Nachdem der EuGH letztes Jahr die Fanpage-Betreiber und Facebook als gemeinsam verantwortlich für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 Abs. 1 DSGVO erklärt hat, gab es einige Kritik an der Entscheidung. Wir berichteten über eine Stellungnahme des Datenschutzkonferenz (DSK), die kritisiert, dass den Fanseiten-Betreibern eine Verantwortung für Dinge auferlegt wird, die sie nicht in der Hand haben, ihre Datenverarbeitung aber natürlich eine Rechtsgrundlage haben muss. Die Forderung der DSK, dass Facebook nachbessern muss, ist der Konzern nun nachgekommen. Doch reicht das?

Was hat Facebook bei Seiten-Insights geändert?

Facebook hat seine „Informationen zu Seiten-Insights“ überarbeitet. Diese sind nun deutlich umfangreicher, enthalten mehr Informationen zur Datenverarbeitung. Gefordert wurde von der DSK vor allem mehr Informationen über die Datenverarbeitung, damit die Fanseiten-Betreiber ihren Pflichten überhaupt nachkommen können. Daher hat Facebook nun Handlungen der Nutzer aufgelistet, die protokolliert werden und auch welche Informationen zu den Handlungen gespeichert werden.  Zu den Handlungen gehören z.B. das Liken, Abonnieren von Seiten, Kommentieren, Teilen, Shop anklicken, Veranstaltungen ansehen und viele weitere.

Zu den Informationen zu Handlungen zählen Datum, Zeit, Land/Stadt, Endgerät, Nutzer-ID, Sprachencode, Altersgruppe und weitere.

Was wird von nicht bei Facebook registrierten Personen erfasst?

Facebook sagt aber auch, dass „nur wenige Events“ von Personen ausgelöst werden können, die nicht bei Facebook registriert sind, z.B. das Besuchen einer Seite und Klicken auf Fotos oder Videos. Außerdem: „Seitenbetreiber haben keinen Zugriff auf die personenbezogenen Daten, die im Rahmen von Events verarbeitet werden, sondern nur auf die zusammengefassten Seiten-Insights. Events, die zum Erstellen von Seiten-Insights verwendet werden, speichern außer einer Facebook-Nutzer-ID für bei Facebook eingeloggte Personen keine IP-Adressen, Cookie-IDs oder irgendwelche anderen Kennungen, die Personen oder ihren Geräten zugeordnet sind.

Damit spricht Facebook ein Problem an, welches der EuGH in seinem Urteil moniert hat: Da die Fanseiten auch von Personenaufgerufen werden können, die nicht bei Facebook registriert sind und deren Daten dann durch den Aufruf verarbeitet werden, erscheint für den EuGH die Verantwortlichkeit der Fanpage-Betreiber hinsichtlich der Datenverarbeitung noch höher.

Reichen die Änderungen an den Seiten-Insights aus?

Facebook hat mit den Änderungen zwar einige Kritikpunkte angesprochen, doch nicht vollständig benannt. Außerdem gibt Facebook den Fanseiten-Betreibern immer noch keine Einflussmöglichkeit an der Datenverarbeitung. Darüber hinaus ist fraglich, ob Facebook wirklich ein berechtigtes Interesse an der Verarbeitung zu Werbezwecken hat oder dort nicht die Interessen der Nutzer überwiegen. Facebook müsste die Datenerhebung noch transparenter ausgestalten. Zur Einwilligung in Cookies berichteten wir erst kürzlich. Auch dort erteilte der EuGH bestimmte Einwilligungsmethoden eine klare Absage.

Was sollten Fanseiten-Betreiber bezüglich der Seiten-Insights tun?

Am sichersten ist immer noch die Schließung der Fanseite, doch das ist keine wirklich praktikable Lösung. Es bleibt zu hoffen, dass wegen Datenschutzverletzungen nicht die Fanseitenbetreiber, sondern Facebook in die Verantwortung gezogen wird. Trotzdem sollten Fanseitenbetreiber vorsorgen. Sie sollten auf der Fanseite eine Datenschutzerklärung einbauen oder verlinken, in der die die Nutzer über die Verarbeitung der personenbezogenen Daten aufklären. Auch die neuen Erkenntnisse durch die Informationen, die Facebook nun zur Verfügung gestellt hat, sollten darin verarbeitet werden. Facebook schreibt dazu auf der Seite:

Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hast. Zusätzlich zu den Informationen, die betroffenen Personen von Facebook Ireland über die Informationen zu Seiten-Insights bereitgestellt werden, solltest du deine eigene Rechtsgrundlage angeben, ggf. einschließlich der von dir verfolgten berechtigten Interessen, den/die zuständigen Verantwortlichen auf deiner Seite, einschließlich seiner/ihrer Kontaktdaten, sowie der Kontaktdaten des/der Datenschutzbeauftragten (Artikel 13 Abs. 1 lit. a – d DSGVO), falls einschlägig.

Wir helfen Ihnen!

Sie haben Fragen zu Fanseiten bei Facebook und dem Datenschutzrecht? Dann wenden Sie sich gerne unverbindlich an unsere Kanzlei. Wir beraten Sie gerne zur DSGVO!