Facebook reagiert auf EuGH-Urteil - Was können Fanpage-Betreiber jetzt tun?

Nach dem EuGH-Urteil hat Facebook seine Nutzungsbedingungen aktualisiert und stellt eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zur Verfügung. Diese bezieht sich auf die Verarbeitung sog. Insights-Daten im Zusammenhang mit Fanpages. Was ist nun für Fanpage-Betreiber zu tun?

Der EuGH hat sich kürzlich in einem Urteil mit der Verantwortlichkeit für die Datenverarbeitung im Zusammenhang mit Facebook Fanpages beschäftigt, siehe dazu auch hier unseren Beitrag. Betreiber von Fanpages sind demnach datenschutzrechtlich (mit-)verantwortlich sind für die Verarbeitung personenbezogener Daten, die beim Besuch ihrer Fanpage erfolgt, unklar ist jedoch, welche konkreten Auswirkungen dies nun hat.

Was der EuGH entschieden hat

Die Datenverarbeitung erfolge im Wesentlichen zwar in der Weise, dass Facebook auf dem Endgerät eines Fanpage-Besuchers Cookies platziert, um sein Werbesystem zu verbessern. Zum anderen solle diese Datenverarbeitung es aber auch dem Betreiber der Fanpage ermöglichen, von Facebook erstellte Statistiken zu nutzen, um die Vermarktung seiner Tätigkeit zu steuern und den Besuchern bspw. relevantere Inhalte bereitstellen zu können, die für sie von größerem Interesse sein könnten.

Der Fanpage-Betreiber gebe Facebook mit der Einrichtung einer solchen Seite die Möglichkeit, Cookies auf den Endgeräten der Fanpage-Besucher zu platzieren. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern könne der Betreiber auch die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen. Folglich trage der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei und sei durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt.

Unter diesen Umständen trage die Anerkennung einer gemeinsamen Verantwortlichkeit dazu bei, einen umfassenderen Schutz der Rechte von Fanpage-Besuchern sicherzustellen.

Die Reaktionen nach dem Urteil

Facebook stellte am 15. Juni 2018 zunächst lediglich in Aussicht, dass man „die notwendigen Schritte unternehmen“ werde, um den Fanpage-Betreibern die Erfüllung ihrer rechtlichen Verpflichtungen zu ermöglichen. Eine gleichrangige Verantwortung der Seitenbetreiber halte man nicht für sinnvoll; „in Kürze“ würden weitere Informationen zu Aktualisierungen der Nutzungsbedingungen und der Richtlinien für Seiten erfolgen.

Am 5. September 2018 reagierte dann die Datenschutzkonferenz („DSK“, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder). In einem Beschluss der DSK zu Facebook Fanpages nahm sie Bezug darauf, dass seit dem Urteil des EuGH drei Monate vergangen sind, seitens Facebook aber keine wesentlichen Änderungen vorgenommen wurden. Die DSK äußerte folgenden Standpunkt:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemein-sam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erfor-derlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Die angesprochene Vereinbarung nach Art. 26 DSGVO ist zwischen gemeinsam Verantwortlichen – und dies sind nach dem EuGH ja Facebook und Fanpage-Betreiber – abzuschließen und hat in transparenter Form festzulegen, wer von ihnen welche Verpflichtung nach der DSGVO erfüllt.

„Page Insights Controller Addendum“

Deutliche Worte der DSK – und Facebook reagierte prompt. Nur wenige Tage später wurde eine Pressemitteilung seitens Facebook  vom 11. September 2018 veröffentlicht, die als Reaktion auf die Entscheidung des EuGH die Einführung konkreter Änderungen ankündigt. Unter anderem sollen Fanpage-Betreiber in der EU und im EWR in der kommenden Woche über ein Update der „Richtlinien für Seiten, Gruppen und Veranstaltungen“ informiert werden. Dies soll der Integration eines sog. „Page Insights Controller Addendum“ dienen.

