Am 11.09.2019 hat das das Bundesverwaltungsgericht in Leipzig entschieden, dass Datenschutzbehörden einen Betreiber einer Facebook-Fanpage verpflichten können, diese Fanpage abzuschalten. Voraussetzung dafür ist, dass „die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist“.
Der Europäische Gerichtshof urteilte bereits am 05.06.2018 (PR), dass „der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“ ist (Urteil).
Das aktuelle Urteil untermauert damit die Forderungen der Konferenz der Datenschutzbehörden des Bundes und der Länder vom 06.08.2018, in der es heißt:
- „Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO [Datenschutz-Grundverordnung] erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.“
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein wies ebenfalls bereits am 08.06.2019 darauf hin, dass eine Vereinbarung gem. Art 26 DS-GVO (analog dazu § 28 KDG), in der die jeweiligen Verantwortlichkeiten darzustellen sind, zu treffen ist.
Wir möchten an dieser Stelle noch einmal darauf hinweisen, dass es für eine rechtskonforme Verarbeitung erforderlich ist, dass in diesem Zusammenhang beide beteiligte Parteien über den Umgang mit den durch sie verarbeiteten Daten informieren.
[1] https://www.bverwg.de/pm/2019/62
[2] https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf
[4] https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf