In seinem Urteil vom 11.09.2019 (https://www.bverwg.de/pm/2019/62) entschied das Bundesverwaltungsgericht (BVG), dass Datenschutzbehörden den Betrieb eines Facebook-Unternehmensauftritts (Fanpage) untersagen können, wenn die Datenverarbeitung rechtswidrig stattfindet.
Diesem Urteil gehen zwei Urteile des europäischen Gerichtshofs (EuGH) zum Thema Facebook voraus:
und
Welche Auswirkungen hat nun die aktuelle Rechtslage für Betreiber von Fanpages und welches Risiko gehen diese ein, wenn sie die Seiten weiterbetreiben?
Die Tücken des Datenschutzrechts in der Anwendung
Bevor wir die Folgen des BVG-Urteils näher betrachten, sei vorweggeschickt: dieses Urteil macht erneut deutlich, wie vielschichtig und komplex das Datenschutzrecht ist. Selbst für Experten sind viele Aspekte der jüngsten Entwicklungen nur schwer nachzuvollziehen. Das gilt natürlich umso mehr für den Rechtsanwender, hier also den Fanpage-Betreiber, in der täglichen Praxis.
In diesem Beitrag können daher nur die grundlegenden Zusammenhänge ansatzweise dargestellt werden. Wir ziehen dabei in unserer Funktion als Datenschutzbeauftragte aus der aktuellen Faktenlage unsere rechtlichen Schlüsse und Empfehlungen, aber natürlich kann ein Verantwortlicher oder ein anderer Datenschutzbeauftragter zu ganz anderen Schlüssen gelangen. Für eine komplett wasserdichte Beurteilung ist die scheinbar endlose Geschichte um die Fanpage einfach noch nicht an einem absehbaren Ende angekommen. Aber der Strick um den Hals der Fanpage ist schon merklich enger geworden.
Voraussetzungen für den rechtssicheren Betrieb einer Fanpage bei Facebook
Der Betrieb einer Fanpage hat zum aktuellen Zeitpunkt bestimmte Tracking- und Analysemaßnahmen zur Konsequenz, die Facebook zu eigenen Werbezecken nutzt und dem Betreiber anonymisiert für sein Marketing zur Verfügung stellt. Dafür verarbeitet Facebook auf bestimmten technischen Wegen die Nutzerdaten, sobald sie auf der Fanpage landen, und zwar unabhängig davon, ob der Nutzer einen eigenen Facebook-Account hat oder nicht.
Daher stuften die Bundesrichter die Fanpage-Betreiber als „Türöffner für die Datensammelei“ ein. „Es reicht aus, dass ein Beitrag zum Zweck der Datenerhebung und -verarbeitung geleistet wird„, so der Vorsitzende Richter des 6. Senats, Ingo Kraft. Der Fanpage-Betreiber trägt daher eine datenschutzrechtliche Verantwortung, obwohl die technische Infrastruktur vollständig von Facebook bereitgestellt wird. So sieht das übrigens auch Facebook in ihrem Addendum zur Fanpage (siehe unten): „Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“
Um eine Fanpage im Sinne der DSGVO vor diesem Hintergrund rechtssicher betreiben zu können, sind im Wesentlichen vier Voraussetzungen notwendig, die der Verantwortliche einhalten muss.
Der Fanpage-Betreiber
- muss eine wirksame Vereinbarung gemäß Art. 26 DSGVO mit Facebook abgeschlossen haben, da der EuGH in seinem oben genannten Urteil festgestellt hat, dass der Betreiber einer Fanpage gemeinsam mit Facebook für die Datenverarbeitung verantwortlich ist;
- benötigt eine eigene Rechtsgrundlage für die Verarbeitung;
- muss den Besucher der Fanpage über die Verarbeitung gemäß Art. 13 DSGVO informieren;
- muss in der Lage sein, so in die Datenverarbeitung zu intervenieren, dass die Rechte der Betroffenen gewahrt werden können.
Wenn der Betreiber der Fanpage nicht alle vier Punkte vollständig und rechtlich sicher erfüllen kann, darf er die Fanpage nicht mehr betreiben. Die Datenschutzbehörde kann dann, so wie es das BVG entschieden hat, die Schließung der Seite anordnen. Mögliche Bußgelder sind damit aber noch nicht vom Tisch. Aber dazu später.
