Nach dem EuGH-Urteil vom 05.06.2018 hinsichtlich der rechtlichen Stellung von Facebook-Fanpage-Betreibern äußerte sich nur einen Tag später die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit einer „Entschließung“. Das PDF ist hier abrufbar: https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Fanpages_EuGH_Urteil.pdf
Die wichtigsten 4 Absätze des Dokuments lauten:
- „Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und FanpageBetreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.“
Was bedeutet das konkret?
- Die Aufsichtsbehörden für den Datenschutz bestätigen, dass das EuGH-Urteil, welches eigentlich zur alten Rechtslage entschieden wurde, auf die neue Rechtslage mit der DSGVO übertragbar ist.
- Eine eigene Datenschutzerklärung auf dem Facebook-Profil ist Pflicht. Entweder im Volltext oder als Verlinkung.
- Die Verlinkung auf die Datenschutzerklärung, die man üblicherweise auf seiner eigenen Homepage hat, reicht nicht aus.
- In dieser speziellen Datenschutzerklärung muss man u.a. erklären, was Facebook mit den Daten macht (wer weiß das schon?)
- Notfalls müsse man sich bei Facebook erkundigen (so die Behörden)
- Als Fanpage-Betreiber müsse man die Einwilligung des jeweiligen Nutzers einholen, bevor Facebook seine Nutzer trackt (sog. Opt-In). Solche technischen Maßnahmen könnte eigentlich nur Facebook umsetzen. Das ist aber egal. Wenn Facebook hier nachlässig ist, haftet der Profilinhaber dafür.
- Schließlich solle man mit Facebook eine Vereinbarung schließen über die gegenseitigen Rechte und Pflichten (nach der DSGVO sind das die Vorschriften über die gemeinsame Verantwortlichkeit für eine Verarbeitung von personenbezogenen Daten, Art. 26 DSGVO). Zu guter Letzt müssen die wesentlichen Teile dieser Vereinbarung öffentlich gemacht werden.
Fanpage schließen oder was?
- Da Facebook weder ein Opt-In anbietet noch eine Vereinbarung nach Art. 26 DSGVO zur Verfügung stellt verhält sich Facebook datenschutzwidrig und der Fanpage-Betreiber haftet dafür mit. Wer dieser Haftung entfliehen will muss die Seite vorerst schließen.
- Sobald Facebook ein Opt-In anbietet und die angesprochene Vereinbarung zur Verfügung stellt kann sich jeder Betreiber wieder überlegen, sein Profil online zu schalten. Das Risiko dürfte dann wieder deutlich kleiner sein und damit kalkulierbar.
- Wenn man seine Seite online lässt muss auf jeden Fall eine spezielle Datenschutzerklärung eingebunden oder verlinkt werden. Damit entledigt man sich aber der Haftung nicht vollständig.
Sobald es Neuigkeiten auf diesem Gebiet gibt können weitere Empfehlungen ausgesprochen werden.