Datensicherheit im Internet

Was sollten Betreiber einer Facebook-Fanpage in Sachen Datenschutz wissen?

Im Juni 2018 sorgte der Europäische Gerichtshof (EuGH) erneut für einen Paukenschlag in Sachen Datenschutz. Hat Facebook wie angekündigt reagiert? Wie ist der Stand der Dinge beim Thema Fanpage?

In seinem Urteil befassten sich die Richter mit der Abgrenzung von Verantwortlichkeitsbereichen auf Facebook-Fanseiten. Danach sollte nicht nur Facebook, sondern auch der Betreiber der Fanpage für die Verarbeitung der personenbezogenen Daten der Besucher der Seite verantwortlich sein. Gleichzeitig füllten Berichte über die Datenschutzversäumnisse des Milliardenkonzerns die Zeitungen, sodass viele Firmen mit einer Löschung ihrer Fanpage reagierten. Auch das DSB-Portal deaktivierte seine Fanpage, weil sich nach unserer Meinung ein Datenschutz-Portal nicht mit den nachlässigen Praktiken von Facebook vereinbaren lässt.

Facebook änderte seine allgemeinen Geschäftsbedingungen

Dreh- und Angelpunkt des EuGH-Urteils ist Art. 26 DSGVO, wonach eine datenschutzrechtliche Grundlage für die Facebook-Fanpage fehlen würde. Die Konferenz unabhängiger Datenschutzaufsichtsbehörden des Bunds und der Länder (DSK) erklärte daraufhin die Fanseiten im sozialen Netzwerk für illegal. Facebook reagierte darauf mit einer unverzüglichen Änderung seiner AGB, um ein Weiterbetreiben möglich zu machen. Das neue „Page Controller Addendum“ sieht vor, dass sich Seitenbetreiber und Facebook die Verantwortung der Fanseite teilen. Alle relevanten Pflichten für den eingeforderten Datenschutz liegen bei Facebook.

DSGVO: Die Datenschützerkonferenz ist noch nicht überzeugt

Die DSK ist in einer neueren Stellungnahme von Facebooks AGB-Änderung hinsichtlich der Seiten-Insights nicht überzeugt. Die Verantwortlichen erfüllten noch nicht die Anforderung an eine Vereinbarung nach Art. 26 DSGVO, insbesondere fehle es noch nach einer gemeinschaftlichen Verantwortung, da Facebook allein die Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten innehat. Verarbeitungstätigkeiten seien nicht hinreichend transparent dargestellt und reichten nicht aus, „die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen“. Während die DSK mit Facebook hart ins Gericht ging, unterstrichen die Experten wieder einmal die Rechenschaftspflicht jedes Betreibers einer Fanpage – unbeschadet der von Facebook erklärten Verantwortlichkeit. Von Facebook werden dringende Nachbesserungen erwartet.

Fanpage-Betreiber haben kaum Einfluss

Der fehlende Einfluss der Betreiber auf den Umgang mit den hinterlegten Nutzerdaten ist der größte Kritikpunkt, auch aus den Reihen der Grünen und der Verbraucherzentrale. Da Facebook diesbezüglich alleine entscheiden kann, scheint das Betreiben einer Facebook-Fanpage aktuell noch zu risikobehaftet zu sein. Ferner fordert die DSGVO eine Einwilligung des Users für das Tracking, das auf einer Fanseite allerdings nicht manuell ein- oder ausgeschaltet werden kann. Facebook fing sich neben vielen schwergewichtigen Klagen bald auch eine der Verbraucherzentrale Sachsen ein. Und der Berliner Datenschutzbeauftragte, ebenfalls unzufrieden mit der von Facebook im letzten Jahr angebotenen Lösung, hatte im Spätherbst sogar Anhörungsschreiben mit 15 Fragen an die Landesverwaltung von Berlin sowie einige Unternehmen und Institutionen versendet. Die angeschriebenen Datenschutzverantwortlichen sahen sich inquisitorisch geprüft, wenn etwa die Behörde wissen wollte: „Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt? Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DSGVO?“

Ein Weiterbetreiben der Fanpage ist möglich

Den datenschutzkonformen Betrieb einer Fanpage sieht die DSK aktuell immer noch kritisch. Es ist abzuwarten, wie Facebook hinsichtlich der neueren datenschutzrechtlichen Forderungen nachbessern wird. Dennoch ist der Betrieb einer Facebook-Fanseite unter bestimmten Vorkehrungen durchaus möglich. Der wichtigste Schritt wird sein, einen Projektverantwortlichen in Person eines Mitarbeiters festzulegen. Auf der Unternehmenswebseite kann ein Opt-in-Banner platziert werden. Dieser ermöglicht anderen Unternehmen, in das Tracking auf der Facebook-Fanseite ausdrücklich einzuwilligen. Das „Page Controller Addendum“ von Facebook sollte in den Datenschutzhinweisen des Unternehmens einbezogen werden. Wenn die eigene Firma von Datenschützern oder Betroffenen um eine Stellungnahme zum Datenschutz gebeten wird, kann das Facebook-Formular „Anfragen zur Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ genutzt werden.

Ein absolutes Muss ist ein Link im Infobereich der Fanpage, der zu den ergänzenden Datenschutzhinweisen verweist.

Zurück

Hier bloggt Ihre Redaktion.