Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).
Kurz nach Veröffentlichung des Urteils des EuGH vom 5.06.2018 (wir berichteten) zur gemeinsamen Verantwortlichkeit von Facebook-Seitenbetreibern und Facebook hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort gemeldet und eine Entschließung veröffentlicht (pdf).
Entschließung der DSK
Wie ich bereits berichtete, fällt das Urteil des EuGH den Datenschutzaufsichtsbehörden geradezu in den Schoß. Die Entschließung beginnt mit den Worten:
„Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“
Wie viele meiner Kollegen bereits geschrieben haben, ist die Entschließung jedoch wenig hilfreich. Eine konkrete Handlungsanweisung, oder sagen wir besser Handlungshilfe, für Unternehmen lässt sich dort nicht finden. Tatsächlich kann dies von der DSK auch nicht erwartet werden, denn Entschließungen der Aufsichtsbehörden geben lediglich die Auffassung der Aufsichtsbehörden wieder. Und auch das bedeutet nicht, dass nun jede Aufsichtsbehörde sich an die formulierten Entschließungen halten muss. Wie immer entscheidet am Ende das Gericht.
Die DSK sagt Ihnen als Fanpage-Betreiber, was Sie beachten müssen. Hierzu beschränkt sich die DSK auf nur einige Aspekte, aber immerhin. Ich fasse dies mal zusammen:
- Ihre Datenschutzerklärung muss in Hinblick auf Facebook transparent und verständlich sein. Sie müssen also genau mitteilen, welche Daten in Zusammenhang mit Facebook zu welchen Zwecken durch Facebook und Sie als Fanpage-Betreiber verarbeitet werden. Diese Informationen sind auch Besuchern mitzuteilen, die nicht bei Facebook registriert sind.
- Sie müssen sich nach Auffassung der DSK die Informationen bei Facebook besorgen. Damit will die DSK andeuten, dass ein rechtlich sicheres Betreiben einer Fanpage nicht ohne die Mithilfe von Facebook gelingen kann.
- Beim Tracken von personenbezogenen Daten (z.B. mittels Cookies oder vergleichbarer Techniken und Speichern der IP-Adresse) ist (!) eine Einwilligung einzuholen (so die Ansicht der DSK).
- Da wir hier eine gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Facebook haben, muss zwischen den gemeinsamen Verantwortlichen eine Vereinbarung über die Verteilung der Pflichtenerfüllung geschlossen werden (entsprechend Art. 26 DSGVO).
Was heißt das für Sie?
Wie bereits geschrieben, können Sie, um jedes Risiko zu vermeiden, die Fanpage zunächst abschalten. Sie können aber auch „versuchen“, die Anforderungen zu erfüllen und Ihre Fanpage weiter betreiben. Hier müssen Sie eine Abwägung von Aufwand, Risiko und Nutzen der Fanpage vornehmen.
Die Fanpage einfach weiterzubetreiben, ist meines Erachtens keine gute Idee. Viele meiner Kollegen betonen, dass aufgrund der Entscheidung niemand vorschnell die Fanpage löschen muss. Das ist richtig. Denn die DSK interpretiert das Urteil des EuGH natürlich so, wie die Aufsichtsbehörden es gerne hätten. In dem Urteil des EuGH steht allerdings nicht, dass Sie nun alle Pflichten erfüllen müssen, die auch Facebook erfüllen muss. Dort steht vielmehr (Rn. 43):
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, (…), aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. (Hervorhebungen habe ich vorgenommen)
Meine Empfehlung:
Sollten Sie unter Abwägung aller Umstände zu dem Schluss gekommen sein, dass Sie die Fanpage gerne weiter betreiben möchten, dann sollten Sie den ersten wichtigen Schritt tun:
Erweitern Sie Ihre Datenschutzerklärung soweit es Ihnen möglich ist und teilen Sie dort alles mit, was Sie wissen. Hierzu können Sie unter anderem auch in der Datenschutzerklärung von Facebook nachlesen (wenn das in irgendeiner Weise hilfreich sein sollte).
Es ist nach wie vor streitig, ob Sie tatsächlich für das Tracken (und somit für die Facebook-Cookies) eine Einwilligung benötigen. Die Aufsichtsbehörden wünschen sich das. Es bleibt aber abzuwarten, was die Gerichte sagen. Hierzu muss es allerdings erst mal zu einer gerichtlichen Auseinandersetzung kommen. Ich glaube, diese lässt nicht lange auf sich warten.
Einen Vertrag mit Facebook zu schließen, wird nicht ohne Weiteres möglich sein, es sei denn, Facebook bietet das nach dem Urteil des EuGH an. Behalten Sie das also bitte im Auge.