Facebook-Fanpages ergänzen geschäftliche Websites und können bei Kleinstunternehmen häufig sogar eine Alternative zur Unternehmenswebsite sein. Sie werden in der Regel ausschließlich zu geschäftlichen Zwecken genutzt.
Meta Platforms als Betreiber des Facebook-Fanpage Dienstes verarbeitet Nutzerdaten u.a. um im Auftrag von Unternehmen, Verbänden, Parteien, etc. passgenaue Werbung zu schalten. In diesem Zusammenhang ist eine Verarbeitung personenbezogener Daten nicht auszuschließen.
Gemeinsame Verantwortlichkeit Da die Betreiber von Fanpages Nutzeranalysen mittels der sog. „Insights“-Funktion durchführen können, besteht laut EuGH eine gemeinsame Verantwortlichkeit von Fanpage- und Plattformbetreiber in Bezug auf die Verarbeitung personenbezogener Daten.
Zusammen ist man zur Einhaltung der DSGVO verpflichtet, weshalb eine Vereinbarung über die gemeinsame Verantwortung (Art. 26 DSGVO) zu schließen ist. Ein aktuelles von Meta Platforms zur Verfügung gestelltes Addendum erfüllt diese Anforderungen leider nicht. Damit können die Verantwortlichen Fanpage-Betreiber nicht sicherstellen, welche Datenverarbeitung im Detail stattfindet und ob ggf. Daten ins außereuropäische Ausland übertragen werden. Abschalten als letzter Ausweg?Fanpage-Betreiber haben die Rechtskonformität der verantworteten Datenübertragung sicherzustellen bzw. nachzuweisen (DSK Beschluss).
Gemeinsam mit Meta Platforms muss sichergestellt werden, dass die Nutzenden über die Verarbeitung ihrer Daten beim Aufruf der Fanpage informiert werden und die Verarbeitung der Daten auf Basis einer wirksamen Rechtsgrundlage erfolgt. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung gemäß Art. 26 DSGVO festlegen, wie die Einhaltung erfolgt.
Ist dies nicht möglich, so bleibt den Verantwortlichen Fanpage-Betreibern im ersten Schritt nur die Deaktivierung des entsprechenden Fanpage-Kontos, da der Betrieb ansonsten rechtswidrig ist.
Da die Aufsichtsbehörden seit Jahren auf die Problematik hinweisen, gibt es hier keine Übergangsfristen nach DSGVO. Die Entscheidung gilt für Unternehmen und öffentliche Stellen gleichermaßen. Letztere werden aufgrund ihrer Vorbildfunktion nun sogar vorrangig in die Pflicht genommen.
Sind Bußgelder möglich?
Gegenüber nicht öffentlichen Unternehmen können bei nicht Beachtung Bußgelder verhängt werden. Bei öffentlichen Stellen ist dies nach deutschem Recht derzeit nicht möglich, jedoch müssen sie sich selbstverständlich an Recht und Gesetz halten. Zusätzlich können Betroffene Schadenersatzansprüche (nach Art. 82 DSGVO) gegen die Verantwortlichen geltend machen.