DSK Position zum Betrieb von Facebook-Fanpages

Michael Neuber

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine weitere Positionierung hinsichtlich der nach ihrer Ansicht notwendigen Anforderungen an einen rechtskonformen Betrieb von Facebook-Fanpages veröffentlicht. Das Papier ergänzt die Stellungnahme der DSK zum Urteil des Europäische Gerichtshofs (EuGH) zur datenschutzrechtlichen Verantwortlichkeit beim Betrieb von Facebook-Fanpages.

Im Wesentlichen betont die DSK die Rechenschaftspflicht der Fanpage-Betreiber, die nach ihrer Ansicht aufgrund fehlender Informationen seitens Facebook nicht ordentlich erfüllt sei. Im Ergebnis kommt die DSK zu dem Schluss, dass ein rechtkonformer Betrieb von Facebook-Fanpages derzeit nicht möglich sei.

Welcher Rechenschaftspflicht man konkret als Fanpage-Betreiber nachkommen muss, läßt das Papier allerdings weiter offen. Ohne näher auszuführen für welche Handlung die Rechtsgrundlage des Betreibers gelten solle wird nur Offensichtliches mitgeteilt, nämlich dass jeder Verantwortliche nach Art. 26 DSGVO einer eigenen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedürfe. Die DSK geht davon aus, dass der Umstand, dass Facebook sich die “alleinige Entscheidungsdmacht hinsichtlich der Verarbeitung von Facebook-Insights-Daten” einräumen lassen will, im Widerspruch zur gemeinsamen Verantwortlichkeit aus Art. 26 DSGVO stehen soll. Dabei scheint bis heute nicht klar, worin genau die sich aus dem pflichtenauslösenden Beitrag des Fanpage-Betreibers und seinem Einfluss auf die durch (allein) Facebook eigentlich autonom vorgenommene Verarbeitung ergebenden Pflichten bestehen sollen.

Der EuGH war in seinem Urteil davon ausgegangen, dass Fanpage-Betreiber deswegen mitverantwortlich für die Verarbeitung personenbezogener Daten über Fanpages sind, weil diese die Kriterien festlegen können, nach denen die Statistiken erstellt werden, und weil sie sogar die Kategorien von Personen bezeichnen können, deren personenbezogene Daten von Facebook ausgewertet werden. Allein die Auswahl der – bereits ausgewerteten Daten – aus den vordefinierten Kategorien bei Facebook, soll dem Betreiber so einen Einfluss auf die Zwecke und Mittel der Datenverarbeitung gewähren und dazu führen, dass der Betreiber einer Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite beiträgt. Dies würde aber bedeuten, dass der Fanpage-Betreiber mit Facebook vorab gemeinsam festlegt, welche Daten verarbeitet werden sollen.

Die von Facebook erstellten Besucherstatistiken werden – das sieht auch der EuGH – in anonymisierter Form an den Betreiber der Fanpage übermittelt. Und zwar nachdem die Erhebung der Daten erfolgt ist, an der der Betreiber nicht beteilitgt ist und die er dann über die vordefinierten Filter nur noch auswählen kann. Der Betreiber bekommt tatsächlich nur einen “Einblick” in eine “fremde” Datenverarbeitung, für die ein Anderer datenschutzrechtlich voll verantwortlich ist. Das aus dieser Annahme des EuGH resultierende Dilemma des Betreibers ist offensichtlich. Welche weitere Pflicht soll den Betreiber also treffen, als über die Tatsache der Datenverarbeitung – wie derzeit geschehen – und über den gemeinsamen Verantwortlichen zu informieren?

Der Fall liegt mit diesen Fragen nach wie vor beim Bundesverwaltungegericht. Mehr zu aktuellen Rechtsthemen bietet im Übrigen auch die Fanpage des Bundesjustizministeriums.

Kommentar schreiben