Der Forderungskatalog der Datenschutzbeauftragten
Dort heißt es wörtlich:
"Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 05.06.2018 – C-210/16 – die Auffassung der deutschen Datenschutzaufsichtsbehörden bestätigt: Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein. Spätestens jetzt müssen alle Fanpage-Betreiber aktiv werden.
- Transparente Information: Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. (vgl. Art. 13 Datenschutz-Grundverordnung (DS-GVO))
- Einwilligungen: Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
- Vereinbarung mit Facebook: Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. (vgl. Art. 26 DS-GVO)
Diese Anforderungen können Fanpage-Betreiber nicht ohne die Mitwirkung von Facebook erfüllen. Da sie aber selbst rechtlich dazu verpflichtet sind, müssen Sie sich um die Einhaltung der Anforderungen kümmern. Das bedeutet, dass Fanpage-Betreiber sich nun an Facebook wenden sollten, um die erforderlichen Informationen zu erhalten und eine Vereinbarung abzuschließen. Hat das keinen Erfolg, sollten Fanpage-Betreiber entscheiden, ob sie ihre Fanpage einstellen."
Muss mit einem Vorgehen der Datenschützer gegen die Fanseitenbetreiber gerechnet werden?
Es bleibt unklar, ob die Behörde nun gegen Facebook-Fanseitenbetreiber vorgehen will. Zwar heißt es in der Mitteilung weiter:
"Derzeit prüft die LDI – wie andere Datenschutzbehörden in Deutschland und in Europa – wann und mit welchen Mitteln sie das Datenschutzrecht bei Fanpages durchsetzt. Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.“
Wir halten es jedenfalls für unwahrscheinlich, dass dies in der breiten Fläche geschieht, da dies auf Seiten der Datenschutzbehörde nicht unerhebliche Ressourcen erforderte. Zudem stellt sich nach wie vor die Frage, ob der Fanseitenbetreiber tatsächlich der richtige Adressat für eine Untersagungsverfügung wäre. Dies hat nach dem Urteil des EuGH nun das Bundesverwaltungsgericht zu entscheiden. Jedenfalls bis zu dieser Entscheidung sollten die Datenschutzbehörden mit einem Vorgehen gegen die Fanseitenbetreiber abwarten.
Facebook muss was tun
Klar ist aber auch: Facebook wird sich bewegen müssen. Entweder weil es selbst mit entsprechenden Verfügungen der europäischen Datenschutzbehörden konfrontiert wird oder aber weil die Fanseitenbetreiber auch Verunsicherung und Angst vor Bußgeldern den Betrieb Ihrer Fanseiten einstellen. Möglicherweise ist auch das das Ziel der jüngsten Pressemitteilungen der Datenschützer.
Seehofer mahnt Datenschützer zum Vorgehen mit Augenmaß
Nach einer Mitteilung von tageschau.de hatte sich der Bundesinnenminister Seehofer bereits am 22.05.2018 mit einem internen Schreiben an die Landesdatenschutzbeauftragte NRW gewendet. In dem Schreiben warbt Seehofer für verhältnismäßige Sanktionen mit Augenmaß.
Es bestünden Zweifel, ob die kleineren und mittelständischen Betriebe, Vereine oder ehrenamtlich Tätigen, die nicht die Möglichkeit hätten, sich ausreichend juristisch beraten zu lassen, gleichermaßen gut und schnell konform mit der DSGVO agieren würden, so Seehofer. In der Anfangsphase seien Verwarnungen und Hinweise der Datenschutzbehörden unter Berücksichtigung der Umstände und Auswirkungen der Verstöße ausreichend, um die Rechtskonformität herzustellen.