Wiederholt hatten wir in unseren Tätigkeitsberichten und auf unserer Homepage über datenschutzrechtliche Probleme bei Verwendung von Facebook Fanpages hingewiesen. Technisch handelt es sich bei Fanpages um eine Art von Mini-Webeseite innerhalb von Facebook, die die URL der Facebook-Seite enthalten. Fanpages sind grundsätzlich öffentlich ausgerichtet, d. h., dass sie von allen Internetnutzern besucht werden können, unabhängig davon, ob diese im Facebook-Netzwerk registriert sind.
Betreiber einer Fanpage haben die Möglichkeit, ihre Fanpage mit Inhalt zu füllen, aber auf die technische Konfiguration der Fanpage haben sie keinen Einfluss. Bei Aufruf einer Fanpage werden Metadaten (u.a. auch die IP-Adresse) des Besuchers an Facebook-Server übermittelt. Außerdem platziert Facebook beim Aufruf von Fanpages sogenannte "Cookies" und liest vorhandene Cookies des Besuchers aus. Die Übermittlung bestimmter Cookies ermöglicht es Facebook beispielsweise, die dort registrierten und angemeldeten Mitglieder zu erkennen und die Aktivität auf der Fanpage mit den sonstigen Informationen zu verknüpfen, die Facebook aufgrund des Anmeldevorgangs über das jeweilige Mitglied hat.
Bereits im letzten Jahr hat das Oberverwaltungsgerichts Schleswig-Holstein in einem Urteil festgestellt (OVG, 25.11.2021 - 4 LB 20/13), dass die Verwendung einer solchen Fanpage unter bestimmten Voraussetzungen unzulässig ist.
Das Gericht urteilte, dass die Verarbeitung personenbezogener Daten von registrierten Nutzerinnen und Nutzern (Registrierungsdaten) zur Erstellung der "Insights"-Statistik und die Verknüpfung und Speicherung dieser Daten zur Erstellung von Profilen und zu Werbezwecken eine zweckändernde Verarbeitung von Bestandsdaten nach dem damals geltenden Telemediengesetz darstellt, für die keine datenschutzrechtliche Erlaubnis vorlag.
Auch die Taskforce Facebook‐Fanpages der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einem Kurzgutachten Kritik zur weiteren Verwendung von Facebook Fanpages geäußert und dabei festgestellt, dass für die beim Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, keine wirksamen Rechtsgrundlagen gegeben sind. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.
Die KDSA-Ost stimmt dieser Bewertung zu und fordert die Verantwortlichen in den kirchlichen Einrichtungen auf, ihre Facebook-Fanpages zu deaktivieren, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.
Zum Nachweis gehört dabei insbesondere:
- der Abschluss einer Vereinbarung nach Art. 26 DS-GVO über die gemeinsame Verantwortlichkeit mit Facebook,
- eine ausreichende Information über die gemeinsamen Datenverarbeitungen gegenüber den Fanpage Nutzenden gemäß §§ 14 ff KDG,
- die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf die Informationen gem. § 25 TTDSG
- und der Zugriff auf diese Informationen gemäß § 25 TTDSG.
