Im letzten Jahr wurde heiß darüber diskutiert: Bekommt man als Betreiber einer Facebook-Fanpage irgendwie die Anforderungen der DSGVO umgesetzt? Damit das funktionieren konnte, musste man auf jeden Fall kreativ werden: So wurde etwa der Bereich der „Story“ zur Datenschutzerklärung umgebaut, damit diese immer prominent genug zu sehen ist. Andere warteten auf Lösungen von Facebook oder verwiesen auf die Datenschutzerklärung ihrer Webseite.

Entscheidung des EuGH bringt Unruhe

In diese Unruhe hinein entschied der EuGH am 05. Juni 2018, dass Facebook-Seitenbetreiber und Facebook gemeinsam für die Datenverarbeitung verantwortlich seien. Diese Entscheidung basiert auf der EU-Datenschutzrichtlinie und geht auf 2011 zurück, allerdings hat sich durch die DSGVO hier nicht viel verändert: Die gemeinsame Verantwortung ist in Art. 26 DSGVO beschrieben und muss dementsprechend auch heute umgesetzt werden. 

Dies hatte zur Folge, dass die Unsicherheit noch größer wurde und die eine oder andere Facebook-Seite abgeschaltet wurde. Auch Facebook reagierte auf das Urteil und stellte ein Dokument über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO bereit. Allerdings reicht dieser Verweis auf die gemeinsame Verantwortlichkeit unseres Erachtens nicht aus um den Anforderungen des Art. 26 DSGVO zu genügen und löst so das Problem für Fanpageanbieter nicht. 

Datenschutzkonferenz veröffentlicht Erklärung

Dies scheinen auch die Vertreter der Aufsichtsbehörden der Länder so zu sehen:  In der Hambacher Erklärung der Datenschutzkonferenz „DSK“ wurde die Orientierungshilfe zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages veröffentlicht.

Hier heißt es deutlich:

„Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Die Aufforderung zur Nachbesserung macht klar, dass die gegenwärtige Situation noch nicht rechtskonform ist.

Mit der Aufforderung ist aber auch relativ klar, dass wohl nicht direkt mit einem Vorgehen gegen Fanpagebetreiber zu rechnen ist, schließlich ist es Facebook, das zur Nachbesserung aufgefordert wird. Auf seinem Twitter-Profil schreibt Dr. Stephan Brink (Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg) zudem auch bezüglich der Fanpage-Betreiber explizit:

„[…]. Erst setzen wir uns mit öffentlichen Stellen auseinander, die Fanpages betreiben. Private Betreiber sprechen wir danach an.“

Ausruhen sollte man sich aber hierauf nicht. Zumal klar wird, dass die privaten Betreiber auch irgendwann angesprochen werden und spätestens dann benötigt man eine Lösung. Ein wenig Zeit und die Möglichkeit, auf die Reaktion von Facebook zu warten, wird einem hierbei offenbar gegeben.

Unsere Schlussfolgerung aus DSGVO und Sicherheitsproblemen bei Facebook

Wir sehen als Datenschutzbeauftragte aber gerade auch die Skandale der letzten Zeit (Verwenden der Mobilfunknummer der Zwei-Faktor-Authentifizierung, unverschlüsselte Speicherung von Passwörtern, Daten auf Amazonservern, etc.) in Verbindung mit den nicht erfüllten Anforderungen der DSGVO sehr kritisch: Hier scheint es an mehreren Stellen nicht so zu funktionieren wie es sollte. 

Gerne haben wir selbst Facebook gerade auch dazu benutzt, auf Datenschutz hinzuweisen oder in Gruppen zu aktuellen Datenschutzthemen zu diskutieren. Wenn wir aber ehrlich sind, überwiegt mittlerweile das ungute Gefühl: Können wir als externe Datenschutzbeauftragte noch mit gutem Gewissen selbst Facebook nutzen? 

Wir nutzen auf unserer Webseite den Blog um aktuelle Themen aufzugreifen und informieren auf unserem Twitteraccount über aktuelle Beiträge und Themen. Auch unser Newsletter wird die Abonnenten immer wieder über aktuelle Diskussionen auf dem laufenden halten (hier zu bestellen: https://www.dacuro.de/#newsletterabo).

Aber wir werden als Datenschutzbeauftragte den Schritt gehen und unsere Facebookseite offline nehmen.

Adieu Facebook.