07.06.2018 - Laut jüngstem EuGH-Urteil sind Facebook-Seitenbetreiber und Facebook gemeinsam für die Datenverarbeitung verantwortlich. Welche Aufgaben damit auf Unternehmen zukommen, erklärt Rechtsanwältin Nina Diercks.
von Christina Rose
Zunächst einmal: "Behalten Sie die Angelegenheit im Auge, aber rennen Sie nicht verrückt im Kreis." Der Rat der Juristin ist angebracht angesichts der Aufregung, die das Urteil des Europäischen Gerichtshofs (EuGH) vom 05.06.18 ausgelöst hatte. Darin hatte der EuGH entschieden, dass Unternehmen, die Facebook-Fanpages betreiben, gemeinsam mit Facebook für den Umgang mit personenbezogenen Daten haften.
Kurz darauf hat sich auch die Datenschutzkonferenz (DSK), der Zusammenschluss der Vertreter der deutschen Aufsichtsbehörden, zu dem Urteil geäußert unter dem Titel: "Die Zeit der Verantwortungslosigkeit ist vorbei". Den Inhalt erklärt Nina Diercks so: "Zunächst hält die DSK klipp und klar fest, dass sich die vom EuGH fest gestellte gemeinsame Verantwortung auch auf das geltende Recht erstreckt. Das heißt dann natürlich auch, dass die der gemeinsamen Verantwortung unterliegenden Parteien jeweils ihren nach der DSGVO bestehenden Informationspflichten nachkommen und den Betroffenen in ihren Rechten abhelfen können müssen."
Wie hat das konkret auszusehen? Wer eine Fanpage besucht, muss über die Datenverarbeitung transparent informiert werden. Das bedeutet, dass der Betreiber entsprechende Informationen zur Datenverarbeitung (IDV) nach Art. 12, 13 DSGVO, besser bekannt als "Datenschutzerklärung", im Hinblick auf seine Facebook-Seite geben sollte, beispielsweise indem ein Link auf die IDV der Webseite gesetzt wird, auf der sich dann eine Passage zu der Datenverarbeitung auf der Facebook-Page findet, erläutert Diercks. "Wer eine Fanpage betreibt, muss sich als Betreiber selbst versichern, dass Facebook die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden." Das ist nach Einschätzung der Juristin nicht wirklich realisitisch: "Haben Sie mal versucht irgendwie mit Facebook in Kontakt zu treten?"
Findet über die Facebook-Seite ein Tracking statt, gleich ob durch Cookies oder User-IDs oder die Speicherung der IP-Adresse, dann sei grundsätzlich eine Einwilligung einzuholen. Diercks: "Hier sträuben sich mir die Nackenhaare und zwar vorwiegend deswegen, weil die DSK schon wieder ohne jede Differenzierung jegliche Trackingformen über einen Kamm schert."
Zwischen Facebook und den Fanpage-Betreibern sei ein Vertrag nach Artikel 26 DSGVO (Joint Control Contract, JCC) zu schließen, in dem festgelegt wird, wer welche Verpflichtungen zu erfüllen hat; die wesentlichen Elemente des Vertrages sind den Betroffenen, also den Nutzern, zu Verfügung zu stellen. Das ergibt sich alles aus Art. 26 DSGVO. Schließlich werde betont, dass die DSK einen dringenden Handlungsbedarf bei den Betreibern von Fanpages sieht. Jedoch heißt es daraufhin sogleich: "Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglich."
Mit diesem Satz endet die Entschließung der DSK. Was das nun heißt, interpretiert Diercks so: "Die Auffassung der DSK ist, dass
Mischenrieder Weg 18
82234 Weßling
Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de