Nachdem Facebook aufgrund des EuGH-Urteils aus dem Juli 2018 seine Datenschutzstatuten erneut überarbeitet hatte, sind diese nun von der Datenschutzkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) in in einem neuen Positionspapier kommentiert worden. Danach genügt die Überarbeitung nicht den Vorgaben der DSGVO und somit ist aus Sicht der DSK zum aktuellen Zeitpunkt der Betrieb sog. Facebook Fanpages nicht DSGVO-konform.
Weiterhin könnten die Betreiber solchen Fanpage ihren Verantwortlichkeiten mangels Kenntnis der genauen Datenverarbeitung auf Seiten von Facebook nicht nachkommen. Zu Recht bemängelt die DSK, dass ein Fanpage-Betreiber mangels Transparenz seitens Facebook nicht beurteilen kann, wie die Daten der Nutzer verarbeitet werden und ob die Verarbeitung DSGVO-konform erfolgt.
Das Positionspapier der DSK finden Sie hier: https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf
Wenngleich die Aufsichtsbehörden keine Rechtsprechungsorgane geschweige denn Gesetzgebungsorgane sind, so kommt doch ihrer Auffassung eine erhebliche Bedeutung zu, da sie im Streitfall sicherlich von den Gerichten zur Urteilsfindung herbeigezogen würde. Es bleibt nun abzuwarten, ob Facebook aufgrund dieser strikten Äußerung der DSK die eigenen Richtlinien überarbeiten und endlich hinreichend (und nachvollziehbar) Einblick in die eigene Datenverarbeitung geben wird.
Für Betreiber von Facebook Fanpages besteht derzeit ein schwer zu kalkulierendes Risiko. Dieses besteht zunächst darin, dass die jeweils zuständige Aufsichtsbehörde ein Bußgeld wegen Verstoßes gegen die DSGVO verhängen könnte. Hierzu ist zu sagen, dass die Aufsichtsbehörden derzeit sehr arbeitsbelastet sind durch die Beschwerden von Privatpersonen. Insofern ist fraglich, ob derzeit Kapazitäten für die Verfolgung dieses Verstoßes bestehen. Zudem ist fraglich, ob von Seiten der Aufsichtsbehörden tatsächlich ein Vorgehen gegen die Fanpage Betreiber geplant ist, oder ob doch eher Facebook datenschutzrechtlich in die Pflicht genommen und so eine Transparenz der dortigen Datenverarbeitung erreicht werden soll. Jedenfalls vermerkt die DSK am Schluss Ihrer Veröffentlichung, dass “Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend (sic) gerecht werden”.
Ein weiteres Risiko besteht in wettbewerbsrechtlicher Hinsicht, dass also ein Mitbewerber den Fanpage Betreiber abmahnt. Auch dieses Risiko ist derzeit schwer zu kalkulieren. Das Hanseatische Oberlandesgericht hat als wohl erster höchstrichterlicher Spruchkörper die Abmahnfähigkeit von DSGVO-Verstößen bejaht, sofern sich dieses wettbewerbsrechtlich auswirkt. Im dortigen Fall wurde das Vorliegen eines Wettbewerbsverstoßes aufgrund einer unzureichenden Datenschutzerklärung grundsätzlich bejaht. Es ist allerdings zu bedenken, dass Abmahnwellen erst dann zu befürchten sind, wenn die Rechtsprechung entsprechend gefestigt ist. Das ist im Falle der wettbewerbsrechtlichen Beurteilung von Verstößen gegen die DSGVO derzeit noch nicht der Fall.
Fazit:
Leider kann auch ich ihnen derzeit keinen abschließenden Rat erteilen. Es bleibt jedem einzelnen Fanpagebetreiber überlassen, das wirtschaftliche Risiko abzuwägen.
Wer die Fanpage allein deshalb beitreibt, weil “man” eine Fanpage hat, sollte sich überlegen, die Fanpage zunächst einzustellen. Hingegen kann es für Unternehmen, für die die Fanpage eine hohe wirtschaftliche Effizienz zeigt, durchaus in Betracht kommen, das Risiko eines Bußgeldes und/oder einer Abmahnung einzugehen.