Die gemeinsame Datenverarbeitung mit Facebook
Das Urteil des EuGH in diesem Punkt ist auch für die deutsche Rechtsprechung maßgebend, weshalb auch das BVG diese Vorgabe als bindend ansieht. Folglich ist eine Vereinbarung nach Art. 26 DSGVO zwingend erforderlich.
Facebook hat zwar inzwischen eine Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) vorgelegt. Diese erfüllt aber nicht die Anforderungen der DSGVO. So sieht es zumindest die Datenschutzkonferenz (DSK) in Ihrem Positionspapier vom 01.04.2019 (https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Zur Begründung führt die DSK aus:
„Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen will. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.“.
Folgt man dieser Argumentation der Aufsichtsbehörden, dann folgt daraus, dass die Rechtmäßigkeit des Betriebs einer Fanpage schon an der fehlenden Vereinbarung nach Art. 26 DSGVO scheitert.
Die Rechtsgrundlage
Auch unter einer gemeinsamen Verantwortlichkeit benötigt jeder Verantwortliche eine eigene Rechtsgrundlage. Die Liste möglicher Grundlagen findet sich in Art. 6 DSGVO. Aus naheliegenden Überlegungen scheiden die meisten der aufgeführten Tatbestände jedoch aus, sodass am Ende nur die Einwilligung oder das sog. berechtigte Interesse bleibt (Art. 6 Abs. 1 lit. a und f DSGVO).
Aus der Zeit vor der DSGVO stammt das Verständnis des berechtigten Interesses als Auffangtatbestand. Nahezu jedes Tracking und jede Werbemaßnahme wurde damit begründet. Aber kann die Verarbeitung auf einer Fanpage mit berechtigtem Interesse unter dem Verständnis der DSGVO begründet werden?
Um die Frage beantworten zu können, muss man zum einen wissen, dass bestimmte Regelungen seit der DSGVO nicht mehr gelten und zum anderen die Berufung auf ein berechtigtes Interesse immer eine umfassende Interessenabwägung mit den Interessen der Betroffenen erfordert (zum Prüfschema siehe https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf).
Führt man diese Interessenabwägung für den Fall der Fanpage durch, kann man nur zu dem Ergebnis gelangen, dass die Interessen der Betroffenen überwiegen und die Anwendung des Art. 6 Abs. lit. f DSGVO nicht möglich ist. Für diesen Schluss spricht die fehlende Interventionsmöglichkeit der Betroffenen, die Verkettung von Daten, die hohe und intransparente Anzahl der beteiligten Akteure und die lange Beobachtungsdauer, sprich Lebensdauer der Cookies.
Der Versuch, auf ein berechtigtes Interesse abzustellen, steht nun außerdem nach dem oben genannten Urteil des EuGHs hinsichtlich der Facebook-Like-Buttons unter einem weiteren Licht. Folgt man der Argumentation des Gerichtes, dann kann analog das Tracking und die Analyse auf Fanpages nur mit einer konkreten, wissenden und freiwilligen Einwilligung der Betroffenen erfolgen.
Diese Einwilligung müsste allerdings zwingend vor der Nutzung der Fanpage eingeholt werden und so gestaltet sein, dass der Besucher genau weiß, worin er einwilligt. Damit die Einwilligung auch ihre Freiwilligkeit behält, müsste der Betroffene auch eine Opt-Out-Möglichkeit haben. All dies lässt sich technisch durch den Verantwortlichen, also den Betreiber der Facebook-Fanpage, aktuell nicht umsetzen.
Die Einwilligung lässt sich auch nicht rechtssicher auf Umwegen einholen (z. B. über eine Einwilligung auf der eigenen Webseite), da der Betroffene diese ja erteilen muss, bevor er auf der Fanpage landet.
Zusammengefasst bedeutet dies: Für den rechtssicheren Betrieb einer Facebook-Fanpage ist die konkrete, wissende und freiwillige Einwilligung der Besucher zwingend erforderlich. Diese lässt sich aktuell technisch nicht realisieren. Daher ist die Datenverarbeitung im Zuge einer Fanpage momentan rechtswidrig.
