Nachdem Sie Ihre Website DSGVO-technisch mit Cookie-Banner, neuer Datenschutzerklärung und Co. aufgerüstet haben, ist jetzt Ihre Facebook-Fanpage an der Reihe. Denn Facebook hat eine zusätzliche Vereinbarung mit den Betreibern von Fanpages veröffentlicht und nimmt sie dadurch mehr in die Verantwortung.
Haben Sie als Betreiber schon etwas von dem „Page Insights Controller Addendum“ gehört? Nein? Dann sollten Sie dringend Ihre Datenschutzerklärung für Facebook aktualisieren. Sonst winken – wie kann es bei der DSGVO anders sein – Abmahnungen.
DSGVO macht auch vor Facebook nicht halt
Der Auslöser für die zusätzliche Vereinbarung war die Entscheidung des Europäischen Gerichtshofes am 5. Juni 2018: Aktenzeichen C-210/16. Nach diesem Entschluss ist Facebook nicht allein für die Erhebung und Nutzung von personenbezogenen Daten auf den Fanpages verantwortlich. Zwar sammelt vor allem Facebook die Daten, aber die Plattform stellt sie den Seitenbetreibern in Form von Insights und Statistiken zur Verfügung.
Selbst wenn Sie diese Daten für Ihre Fanpage nicht nutzen, sind Sie ab jetzt dafür verantwortlich, die Besucher Ihrer Seite über die Datenerhebung und -nutzung von Facebook zu informieren. Dies gilt auch für externe Besucher, die gar kein Facebook-Profil haben. Da Ihre Fanpage öffentlich zugänglich ist, stehen Sie in der Informationspflicht.
Wer ist für den Datenschutz verantwortlich?
Nach der Urteilsverkündung reagierte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit dem Beschluss, dass Facebook-Fanpages in ihrer bisherigen Form rechtswidrig seien. Der Grund: Es liegen keine Vereinbarungen zwischen Facebook und den Seitenbetreibern vor, um die datenschutzrechtliche Verantwortung für die Seiten zu regeln. Die Besucher solcher Seiten tappen datentechnisch bisher im Dunkeln, da kein Verantwortlicher benannt ist.
„Page Insights Controller Addendum“
Inzwischen hat Facebook reagiert und seine Nutzungsbedingungen erweitert – mit dem „Page Insights Controller Addendum“. Hierbei handelt es sich um eine Vereinbarung zwischen Facebook und den Seitenbetreibern, wer ab sofort für den Datenschutz zuständig ist. Das bringt einerseits Transparenz und Sicherheit für die Facebook-Nutzer, andererseits auch für die Seitenbetreiber, die sich jetzt nicht mehr in einer Grauzone bewegen und damit gegenüber der DSGVO abgesichert sind. Vorausgesetzt, Sie kommen Ihren neuen Pflichten nach.
Das ändert sich für Seitenbetreiber
Zuerst die gute Nachricht: Facebook übernimmt die primäre Verantwortung für den Datenschutz und legt das nicht komplett in Ihre Hände als Seitenbetreiber. Das soziale Netzwerk ist verantwortlich für Datensicherheit, Meldung von Datenschutzverletzungen, Betroffenenrechte und die Erfüllung der Informationspflichten. Folgende To-dos sollten Sie abhaken:
- Sie müssen eine Rechtsgrundlage für Ihre Nutzung der bereitgestellten Insight-Daten festlegen.
- Sie sind in der Meldepflicht, Daten-Anfragen von Besuchern oder Datenschutzaufsichtsbehörden an Facebook weiterzuleiten.
- Sie müssen Ihren Facebook-Besuchern eine eigene Datenschutzerklärung für Ihre Fanpage bereitstellen, mit Hinweisen zur Vereinbarung nach Art. 26 DSGVO und zur Verwendung der Facebook-Insights.
Datenschutzerklärung geschickt einbauen
Bisher zielte das EuGH-Urteil nur auf Facebook-Fanpages. Aber die gleiche Argumentation und die gleichen Datenschutz-Richtlinien gelten auch für andere soziale Netzwerke wie Instagram oder Twitter. Sie können sich also jetzt schon datenschutztechnisch absichern. Wir machen Ihre Social-Media-Plattformen fit für die DSGVO und beraten Sie gern zur Integration der neuen Datenschutzerklärung auf Ihrer Facebook-Fanpage.