Wie steht es um den Datenschutz auf sozialen Netzwerken wie beispielsweise Facebook?
Und: Was bedeutet Datenschutz insbesondere für Betreiber von Facebook-Seiten?
Der Europäische Gerichtshof (EuGH) hat Anfang Juni diesen Jahres zunächst einmal entschieden (EuGH, 05.06.2018 – C-210/16), dass neben Facebook auch die Betreiber von Facebook-Seiten zur Einhaltung des Datenschutzes verpflichtet sind. Zahnärzte, Ärzte oder Medizinproduktehersteller, die auf Facebook eine eigene (Praxis-)Seite unterhalten, sind also für die Durchsetzung der Datenschutzbestimmungen selbst verantwortlich und können bei Verstößen belangt werden.
Betrieb einer Fanpage ohne Vereinbarung nach Ansicht der DSK rechtswidrig
Im Zuge dieses Urteils bemängelte die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK) mittels Beschluss vom 05.09.2018, dass der Betrieb einer Fanpage ohne eine Vereinbarung nach Art. 26 DSGVO rechtswidrig sei. Gleichzeitig legte die Konferenz einen Fragenkatalog vor, mit der die gemeinsame Verantwortung von Facebook und den Betreibern geklärt werden sollte.
Facebook reagiert und übernimmt Verantwortung
Facebook hat daraufhin reagiert und eine entsprechende Vereinbarung („Page Controller Addendum“) in einer Pressemitteilung veröffentlicht; dies durchaus überraschend!
Facebook bestätigt in der Vereinbarung die gemeinsame Verantwortung für die Insights-Daten mit den Betreibern. Die primäre Verantwortung übernimmt dabei Facebook Irland.
Im Weiteren übernimmt Facebook die Verantwortung für die Datenschutzbestimmungen der Informationspflichten (Art. 12-13 DSGVO), der Betroffenenrechte (Art. 15-22 DSGVO) sowie der Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).
Die Pflichten von Facebook-Seiten-Betreibern
Schließlich werden in der Vereinbarung die – sich auch bereits aus dem Gesetz ergebenden – Pflichten der Betreiber zusammengefasst:
Betreiber von Facebook-Seiten bedürfen für die Nutzung der Insights-Daten einer Rechtsgrundlage. Welche dies ist/sind, gilt es im Einzelfall zu prüfen.
Eine Datenanfrage (sei es durch Nutzer, durch Datenschutzbehörden, etc.) müssen Betreiber sofort an Facebook (über ein Kontaktformular) weiterleiten.
Kein Einsichtsrecht – Facebook legt fest, dass Betreibern von Facebook-Seiten kein Recht auf Einblick in die einzelnen personenbezogenen Daten der Besucher der Facebook-Seite zusteht.
Gerichtsstandsvereinbarung: Während bei privaten Betreibern das Gericht am Wohnsitz des Betreibers zuständig ist, gilt für Unternehmer – also Praxisinhaber etc. – irisches Recht.
Praxistipps für Betreiber & Fazit
Durch die Vereinbarung hat Facebook datenschutzrechtlich definitiv ein Stück weit Klarheit geschaffen.
Da die Betreiber von Facebook-Seiten im Sinne einer gemeinsamen Verantwortung dennoch eigenständig über den Datenschutz informieren sollten, ist ein Verweis auf die Datenschutzerklärung ratsam.
Hier bietet es sich an, unter dem Feld „Datenrichtlinie“ im Infobereich der eigenen Seite den Link zur Datenschutzerklärung der Website zu platzieren. Um auf Nummer sicher zu gehen, kann der entsprechende Link zur Datenschutzerklärung auch (zusätzlich) unmittelbar als URL der Website angegeben werden. Oder aber Sie platzieren Ihre Datenschutzerklärung unmittelbar in die „Story“ Ihrer Facebook-Seite.
Gleiches gilt für Instagram, Twitter, etc.; auch hier ist ein Verweis auf die Datenschutzerklärung zu empfehlen.
Unsicher? Kommen Sie gerne mit Ihren Fragen rund um das Thema Datenschutz in Social Media auf uns zu.