von RA Jan Lennart Müller

Facebook reagiert auf EuGH-Urteil: Wird die Fanpage mit dem sog. "Page Insights Controller Addendum" jetzt sicher?

News vom 20.09.2018, 10:28 Uhr | 1 Kommentar 

Als Reaktion auf die Entscheidung des Europäischen Gerichtshofes (Urt. v. 05.06.2018 - Az.: C-210/16) und des Beschlusses der DSK vom 05.09.2018, bietet Facebook nun eine Vereinbarung (Page Insights Controller Addendum) an. Wird der Betrieb der Facebook-Fanpage damit endlich sicher und was müssen Fanpage-Betreiber jetzt beachten? Lesen Sie hierzu unseren aktuellen Beitrag:

Es geht um Daten, die bei einem Besuch auf der Fanpage gespeichert werden und die Aufschluss darüber geben, wie Nutzer mit der Seite umgehen und sich auf ihr bewegen. Facebook legt Betreibern von Fanpages nun eine Ergänzung der AGB vor und nennt diese „Page Insights Controller Addendum“. HIerbei handelt es sich um eine Vereinbarung gemäß Art. 26 DSGVO.

Mit dieser Maßnahme dürfte Facebook einem der großen Kritikpunkte der Datenschutzkonferenz (DSK) entgegensteuern und jedenfalls die wesentlichen Voraussetzungen der vom Europäischen Gerichtshof festgestellten gemeinsamen Verantwortlichkeit erfüllen.

Die Seitenbetreiber müssen nach der neuen Vereinbarung mit Facebook unter anderem sicherstellen, dass sie eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß der Datenschutz-Grundverordnung (DSGVO) innehaben und einen Verantwortlichen für die Datenverarbeitung der Seite benennen. Das Betreiben von Facebook-Seiten dürfte damit aus datenschutzrechtlichen Gesichtspunkten weitaus sicherer als bislang geworden sein.

Hinweis: Es wird ein Update der Facebook-Datenschutzerklärung der IT-Recht Kanzlei geben! Wir werden unsere Mandanten noch gesondert per Newsletter informieren, wann die aktualisierte Fassung der Facebook-Datenschutzerklärung im Mandantenportal abgerufen und verwendet werden kann!

Der Ursprung: Die Entscheidung des EuGH zur Mitverantwortlichkeit auf Facebook

Der EuGH hatte geurteilt, dass der Betreiber einer Fanpage – also der Händler bzw. werbende Unternehmen – für die (fremde) Datenverarbeitung, die Facebook im Rahmen solcher Seiten durchführt, (mit-)verantwortlich ist (EuGH, 05.06.2018 – C-210/16).

Der EuGH hatte auch klargestellt, dass es überhaupt nicht darauf ankommt, welche der von Facebook „eingesammelten“ Daten vom Seitenbetreiber überhaupt selbst genutzt werden. Nach seiner Entscheidung ist alleine die theoretische Zugriffsmöglichkeit des Betreibers der Fanpage auf diese Daten – etwa die Einsicht in Nutzerstatistiken – zur Begründung dessen datenschutzrechtlicher Mitverantwortlichkeit ausreichend.

Der EuGH argumentierte weiter, dass ein Betreiber einer Fanpage zwar die von Facebook eingerichtete Plattform zu seinen Gunsten nutzen und zudem die dazugehörigen Dienstleistungen in Anspruch nehmen kann. In diesem Fall aber auf der anderen Seite nicht von der Beachtung seiner Verpflichtungen im Bereich des Datenschutzes befreit sein kann.

Des Weiteren hob der EuGH hervor, dass auch Nicht-Facebook-Nutzer die einschlägigen Seiten im sozialen Netzwerk besuchen könnten. Diese Besucher verfügten noch nicht einmal über ein Facebook-Benutzerkonto. In diesem Fall erscheine die Verantwortung des Betreibers der Fanpage für die Verarbeitung der personenbezogenen Daten dieser Besucher noch weitaus größer. Denn hier werde durch bloßes Öffnen der Seite das Verarbeiten von Daten automatisch ausgelöst.

