Datenschutz für Unternehmen – Facebook
Auch Unternehmen haften für Datenschutz bei Facebook – Was bedeutet das für Sie?
Für viele Unternehmen ist der eigene Facebook-Auftritt das beliebteste „Social Media“ Instrument. Die Entscheidung des Bundesverwaltungsgerichtes in Leipzig vom 11.09.2019 zeigt jedoch die Problematik einer nicht datenschutzkonformen Fanpage auf. Wir zeigen Ihnen die Hintergründe und erläutern, was Sie beachten sollten.
Die aktuelle Ausgangslage
Schon im April 2019 hat die Datenschutzkonferenz (DSK) Nachbesserungen von Facebook gefordert. Gleichzeitig unterstreicht die DSK jedoch auch die Mitverantwortung der Fanpage-Betreiber. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich (mehr im Positionspapier vom Stand 1.4.2019)
Nach dem Europäischen Gerichtshof (EuGH) hat nun das Bundesverwaltungsgericht in Leipzig festgestellt, dass die Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann (Az.: BVerwG 6 C 15.18, Pressemitteilung vom 11.09.2019).
Die Betreiber von gewerblichen sogenannten Fanpages auf Facebook sind somit mitverantwortlich für die Datenverarbeitung, die im Hintergrund läuft. Bei schweren Mängeln dürfen Datenschützer die Betreiber verpflichten, die Unternehmensseite abzuschalten.
Auch wenn Facebook selbst ein Adressat für die Beschwerden sein könnte, dürften die Datenschützer aus Gründen der Effektivität auch die Seitenbetreiber in die Pflicht nehmen.
Was ist der Hintergrund?
Anlässlich des Nutzerdatenzugriffs durch Facebook beim Aufruf der Fanpage forderte das unabhängige schleswig-holsteinische Landeszentrum für Datenschutz (ULD) die Wirtschaftsakademie Schleswig-Holstein im Jahre 2011 zur Deaktivierung auf. Das ULD beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese nach den Bestimmungen des Telemediengesetzes unterrichtet würden. Ein Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.
Das zuständige Oberverwaltungsgericht entschied zunächst zugunsten der Akademie. Eine Zugriffsmöglichkeit – und somit eine Mitverantwortung – auf die erhobenen Daten war für die Bildungseinrichtung nicht gegeben, wie es in der Begründung hieß. Auf Vorlage des Bundesverwaltungsgerichts bejahte der EuGH im Juni 2018 allerdings eine Mitverantwortlichkeit des Fanpage-Betreibers. Begründung: er ermögliche durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.
Das Leipziger Urteil unterstreicht nun das EuGH Urteil, ist aber nicht abschließend. Inwiefern diese Datenverarbeitung tatsächlich rechtswidrig war, müsse noch genauer geklärt werden, urteilten die Richter am Bundesverwaltungsgericht in Leipzig. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das Oberverwaltungsgericht in Schleswig-Holstein zurück.
Datenschutzerklärung auch auf Facebook nachkommen
Ziel einer Facebook Unternehmensseite ist die Steigerung des Bekanntheitsgrades des Unternehmens sowie die Umsatzsteigerung. Also dient die Seite nicht ausschließlich persönlichen oder familiären Zwecken, so dass eine Impressumspflicht grundsätzlich besteht. Gemäß §§ 5 TMG, 55 RStV sind Anbieter von Telemedien grundsätzlich verpflichtet, Namen und Anschrift „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ zu halten.
Art. 26 der DS-GVO stellt zudem die besonderen Pflichten für gemeinsam Verantwortliche heraus. In einer Vereinbarung muss in transparenter Form festlegt werden, wer von ihnen welche Verpflichtung der DS-GVO zu erfüllen hat. Im Besonderen ist die Verantwortlichkeit hinsichtlich der Rechte der betroffenen Person und der Informationspflichten gemäß den Artikeln 13 und 14 DS-GVO zu klären. Die Impressumspflicht ist somit um eine Datenschutzerklärung zu erweitern.
