Nachdem der Europäische Gerichtshof (EuGH) Anfang Juni 2018 entschieden hat, dass die Betreiber von Facebook-Seiten datenschutzrechtlich neben Facebook verantwortlich sind, passierte erst Mal nichts (EuGH, 05.06.2018 – C-210/16).
Anfang September 2018 beschloss dann die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK), dass der Betrieb von Facebook-Seiten rechtswidrig sei und legte einen Pflichtenkatalog in Form von Fragen vor. Dieser Beschluss wurde damit begründet, dass zwischen den Seitenbetreibern und Facebook eine notwendige Vereinbarung über die datenschutzrechtliche Verantwortung nicht vorläge (Art 26 DSGVO).
Diese Vereinbarung („Page Controller Addendum„) hat Facebook nun überraschend kurz nach dem Beschluss der DSK als Teil der AGB veröffentlich (Pressemitteilung).
In diesem Beitrag erläutere ich Ihnen welche Inhalte in dieser Vereinbarung geregelt sind, welchen Pflichten Sie nachkommen und wie Sie Ihre Datenschutzerklärung ergänzen müssen, ob die Forderungen der Datenschutzbehörden erfüllt werden und welche Fragen und Risiken noch offenbleiben.
Facebook übernimmt die Verantwortung
Wie von der Datenschutzkonferenz gefordert, legt Facebook in der Vereinbarung die Verantwortung für die Erfüllung der Aufgaben und der datenschutzrechtlichen Pflichten fest:
- Anerkennung der Verantwortung – Facebook erkennt die gemeinsame Verantwortung für die Insights-Daten mit den Betreibern der Seiten an und Facebook Irland übernimmt die primäre Verantwortung.
- Übernahme der Verantwortung bei Auskünften, Informations- und Meldepflichten sowie der Sicherheit – Facebook übernimmt die Verantwortung für die datenschutzrechtlichen Pflichten im Hinblick auf Informationspflichten (Art. 12 – 13 DSGVO), der Betroffenenrechte (Art. 15 – 22 DSGVO), der Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).
Ihre Pflichten als Seitenbetreiber
Den Betreibern von Facebook-Seiten werden jedoch ebenfalls Pflichten auferlegt (bzw. die gesetzlichen Pflichten werden wiederholt):
- Eigene Rechtsgrundlage – Seitenbetreiber müssen selbst eine Rechtsgrundlage für die Nutzung der Insights-Daten festlegen. Hier kommen insbesondere berechtigte betriebswirtschaftliche und kommunikative Interessen an dem Angebot eines Informations- und Kommunikationskanals (aka Facebook-Seite) gem. Art. 6 Abs. 1 lit. f DSGVO in Betracht. Wer allerdings den strengen Ansichten der Datenschutzbehörden folgt, der könnte eine Einwilligung verlangen (was dann eine Frage der technisch kaum möglichen Umsetzung wäre).
- Meldepflichten – im Fall von Anfragen von Nutzern oder von Datenschutzbehörden, sind Betreiber von Facebook-Seiten verpflichtet, diese an Facebook sofort weiterzuleiten. Dazu stellt Facebook ein Kontaktformular zur Verfügung.
- Kein Recht auf Offenlegung – Facebook macht deutlich, dass Betreibern für Facebook-Seiten kein Recht auf Einblick in die einzelnen personenbezogenen Daten der Besucher der Facebook-Seite zusteht. Das denke ich, ist ohnehin selbstverständlich.
- Für Unternehmer gilt irisches Recht – Facebook trifft aber eine Vereinbarung über die Geltung des irischen Rechts und des Gerichtsstands in Irland. Im Fall von privaten Betreibern von Facebook-Seiten, ist das Gericht an den Wohnsitz zuständig. Im Fall der Einschaltung von Aufsichtsbehörden, wird die irische Datenschutzbehörde als aufsichtsführend bestimmt (Entsprechend Art. 29 Gruppe, Working Paper 244, S.8-9).
