Mitverantwortlichkeit von Facebook-Fanpage-Betreibern: Wie ist der Stand der Dinge?

EuGH fällte wegweisendes Urteil
Im „Fanpage-Urteil“ entschied der Europäische Gerichtshof (EuGH), dass Facebook-Seiten-Betreiber für die Datenverarbeitung der Seitenbesucher neben Facebook mitverantwortlich sind. Ein Betreiber erhalte von Facebook bestimmte personenbezogene Daten zu Lebensstil und Interessen der Nutzer, „die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten“ (Pressemitteilung des EuGH). Diese Entscheidungsmöglichkeit der Betreiber über die Daten der Nutzer mache sie laut EuGH zu Verantwortlichen im Sinne des Datenschutzrechts.
Gemeinsam Verantwortliche (im Sinne des Art. 26 DSGVO) müssen die Pflichten, die ihnen die Datenschutzgrundverordnung auferlegt, erfüllen, insbesondere die Informations- und Auskunftspflichten. Das Urteil erfolgte im Rahmen eines sogenannten Vorabentscheidungsverfahrens auf Anfrage des Bundesverwaltungsgerichts (BVerwG). Das bedeutet, die Entscheidung des EuGH muss erst noch durch das BVerwG umgesetzt werden. Dennoch gaben die deutschen Aufsichtsbehörden bereits wenige Tage später eine auf das Urteil bezogene Stellungnahme ab.
Stellungnahme der deutschen Datenschutzbehörden
In besagter Stellungnahme wird unter anderem von Betreibern gefordert:
- Die Integration einer eigene Datenschutzerklärung für die Facebook-Seite, die über die dortige Datenverarbeitung aufklärt
- Den Abschluss eines Joint-Controllership-Agreements (also einer Vereinbarung über eine gemeinsame Verantwortung) im Sinne von Art. 26 DSGVO mit Facebook
Bei einem Joint-Controllership-Agreement handelt es sich um eine Vereinbarung, die die gemeinsam Verantwortlichen treffen. Darin wird in transparenter Form festgelegt, wer von den beiden Parteien welche in der DSGVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO.
Bezüglich dieses Joint-Controllership-Agreements liegt der „Ball“ ganz klar bei Facebook. Das soziale Netzwerk ist der einzige Verantwortliche, der tatsächlich Informationen über die Datenverarbeitung bereitstellen kann.
Was macht Facebook?
Facebook hat vor kurzem angekündigt, Änderungen an den Datenschutzrichtlinien des Unternehmens umzusetzen, um „die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern“. Durch die Änderungen sollen die Verantwortlichkeiten sowohl von Facebook als auch von den Seitenbetreibern klargestellt werden. Es wird erwartet, dass Facebook dabei das bereits erwähnte Joint-Controllership-Agreement anbietet, in dem explizit die Verantwortlichkeiten der Seitenbetreiber und des sozialen Netzwerks geregelt sind.
Denkbar wäre auch, dass Facebook als (für alle einfachste) Alternative die Parametrierung der Seiten so gestaltet, dass der Facebook-Seitenbetreiber sie abschalten kann, sodass eine Mitverantwortlichkeit entfällt. Bis zum heutigen Tage ist diesbezüglich allerdings noch nichts passiert.
Was können Seitenbetreiber proaktiv unternehmen?
Unabhängig von der Reaktion von Facebook ergibt es Sinn, innerhalb der Fanpage zunächst auf die eigene Datenschutzerklärung des Unternehmens zu verlinken. In dieser selbst sollte ein vorläufiger Passus bezüglich der Verwendung von Facebook-Seiten ergänzt werden, um so weit wie möglich auf die kritisierten Punkte des EuGH einzugehen. Es sollte so transparent wie möglich über die eigene Beteiligung an den Datenverarbeitungsvorgängen auf Facebook-Seiten informiert werden. Klar ist aber auch, dass ein solcher Passus ein etwaiges Haftungsrisiko zum gegenwärtigen Risiko allenfalls mindern, aber aufgrund fehlender Informationen und passender Vereinbarung von Facebook nicht beheben kann.
Im Übrigen sollte die weitere Entwicklung abgewartet werden, insbesondere die Reaktion und Schritte von Facebook. Man darf nicht vergessen, dass die Facebook-Fanpages einen immensen Teil des Geschäftsmodells ausmachen, weshalb Facebook dieses Urteil wohl ernst nehmen und Lösungsmöglichkeiten prüfen wird.
Welches Risiko besteht bei Weiterbetrieb der Facebook-Seite?
Grund für das mittlerweile häufige Deaktivieren der Seiten ist die Angst vor Abmahnungen durch Verbände und Wettbewerber, sowie Bußgelder durch die Aufsichtsbehörden. Ganz auszuschließen sind Abmahnungen natürlich nicht. Ein gewisses Risiko ist nicht von der Hand zu weisen. Allerdings sind Abmahnwellen und Bußgelder zum jetzigen Zeitpunkt eher unwahrscheinlich. Zum einen, weil noch keine Entscheidung des Bundesverwaltungsgerichts gefallen ist, und Aufsichtsbehörden zudem ohnehin überlastet sind. Von dieser Seite wird wohl kaum eine Reaktion ohne die Interpretation des Gerichts zu erwarten sein.
Fazit
Wie bei gefühlt allen Themen rund um das neue Datenschutzrecht besteht auch hier wieder mehr Ungewissheit als Klarheit. Es heißt mal wieder abwarten. Allerdings ist zu erwarten (zumindest zu hoffen), dass sich der Internet-Gigant „in Kürze“ bewegt und vorzugsweise mit einer Lösung daherkommt, die der ganzen Diskussion den Wind aus den Segeln nimmt. Die Möglichkeiten sind da.