DSGVO und Facebook – der nächste Aufschrei
Die Frage, wie mit den Facebook-Fanpages DSGVO-konform umgegangen werden soll, war von Anfang an schwierig. Vor allem, weil Facebook die Transparenz, die es von seinen Nutzern fordert, selbst nur ungern bietet. Das Problem an Fanpages (im Gegensatz zu Gruppen) ist, dass sie auch außerhalb von Facebook (z.B. in Suchmaschinen) angezeigt werden. Das heißt, hier werden bereits Daten erhoben, und zwar von Menschen, die eben kein Facebook-Profil unterhalten, und damit die Facebook-Spielregeln nicht anerkennen.
Was ist neu?
Im Juni hatte der EuGH (Beschluss vom 05.06.2018, Aktenzeichen C-201/16; wir berichteten) festgestellt, dass die Verantwortung bzgl. der auf einer Seite erhobenen Daten grundsätzlich sowohl den Seitenbetreiber als auch den Diensteanbieter treffe. Dies kann vom Betreiber durch eine entsprechende Datenschutzvereinbarung mit dem Diensteanbieter (Provider, Google, Facebook etc.) geregelt werden.
Facebook hat daraufhin zwar Änderungen bezüglich der Cookies vorgenommen. Leider blieb es sämtliche Fragen in Bezug auf eine rechtskonforme Darstellung der Facebook-Fanpages schuldig. Weiterhin wertet Facebook Fanpage-Besuche im Rahmen einer sogenannten Insights-Funktion aus und stellt sie den Fanpage-Betreibern zur Verfügung. Wie und wofür die Daten noch genutzt werden, ist offen, auch wann sie gelöscht werden, ist so schwammig formuliert, dass man beim besten Willen nicht sagen kann, wann genau das nun geschieht.
Jetzt hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einem gemeinsamen Beschluss klargestellt, dass sie die Regelungen zwischen Facebook und seinen Usern in Bezug auf Facebook-Fanpages für nicht DSGVO-konform hält (zur Stellungnahme im Original). Sie konkretisiert damit das, was ihrer Meinung nach zu der vom EuGH festgestellten gemeinsamen Verantwortlichkeit gehört. Dazu wird in dem oben verlinkten Papier ein Fragenkatalog präsentiert, den tatsächlich der durchschnittliche Facebook-User in Bezug auf seine Fanpage nicht beantworten können wird. Jedenfalls nicht ohne eine richtige, den Voraussetzungen von Art. 26 DSGVO entsprechende Datenverarbeitungsvereinbarung. Das aber – so die Konferenz – ist im Rahmen einer gemeinsamen Verantwortlichkeit ihrer Meinung nach eben nicht nur von Facebook, sondern auch von den Betreibern zu verlangen.
Was soll das?
Facebook hat bisher mit allen Mitteln gemauert. So richtig weiß niemand, was mit über Fanpages erhobenen Daten geschieht. Es bleibt nun abzuwarten, ob und wie Facebook nun reagiert und die Fanpages DSGVO-konform anpassen wird. Dies setzt vor allem voraus, für die gemeinsam (Mit-)Verantwortlichen Klarheit über die derzeitige Sachlage zu schaffen und die erforderlichen Informationen den Besuchern der Fanpage in der im Fragenkatalog konkretisierten Form ohne die bisherigen Wischiwaschi-Aussagen bereitstellen.
Es ist unserer Meinung nach ein geschickter taktischer Schachzug, Facebook zum Datenschutz zu zwingen. Denn da die Werbeeinnahmen des sehr aggressiv durch Reichweiten-Manipulationen um Werbegeld buhlenden Konzerns an den Fanpages hängen, trifft diese Taktik Facebook unmittelbar am Geldbeutel. Die EU ist nun ein Markt, auf den Facebook nicht ohne weiteres verzichten wollen wird.
Was tun?
Bisher haben wir die Auffassung vertreten, dass man nicht mehr von einem Fanpage-Betreiber verlangen kann, als den eigenen Umgang mit über die Fanpage erhobenen personenrelevanten Daten offen zu kommunizieren. Im übrigen war dann auf die Datenschutzerklärung von Facebook zu verweisen.