Tatsächlich ist diese „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ seit dem 12. September 2018 abrufbar. Diese nimmt Bezug auf eine gemeinsame Verantwortlichkeit der Facebook Ireland Limited sowie der Fanpage-Betreiber und legt die jeweiligen Verantwortlichkeiten im Hinblick auf die Verarbeitung von Insights-Daten fest.

Facebook stellt hiermit also eine Vereinbarung nach Art. 26 DSGVO zur Verfügung – allerdings letztlich in Form ergänzter Nutzungsbedingungen. Vermutlich werden diese infolge einer Information an bestehende Nutzer Vertragsbestandteil und sind für neue Nutzer dann von vornherein Bestandteil der Nutzungsbedingungen.

Facebook übernimmt "primäre Verantwortung"

Facebook Ireland, so die Vereinbarung,

stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen.

Darüber hinaus wird festgelegt, dass Facebook Ireland das Wesentliche dieser Vereinbarung den betroffenen Personen zur Verfügung stellt – damit ist eine entsprechende Informationspflicht aus Art. 26 Abs. 2 S. 2 DSGVO adressiert.

Einige Pflichten werden jedoch auch den Fanpage-Betreibern auferlegt. Wenn der Fanpage-Betreiber bspw. eine Anfrage einer betroffenen Person oder einer Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten erhält, soll eine Pflicht zur Weiterleitung sämtlicher relevanten Informationen bestehen. Diese soll spätestens innerhalb von 7 Kalendertagen und mittels eines bereitgestellten Formulars erfolgen.

Außerdem wird festgelegt, der Fanpage-Betreiber solle sicherstellen, dass er eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß der DSGVO hat, den Verantwortlichen für die Datenverarbeitung der Seite benennt und „jedewede sonstigen geltenden rechtlichen Pflichten“ erfüllt.

Müssen Fanpage-Betreiber also selbst nichts mehr tun? Nach aktuellem Stand wird man wohl sagen müssen: Leider nein.

Rechtsgrundlage bleibt offen

Denn: Eine ganz zentrale Frage wird allein durch die von Facebook bereitgestellte Vereinbarung leider nicht beantwortet. Eine Vereinbarung über die gemeinsame Verantwortlichkeit besagt noch nichts darüber, ob die betreffende Datenverarbeitung überhaupt zulässig ist. Denn im Datenschutzrecht ist die Verarbeitung  grundsätzlich verboten und nur dann rechtmäßig, wenn einer der gesetzlich festgelegten Erlaubnistatbestände erfüllt ist (vgl. Art. 6 Abs. 1 DSGVO).

Nach der von Facebook bereitgestellten Vereinbarung soll aber der Fanpage-Betreiber sicherstellen, dass die Verarbeitung von Insights-Daten auf eine entsprechende Rechtsgrundlage gestützt werden kann.

Hier kommen allein zwei Rechtsgrundlagen überhaupt in Betracht, nämlich entweder eine Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a) i.V.m Art. 7 DSGVO) oder aber überwiegende berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Datenschützer fordern Einwilligung

In dem Positionspapier der DSK vom 26. April 2018 vertreten die Aufsichtsbehörden den Standpunkt , dass es stets einer vorherigen Einwilligung bedarf, wenn Tracking-Mechanismen eingesetzt oder Nutzerprofile erstellt und Cookies platziert werden. Folgt man dieser Auffassung, müsste auch die Datenverarbeitung über die Insights-Funktion bei Facebook Fanpages von einer vorherigen Einwilligung abhängig gemacht werden, und gemäß der von Facebook bereitgestellten Vereinbarung liegt die Sicherstellung dieser Rechtmäßigkeit der Verarbeitung im Verantwortungsbereich des Fanpage-Betreibers.

