Facebook-Fanpages und die DSGVO: Was sollten Betreiber wissen?

Im Juni 2018 entschied der Europäische Gerichtshof (EuGH): „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“

Das Urteil schlug hohe Wellen. Parallel waren Datenschutzversäumnisse von Facebook öffentlich geworden, sodass rund um den Globus sich unsicher fühlende Unternehmen ihre Fanseiten löschten. Auch das DSB-Portal deaktivierte seine Fanpage, weil sich nach unserer Meinung ein Datenschutzportal nicht mit den nachlässigen Praktiken von Facebook vereinbaren lässt. Hat Facebook wie angekündigt reagiert? Wie ist der Stand der Dinge beim Thema Fanpage?

Facebook reagiert mit Addendum

Nach Art. 26 DSGVO besteht nach dem EuGH-Urteil keine datenschutzrechtliche Grundlage mehr für eine gesetzeskonforme Fanseite in den sozialen Netzwerken. Ein Vierteljahr später erklärte die Konferenz unabhängiger Datenschutzaufsichtsbehörden des Bunds und der Länder (DSK) Fanpages auf Facebook für illegal. Der Social-Media-Gigant verhinderte das große Fanpage-Sterben, indem er schnell seine AGB änderte. Das neue „Page Controller Addendum“ sieht vor, dass sich Seitenbetreiber und Facebook die Verantwortung der Fanseite teilen. Alle relevanten Pflichten für den eingeforderten Datenschutz liegen bei Facebook.

Datenschützerkonferenz sieht DSGVO weiterhin verletzt

Nun nahm die DSK erneut Stellung. Sie wirft Facebook vor, nur halbe Sachen zu machen: „Diese von Facebook veröffentlichte Seiten-Insights-Ergänzung bezüglich des Verantwortlichen erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will.“

Verarbeitungstätigkeiten seien nicht hinreichend transparent dargestellt und reichten nicht aus, „die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen“. Während die DSK mit Facebook hart ins Gericht ging, unterstrichen die Experten wieder einmal die Rechenschaftspflicht jedes Betreibers einer Fanpage – unbeschadet der von Facebook erklärten Verantwortlichkeit. Von Facebook werden dringende Nachbesserungen erwartet.

Inquisitorischer Behörden-Fragebogen

Auch die Grünen und die Verbraucherzentrale sehen das Betreiben einer Facebook-Fanpage unter den gegenwärtigen Umständen kritisch. Moniert wird vor allem, dass Betreiber zu geringen Einfluss auf den Umgang mit den bei Facebook hinterlegten Nutzerdaten hätten. Hier darf allein Facebook entscheiden. Ferner fordert die DSGVO eine Einwilligung des Users für das Tracking, das auf einer Fanseite allerdings nicht manuell ein- oder ausgeschaltet werden kann.

Facebook fing sich neben vielen schwergewichtigen Klagen bald auch eine der Verbraucherzentrale Sachsen ein. Und der Berliner Datenschutzbeauftragte, ebenfalls unzufrieden mit der von Facebook im letzten Jahr angebotenen Lösung, hatte im Spätherbst sogar Anhörungsschreiben mit 15 Fragen an die Landesverwaltung von Berlin sowie einige Unternehmen und Institutionen versendet. Die angeschriebenen Datenschutzverantwortlichen sahen sich inquisitorisch geprüft, wenn etwa die Behörde wissen wollte: „Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt? Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DSGVO?“

Sinnvolle Maßnahmen für Fanpage-Betreiber

Die DSK stellt nach ihrer aktuellen Einlassung klar: „Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“ Man muss abwarten, wie sich Facebook mit diesen jüngsten Forderungen auseinandersetzt und Abhilfe schafft. Damit die Betreiber einer Fanpage Facebook zwischenzeitlich möglichst risikoarm weiter nutzen können, sollten zumindest folgende Vorkehrungen getroffen werden: Es empfiehlt sich, einen Mitarbeiter als Projektverantwortlichen der Fanpage festzulegen.

Auf der Unternehmenswebseite kann ein Opt-in-Banner platziert werden. Dieser ermöglicht anderen Unternehmen, in das Tracking auf der Facebook-Fanseite ausdrücklich einzuwilligen. Das „Page Controller Addendum“ von Facebook sollte in den Datenschutzhinweisen des Unternehmens einbezogen werden. Wenn die eigene Firma von Datenschützern oder Betroffenen um eine Stellungnahme zum Datenschutz gebeten wird, kann das Facebook-Formular „Anfragen zur Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ genutzt werden. Im Infobereich der Fanpage darf ein Link zu den ergänzten Datenschutzhinweisen nicht fehlen.