ZAP 22/2018, Internetreport / 18 Datenschutz: Verantwortlichkeit von Unternehmen für ihre Facebookseite

Unternehmen, Institutionen und Vereine, die eine Facebookseite betreiben, unterhalten eine sog. Facebook-Fanpage, auf der personenbezogene Daten im Sinne der DSGVO verarbeitet werden. Zuletzt wurde die Frage erörtert, ob für die Verarbeitung dieser Daten ausschließlich Facebook oder – zusätzlich – auch die Betreiber solcher Fanpages verantwortlich seien. Nur wenn der Betreiber zusätzlich zu Facebook verantwortlich wäre, hätte auch er datenschutzrechtliche (Informations-)Pflichten, die seit dem 25.5.2018 nach der DSGVO gelten, zu beachten. Zu dieser Fragestellung hat der EuGH eine Entscheidung getroffen (Urt. v. 5.6.2018 – C-210/16), der ein Sachverhalt aus dem Jahr 2011 zugrunde lag: Eine Datenschutzbehörde hatte seinerzeit die Wirtschaftsakademie Schleswig-Holstein aufgefordert, ihre Facebook-Fanpages zu deaktivieren, da dort Nutzerdaten erfasst würden, ohne dass die Wirtschaftsakademie hierüber informiere. Das VG und das OVG Schleswig hatten dem Betreiber der Facebook-Fanpage Recht gegeben; das BVerwG hatte den Streitfall dem EuGH zur Entscheidung vorgelegt. Dieser bestätigte die Ansicht der Datenschutzbehörde, wonach auch der Betreiber der Facebook-Fanpage (zusammen mit Facebook) datenschutzrechtlich verantwortlich sei. Im Übrigen hat der EuGH das Verfahren zurückverwiesen. Hinweis: Das EuGH-Urteil ist auf Grundlage der bis zum 24.5.2018 gültigen Rechtslage (BDSG a.F.) ergangen. Es stellt sich damit die Frage, ob dieses Urteil auch auf Basis der seit dem 25.5.2018 anwendbaren DSGVO Gültigkeit haben wird. Der EuGH sieht eine gemeinsame "Verantwortlichkeit" von Facebook und dem Fanpage-Betreiber als gegeben an. Der Begriff des Verantwortlichen ist nach alter (BDSG a.F.) und neuer Rechtslage (DSGVO) jedoch weitgehend identisch. Die Ausgestaltung der sog. gemeinsamen Verantwortlichkeit ist nun in Art. 26 DSGVO geregelt: Gemeinsam Verantwortliche sollen hiernach vertraglich regeln, wie und von wem die datenschutzrechtlichen Pflichten, z.B. Informationspflichten, zu erfüllen sind. Hier kann die Entschließung der sog. Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) vom 6.6.2018 herangezogen werden, die darauf hinweist, welche Aspekte ab nun "zu beachten" seien. Zum Beispiel müsse derjenige, der eine Fanpage besucht, transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage- Betreiber verarbeitet würden. Dies gelte sowohl für Personen, die bei Facebook registriert seien, als auch für nicht-registrierte Personen und Besucher des Netzwerks. Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stelle, die zur Erfüllung der genannten Informationspflichten benötigt würden. Nach Ansicht der Datenschutzkonferenz bestehe daher zwingender Handlungsbedarf für die Betreiber von Fanpages, wobei jedoch nicht zu verkennen sei, dass Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen könnten, wenn Facebook selbst an der Lösung mitwirke und ein datenschutzkonformes Produkt anbiete.