Eine technische Möglichkeit zur Einholung einer Einwilligung besteht für diesen nach unserem aktuellen Kenntnisstand aber nicht. Die bereitgestellte Vereinbarung legt vielmehr sogar fest: „Du stimmst zu, dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten treffen und umsetzen kann.“

Hier zeigt sich eine insgesamt verbleibende Crux: Fanpages sind nichts anderes als einzelne Facebook-Seiten, die bspw. ein Unternehmen einrichten kann, um an der weitreichenden Werbewirkung der Plattform Facebook partizipieren zu können. Vermutlich wissen viele Fanpage-Betreiber aber gar nicht, dass über die Insights-Funktion Daten der Seitenbesucher erhoben und statistisch ausgewertet werden, und derzeit gibt es auch keine Möglichkeit für die Seitenbetreiber, dies zu unterbinden.

In vielen Fällen erscheint es daher durchaus fraglich, inwieweit die Zwecke und Mittel dieser Datenverarbeitung tatsächlich vom Seitenbetreiber beeinflusst werden und von einer Verantwortlichkeit auch der Seitenbetreiber die Rede sein kann, welche in der jetzt vorliegenden Vereinbarung aber weiter festgeschrieben wird.

Zudem stellt sich die Frage, wie ein Seitenbetreiber das Vorliegen einer Rechtsgrundlage für eine Datenverarbeitung sicherstellen bzw. diese bestimmen soll, wenn er selbst in vielen Fällen gar keine Kenntnis bzw. kein Interesse an dieser Verarbeitung hat, hierüber rein tatsächlich also oftmals gerade nicht mitentscheidet.

Berechtigte Interessen?

Übrig bleibt allein, die Datenverarbeitung über Facebook-Fanpages auf überwiegende berechtigte Interessen zu stützen. Die DSK dürfte diese in Anbetracht des Positionspapiers vom 26. April 2018 als Rechtsgrundlage aber wohl ablehnen.

Zudem hat die betroffene Person bei Datenverarbeitungen, die auf berechtigte Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden, ein Widerspruchsrecht nach Art. 21 Abs. 1 S. 1 DSGVO. Auch insoweit ist derzeit jedenfalls bzgl. Seitenbesuchern ohne eigenen Facebook-Account nicht erkennbar, wie die Ausübung dieses Widerspruchsrechts ermöglicht werden soll.

Es bleibt daher abzuwarten, wie die Aufsichtsbehörden auf die von Facebook bereitgestellte Vereinbarung reagieren – die grundsätzliche Rechtmäßigkeit der Datenverarbeitung über Fanpages ist allein aufgrund dieser Vereinbarung nicht geklärt.

Update von Facebooks Datenschutzerklärung reicht nicht

Facebook legt in der Vereinbarung zwar u.a. fest, sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen, und nimmt dabei u. a. auf die Artikel 12 und 13 DSGVO Bezug. Somit ist zu erwarten, dass Facebook entsprechende Informationen zur Datenverarbeitung für die Fanpage-Besucher bereitstellen wird.

Diese Informationen bspw. hinsichtlich der Rechtsgrundlage wird aber nicht ausreichend sein, da Facebook insoweit gerade eine Verantwortung der Fanpage-Betreiber festlegt. Weiterhin ist jedenfalls in der derzeit aktuellen Version der „Richtlinien für Seiten, Gruppen und Veranstaltungen“ unter Ziffer 4. noch geregelt, dass der Seitenbetreiber Informationen für die Besucher bereitzustellen hat, soweit er Inhalte und Informationen direkt von Nutzern/Nutzerinnen erfasst (also bzgl. Datenverarbeitungen, die nicht mittels der Insights-Funktionalitäten vorgenommen werden).

Spiegelbildlich dazu bezieht sich die nun bereitgestellte Vereinbarung nach Art. 26 DSGVO ausdrücklich nur auf die Verarbeitung von Insights-Daten, nicht aber auf jegliche Datenverarbeitung, die beim Besuch einer Fanpage erfolgt.

