von Facebook-Fanpages künftig mit Maßnahmen der Datenschutzaufsichtsbehörden zu rechnen haben.
Kurzgutachten:
Beschluss der DSK:
