Facebook-Fanpage: Bringt die Insights-Ergänzung Rechtssicherheit?

News

Facebook reagiert und stellt eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO bereit. Doch was bedeutet das für die Betreiber einer Facebook-Fanpage? Ist der Betrieb einer solchen Fanpage jetzt ohne Risiko möglich?

Zur Ausgangslage

Nachdem sich am 05.09.2018 auch die Datenschutzkonferenz für die Rechtswidrigkeit von Facebook-Fanpages ausgesprochen hat, reagiert Facebook und stellt eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO bereit. Ausgangspunkt war das Urteil vom 5. Juni 2018 des Gerichtshofs der Europäischen Union, Aktenzeichen C-201/16, und die Entscheidung, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht.

Warum sind Facebook und Fanpage-Betreiber gemeinsame Verantwortliche?

Technische Voraussetzungen

Mit Hilfe der Funktion Facebook Insight können Betreiber von Facebook-Fanpages anonymisierte statistische Daten der Nutzer der Fanpage einsehen. Hierfür werden von Facebook Cookies beim Besucher einer solchen Fanpage gespeichert, die einen eindeutigen Benutzercode enthalten und für maximal zwei Jahre aktiv sind. Facebook hat außerdem die Möglichkeit, den Benutzercode mit den Anmeldedaten der Facebooknutzer zu verknüpfen. Bei Aufruf einer Fanpage hat so zumindest Facebook die Möglichkeit, den Besucher eindeutig zu identifizieren. Der Betreiber einer Fanpage hat jedoch nur in anonymisierte Daten Einsicht. Abstellen lässt sich Facebook Insights nicht. Weder vom Betreiber, noch von Nutzer der Fanpage.

Warum gemeinsame Verantwortlichkeit?

Die Möglichkeit, die auf personenbezogenen Daten beruhenden Statistiken einzusehen und daraus wirtschaftliche Vorteile zu ziehen, reicht nach einer Ansicht bereits aus, um eine Mitverantwortung der Betreiber einer Fanpage zu begründen.

Grundlage des EuGH-Urteils war jedoch, dass die Betreiber der Fanpage eine Parametrierung vornehmen konnten und somit auf die Verarbeitung der personenbezogenen Daten auch tatsächlich Einfluss hatten. Der Seiten-Betreiber hatte so die Möglichkeit, mit Hilfe der Daten Werbeaktionen und -veranstaltungen und sein Info-Angebot zielgerichtet zu gestalten.

Insoweit stellt sich also bereits die Frage, ob nach Deaktivierung der Möglichkeit zur Parametrierung überhaupt noch eine gemeinsame Verantwortlichkeit gegeben ist. Da sich aber momentan im Allgemeinen eine eher strenge Ansicht der Aufsichtsbehörden abzuzeichnen scheint, ist im Zweifel wohl davon auszugehen, dass bereits die Möglichkeit der Einsichtnahme und daraus die Möglichkeit wirtschaftliche Vorteile zu erlangen, ausreichend ist, um eine gemeinsame Verantwortlichkeit zu begründen.

Was Facebook regelt

Facebook schwieg, bis jetzt. Eine Antwort kam nun mit der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Und damit kommt Facebook seinen Nutzern entgegen. Das könnte man zumindest meinen.

Das Addendum bezieht sich, wie der Name schon sagt, nicht auf jegliche Datenverarbeitung, die im Zusammenhang mit einer Fanpage stattfindet, sondern nur auf solche Daten, die zur statistischen Auswertung genutzt werden.

Zunächst stellt Facebook klar:

„Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten“

Positiv festzuhalten ist, dass Facebook zustimmt, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Facebook übernimmt also

  • die primäre Verantwortung
  • den Umgang mit Betroffenenrechten
  • die Informationspflichten
  • die Meldepflichten
  • die Sicherheit der Datenverarbeitung

Außerdem wird Facebook den betroffenen Personen das Wesentliche der Seiten-Insights-Ergänzung zur Verfügung stellen.

Was Facebook nicht regelt

Facebook stellt aber auch klar:

„Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Datenverarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“

Seitenbetreiber müssen also selbst eine Rechtsgrundlage für die Nutzung der Insights-Daten festlegen. Sie müsse sich somit Gedanken darüber machen, auf welchen Erlaubnistatbestand sie die Erhebung und Verarbeitung der personenbezogenen Daten der Fanpage-Nutzer zum Zweck statistischer Auswertung stützen können.

Tracking nur mit Opt-In?

Und hier wird der eifrige Blogleser wahrscheinlich stutzig. Da war doch was mit der Rechtsgrundlage bei Tracking?! Und ja, wer hier der Ansicht der Aufsichtsbehörden folgen will, der kann nicht das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage heranziehen, sondern muss die Einwilligung der Fanpage-Nutzer einholen. Und dann stellt sich die Frage, wie das umzusetzen wäre. Hierauf bietet die Insights-Ergänzung von Facebook keine Lösung.

Tracking auf Grundlage des berechtigten Interesses?

Selbst, wenn man das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage heranziehen möchte, wäre man im Ergebnis wieder beim Opt-Out-Prinzip. Das bedeutet, dass dem Nutzer die Möglichkeit gegeben werden muss, der Datenverarbeitung zu widersprechen. Und auch hierauf hat die von Facebook vorgelegte Ergänzung keine Antwort.

Ob die Datenverarbeitung an sich rechtmäßig ist, bleibt also beim Betreiber der Fanpage hängen und dieser sieht sich unveränderten Umständen entgegen. Und das, obwohl sich Facebook vorbehält, alle Entscheidungen hinsichtlich der Insights-Daten vorzunehmen.

„Du stimmst zu, dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten treffen und umsetzen kann.“

Der Betreiber hat selbst also nicht die geringste Möglichkeit, auf die Datenverarbeitung Einfluss zu nehmen.

Und was ist, wenn der Betreiber der Fanpage eigentlich gar kein Interesse an der statistischen Auswertung hat? Wenn er gar kein Interesse hat, die Statistiken seiner Seitenbesucher einzusehen und dies womöglich auch gar nicht tut? Kann die Datenverarbeitung trotzdem auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden? Das geht wohl erst recht nicht.

Vorschnelle Euphorie?

Auch wenn es sich erstmal schön anhört, ist aber eben nicht alles geregelt und es bleibt abzuwarten, inwieweit die Verarbeitung der personenbezogenen Daten im Zusammenhang mit den Fanpages zulässig ist.

Facebook ist zwar seinen Nutzern insoweit entgegengekommen, als dass die formalen Voraussetzungen hinsichtlich der gemeinsamen Verantwortlichkeit mit dem Addendum endlich geregelt wurden. Ob die Verarbeitung der Besucherdaten innerhalb der Fanpages überhaupt zulässig ist, ist aber nach wie vor nicht geklärt.

Darum müssen sich die Betreiber nach wie vor selber kümmern.

Die Vereinbarung über die gemeinsame Verantwortlichkeit war schon seit Monaten Pflicht und man fragt sich, warum Facebook dafür so lange gebraucht hat. Dass Facebook sich hier bewegt hat, ist ein Schritt in die richtige Richtung, doch ein Risiko bleibt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Social Media / Social Networks

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.