21 Mai
2019

Datenschutzkonferenz: Derzeit kein datenschutzkonformer Betrieb von Facebook-Fanpage

Facebook-Fanpage stehen im Fokus der Datenschutzaufsichtsbehörden. Sie müssen sich die Anforderungen und Risiken beim Betreiben einer Facebook-Fanpage bewusst machen.

Positionierung der deutschen Datenschutzaufsichtsbehörden zur Facebook-Fanpage

Die Datenschutzkonferenz – also die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder - hat am 01.04.2019 in ihrer „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ zum Betreiben einer Facebook Fanpage Stellung genommen. Sie kommt zu dem Schluss, dass die Erfüllung der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DS-GVO seitens des Betreibers einer Fanpage derzeit (!) nicht möglich ist.

Im Beschluss heißt es wörtlich (Zitiert nach https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf (Stand: 20.05.2019):

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Mit anderen Worten: Der Betrieb einer Facebook-Fanpage verstößt derzeit und solange gegen Datenschutzrecht, bis diese Vorgaben erfüllt sind.

Hintergrund - Urteil des EuGH zum Betrieb einer Facebook-Fanpage

Der EuGH hatte mit Urteil vom 05.06.2018 festgestellt, dass der Betreiber einer Fanpage und Facebook gemeinsam verantwortlich im Sinne von Art. 26 DS-GVO sind. Insbesondere treffen beide Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO zum Nachweis der Erfüllung der in Art. 5 Abs. 1 DS-GVO genannten Pflichten.

Die in der Zwischenzeit erfolgten Ergänzungen seitens Facebook erachtet die Datenschutzkonferenz als nicht ausreichend. Insbesondere seien die durch Facebook bereitgestellten Informationen zu den Verarbeitungstätigkeiten im Zusammenhang mit Fanpages und Seiten-Insights nach Aussage der Datenschutzkonferenz nicht transparent und ausreichend konkret. Sie seien deshalb nicht ausreichend, um den Betreibern einer Fanpage die Prüfung der Rechtmäßigkeit der Verarbeitung der betroffenen personenbezogenen Daten zu ermöglichen. Sie können deshalb insbesondere ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Mit der Einbeziehung der Fanpage-Betreiber macht die Datenschutzkonferenz auch deutlich, dass gegen diese wegen Datenschutzverstößen vorgegangen werden kann. Der Verstoß gegen den angesprochenen Art. 5 Abs. 2 DS-GVO ist mit einem Bußgeld bis zu 20 Mio. EURO oder 4% des weltweiten Vorjahresumsatzes des Unternehmens sanktionierbar.

Facebook-Fanpage-Betreiber können sich auch nicht hinter der Zuständigkeit von Aufsichtsbehörden für Facebook „verstecken“. Die Datenschutzkonferenz stellt – unter Bezugnahme auf die entsprechende Entscheidung des EuGH – klar, dass die für den Facebook-Fanpage-Betreiber zuständige Aufsichtsbehörde auch für das Vorgehen gegen Facebook-Fanpage-Betreiber zuständig ist.

Das bedeutet: Es kann auch gegen die Betreiber von Facebook-Fanpages vorgegangen werden und zwar durch die jeweilige für den Sitz des Betreibers der Facebook-Fanpage zuständige Aufsichtsbehörde im Inland.

Rechtsanwalt Dr. Jens Eckhardt

dmp@derra-d.de

Stand: 05/2019