Die Reaktion der DSK nach dem Urteil

Nachdem das Urteil verkündet wurde, verlautbarte Facebook zwar, dass gewisse notwendige Schritte eingeleitet werden würden, tatsächlich geschehen ist allerdings in der Folge nichts.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) reagierte äußerst schnell auf die Rechtsprechung des EuGH. Die DSK veröffentliche eine Entschließung am 06.06.2018, dass der Betrieb von Facebook-Seiten in der bisher angewendeten Form rechtswidrig sei.

Die Entschließung kann hier eingesehen werden. Die Entschließung wurde damit begründet, dass zwischen den Seitenbetreibern und Facebook eine notwendige Vereinbarung über die datenschutzrechtliche Verantwortung nicht vorläge (Art. 26 DSGVO).

Die Datenschützer stellten in ihrem Beschluss zudem fest, dass die von Facebook vorgenommenen Veränderungen – zum Beispiel bezüglich der Cookies – nicht ausreichten, da mitunter weiterhin auch bei solchen Besuchern, die keine Facebook-Nutzer seien, Cookies mit Identifikatoren gesetzt würden.

Mit Beschluss der DSK vom 05.09.2018 forderte die DSK, dass die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen sollen.

Weiter kritisierte die DSK im Beschluss vom 05.09.2018:

"Auch werden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt."

Die DSK stellte im Rahmen des September-Beschlusses einen Fragenkatalog zur Verfügung, dessen Fragen – so betont sie – sowohl von Facebook als auch von den Fanpage-Betreibern beantwortet werden können müssen. Um den Anforderungen des Datenschutzrechts zu genügen, komme es besonders darauf an, die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung in nachweisbarer Weise zu gewährleisten und dem Betroffenen die erforderlichen Informationen bei Bedarf zur Verfügung zu stellen.

Den Fragenkatalog der DSK bilden wir nachstehend ab:

DSK Fragenkatalog
1

Facebook handelt schnell und stellt Vereinbarung für Fanpage-Betreiber zur Verfügung

Facebook nahm den DSK-Beschluss ernst und reagierte umgehend, indem es am 11.09.2018 eine erste Regelung zur datenschutzrechtlichen Verbesserung für die Betreiber von Fanpages auf den Weg brachte.

Facebook nennt die Vereinbarung, die durch Pressemitteilung angekündigt und im Gewand einer AGB-Erweiterung veröffentlicht wurde „Page Insights Controller Addendum“:

Facebook Page Insights Controller Addendum

Facebook stellt damit seit dem 12.09.2018 eine Vereinbarung gemäß Art. 26 DSGVO zur Verfügung (letztlich eben in Gestalt ergänzter Nutzungsbedingungen). Es steht zu vermuten, dass diese ergänzten Nutzungsbedingungen infolge einer Information an bestehende Facebook-Nutzer Vertragsbestandteil werden (bzw. bei neuen Nutzern explizit von Anfang an vereinbart werden). Bestehende Facebook-Nutzer müssen nicht aktiv werden, sondern sollten die Änderungsmitteilung betreffend der Nutzungsbedingungen durch Facebook abwarten. Zum jetzigen Zeitpunkt steht allerdings noch nicht fest, wann Facebook beginnen wird, die "Page Insights Controller Addendum"-Vereinbarung mit den Fanpage-Betreibern zu abzuschließen.

In der Vereinbarung nach Art. 26 werden im Wesentlichen neue Regelungen zu den sogenannten Insights-Daten getroffen. Die Vereinbarung betrifft Seitenbetreiber und die datenschutzrechtliche Funktion „Seiten-Insights“, um das Besucher-Verhalten auf ihrer Seite auswerten zu können.

Was beinhaltet das „Page Insights Controller Addendum?

Die wichtigste Aussage:

Facebook übernimmt die primäre Verantwortung!

Im Rahmen der Vereinbarung übernimmt Facebook grundsätzlich die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten im Hinblick auf die Insights-Daten. Ferner wird klargestellt, dass Facebook die Verantwortung für

  • die Erfüllung der Informationspflichten,
  • die Betroffenenrechte,
  • die Datensicherheit und
  • die Meldung von Datenschutzverletzungen

übernimmt.

