Am 5. Juni 2018 entschied der EuGH, dass der Betrieb einer sogenannten Facebook Fanpage (folgend „Fanpage“) zur gemeinsamen datenschutzrechtlichen Verantwortlichkeit des Betreibers mit Facebook führt.[1]
Vereinssoftware campai klärt auf. Am 5. Juni 2018 entschied der EuGH, dass der Betrieb einer sogenannten Facebook Fanpage (folgend „Fanpage“) zur gemeinsamen datenschutzrechtlichen Verantwortlichkeit des Betreibers mit Facebook führt.[1] Dem EuGH sind sowohl das Bundesverwaltungsgericht (folgend „BVerwG“)[2] am 11.September 2019 sowie das Oberverwaltungsgericht (folgend „OVG“) Schleswig[3] m 25. November 2021 gefolgt. Dabei prüfte das OVG Schleswig zwar die Rechtslage von 2011 (altes Datenschutzrecht von vor dem 25. Mai 2018), jedoch befand das Gericht die damalige Rechtslage mit der heutigen vergleichbar, da insbesondere die vom Urteil betroffenen Cookies damals wie heute genutzt wurden. Daraufhin hat sich die Datenschutzkonferenz der Länder (folgend „DSK“) mit der Rechtskonformität des Betriebs einer Fanpage beschäftigt. Die Ergebnisse wurden am 18. März 2022 veröffentlicht.
Datenverarbeitungen seitens Facebook
Fanpages können auch ohne vorherige Anmeldung durch die User aufgerufen und gelesen werden. Bei dem Besuch einer Webseite werden mitunter Cookies auf dem Endgerät der User platziert und ausgelesen. Diese sind entweder notwendig, um den Betrieb der Webseite sicherzustellen oder um bspw. Analysen zum Verhalten der User auf einer Webseite anzufertigen. Zudem existieren Cookies, die dabei helfen, Werbung zielgerichteter anzuzeigen. Teilweise werden solche Cookies auch von Facebook genutzt, unterscheiden sich jedoch darin, ob ein User bei Facebook registriert ist oder nicht.
Rechtliche Bewertung
Bei der Platzierung von Cookies auf Endgeräten ist neben der EU Datenschutz-Grundverordnung (folgend „DSGVO“) auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (folgend „TTDSG“) anwendbar, welches am 1. Dezember 2021 in Kraft trat. Die DSGVO ist seit 2018 in allen Mitgliedsstaaten der EU verbindlich anwendbar, während das TTDSG die sogenannte e-Privacy-Richtlinie der EU in nationales Recht umsetzt. Die Regelungsinhalte der beiden Gesetze unterscheiden sich maßgeblich darin, dass die DSGVO die Verarbeitung personenbezogener Daten im Allgemeinen regelt und das TTDSG ein nationales Gesetz zum Datenschutz im Bereich der Telekommunikation und Telemedien ist.
Wird der Dienst Facebook geöffnet können Cookies mit unterschiedlichen Zwecken auf dem Endgerät gespeichert werden. Vor der Platzierung der Cookies muss der Endnutzer eine Einwilligung gem. § 25 Abs. 1 TTDSG abgeben. Facebook nutzt hierfür sog. „Consent-Banner“. Hier beschreibt der Anbieter in knappen Worten, zu welchem Zweck die Cookies platziert werden sollen. § 25 Abs. 2 TTDSG verlangt für eine wirksame Einwilligung allerdings, dass der Endnutzer auf Grundlage klarer und umfassender Informationen einwilligt. Nach Ansicht der DSK ist eine klare und umfassende Information der Endnutzer bei dem von Facebook genutzte Consent-Banner nicht gegeben Im Ergebnis hält die DSK den von Facebook genutzten Consent-Banner daher für unzulässig.
Was bedeutet dies für mich als Verein?
Um die rechtliche Verantwortlichkeit von Datenverarbeitung zwischen zwei Verantwortlichen zu regeln, werden verschiedene Verträge geschlossen u.a. ein Vertrag über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Facebook bezeichnet diesen Vertrag als Joint Controller Addendum. Die Besonderheit hieran ist, dass die Fehler in den Datenverarbeitungen des einen, auch den anderen Verantwortlichen rechtlich belasten können. Der EuGH[4] bewertet den Betrieb einer Facebook Fanpage als eine solche gemeinsame Verantwortlichkeit zwischen Fanpageersteller und Facebook. Das BVerwG fasst diese Entscheidung wie folgt zusammen:
„21. [...] Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook‐ Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38).“
Das bedeutet praktisch, dass dem Betreiber rechtlich unzulässige Datenverarbeitungen angelastet werden können, die Facebook zur Verfügung stellt. Das betrifft u.a. die Datenverarbeitungen durch gesetzte Cookies, die anschließende Analyse und Aufbereitung in sog. „Insights“, welche einem das Nutzerverhalten auf der eigenen Fanpage anschaulich illustrieren. Daneben verantworten der Fanpagebetreiber und Facebook gemeinsam die ordnungsgemäße Information der Betroffenen, Regelungen zum Drittstaatentransfer, als auch die Durchsetzung von Betroffenenrechten. Kurzum ein datenschutzkonformer Betrieb einer Facebook Fanpage ist schwer möglich, weil es Anpassungen bedarf, die auf der Seite von Facebook vorgenommen werden müssen und die der Betreiber von einer Fanpage nicht durchsetzen kann.
Zusammenfassung
Für die Datenverarbeitung, die beim Besuch einer Fanpage ausgelöst wird, sind zahlreiche datenschutzrechtliche Fallstrike vorhanden. Fanpagebetreiber können die Probleme nicht oder nur sehr bedingt selbst lösen. Besonders risikobehaftet ist die gemeinsame Verantwortlichkeit, insbesondere bei der Haftung bei datenschutzrechtlichen Verstößen. Betreiber von Facebook Fanpages sollten daher genau überlegen, ob Facebook ein geeigneter Kooperationspartner für die Öffentlichkeitsarbeit des Vereins ist.
Weitere Informationen finden Sie unter:
Datenschutzkonferenz der Länder (DSK); Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook Fanpages; Version 1 (Version für die 103. DSK-Sitzung); Stand 18. März 2022; aufrufbar unter: https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK_Kurzgutachten_Facebook-Fanpages_V1_18.03.2022.pdf
[1] Urteil des EuGH vom 5. Juni 2018; Az. C-210/16, „Wissenschaftsakademie“
[2] Urteil des BVerwG vom 11. September 2019; Az. 6 C 15.18
[3] Urteil des OVG Schleswig vom 25. November 2021; Az. 4 LB 20/13
[4] Urteil des EuGH vom 5. Juni 2018; Az. C-210/16, „Wissenschaftsakademie“