Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook für die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserklärung für Facebook-Seiten betitelten, Urteil (Az:  C‑210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. “joint-controller-Vertrag” vorliegen muss, der klärt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) übernimmt.

Dies ist ein Gastbeitrag unseres Praktikanten Anselm Wesner, der im dritten Semester Jura in München studiert. 

Sehr überraschend hat Facebook jetzt zum 11.09.2018 seine AGB so geändert, dass ein solcher „joint-controller-Vertrag“ Teil der AGB geworden ist (Pressemitteilung: https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea).

In dieser Änderung regelt Facebook vor allem die Speicherung und Verwendung von Insights (zusammengefasste Daten, die Aufschluss darüber geben, wie Nutzer mit der Facebook-Seite interagieren).

Die Frage ist jetzt, ob, durch diese Anpassung der AGB, das Betreiben von Facebook-Seiten wieder vollkommen legal ist, ob immer noch Forderungen der Datenschutzbehörde offen stehen und ob Fragen bzw. ein Risiko verbleiben.

Erst einmal ist festzustellen, dass Facebook durch die AGB-Änderung den Großteil der Verantwortung für die Datenverarbeitung übernimmt.

Weiterhin erklärt Facebook, die Erfüllung der datenschutzrechtlichen Pflichten aus der DSGVO zu übernehmen. Diese Pflichten umfassen sowohl die Informationspflichten (Art. 12-13 DSGVO), als auch die Betroffenenrechte (Art. 15-22 DSGVO), sowie die Datensicherung und die Meldung von Datenschutzverletzungem (Art. 32-34 DSGVO).

Dem Seitenbetreiber werden dennoch eigene Pflichten auferlegt. Diese Pflichten umfassen insbesondere die Pflicht eine eigene Rechtsgrundlage für die Nutzung von Insights festzulegen.

Auch muss der Seitenbetreiber Anfragen von Nutzern oder von Datenschutzbehörden direkt an Facebook weiterleiten. In diesem Zusammenhang macht Facebook auch deutlich, dass den Betreibern von Facebook-Seiten immer noch kein Offenlegungsrecht zustehe, die Betreibern also nicht die personenbezogenen Daten der Besucher er Facebook-Seite einsehen können.

Somit dürfte die Forderungen der Datenschutzkonferenz, zumindest im Hinblick auf die Regelung der Verantwortung mit Betreibern von Facebook-Seiten, durch den Abschluss des „joint-controller-Vertrag“ gem. 26 DSGVO erfüllt sein.

Komplett risikofrei bleibt der Betrieb von Facebook-Seiten allerdings nicht, da die oben genannte Vereinbarung nur eine administrative Datenschutzvorgabe erfüllt. Daneben muss aber auch die Datenverarbeitung von Besuchern der Facebook-Seiten an sich zulässig sein. Diese Zulässigkeit wird von Datenschützern immer wieder moniert und ist aktuell Gegenstand eines laufenden Gerichtsverfahrens vor dem Bundesverwaltungsgericht.

Unserer Auffassung nach ist es trotz dieses Restrisikos aktuell noch nicht erforderlich, seine Facebook-Seite offline zu nehmen oder gar zu löschen. Insbesondere dürfte die Forderung der DSK durch den „joint-Controller-Vertrag“ in Bezug auf die Regelung der Verantwortung mit Betreibern von Facebook-Seiten erfüllt sein.

Die Rechtmäßigkeit der Datenerhebung, Verarbeitung und Speicherung ist wiederum ein ganz andere Frage. In diesem Punkt müssen die kommenden Gerichtsentscheidungen des Bundesverwaltungsgerichts abgewartet werden.

Bis dahin sollten allerdings die Betreiber von Facebook-Seiten Einiges beachten, um den Anforderungen der DSK so gut es geht zu entsprechen. Selbstverständlich sollte man den Anpassungen der Facebook-Datenschutzregeln zustimmen, um den „joint-controller-Vertrag“ gem. 26 DSGVO abzuschließen.

Weiter sollte zur Sicherheit auf der Facebook-Seite ein Verweis auf die eigene externe Datenschutzerklärung aufgenommen werden. In diese Datenschutzerklärung sollte zudem ein Passus aufgenommen werden, der die Verwendung von Facebook-Seiten aufzeigt und eine Rechtsgrundlage für die Verarbeitung der Benutzerdaten im Rahmen des Betriebs der Facebook-Seite aufgezeigt werden.

Schließlich sollte aus der Datenschutzerklärung entnehmbar sein, für welchen Teil der Datenverarbeitung und Speicherung Facebook zuständig ist und wie die Benutzer ihre Rechte gegenüber Facebook wahrnehmen können.

Die Rechtsprechung sowie die DSK beziehen sich bis jetzt nur auf Facebook, allerdings kann der Sachverhalt auf jeden Onlinedienstleister übertragen werden, der nutzergenerierte Inhalte verwendet, um Daten zu sammeln und zu verarbeiten. YouTube, Twitter oder Google Analytics sind also genauso von diesem Sachverhalt betroffen, wie Facebook selbst.

Interessant wird sein, wie sich der Sachverhalt in Zukunft weiterentwickelt. Werden sich die großen Plattformbetreiber hinter ihre Nutzer bzw. Fanpage-Betreiber stellen? Werden sich die Datenschutzbehörden primär an die Plattformbetreiber halten oder auch isoliert gegen Fanpage-Betreiber vorgehen?

Facebook hat zumindest entschieden, sich hinter seine Nutzer zu stellen und eine beiderseits vertretbare Lösung zu finden.