- Updates – Facebook weist darauf hin, dass diese Vereinbarung geändert werden kann. Ich gehe davon aus, dass Facebook über Änderungen informieren wird, da eine heimliche AGB Änderung nicht zulässig wäre.
Eigene Informationspflichten
Laut der Vereinbarung übernimmt Facebook die Informationspflichten gegenüber den Nutzern und hat eigene Datenschutzhinweise für Facebook-Seiten bereitgestellt. Daher könnte man durchaus meinen, dass die Betreiber der Seiten auf die eigene Datenschutzerklärung nicht verweisen müssen.
Auf der anderen Seite sollen die Betreiber selbst die Rechtsgrundlage ihrer Verarbeitung der Insights-Daten bestimmen und müssen darüber informieren. Auch im Hinblick auf weitere, durch Betreiber der Seite selbst verarbeitete Daten (z.B. Inhalte der Nutzerkommentare oder Privatnachrichten) könnte man durchaus eine eigene Informationspflicht annehmen.
Aus diesen Gründen, empfehle ich zur Sicherheit einen Verweis auf die eigene Datenschutzerklärung aufzunehmen. Wie auch das Impressum, müsste der Hinweis auf die eigene Datenschutzerklärung dann meines Erachtens auf der Hauptseite der Facebook-Seite auftauchen. Es wäre zu wünschen, dass Facebook einen solchen Link aufnimmt.
Wenn Sie auf Nummer sicher gehen wollen, empfehle ich Ihnen zusätzlich den Link zu der Datenschutzerklärung mit Hilfe eines Work-Arounds auf der Hauptseite der Facebook-Seite zu platzieren:
- Statt der Websiteadresse, können Sie die Adresse Ihrer Datenschutzerklärung angeben (das hilft jedoch nur, wenn der Link „sprechend“ ist, also den Begriff „Datenschutz“ enthält). Der Vorteil der Methode ist, dass der Link auch in der mobilen Facebook-App sichtbar ist:
- Falls Sie die URL nicht ändern und das Risiko eines fehlenden mobilen Datenschutzhinweises eingehen möchten, können Sie den Link zur Datenschutzerklärung auch in Ihre „Story“ auf der Hauptseite (oben rechts) aufnehmen. Er wird jedoch als nicht-klickbar angezeigt (ob der Link klickbar sein muss, wurde bisher nicht entschieden.)
In Ihrer Datenschutzerklärung müssen Sie dann wiederum auf die folgenden Punkte hinweisen:
- Rechtsgrundlage Ihrer Verarbeitung der Daten im Rahmen des Betriebs Ihrer Facebook-Seite.
- Verantwortung von Facebook, die Datenschutzerklärung von Facebook und wie Betroffene ihre Rechte wahrnehmen können.
Gerne verweise ich Sie auf meinem Datenschutz-Generator, in dem Sie im Abschnitt „Social Media“ einen entsprechenden Passus für Ihre Datenschutzerklärung finden. In dem Passus habe ich die aktuelle Vereinbarung mit Facebook und auch andere sozialen Netzwerke berücksichtigt (Hinweis: Der Datenschutz-Generator und der Passus sind kostenlos für Privatpersonen und Kleinunternehmer).
Sind die Forderung der Datenschutzbehörden erfüllt?
Meines Erachtens sind die Forderungen der Datenschutzkonferenz zumindest im Hinblick auf die Regelung der Verantwortlichkeit erfüllt. Diese stützen sich im Wesentlichen darauf, dass zwischen Betreibern von Facebook-Seiten und Facebook geregelt wird, wer die Verantwortung und die datenschutzrechtlichen Pflichten übernimmt (Fragenkatalog im Beschluss der DSK vom 05.09.2018).
Allerdings bedeutet diese Verantwortung nicht automatisch, dass die Nutzung von Facebook vollständig sicher ist.