Pflichten des Fanpage-Betreibers

Zugleich legt Facebook den Fanpage-Betreibern auch Pflichten auf und betont deren verbleibende eigene datenschutzrechtliche Verantwortung auf den folgenden Gebieten:

  • Seitenbetreiber müssen selbst eine Rechtsgrundlage für die Nutzung der Insights-Daten festlegen und
  • es werden Meldepflichten für die Fanpage-Betreiber statuiert (-> Anfragen von Besuchern oder Datenschutzaufsichtsbehörden sind an Facebook weiterzuleiten),

Fazit: Facebook übernimmt Verantwortung, doch es verbleiben Restrisiken

Wie rechtssicher die neue Vereinbarung von Facebook tatsächlich ist und wie die Reaktionen der Datenschutzbehörden darauf ausfallen, kann derzeit noch nicht abschließend beurteilt werden. In jedem Fall ist diese umgehende Reaktion von Facebook ein Schritt in die richtige Richtung, nämlich die DSGVO-Konformität für Fanpage-Betreiber zu schaffen.

Wirft man einen Blick auf den von der DSK aufgestellten Fragenkatalog, erscheint es auch nach Kenntnis der neuen AGB von Facebook unwahrscheinlich, dass ein Seiten-Betreiber nun alle Fragen beantworten kann. Nachbesserungen sind deshalb auch in der Zukunft zu erwarten. Doch der eindeutig rechtswidrige Zustand beim Betreiben einer Fanpage ist zunächst beseitigt und lässt die mitverantwortlichen Fanpage-Betreiber aufatmen. Es ist davon auszugehen, dass die Datenschutzbehörden die neue Vereinbarung genau unter die Lupe nehmen und auf Lücken aufmerksam machen werden.

Unerlässlich: Eine eigene Datenschutzerklärung für Facebook verwenden

Die wohl wichtigste Konsequenz für die Praxis aus der "Page Insights Controller Addendum"-Vereinbarung dürfte sein, dass jeder Facebook-Auftritt eines Händlers / Unternehmens eine eigene Datenschutzerklärung mit aufklärenden Hinweisen zur Vereinbarung nach Art. 26 DSGVO und der Verwendung von Seiten-Insights haben muss. Hier dürfte in der Praxis die größte Gefahr lauern, wenn Verbände bzw. Mitbewerber fehlende / falsche Datenschutzerklärungen abmahnen.

Nur im Rahmen einer eigenen Datenschutzerklärung kann über die folgenden Punkte ausreichend informiert werden:

  • Rechtsgrundlage der Verarbeitung der Daten im Rahmen des Betriebs der Facebook-Seite;
  • aufklärender Hinweis zur Vereinbarung nach Art. 26. DSGVO zur (primären) Verantwortung von Facebook sowie auf die Datenschutzerklärung von Facebook und Betroffenenrechte.

Hinweis: Die IT-Recht Kanzlei hat bereits eine entsprechende Facebook-Datenschutzerklärung vorbereitet, die die vorbenannten Punkte beinhaltet. Die professionellen Rechtstexte der IT-Recht Kanzlei für Facebook erhalten Sie bereits ab 9,90 Euro zzgl. MwSt. monatlich.

ACHTUNG: Die angepasste Facebook-Datenschutzerklärung darf in zeitlicher Hinsicht erst verwendet werden, wenn Facebook tatsächlich beginnt, die "Page Insights Controller Addendum"-Vereinbarungen mit den Fanpage-Betreibern abzuschließen. Andernfalls würden der Fanpage-Betreiber eine unzutreffende Information in seiner Datenschutzerklärung vorhalten. Derzeit wissen wir leider noch nicht, wann und wie genau Facebook die "Page Insights Controller Addendum"-Vereinbarungen mit den Fanpage-Betreibern schließen wird.

