“Hier wird das Risi­ko für den Fanpage-Betreiber deut­lich: Als gemein­sam mit Face­book Ver­ant­wort­li­cher haf­tet der Betrei­ber der Fan­page unter Umstän­den für eine Ver­ar­bei­tungs­tä­tig­keit, die er nicht hin­rei­chend durch­schau­en kann.” – Eileen Bin­der

Rück­blick

In sei­nem Urteil vom 05.06.2018 (Az.: C‑210/16) hat der EuGH fest­ge­stellt, dass Betrei­ber von Facebook-Fanpages gemein­sam mit dem Platt­form­be­trei­ber Face­book für die dort erfol­gen­de Daten­ver­ar­bei­tung ver­ant­wort­lich sind.

Das Urteil hat­te unmit­tel­ba­re Bedeu­tung für alle Betrei­ber von Facebook-Fanpages mit sich gebracht. Für einen zuläs­si­gen und risi­ko­frei­en Betrieb der Pages muss­te zwi­schen dem Fanpage-Betreiber und Face­book ein Ver­trag über die gemein­sa­me Ver­ant­wor­tung nach Art. 26 DSGVO geschlos­sen wer­den. Face­book stellt  seit Anfang Sep­tem­ber ein soge­nann­tes Page Insights Con­trol­ler Adden­dum (PICA) zur Ver­fü­gung. Die­ses PICA soll der nach Art. 26 DSGVO gefor­der­ten Ver­ein­ba­rung über die gemein­sa­me Ver­ant­wort­lich­keit entsprechen.

Die Rechen­schafts­pflicht der gemein­sam Verantwortlichen

Bereits in ihrem Beschluss vom 05.09.2018 hat die DSK Stel­lung zum EuGH-Urteil genom­men und deut­lich gemacht, dass Fanpage-Betreiber die Recht­mä­ßig­keit der gemein­sam zu ver­ant­wor­ten­den Daten­ver­ar­bei­tung gewähr­leis­ten und die Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus Art. 5 Abs. 1 DSGVO nach­wei­sen müs­sen. In ihrem nun ver­öf­fent­lich­ten Posi­ti­ons­pa­pier äußert sich die DSK zu Facebook’s PICA mit dem Ergeb­nis, dass die­ses die Anfor­de­run­gen nach Art. 26 DSGVO nicht erfülle.

Weder kön­ne es sein, dass sich Face­book die allei­ni­ge Ent­schei­dungs­macht hin­sicht­lich der Ver­ar­bei­tung der Insights-Daten ein­räu­men las­se, noch wür­den die Ver­ar­bei­tun­gen hin­rei­chend kon­kret und trans­pa­rent dar­ge­stellt. Eine Prü­fung der Rechts­mä­ßig­keit der Ver­ar­bei­tung von Insights-Daten sei dem Facebook-Fanpage Betrei­ber anhand der PICA nicht möglich.

Hier wird das Risi­ko für den Fanpage-Betreiber deut­lich: Als gemein­sam mit Face­book Ver­ant­wort­li­cher haf­tet der Betrei­ber der Fan­page unter Umstän­den für eine Ver­ar­bei­tungs­tä­tig­keit, die er nicht hin­rei­chend durch­schau­en kann.

Die DSK bekräf­tigt daher erneut die Rechen­schafts­pflicht der Fanpage-Betreiber. Die Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten müs­sen ein­ge­hal­ten und nach­ge­wie­sen wer­den kön­nen. Solan­ge Face­book sei­ne PICA nicht nach­bes­sert und die Fanpage-Betreiber ihrer Ver­ant­wor­tung nicht gerecht wer­den kön­nen, ist ein daten­schutz­kon­for­mer Betrieb der Fan­page wei­ter­hin nicht möglich.

Was Facebook-Fanpage-Betreiber tun können

Fanpage-Betreiber, die wei­ter­hin auf Face­book prä­sent sein möch­ten, soll­ten auf ihrer Fan­page zumin­dest eine Daten­richt­li­nie zur Ver­fü­gung stel­len, die den Anfor­de­run­gen des Art. 13 DSGVO gerecht wird und über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten aus Sicht ihrer Ver­ant­wort­lich­keit informiert.