Verbleibende Risiken
Die hier besprochene Vereinbarung erfüllt administrative Datenschutzvorgaben.
Daneben muss die Verarbeitung der Daten der Besucher Ihrer Facebook-Seite aber auch an sich zulässig sein. Das wird Fall von Datenschützern häufig infrage gestellt und ist gegenwärtig auch der Gegenstand von laufenden Gerichtsverfahren.
D.h., wir müssen erst Mal abwarten wie diese Verfahren ausgehen. Dann bleibt zu hoffen, dass Facebook auch diese Urteile umsetzen wird, sofern sie negativ ausfallen sollten.
Facebook-Gruppen und andere Plattformen
Es wird diskutiert ob die Entscheidung des EuGH zur Mitverantwortung für Facebook-Seiten, auch andere Kanäle und Plattformen betrifft.
Nach der Ansicht von Facebook ist das nicht der Fall. Der Grund ist, dass der EuGH das Urteil darauf gestützt hat, dass der Betreiber der Facebook-Seite Einfluss auf die durch Facebook erhobenen Daten hat (das Gericht nennt es „Parametrierung“). Diese Funktion, dass man die Zielgruppe für die eigene Facebook-Page bestimmen konnte, ist jedoch nach meinen Informationen nicht mehr aktiv (insoweit könnte man sich auch fragen, ob die hier besprochene Vereinbarung überhaupt notwendig ist):
In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
(EuGH, 05.06.2018 – C-210/16 Rn. 36).
Falls man jedoch die Ansicht vertritt, dass alleine die wirtschaftlichen Vorteile aus den über die Facebook-Page erhobenen Daten für eine Mitverantwortung der Betreiber der Facebook-Seite ausreichend sind, dann müsste man auch im Hinblick auf Facebook-Gruppen und andere Social-Media-Profile entsprechende Vereinbarungen, wie die hier besprochene, abschließen. Außer von Facebook sind mir jedoch keine Anbieter bekannt, die derartige Vereinbarungen derzeit abschließen.
Aber auch wenn man die Vereinbarung außer Acht lässt, empfehle ich derzeit Datenschutzhinweise aufzunehmen:
Fazit und Praxisempfehlung
Die Nutzung von Facebook wird zwar nicht vollständig sicher (schon alleine wegen der unterschiedlichen Auslegung der Datenschutzgesetze durch Unternehmen und Behörden). Aber mit der neuen Vereinbarung des „Page Controller Addendums“, werden der Betrieb der Facebook-Seiten und auch generell die Nutzung von Facebook datenschutzrechtlich ein großes Stück sicherer.
Die Forderungen der Datenschutzkonferenz dürften meines Erachtens, zumindest im Hinblick auf die Regelung der Verantwortung mit Betreibern von Facebook-Seiten, erfüllt sein. Das insbesondere, weil man durchaus vertreten kann, dass das Urteil des EuGH aufgrund technischer Änderungen nicht mehr gilt.
Ob die Daten durch Facebook zulässigerweise verarbeitet werden, ist eine andere Frage. Hier müssen wir die kommenden Gerichtsentscheidungen abwarten.
Im Übrigen sollten Sie Ihre eigene Verantwortung für Meldungen an Facebook und Hinweise in Ihrer Datenschutzerklärung sowie auf Ihrer Facebook-Seite beachten.
Update:
RA Dr. Carlo Piltz ist mit der Vereinbarung ebenfalls durchaus zufrieden und geht näher auf die Frage ein, ob sie wirksam abgeschlossen wurde: Update zu Fanpages: Facebook stellt erforderliche Vereinbarung zur Verfügung.
Update 12.09.2018
Eine Zusamenfassung dieses Beitrags und erhalten Sie in der Aufzeichnung des Skype-Gesprächs mit Thomas Meyer von der Agentur Toman + Meyer.