Facebook hat die für den Betreiber einer Fanpage geltenden „Richtlinien für Seiten, Gruppen und Veranstaltungen“ um eine Ergänzung erweitert. Diese „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ wird automatisch mit dem Betreiber einer Fanpage abgeschlossen, wenn dieser die durch Facebook angebotenen Seiten-Insights nutzt. Zusätzlich stellt Facebook den Nutzern auf jeder Fanpage „Informationen zu Seiten-Insights-Daten“ zur Verfügung. Die Nutzer werden hier über die verarbeiteten Daten und die gemeinsame Verantwortung unter anderem wie folgt informiert:
„Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen.“
In einem weiteren Passus heißt es:
„Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“
Facebook bezieht sich hier somit auf Informationspflichten, die nur durch den Betreiber der Fanpage erfüllt werden können, wie z.B. die oben aufgeführte Impressumspflicht. Hierzu gehören neben den eigenen Kontaktdaten auch die des Datenschutzbeauftragten (sofern benannt). Außerdem ist die Rechtgrundlage für die Verarbeitung der Insights-Daten zu benennen und den Betroffenen mitzuteilen. Wir gehen derzeit davon aus, dass in erster Linie auf das Berechtigte Interesse des Betreibers der Fanpageseite nach Art. 6 Abs. 1 f) DS-GVO Bezug genommen wird.
Natürlich kann die Datenschutzerklärung auch über weitere Verarbeitungen, etwa die Datenverarbeitung im Rahmen eines Gewinnspiels oder der Nutzung des Kontaktformulars, informieren.
Nach Art. 30 Abs. 1 DS-GVO hat der Betreiber der Fanpage außerdem die Pflicht, die Datenverarbeitung in seinem Verarbeitungsverzeichnis aufzuführen.
Die Vereinbarung von Facebook beinhaltet eine weitere konkrete Pflicht. Bei einer Anfrage bezüglich der Verarbeitung von Insights-Daten durch eine betroffene Person oder eine Aufsichtsbehörde müssen unverzüglich (spätestens innerhalb von 7 Kalendertagen) sämtliche relevanten Informationen an Facebook weitergeleitet werden. Außerdem ist bei der Beantwortung der Anfrage mit Facebook zusammenzuarbeiten.
Wie kann man nun der Pflicht einer Datenschutzerklärung auf Facebook nachkommen?
Nach einer Entscheidung des OLG München bzgl. der leichten Zugänglichkeit des Impressums ist anzunehmen, dass bei einer Erreichbarkeit von zwei Klicks dies gegeben ist. Bezugnehmend auf die oben angegebenen Transparenzpflichten innerhalb der DS-GVO gilt dies ähnlich für die Datenschutzerklärung. Dies kann geschehen durch das Einfügen der notwendige Datenschutzerklärung direkt in die Fanpage oder durch die Verlinkung zur Datenschutzerklärung auf der eigenen Website.
Für eine Datenschutzerklärung auf der Fanpage spricht eine auf das Thema reduzierte, gebündelte Information zur Verarbeitung personenbezogener Daten in Bezug auf die Fanpage. Außerdem wird der Nutzer nicht aus Facebook herausgeleitet wird und damit unter Umständen einer weiteren Datenverarbeitung unterzogen.
Fazit
Die Betreiber von gewerblichen sogenannten Fanpages auf Facebook sind mitverantwortlich für die im Hintergrund laufende Datenverarbeitung. Bei schweren Mängeln dürfen Datenschützer die Betreiber verpflichten, die Unternehmensseite abzuschalten.
Zur Verringerung des rechtlichen Risikos sollten Betreiber einer Facebook-Fanpage eine eigene Datenschutzerklärung vorhalten. Weitere Risiken liegen in der ausstehenden Entscheidung des Oberverwaltungsgerichts in Schleswig-Holstein zur Rechtskonformität der Fanpage nach DS-GVO. Unsicher ist zudem, ob die deutschen Aufsichtsbehörden die Seiten-Insights-Ergänzung von Facebook akzeptieren werden.
Autor: Oliver Zeh
Tags: DS-GVO, Datenschutzerklärung, Facebook, Fan Page