Verlinkung unter "Info" - "Datenrichtlinie" empfohlen

Derzeit werden also allein die seitens Facebook bereitgestellten Informationen den gesetzlichen Anforderungen nicht vollständig genügen. Daher sollten Fanpage-Betreiber sicherheitshalber auch auf eine eigene Datenschutzerklärung hinweisen, die entsprechende Informationen über die Datenverarbeitung beim Besuch der Facebook Fanpage beinhaltet.

Aktuell bietet Facebook hierfür allein die Möglichkeit an, unter dem Menüpunkt „Info“ das Feld „Datenrichtlinie“ einzufügen. Dort kann ein Link zur eigenen Datenschutzerklärung des Fanpage-Betreibers eingefügt werden. Dieses zusätzliche Feld wird allerdings nur dann angezeigt, wenn der Betreiber es auch ausgewählt hat.

Zudem ist nicht abschließend geklärt, ob die Datenschutzhinweise auf diesem Weg in „leicht zugänglicher Form“ bereitgestellt werden, wie Art. 12 DSGVO dies fordert. Die Einbindung über zwei Links dürfte zwar genügen, allerdings bleibt fraglich, ob Hinweise zum Datenschutz unter dem Menüpunkt „Info“ erwartet werden und somit leicht zugänglich sind. Jedenfalls aber ist es derzeit empfehlenswert, diese von Facebook bereitgestellte Möglichkeit zu nutzen.

Weitere Verlinkungsmöglichkeiten

Im Übrigen empfiehlt Facebook in der Mitteilung  vom 11. September 2018 darauf hin, dass Angaben und Kontaktmöglichkeiten zum Verantwortlichen sowie einem etwaigen Datenschutzbeauftragten in dem Feld zur Selbstbeschreibung des Seitenbetreibers („the About section of your Page via „Edit Page Info““) ergänzt werden können.

Auch diese Möglichkeit kann natürlich genutzt werden, allerdings lassen sich hier aktuell keine klickbaren Links einfügen.

Möglich ist dies aber über das Feld „Website“ in dem bereits auf der Startseite einer Fanpage sichtbaren Info-Feld. Dort kann statt der Domain der eigenen Homepage ein Link zur dortigen Datenschutzerklärung platziert werden, der sodann ohne weitere Umwege und direkt klickbar angezeigt wird. Dabei sollte ein aus sich heraus verständlicher Link (sog. sprechender Link) verwendet werden, der das Wort „Datenschutz“ bzw. „Datenschutzerklärung“ enthält.

Spezieller Abschnitt in der eigenen Datenschutzerklärung

Schließlich muss die verlinkte Datenschutzerklärung natürlich auch über die Datenverarbeitung beim Besuch einer Onlinepräsenz auf Facebook informieren. Über den Trusted Shops Rechtstexter können Sie eine Datenschutzerklärung mit einem entsprechenden Passus erstellen, der auch auf die von Facebook bereitgestellte Vereinbarung zwischen gemeinsam Verantwortlichen verweist.

Der Link auf Facebooks Vereinbarung wird von uns gerade noch ergänzt und lautet dann so:

Die Datenverarbeitung erfolgt auf Grundlage einer Vereinbarung zwischen gemeinsam Verantwortlichen gemäß Art. 26 DSGVO, die Sie hier einsehen können: https://www.facebook.com/legal/terms/page_controller_addendum

Auswirkungen auf andere Plattformen

Zu erwarten ist auch eine Diskussion darüber, inwieweit eine vergleichbare gemeinsame Verantwortlichkeit auch hinsichtlich anderer Onlinepräsenzen bei Drittanbietern besteht. Ein entscheidendes Kriterium für den EuGH war, dass der Betreiber einer Facebook Fanpage die Möglichkeit hatte, durch bestimmte Parametrierungen Einfluss auf die konkrete Datenverarbeitung zu nehmen. Sofern diese Möglichkeit abgestellt wird – was nach unserem derzeitigen Kenntnisstand bei Facebook der Fall ist – oder soweit vergleichbare Einflussmöglichkeiten bei anderen Präsenzen nicht bestehen, könnte damit die Grundlage für eine gemeinsame Verantwortlichkeit fehlen.