Die Datenschutzinformation
Technisch bietet Facebook inzwischen die Möglichkeit, eine Datenschutzerklärung auf der Fanpage zu verlinken. In dieser muss nun aber der Verantwortliche zum einen Aussagen zu den beiden vorgenannten Punkten treffen, zum anderen konkrete und transparente Aussagen zu Art und zu Empfängern der verarbeiteten Daten machen.
Der an vielen Stellen bekanntermaßen intransparente Umgang von Facebook mit den gesammelten Daten, macht das aber letztendlich für den Verantwortlichen unmöglich.
Auf der Fanpage die Datenschutzerklärung der eigenen Webseite zu verlinken ist jedenfalls der schlechteste Weg. Das verringert zusätzlich die Möglichkeit, dass der Betroffene transparent nachvollziehen kann, was mit seinen Daten geschieht.
Die Intervention
Wenn der Betroffene seine Rechte (z. B. auf Auskunft oder Löschung) wahrnehmen möchte, kann der Verantwortliche nicht selbst in die Verarbeitung eingreifen. Er ist nach der Seiten-Insights-Ergänzung dazu verpflichtet, Facebook innerhalb von sieben Tagen zu benachrichtigen. Facebook verspricht dann, diese Anfragen form- und fristgerecht zu beantworten.
Die Hoffnung stirbt bekanntermaßen zuletzt. Wenn Facebook hier nicht ordentlich arbeitet, hat der Betroffene das Recht, sich an den Fanpage-Betreiber zu wenden (Art. 26 Abs. 3 DSGVO). Jetzt steht der Verantwortliche in der Bredouille, da er die Anfragen der Betroffenen nämlich nicht selbst beantworten kann. Möchte er dann in der Folge Facebook in Regress nehmen, muss er sich an irische Gerichte wenden.
Das Ergebnis
Weder hat der Verantwortliche die Möglichkeit, eine wirksame Vereinbarung nach Art. 26 DSGVO mit Facebook zu schließen, noch hat er die technischen Möglichkeiten, eine erlaubte Datenverarbeitung mittels Einwilligung vorzunehmen.
Die Information der Betroffenen und die Wahrung ihrer Rechte stehen zumindest unter einem hohen rechtlichen Risiko.
Daher empfehlen wir, Facebook-Fanpages solange offline zu stellen, bis Facebook hier wirksame Änderungen vorgenommen hat.
Die Strafen
Vor wenigen Wochen haben sich die Aufsichtsbehörden über ein einheitliches Verfahren zur Berechnung von Bußgeldern verständigt (siehe https://www.juve.de/nachrichten/namenundnachrichten/2019/09/dsgvo-datenschutzbehoerden-berechnen-bussgelder-nach-neuem-modell).
Für den vorsätzlichen (nach unserer Auffassung) rechtswidrigen Betrieb einer Fanpage dürfte man wohl von einem mittleren Verstoß ausgehen. Ohne Gewähr sind nach den neuen Berechnungsmethoden dann 2 – 3 % des Jahresumsatzes als Bußgeld möglich. Im Wiederholungsfall kann sich diese Summe vervielfachen.
Auch vor diesem Hintergrund muss sich jeder Verantwortliche das Risiko aus seiner Fanpage nochmal neu vornehmen. Bedacht werden muss, dass dieser Verstoß von den Behörden natürlich sehr leicht auszumachen ist und die Behörden werden jetzt nach eigener Aussage prüfen, ob es neuere datenschutzrechtliche Verstöße gibt. „Beschwerden lägen vor und würden geprüft“, so Marit Hansen, ULD. Sie bezeichnet das Urteil als „Rückenwind für den Datenschutz“ und erwartet, dass Facebook aus dem Urteil Konsequenzen zieht.
Wir bleiben am Ball
Dieses wichtige Thema steht natürlich auf unserer Watch-List. Jede Neuigkeit verfolgen wir. Daher informieren wir Sie frühzeitig, wenn aus unserer Sicht der Betrieb einer Fanpage wieder rechtssicher möglich ist.