Facebook-Fanseitenbetreiber in der datenschutzrechtlichen Verantwortung
Unternehmen oder Verwaltungen, die eine Facebook Fanpage betrieben, könnten sich ihrer datenschutzrechtlichen Mitverantwortung nicht entziehen, so Hartge unter Verweis auf das Facebook-Urteil des Europäischen Gerichtshof. Sie seien daher verpflichtet, Auftragsverarbeitungsverträge mit Facebook zu schließen und nachvollziehbar darzulegen, dass die Verarbeitung der Nutzerdaten mit der Datenschutz-Grundverordnung vereinbar ist. Dies sei aber derzeit nicht möglich, da Facebook bislang weder hinreichend transparent noch konkret über die Verarbeitung der Nutzerdaten informiere.
Hartge: Betrieb von Facebook-Fanseiten rechtswidrig
Hartge kritisierte in diesem Zusammenhang vor allem die undurchschaubare Verarbeitung von Fanpagebesucherinnen und -besuchern, die selbst gar nicht Mitglied des sozialen Netzwerks sind und bekräftigte ihre Auffassung, dass der Betrieb von Facebook Fanpages rechtswidrig sei. Daher werde sie im laufenden Jahr den Betreibern solcher Fanpages auf den Zahn fühlen. Im September 2018 hatte die DSK einen Anforderungskatalog für einen rechtmäßigen Betrieb einer Facebook-Fanseite formuliert, auf den sich Hartge in Ihrem Bericht bezieht.
Facebook-Fanseitenbetreiber der richtige Adressat behördlicher Maßnahmen?
In der Sache selbst mag die Chefin der brandenburgischen Datenschutzbehörde insoweit richtig liegen, dass die Verarbeitung der Daten durch Facebook nach wie vor intransparent ist. Es stellt sich aber die Frage, ob die Fanseiten-Betreiber die richtigen Adressaten dieser behördlichen Maßnahmen sind oder ob sich diese nicht unmittelbar an Facebook richten müssen. Diese Frage wird nach dem Facebook-Urteil des EuGH demnächst das Bundesverwaltungsgericht klären.
In Brandenburg wird's für Fanseitenbetreiber 2019 ungemütlich
Gleichwohl ist die die Behörde in Brandenburg natürlich nicht daran gehindert, schon jetzt eigene Maßnahmen gegen Fanseitenbetreiber zu ergreifen. Neben Anordnungen zum Abschalten der Fanpages sowie dem Ausspruch eines zeitlich begrenzten oder endgültigen Verbots der Datenverarbeitung können hierbei auch Bußgelder eine Rolle spielen. Die Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Natürlich müssen diese diese Anordnungen nicht klaglos hingenommen werden, sondern können gerichtlich überprüft werden - beispielsweise darauf hin, ob die Maßnahme gegen den Fanseitenbetreiber oder gegenüber Facebook direkt ergehen müsste.
DSGVO und WhatsApp passen auch nicht zusammen
Die Frage, ob WhatsApp datenschutzgerecht eingesetzt werden kann beantwortet Hartge mit einem klaren Nein. WhatsApp lese das Telefonbuch des Nutzers automatisch aus und speichere die Daten auf konzerneigenen Servern. Einwilligungen der Betroffenen dürften hierfür wohl kaum vorliegen. Spätestens die von Facebook geplante Zusammenführung der Messengerdienste von WhatsApp, Instagram, Messenger und Facebook sollten Unternehmen und Behörden zum Anlass nehmen, Alternativen zu suchen, so Hartge.