Nun hat sich die Rechtslage nicht verändert. Wohl aber die Sachlage, denn es wird deutlicher, was unter „rechtskonform“ künftig erwartet wird (auch wenn – ganz klar! – hier das letzte Wort immer noch von Gericht oder Gesetzgeber zu sprechen ist). Wer aber diese Fragen der DSK nicht beantworten kann, nimmt DSGVO-Verstöße gegebenenfalls billigend in Kauf. Insofern steigt die Wahrscheinlichkeit, am Ende für diese Verstöße haftbar gemacht zu werden.
Muss man die Fanpages nun abschalten?
Das kommt auf das Nervenkostüm des Fragestellers an. Dagegen spricht, dass
- der EuGH-Beschluss, der den Stein ins Rollen brachte, zunächst nur eine Vorfragenentscheidung war und ein rechtskräftiges Urteil noch aussteht;
- die Stellungnahme der Datenschützer ebenfalls Recht nicht definiert, sondern nur eine Expertenmeinung darstellt, wie damit umzugehen ist;
- das Ziel nicht die Seitenbetreiber sind, sondern eben Facebook, das man nur erreicht, wenn man den Leidensdruck erhöht, also dafür sorgt, dass zahlende Kunden sich beschweren;
- würde man das konsequent zu Ende denken, wären gleichermaßen auch viele andere Dienste betroffen, die weder vom EuGH noch von der DSK angegriffen werden; das ist Indiz dafür, dass es nicht so heiß gegessenwie gekocht wird;
Für eine Abschaltung spricht, dass
- es eben Experten sind, die sich hier geäußert haben, denen womöglich auch Gerichte folgen würden;
- dadurch das Risiko einer Abmahnung gestiegen ist und die Verteidigung womöglich erschwert wird;
- die Rechtslage, wie man mit nicht ausreichend transparenten Datenschutzerklärungen umgeht, ist tatsächlich unklar und wem das zu blöd ist, mit Zurückhaltung bis sich herauskristallisiert, wie das nun künftig funktionieren soll, besser fährt;
- so eben auch der Druck auf Facebook erhöht wird, das davon lebt, dass Interaktion stattfindet, weil nur dann Geschäftskunden bereit sind, Geld für Werbung zu bezahlen.
Was das alles nicht heißt:
Natürlich schlagen die Wogen nun im digitalen Dorf wieder hoch und es wird das Ende des Internets beschworen. Mindestens!
- Nur Facebook-Fanpages werden außerhalb von Facebook gezeigt und ermöglichen den Zugriff auf Daten von Nutzern, die der Verwertung ihrer Daten durch Facebook nicht zugestimmt haben. Facebook-Gruppen oder Profile sind von der aktuellen Diskussion nicht betroffen.
- Wer nun zornbebend ausgerechnet zu Instagram und WhatsApp wechselt vertauscht eine Krähe gegen einen Raben. Beide Dienste gehören zu Facebook und stehen – wenngleich in zweiter Reihe – im Fokus der Datenschützer und Abmahner. Speziell Instagram ist aufgrund seiner weniger interaktiven, weiter streuenden Informationspolitik für professionelle Abmahner ohnehin sehr interessant.
- Für Blogs ändert sich gar nichts. Weshalb eine Facebook-Fanpage eben auch kein Blogersatz ist. Vielleicht ist damit auch mal ein Anstoß geschaffen, wieder mehr in Foren und zu Beiträgen auf den Blogs zu diskutieren. Das wäre dann sogar ein erfreulicher Aspekt.
Facebook hat bereits angekündigt, auf den Fragenkatalog zu reagieren. Sobald uns dazu etwas vorliegt, werden wir natürlich berichten.
EDIT: Facebook hat reagiert. Erstaunlich schnell sogar. Ob das Thema damit erleidigt ist und was Fanpage-Betreiber zu tun haben, erfahrt ihr im nächsten Artikel (hier).