- Der EuGH hat bekanntlich am 5. Juni 2018 in Sachen Facebook Fanpages auf Vorlage des deutschen Bundesverwaltungsgerichts entgegen der Vorinstanzen entschieden (Rs. C‑210/16), dass der Betreiber einer Facebook Fanpage gemeinsam mit Facebook verantwortlich sei, weil der Betreiber durch geeignete Einstellungen beeinflusst, welche Personendaten Facebook von den Besuchern der Fanpage erhebt und bearbeitet, u.a. um dem Betreiber anonymisierte Auswertungen zur Verfügung zu stellen. Brisant ist dieses Urteil weniger wegen Fanpages, sondern weil es den Anwendungsbereich der gemeinsamen Verantwortung erheblich ausweitet, indem es deutlich macht,
- dass auch eine sehr eingeschränkte Mitbestimmung eines Unternehmens genügt, um eine gemeinsame Verantwortung zu begründen (denn „gemeinsam“ heisst nicht „gleichwertig“), und
- dass auch derjenige eine gemeinsame Verantwortung haben kann, der auf die betreffenden Personendaten gar keinen Zugriff hat und sie selbst auch nicht unbedingt bearbeitet (solange er nur die Zwecke oder Mittel der Verarbeitung beeinflusst). Das ist bspw. bei gemeinsam genutzten, aber mandantengetrennten Systemen im Konzern relevant.
In der Praxis wirft das die Frage auf, welcher Platz für getrennte Verantwortung und Auftragsbearbeitungsverhältnisse überhaupt noch bleibt, zusammen mit einer Reihe von Folgefragen (z.B.: Kann ein schweizerisches Unternehmen gemeinsam verantwortlich i.S.d. DSGVO sein, wenn es der DSGVO an sich nicht untersteht [wohl nein; andererseits ist nach dem Urteil des EuGH eine eigene Datenbearbeitung – für die eine Anwendbarkeit der DSGVO zu prüfen wäre – offenbar nicht erforderlich]; ist der Datenaustausch zwischen gemeinsam Verantwortlichen privilegiert, so dass eine gesonderte Rechtsgrundlage für den Austausch nicht erforderlich ist; wie sind Vereinbarungen zwischen den g.V. i.S.v. Art. 26 DSGVO auszugestalten; was ist in diesbezüglich in Datenschutzerklärungen festzuhalten [sinnvoll ist z.B. ein Link auf der Fanpage auf eine Datenschutzerklärung, in der das Thema Fanpages so gut wie möglich abgedeckt wird]; wie ist die gemeinsame Verantwortlichkeit in konzerninterne Datenaustauschverträgen abzubilden usw.).
Die deutsche Datenschutzkonferenz hat am 5. September 2018 daraufhin einen Beschluss gefasst:
Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.
Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass Fanpage-Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).
Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können.
Facebook hat nun, am 11. September 2018, bereits eine unter Zeitdruck entstandene Vereinbarung i.S.v. Art. 26 DSGVO vorgelegt („Page Insights Controller Addendum“), u.a. mit folgendem Inhalt:
Facebook Ireland Limited (“Facebook Ireland”) an you are joint controllers for the processing of Insights Data.
[…] Facebook Ireland agrees to take primary responsibility under the GDPR for the processing of Insights Data and to comply with all applicable obligations under GDPR with respect to the processing of Insights Data […]. Facebook Ireland will also make the essence of this Page Insights Addendum available to data subjects. […] You agree that only Facebook Ireland may take and implement decisions about the processing of Insights Data.Facebook Ireland decides in its sole discretion how to comply with its obligations under this Page Insights Addendum. […] […]
If you are contacted by data subjects or a supervisory authority under the GDPR with regard to the processing of Insights Data and the obligations assumed by Facebook Ireland under this Page Insights Addendum (each a “Request”), you will forward all relevant information to us promptly but within a maximum of 7 calendar days.
[…] You agree to take all reasonable endeavours in a timely manner to cooperate with us in answering any such Request. […].
[…]
Die Übernahme der Hauptverantwortung durch Facebook stellt für Seitenbetreiber zweifellos eine Entlastung dar. Sie zeigt auch nochmals, dass eine gemeinsame Verantwortung keineswegs eine Verantwortung zu gleichen Teilen sein muss. Dennoch ist Fanseiten-Betreibern zu empfehlen, weiterhin auf ihre eigene Datenschutzerklärung zu verweisen und dort z.B. auf die Rechtsgrundlage für die Verwendung der Fanpage zu verweisen (z.B. auf ihr berechtigtes Interesse).