Facebook hatte im Okt. des letzten Jahres an der mangelhaften Art. 26 DSGVO Vereinbarung gefeilt und diese erheblich ausgebaut. Doch ist das ausreichend um eine Facebook Fanpage als Unternehmen datenschutzkonform zu betreiben?

Das BayLDA stellt dies im aktuellen Tätigkeitsbericht von 2019 unmissverständlich dar:

„Betreiber von Facebook Fanpages haben nach derzeitigem Stand keine Möglichkeit, diese datenschutzkonform zu betreiben und müssen deshalb damit rechnen, Adressat von Anordnungen der Aufsichtsbehörden zu werden.

Der EuGH hat sich bereits mit Urteil vom 5. Juni 2018 (C-210/16) zur gemeinsamen Verantwortlichkeit von Facebook und Fanpage-Betreibern geäußert. Nach der Entscheidung des EuGH kann der Fanpage-Betreiber nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern ist für die Einhaltung des Datenschutzes gegenüber den Fanpage-Besuchern (mit-)verantwortlich.

Das bedeutet konkret, dass sowohl Facebook als auch die Fanpage-Betreiber ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO nachkommen müssen. Jeder Fanpage-Betreiber muss sicherstellen, dass die seiner Verantwortung unterliegenden Verarbeitungstätigkeiten gem. Art. 6 Abs. 1 DS-GVO rechtmäßig sind. Dies gilt auch in den Fällen, in denen der Fanpage-Betreiber die Verarbeitungstätigkeiten nicht unmittelbar selbst ausführt, sondern durch Facebook durchführen lässt.

Das Problem ist, dass der Fanpage-Betreiber ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten nicht in der Lage ist, zu bewerten, ob die Verarbeitung rechtmäßig erfolgt. Aus diesem Grund hat die Datenschutzkonferenz sich schon mehrfach zu Facebook-Fanpages positioniert und gefordert, dass Facebook entsprechend nachbessert, sodass die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend den Anforderungen der DS-GVO gerecht werden können.

Auch wir sind der Auffassung, dass ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist, solange Facebook diesen Pflichten nicht nachkommt. Daran ändert auch der Umstand nichts, dass Facebook im Oktober 2019 das „Page-Controller-Addendum“, die Vereinbarung gem. Art. 26 DS-GVO, erheblich geändert und ergänzt hat.

Die Pflicht, eine Vereinbarung gem. Art. 26 Abs. 1 DS-GVO abzuschließen, ist zunächst nur eine formale Anforderung. Sie entbindet jedoch nicht davon, dass der Fanpage-Betreiber seine weiteren datenschutzrechtlichen Anforderungen, insbesondere seine Rechenschaftspflicht erfüllt.

Da nach derzeitigem Stand leider nicht davon auszugehen ist, dass die für Facebook in Europa federführend zuständige Aufsichtsbehörde dieser Situation abhilft, müssen Fanpagebetreiber als Mitverantwortliche damit rechnen, Adressat von aufsichtsbehördlichen Anordnungen zu werden.“