Update 21.09.2018
Facebook hat die versprochene Datenschutzerklärung für Insights-Statistiken nachgereicht: „Informationen zu Daten für Seiten-Insights„. Der Beitragstext wurde entsprechend aktualisiert.
Ein schön ausführlicher Artikel. Allerdings bin ich jetzt etwas unsicher, wie ich verfahren soll, wenn ich keine eigene Webseite habe? Meine Facebook-Seite ist meine einzige Online-Präsenz. Wie kann ich eine Datenschutzerklärung dort integrieren, ohne auf meine (nicht existierende) Webseite zu verweisen?
Als Alternative kommt die „Story“ der Facebook-Seite in Frage. Dort gibt es an sich unbeschränkt Platz (s. oben rechts unter dem Cover-Bild: https://www.facebook.com/pg/raschwenke/).
Danke für die großartige, zeitnahe Unterstützung!
Frage: Wie verhält es sich mit den anderen Sozialen Netzwerken? Müssen die Fanpages dort nicht in gleicher Weise die Verantwortlichkeiten transparent machen?
Äußerst interessantes Thema. Sie sprechen neben Facebook auch weitere Kanäle und Plattformen an. Genannt wurde hier unter anderem Instagram. Wie sieht es bei Google Maps „Firmeneinträgen“ aus? Das ist im eigentlichen Sinn keine Seite. Allerdings werden z.B. Nutzerstatistiken gespeichert und Kommentare anderer User angezeigt.
sehr ausführlicher Artikel – vielen Dank!
Ich habe es aber so verstanden, dass man aktiv einen Vertrag mit Facebook abschließen muss? (Page Controller Addendum). Ich habe aber nirgens eine Möglichkeit hierfür gefunden?
Reicht es vielleicht, wenn man den Passus in seine Datenschutzerklärung aufnimmt?
Danke für Info!
Der Vertrag ist Teil der Facebook-AGB geworden. Zu den damit einhergehenden Problemen verweise ich auf den Kollegen Piltz: https://www.delegedata.de/2018/09/update-zu-fanpages-facebook-stellt-erforderliche-vereinbarung-zur-verfuegung/
Immer wenn ich solche Sachen lese, frage ich mich, wie kleine Unternehmen ohne expliziten „Social Media Koordinator und Administrator“ das alles zeitnah umsetzen sollen. Und es ist immernoch die Frage, ob sich die Platzierung auf Facebook für mittelständische Unternehmen überhaupt lohnt… das hängt natürlich auch vom Produkt und der Zielgruppe ab, aber Anzeigen bei Google erscheinen mir da wesentlich zielführender und risikoärmer zu sein.
bin gerade an der Entwicklung meiner Präsenz auf FB, danke für die Hinweise!
Lieber Herr Dr. Schwenke,
herzlichen Dank für diesen hilfreichen Beitrag. Wir sind eine PR und Social Media Agentur und betreuen die Facebook Kanäle unserer Kunden. Ich konnte noch keine Informationen finden, die genau diesen Fall ansprechen, können Sie helfen?
Besten Dank, Alina Chien
ist das bereits die aktualisierte Version?
Gute Tag Herr Dr. Thomas Schwenke,
vielen Dank für Ihren ausführlichen Artikel und die Hilfe.
Eine Frage stellt sich mir jedoch noch. In Ihrem Beispiel für Instagram haben Sie die Datenschutzerklärung und das Impressum ganz normal in Ihrer Beschreibung verlinkt. Auf Ihrem aktuellen Instagram-Profil verwenden Sie mittlerweile einen Linktree. Die Frage, die sich mir stellt ist, welche Lösung die Sicherste ist (Linktree oder Verlinkung in der Beschreibung) und an welcher Stelle sollte die Datenschutzerklärung sowie das Impressum im Linktree stehen.
Vielen Dank im Voraus!
Mit freundlichen Grüßen
Gemma B.