Sobald Facebook damit beginnt, die "Page Insights Controller Addendum"-Vereinbarung mit den Fanpage-Betreibern abzuschließen, werden wir unsere Mandanten mittels gesondertem Newsletter informieren. Wir werden sodann darauf hinweisen, dass die aktualisierte Fassung der Facebook-Datenschutzerklärung im Mandantenportal abgerufen und verwendet werden kann!

Problem: Wie kann die Datenschutzerklärung für Facebook verwendet werden?

Die Lösung: Der neue Hosting-Service der IT-Recht Kanzlei, der Betreibern einer Facebook-Fanpage eine komfortable Umsetzung der rechtlichen Vorgaben ermöglicht.

Im Mandantenportal der IT-Recht-Kanzlei finden Mandanten, die die Facebook-Datenschutzerklärung gebucht haben, bei den Datenschutztexten unter dem Punkt HOSTING einen Direkt-Link. Dieser Link kann kopiert und dann in der Profil- bzw. Info-Seite von Facebook eingefügt werden. Damit ist die Datenschutzerklärung rechtssicher auf den Plattformen hinterlegt. Wie das genau geht, haben wir in unserer ausführlichen Handlungsanleitungen mit Bild und Text beschrieben.

Ein sog. sprechender Link auf die Datenschutzerklärung im Rahmen des Hosting-Angebots könnte z.B. wie folgt aussehen:

fb

Sind auch andere Plattformen wie Instagram oder Twitter betroffen?

Das EuGH-Urteil selbst beschäftigt sich zwar nur mit Fanpages auf Facebook, doch die Argumentation der Richter ist auch auf andere geschäftliche Profilseiten in sozialen Netzwerken übertragbar.

Es ist wohl kaum zu leugnen, dass Geschäftsprofile auf Instagram, Twitter und Co. nicht auch dazu dienen, den Umsatz zu fördern und direkt oder indirekt Werbung für das eigene Unternehmen zu betreiben. Betreiber von Profilseiten nutzen die Reichweite von sozialen Netzwerken immer auch zu ihren Gunsten und profitieren von den einschlägigen Plattformen. Deshalb dürfen sie ebenso wenig wie Facebook die Augen verschließen vor den datenschutzrechtlichen Anforderungen unserer heutigen Zeit.

Fazit und Praxisempfehlung

Nachdem der EuGH seine Rechtsprechung zur Mitverantwortlichkeit veröffentlicht und der Beschluss der DSK zusätzlichen Druck erzeugte, hat Facebook sich bewegt und nachgerüstet.

Mit dem "Page Insights Controller Addendum" legt Facebook eine Ergänzung der Nutzungsbedingungen gemäß Art. 26 DSGVO vor. Facebook schafft damit eine Verbesserung für Fanpage-Nutzer, hierdurch wird die Nutzung von Facebook für seine Nutzer ein großes Stück sicherer. Zwar werden durch diese Zusatzvereinbarung mit den Fanpage-Betreibern nicht alle Fragen (der DSK) aus der Welt geschafft. Zumindest werden die Forderungen der DSK nach der Regelung der Verantwortlichkeit zwischen Facebook und seinen Nutzern hierdurch erfüllt sein.

Wichtig ist für Fanpage-Betreiber vor allem, dass eine Datenschutzerklärung für Facebook verwendet wird, um hierbei vor allem auf die Vereinbarung nach Art. 26 DSGVO (und weiterführende Informationen) und die Rechtsgrundlage der Verarbeitung im Rahmen des Betriebs der Facebook-Fanpage hinzuweisen.

Es bleibt abzuwarten, wie vor allem die DSK auf die Zusatzvereinbarung von Facebook reagieren wird. Wir werden über die weitere Entwicklung berichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Brad Pict - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt

Besucherkommentare

betrifft das Thema auch Vereine

21.09.2018, 14:27 Uhr

Kommentar von Daniel M.

Guter Artikel, es wird aber immer nur von Händlern und Unternehmen gesprochen. Wie sieht es denn bei Vereinen oder Behörden aus ?? Müssen diese auch eine Datenschutzerklärung für Facebook vorweisen,...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller