Pflichten für Facebook-Seiten Betreiber

Viele Unternehmen, große und kleine, nutzen Soziale Medien wie Facebook, Google+ ua um ihre Marktpräsenz zu erweitern. Im konkreten Fall stellt sich die Frage, inwieweit man als Betreiber einer betrieblichen Facebook-Seite bzw Facebook-Gruppe im Sinne der DSGVO verantwortlich und haftbar ist.

Grundsätzlich ist also mal zu klären, ob man als Betreiber einer Facebook-Seite auch Verantwortlicher im Sinne der DSGVO ist. Wenn ja, welche Aufgaben und Pflichten erwachsen mir daraus? Und wie kann ich sicherstellen, dass die Verarbeitung von personenbezogenen Daten der Benutzerinnen und Benutzer auch rechtmäßig erfolgt? Eigentlich sind es ja eine ganze Menge mehr an Fragen, die man sich in diesem Zusammenhang stellen kann. Aber ich konzentriere mich jetzt einmal auf diese 3 Kernfragen.

Betreiber einer Facebook-Seite als Verantwortlicher?

Schon diese Frage lässt sich derzeit nicht eindeutig beantworten. Tatsächlich ist sie Gegenstand eines laufenden Verfahrens beim Europäischen Gerichtshof (Rechtssache C-210/16), bei dem es um die Verantwortung des Seiten-Betreibers für Datenschutzverstöße bei der Nutzung von Facebook geht. Folgt man dem Generalanwalt des EuGH, dann ist nämlich neben Facebook in den USA und Europa auch der jeweilige Seiten-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Seite/Gruppe zu sehen. Für den Seiten-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Seite/Gruppe, zumindest für die Phase der Erhebung der Daten. Nationale Instanzen in Deutschland hat diese Mitverantwortung des Seitenbetreibers zuvor klar verneint. Faktum ist, solange der EuGH hier keine  Entscheidung getroffen hat, bleibt die Antwort auf die Frage der Verantwortlichkeit des Seitenbetreibers zumindest offen. Sicherheitshalber sollte man aber beim Betrieb einer Facebook-Seite/Gruppe von einer Rolle als (Mit-)Verantwortlicher ausgehen.

Tolle Übersicht zu dem Thema finden Sie auch bei https://www.dataprotect.at/facebook-fanpages-ga/.

Aufgaben und Pflichten als Seitenbetreiber

Gemeinsam für die Verarbeitung Verantwortliche haben nach Art 26 DSGVO in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen zu erfüllen hat. Insbesondere ist klarzustellen, wer von ihnen welchen Aufgaben bei der Erfüllung von Betroffenenrechten und Informationspflichten bei der Erhebung der Daten nachzukommen hat. Die wesentlichen Inhalte der Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Empfehlungen für Seitenbetreiber

Seitenbetreiber haben sich idR beim Einrichten der Facebook-Seite/Gruppe den Nutzungsbedingungen von Facebook zum Betrieb von Seiten, Gruppen und Veranstaltungen zu unterwerfen. Die Nutzungsbedingungen legen ua fest, dass bei der Nutzung der Seite/Gruppe, eine direkte Datenerhebung durch den Betreiber, und nicht durch Facebook, erfolgt. Der Betreiber hat lt Facebook auch sicherzustellen, dass die Verarbeitung der Daten rechtmäßig erfolgt. Facebook geht sogar soweit zu verlangen, dass der Betreiber alle erforderlichen Einwilligungen („all necessary permissions“) für die Wiederverwendung sicherzustellen hat. Durch wenn die Wieder- oder Weiterverwendung der erhobenen Daten zulässigerweise erfolgen kann, bleibt unklar.

Nachfolgende Empfehlungen seien Seitenbetreibern und Gruppen-Admins nahegelegt (Kein Anspruch auf Vollständigkeit):

  • Einbindung einer eigenen Datenschutzerklärung auf der eigenen Facebook-Seite/-Gruppe;
  • Die Datenschutzerklärung sollte zumindest nachfolgende Informationen enthalten, den Namen und die Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage für die Verarbeitung der Daten, die Speicherdauer, Informationen zu Betroffenenrechten, insbes. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Zusätzlich noch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, Informationen zur Erforderlichkeit der Bereitstellung und den Folgen einer Nichtbereitstellung der Daten. Siehe dazu auch Art 13 DSGVO;
  • Festlegung welche Aufgaben bei der Erfüllung von Betroffenenrechten man als Betreiber selbst wahrnehmen kann;
  • Hinweis darauf, dass eine Weiterverwendung der Daten durch Facebook stattfindet;
  • Nutzung eines eigenen, mit starkem Passwort gesicherten Accounts für den Betrieb der Seite;
  • Datenschutzfreundliche Voreinstellungen bei den Statistiken für die Seite/Gruppe, wie Page Insights;
  • Hinweis und Link zu den DSGVO-Informationen von Facebook als Ergänzung zur eigenen Datenschutzerklärung;

Im laufenden Verfahren vor dem EuGH ist in den nächsten Monaten mit einem Urteil zu rechnen. Natürlich werden wir dann, wieder über das Thema berichten.