Allerdings hat der EuGH seine Entscheidung nicht ausschließlich auf diese Möglichkeit der Parametrierung gestützt. Vielmehr hat das Gericht auch ausgeführt, „dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.“

Gerade bzgl. solcher Personen, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen,  erscheint für den EuGH „die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“

Der EuGH hat daher nicht allein daran angeknüpft, dass die konkrete Ausgestaltung der erstellten Statistiken durch die Einstellungen des Fanpage-Betreibers beeinflusst wurde. Angeführt wurde auch, dass die Erstellung dieser Statistiken auf der vorhergehenden Datenerhebung mittels Cookies beruht und dass diese überhaupt nur auf den Endgeräten der Seitenbesucher gesetzt werden konnten, weil die einzelne Fanpage – im eigenen Interesse des Betreibers – vorhanden war.

Insoweit ist es nicht ausgeschlossen, dass eine gemeinsame Verantwortlichkeit auch dann angenommen werden könnte, wenn eine anderweitige Präsenz bei einem Drittanbieter unterhalten wird und/oder keine entsprechenden Parametrierungsmöglichkeiten bestehen.

Fazit

Im Ergebnis ist zunächst festzuhalten, dass sich etwas getan hat. Facebook stellt eine vom EuGH (implizit) und von den deutschen Datenschutzaufsichtsbehörden ausdrücklich geforderte Vereinbarung nach Art. 26 DSGVO zur Verfügung. Ob die Vereinbarung in ihrer konkreten Ausgestaltung aber allen Anforderungen (bspw. der DSK) genügt, erscheint fraglich.

Nicht zuletzt aus diesem Grund können verbleibende Risiken beim Betreiben von Facebook Fanpages derzeit nicht ausgeschlossen werden. Offen bleibt vor allem die Frage, ob bzw. unter welchen Voraussetzungen die damit einhergehende Datenverarbeitung überhaupt zulässig ist. Die Möglichkeiten der Seitenbetreiber sind begrenzt und Abhilfe kann letztlich nur Facebook selbst schaffen. Sofern eine Fanpage weiter betrieben werden soll, empfiehlt sich die Nutzung der wenigen aktuell verfügbaren Möglichkeiten, die eigene Datenschutzerklärung einzubinden.

Letztlich dürften die nun angekündigten Änderungen keine allzu große Hilfe für die Seitenbetreiber darstellen. Facebook führt in seiner Mitteilung an, man wolle die Transparenz bzgl. der Datenverarbeitung mittels Page Insights erhöhen und sicher sein, „that Facebook Pages und Page Insights remain legal and incredibly useful tools for millions of businesses“.

Nützlich in diesem Sinne wäre es aber vor allem, wenn den unzähligen Seitenbetreibern auch die Möglichkeit gegeben würde, die Insights-Funktion zu deaktivieren und somit die Grundlage für eine gemeinsame Verantwortlichkeit bzgl. der darüber erfolgenden Datenverarbeitung zu beseitigen. Dass diese Möglichkeit weiterhin nicht angeboten wird, zeigt, auf welcher Seite tatsächlich das Interesse an dieser Datenverarbeitung und die Entscheidung hierüber liegen.

Auch wäre den Seitenbetreiber vor allem damit geholfen, wenn Ihnen eine einfache Möglichkeit gegeben würde, die – von Facebook ja selbst empfohlenen – eigenen Datenschutzhinweise transparent und leicht zugänglich auf einer Fanpage zu platzieren, statt es bei den beschriebenen, eher behelfsmäßigen Lösungen zu belassen.

14.09.18