Transparente Information 

Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. (vgl. Art. 13 Datenschutz-Grundverordnung (DS-GVO))

Einwilligungen

Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt. (vgl. Positionsbestimmung der Datenschutzkonferenz).

Vereinbarung mit Facebook

Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. (vgl. Art. 26 DS-GVO)

Diese Anforderungen können Fanpage-Betreiber*innen nicht ohne die Mitwirkung von Facebook erfüllen. Da sie aber selbst rechtlich dazu verpflichtet sind, müssen Sie sich um die Einhaltung der Anforderungen kümmern. Das bedeutet, dass Fanpage-Betreiber*innen sich nun an Facebook wenden sollten, um die erforderlichen Informationen zu erhalten und eine Vereinbarung abzuschließen.

Hat das keinen Erfolg, sollten Fanpage-Betreiber*innen entscheiden, ob sie ihre Fanpage einstellen.

Derzeit prüft die LDI – wie andere Datenschutzbehörden in Deutschland und in Europa – wann und mit welchen Mitteln sie das Datenschutzrecht bei Fanpages durchsetzt. Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Schon bislang hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen den nordrhein-westfälischen öffentlichen Stellen wie auch den Unternehmen, Vereinen und anderen Stellen von der Nutzung Sozialer Medien dringend abgeraten, wenn sie weder feststellen noch beeinflussen können, was mit den personenbezogenen Daten der Nutzerinnen und Nutzer geschieht, gesetzlich aber dazu verpflichtet sind, über die Datenverarbeitungsprozesse umfassend zu informieren.

Das Urteil des EuGH, wonach Betreiber*innen von Facebook-Fanpage – neben Facebook – datenschutzrechtlich für die Verarbeitung personenbezogener Daten auch durch Facebook verantwortlich sind, bestätigt die Auffassung der LDI NRW: Der EuGH macht in seinem Urteil deutlich, dass Fanpage-Betreiber*innen nicht bloßer Facebook-Nutzer*innen sind, sondern als (Mit-)Verantwortliche Facebook die Möglichkeit gibt, durch den Betrieb der Fanpage Cookies zu setzen. Insbesondere kann er mit Hilfe von Facebook-Filtern die Kriterien festlegen, nach denen Statistiken erstellt werden.

Zwar hat das Bestehen einer gemeinsamen Verantwortlichkeit nach Auffassung des EuGH nicht zwangsläufig zur Folge, dass die Verantwortung gleichwertig verteilt ist. Der Grad der Verantwortlichkeit ist danach jeweils unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen. Es wird jedoch klargestellt, dass Betreiber*innen der Fanpage jedenfalls mitverantwortlich für die Verarbeitung der Daten durch Facebook sind, auch wenn sie selbst die von Facebook erstellten Besucher*innenstatistiken ausschließlich in anonymisierter Form zur Verfügung gestellt werden.