Kritik an Facebook
Die DSK bemängelt insbesondere, dass Facebook sich seit dem Urteil kaum bewegt habe. Offizielle Verlautbarungen von Seiten Facebooks, ob und welche Schritte unternommen würden, um einen rechtskonformen Betrieb von Facebook-Fanpages zu ermöglichen, seien bisher ausgeblieben. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) sei bislang nicht zur Verfügung gestellt worden. Die deutschen Datenschutzaufsichtsbehörden wirkten daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin.
DSK nimmt Fanseitenbetreiber in die Pflicht
Wie auch in dem ersten Papier weist die DSK darauf hin, dass auch Fanpage-Betreiber sich ihrer datenschutzrechtlichen Verantwortung stellen müssten. Ohne Auftragsverarbeitungsvertrag sei der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.
Beim Betrieb von Fanpages müssten nun die Anforderungen des Datenschutzrechts erfüllt werden. Insbesondere müssten die gemeinsam Verantwortlichen (also Facebook und Fanseitenbetreiber) Klarheit über die derzeitige Sachlage schaffen und den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) die erforderlichen Informationen bereitstellen.
Da Facebook derzeit kein Auftragsverarbeitungsvertrag anbietet, den ein Fanseitenbetreiber mit Facebook schließen könnte und auch keine ausreichenden Informationen über die Verarbeitung der Daten bereit stellt, ist tatsächlich davon auszugehen, dass der Betrieb von Facebook-Fanseiten datenschutzwidrig ist.
Was bedeutet das für mich? Facebook-Fanseite abschalten?
Ja, es ist richtig: Wenn Sie eine Facebook-Fanseite betreiben, handeln sie derzeit nicht rechtskonform. Und ja, es ist auch richtig: Sie sind nach der EuGH-Entscheidung hierfür datenschutzrechtlich in der Verantwortung. Aber, wir hatten hierauf mehrmals hingewiesen: Der EuGH hat Facebook als Hauptverantwortlichen ausgemacht. Und was die DSK geflissentlich zu übersehen scheint: Der zweite Teil der Entscheidung des EuGH beschäftigt sich mit der Frage, welchen Verantwortlichen die Datenschutzbehörden vornehmlich in Anspruch zu nehmen haben.
Gegen wen Datenschützer vorgehen müssen
Es gibt im dem deutschen Verwaltungsrecht den Grundsatz des richtigen Auswahlermessens. Heißt: Habe ich als Behörde zwei Störer (oder Verantwortliche) muss die Behörde darüber befinden, wen der beiden Störer sie in Anspruch nehmen muss. Diese Frage hat der EuGH zur abschließenden Entscheidung an das Bundesverwaltungsgericht zurückgegeben. Aber bereits der gesunde Menschenverstand sagt uns ja schon, wer das nur wer sein kann? Facebook! Denn nur Facebook ist in der Lage Auftragsverarbeitungsverträge in der Masse anzubieten. Und nur Facebook ist in der Lage transparent über die Datenverarbeitung zu informieren.
In die falsche Richtung geschossen
Das Engagement der DSK in allen Ehren, aber derzeit wird in die falsche Richtung geschossen. Es bringt überhaupt nichts, wenn die jeweiligen Datenschutzbehörden einzelne Fanseitenbetreiber herauspicken und gegen die Untersagungsverfügungen und Bußgeldbescheide erlassen. Nicht nur, dass ich ein solches Vorgehen vor dem Hintergrund des richtigen Auswahlermessens für angreifbar halte; ein solches Vorgehen wäre auch politisch unklug. Es wäre nämlich schwer vermittelbar, warum lediglich einige wenige von den Datenschutzbehörden herausgepickten Facebook-Fanseitenbetreiber abschalten sollen und die Masse nicht – denn die Datenschutzbehörden verfügen gar nicht über die Mittel und das Personal, gegen sämtliche Facebook-Fanseitenbetreiber vorzugehen. Wie wollte man den Betroffen dann erklären, dass ausgerechnet sie, aber nicht die Masse abschalten müssen.
Eine gesetzliche Regelung wie die DSGVO ist nur so lange wirksam, wie sie von der Gemeinschaft akzeptiert wird. Hiermit ist es bei der DSGVO ohnehin nicht weit her, weil von vielen der tiefere Sinn von Datenschutz nicht gesehen (obwohl Datenschutz durchaus Sinn macht!!!) und die DSGVO als zusätzliche Belastung empfunden wird. Mit einem vereinzelten Vorgehen gegen Fanseitenbetreiber würde die Akzeptanz der Regelungen weiter untergraben – zudem die öffentliche Hand, die (eigentlich) per se an Gesetz und Rechtsprechung gebunden ist, ebenso Facebook-Seiten betreibt.
Haut Facebook!
Wenn die Datenschutzbehörden also aktiv werden wollen, dann gegen Facebook. Ich bin mir noch nicht mal sicher, ob Facebook Positionspapiere der Datenschutzkonferenz zur Kenntnis nimmt – jedenfalls scheinen sie dort nicht großartig zu stören, denn seit dem ersten Positionspapier zum Facebook-Urteil ist ja nicht viel passiert. Der EuGH hat es den hiesigen Datenschutzbehörden in seiner Entscheidung ins Stammbuch geschrieben: Die deutschen Datenschützer sind für Facebook zuständig. Sie können also gegen Facebook vorgehen. Das Einzige, was hierzu in dem Positionspapier zu lesen ist: Man wolle sich mit den anderen europäischen Behörden abstimmen. Von einem Abstimmungsgebot stand aber in dem Urteil nichts. Also liebe Datenschützer, wenn ihr loslegen wollt, dann legt los, aber verhaut die (den) Richtigen.