Die Datenschutzkonferenz (DSK), das Gremium der unabh\u00e4ngigen deutschen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder, hat am 18. M\u00e4rz 2022 ein Kurzgutachten zur datenschutzrechtlichen Konformit\u00e4t des Betriebs von Facebook-Fanpages ver\u00f6ffentlicht. Mit Beschluss vom 23. M\u00e4rz 2022 hat die Datenschutzkonferenz das Kurzgutachten sodann zur Kenntnis genommen und dessen Bewertung zugestimmt. Es sollen nunmehr Absprachen zum weiteren Vorgehen getroffen werden.<\/p>\n
Bereits mit Urteil vom 05. Juni 2018 hat der EuGH entschieden, dass Betreiber von so genannten Facebook-Fanpages einerseits und Facebook andererseits datenschutzrechtlich gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind.<\/p>\n
Allerdings vertrat das OVG Schleswig in einer sp\u00e4teren Entscheidung vom 25.11.2021 die Auffassung, dass hinsichtlich der Speicherung der Verkn\u00fcpfung solcher Daten mit dem Fanpageaufruf zur Erstellung von Profilen und zu Werbezwecken keine gemeinsame Verantwortlichkeit vorliege. Es fehle an einer gemeinsamen Entscheidung \u00fcber den Zweck der Datenverarbeitung, diese erfolge nicht im Interesse des Betreibers der Fanpage und biete dieser keinerlei Vorteile. Dieser Auffassung wird im Kurzgutachten mit beachtlichen Argumenten entgegengetreten, eine h\u00f6chstrichterliche Entscheidung auf nationaler oder europ\u00e4ischer Ebene hierzu existiert bislang nicht.<\/p>\n
Unabh\u00e4ngig von diesem Teilaspekt ist jedenfalls hinsichtlich der Verarbeitung der Daten von nicht bei Facebook registrierter Besucher der Fanpage darauf hinzuwiesen, dass Betreiber der Fanpages insoweit nach der Rechtsprechung des EuGH sogar eine erh\u00f6hte Verantwortlichkeit trifft.<\/p>\n
Aufgrund der gemeinsamen Verantwortlichkeit m\u00fcsste insbesondere auch eine Rechtsgrundlage f\u00fcr die Datenverarbeitung durch den Betreiber von Facebook-Fanpages vorliegen.<\/p>\n
Daneben sind auch die Betreiber der Fanpage verpflichtet, die Grunds\u00e4tze von Art. 5 Abs. 1 DSGVO einzuhalten und dessen Einhaltung nachweisen zu k\u00f6nnen. Hierzu z\u00e4hlt, personenbezogene Daten auf rechtm\u00e4\u00dfige, f\u00fcr die betroffene Person nachvollziehbare Weise zu verarbeiten. Zudem d\u00fcrfen Daten nur f\u00fcr festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.<\/p>\n
Schlie\u00dflich sind gemeinsam Verantwortliche verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung der DSGVO erf\u00fcllt. Eine solche Vereinbarung muss insbesondere die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegen\u00fcber betroffenen Personen wahrheitsgem\u00e4\u00df wiedergeben. Es m\u00fcssen daher klare Informationen mit Erl\u00e4uterungen zu den verschiedenen Phasen und Akteuren der Verarbeitung gegeben werden.<\/p>\n
Hinsichtlich s\u00e4mtlicher oben skizzierter Anforderungen kommt das Kurzgutachten zu einem vernichtenden Ergebnis:<\/p>\n
Die von Facebook eingeholte Einwilligung ist sowohl im Sinne von Art. 6 Abs. 1 lit. a DSGVO als auch im Sinne von \u00a7 25 Abs. 1 TTDSG unwirksam. So bleibt bereits unklar, ob vom Nutzer eine Einwilligung nach einer der beiden Rechtsgrundlagen oder aber f\u00fcr beide erbeten wird. Zudem werden nicht alle f\u00fcr eine wirksame Einwilligung erforderlichen Informationen erteilt. Es fehlt ein ausdr\u00fccklicher Hinweis auf das Recht, die Einwilligung jederzeit widerrufen zu k\u00f6nnen. Es wird nicht darauf hingewiesen, dass individuelle Nutzerprofile erstellt oder angereichert werden und dass eine Datenverarbeitung au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums erfolgt. Die Ausgestaltung des Einwilligungs-Banners ist aufgrund unterschiedlicher farblicher Gestaltung zudem geeignet, dass Verhalten des Besuchers bewusst zu beeinflussen.<\/p>\n
Einer Datenverarbeitung auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO steht entgegen, dass sowohl \u00f6ffentliche als auch nicht-\u00f6ffentliche Betreiber der Facebook-Fanpage aufgrund der ihnen von Facebook zur Verf\u00fcgung gestellten oder \u00f6ffentlich zug\u00e4nglichen Informationen nach wie vor nicht in der Lage sind, die Rechtskonformit\u00e4t der Verarbeitung vor ihrer Aufnahme \u00fcberhaupt zu pr\u00fcfen.<\/p>\n
Das Kurzgutachten f\u00fchrt zusammenfassend treffend aus:
\n\u201eSchon alleine mangels hinreichender Informationen \u00fcber die Verarbeitungen, die im Zusammenhang mit Insights durchgef\u00fchrt werden, scheidet ein rechtskonformer Betrieb einer Fanpage durch Betreiber:innen aus. Aus diesem Grund scheidet auch die Einholung einer wirksamen Einwilligung nach Art. 6 Abs.1 Buchst. a DS\u2010GVO aus, da die notwendigen Informationen, die im Rahmen der informierten Einwilligung an die betroffenen Personen \u00fcbermittelt werden m\u00fcssen, mangels eigener Kenntnis nicht gegeben werden k\u00f6nnen.\u201c<\/i><\/p>\n
Eine wirksame Rechtsgrundlage<\/p>\n
liegt nach dem Ergebnis des Kurzgutachtens nicht vor. Zudem k\u00f6nnen die gesetzlichen Informationspflichten nicht erf\u00fcllt werden. Die Datenverarbeitung ist nicht zul\u00e4ssig, das Betreiben von Facebook-Fanpages verst\u00f6\u00dft daher gegen Datenschutzrecht.<\/p>\n
Nicht Gegenstand des Kurzgutachtens waren mit der \u00dcbermittlung von Daten in ein Drittland auf der Basis von Standardvertragsklauseln nach Wegfall des so genannten Privacy-Shield verbundene Fragen.<\/p>\n
Die DSK hat angek\u00fcndigt, Absprachen zum weiteren Vorgehen zu treffen. Es ist davon auszugehen, dass Betreiber von Facebook-Fanpages k\u00fcnftig mit Ma\u00dfnahmen der Datenschutzaufsichtsbeh\u00f6rden zu rechnen haben.<\/p>\n
Kurzgutachten:<\/strong><\/p>\n