Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


24.3.2022

Aufsicht: Facebook-Fanpages (weiterhin) nicht datenschutzkonform

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hält aktuell den Betrieb von Facebook-Fanpages für nicht datenschutzrechtskonform. Das gab die DSK am 24. März 2022 – wenngleich ein bisschen versteckt in einer Pressemitteilung, die auch Forschungsdaten zum Gegenstand hatte, bekannt. Basis für diese Einschätzung ist ein Kurzgutachten, das von der DSK veröffentlicht wurde und hier direkt abrufbar ist.

Das „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages“ gibt einen Überblick über die aktuelle rechtliche Bewertung des Betriebs von Facebook-Fanpages durch die deutschen Datenschutzaufsichtsbehörden. Es berücksichtigt die aktuelle Rechtslage, also unter anderem auch das seit Dezember 2021 geltende Telekommunikation‐Telemedien‐Datenschutzgesetz (TTDSG; dazu s. Datenschutz-News v. 28.1.2022) und das Urteil des Oberverwaltungsgerichts Schleswig-Holstein vom 25.11.2021 (Az. 4 LB 20/13), mit dem ein Schlusspunkt unter den jahrelangen Rechtsstreit zwischen dem ULD Schleswig-Holstein und der Wirtschaftsakademie Schleswig-Holstein GmbH gesetzt wurde.

Hintergrund

Gegenstand dieses Rechtsstreits war eine datenschutzrechtliche Anordnung der schleswig-holsteinischen Landesdatenschutzaufsichtsbehörde aus dem Jahre 2011. Im Revisionsverfahren hatte das Bundesverwaltungsgericht (BVerwG, Az. 6 C 15.18) entschieden, dass die Datenschutzaufsicht gegen Betreiber von Facebook Fanpages vorgehen und diese verpflichten darf, ihre Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Diesem Urteil des BVerwG war ein Vorlageverfahren beim EuGH vorausgegangen. Bereits am 5.6.2018 entschied der EuGH auf Vorlage des BVerwG in dem Verfahren ULD S-H / Wirtschaftsakademie Schleswig-Holstein GmbH (Az. C-210/16), dass eine gemeinsame Verantwortlichkeit auch im Verhältnis zwischen dem Social Media-Dienste-Anbieter Facebook und dem Betreiber einer Fanpage auf der Plattform von Facebook vorliegen kann – zumindest, wenn dabei wie im konkreten Fall eine Funktion zum Einsatz kommt, mit der Daten der Fanpage-Besucher erhoben und an Facebook übermittelt wurden (Facebook Insight). Das BVerwG hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen.
(s. dazu Datenschutz-News v. 12.9.2019).

Neben dieser Rechtsprechung wurde in dem Kurzgutachten der DSK der seinerzeit festgestellte technische Umsetzungsstand von Facebook‐Fanpages zugrunde gelegt. Allerdings wurde die Prüfung auf drei von mehreren festgestellten Cookies beschränkt.

Ergebnis

Das Gutachten der DSK kommt zu dem Ergebnis, dass das Betreiben einer Facebook-Fanpage aktuell mit den Vorgaben des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und der Datenschutz-Grundverordnung (DSGVO) nicht vereinbar ist.

Es werden Informationen in den Endeinrichtungen der Nutzer gespeichert und auf dort bereits gespeicherte Informationen zugegriffen,

  • ohne dass dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen zu können (§ 25 Abs. 2 Nr. 2 TTDSG), und
  • ohne dass eine rechtswirksame Einwilligung gem. § 25 Abs. 1 TTDSG eingeholt wird.

Das zum Einsatz kommende „Einwilligungsbanner“ genüge nicht den gesetzlichen Voraussetzungen, die sich nach den DSGVO-Vorgaben für eine Einwilligung bestimmen (§ 25 Abs. 1 Satz 2 TTDSG). Das gilt nicht nur hinsichtlich der erforderlichen Informationen, sondern gerade auch in Bezug auf die notwendige Freiwilligkeit, die aufgrund der Gestaltung des „Einwilligungsbanners“ in mehrfacher Hinsicht nicht gegeben sei.

Weiterhin wird das Vorliegen einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch den Fanpage-Betreiber (im Rahmen der gemeinsamen Verantwortlichkeit) vereint. Es fehle bereits an den notwendigen Informationen im Zusammenhang mit der Insight-Funktion, um überhaupt die Rechtmäßigkeit einschätzen bzw. sich auf eine bestimmte Rechtsgrundlage berufen zu können. Aus diesem Grund können Fanpage-Betreiber auch ihren Informationspflichten nach Art. 13 DSGVO nicht nachkommen.

Schließlich wird in dem Gutachten darauf hingewiesen, dass die Übertragung personenbezogener Daten in Drittstaaten ebenfalls problematisch sei, ohne die damit verbundenen, aktuell diskutierten Fragen der Rechtmäßigkeit zu vertiefen.

Fazit und Hinweise für die Praxis

Der Bundes- und die Landesbeauftragten für Datenschutz wollen auf der Grundlage des Kurzgutachtens aufsichtsbehördlich tätig werden. Allerdings wollen sie sich hierbei wohl zunächst auf die öffentlichen Stellen konzentrieren. Das geht aus einem Beschluss der Datenschutzkonferenz vom 23. März 2022 hervor.

Eine solche Äußerung schließt es jedoch nicht aus, dass auch Unternehmen und sonstige nicht-öffentliche Stellen Adressat von aufsichtsbehördlichen Untersuchungs- und Abhilfemaßnahmen werden können. Facebook-Fanpage-Betreiber müssen sich weiterhin des Risikos bewusst sein, Adressat einer aufsichtsbehördlichen Handlung und von der Aufsicht in die Pflicht genommen werden zu können. Hierbei ist neben den hier grob zusammengefassten Kernaussagen des Kurzgutachtens der DSK auch Folgendes zu beachten: Die von Facebook im Nachgang zum EuGH-Urteil veröffentlichte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ und „Informationen zu Seiten-Insights“ sind nach Ansicht der deutschen Datenschutzaufsichtsbehörden nicht hinreichend, um die in Art. 26 DSGVO vorgesehenen Pflichten einer Vereinbarung zwischen gemeinsamen Verantwortlichen und einer besonderen Information der betroffenen Personen erfüllen zu können.

Sollten Sie Fragen zur Nutzung von Facebook-Fanpages, dem Einsatz von Social Plugins auf Websites oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht