Die Antwort auf die Frage, ob es eine Datenschutzerklärung auf einer Facebook-Fanbage braucht, lautet eindeutig ja! Jedes Unternehmen, das personenbezogene Daten erhebt, muss eine Datenschutzerklärung bereithalten. Grund dafür ist, dass diese Unternehmen für die Daten verantwortlich sind, wenn sie sie für eigene Zwecke (beispielsweise Vertragsabwicklung oder Werbung) erheben. Es muss dann u.a. darüber informieren, wer welche Daten erhebt, für welche Zwecke sie erhoben werden und bis wann die Daten gespeichert werden.
Allgemein bekannt ist, dass Facebook diverse Daten sammelt, insbesondere mit Hilfe von Cookies. Durch diese erfährt Facebook beispielsweise, welche Seiten die Nutzer:innen während des Besuchs bei Facebook noch offen hat, welche Interessen die Nutzer:innen haben und wie sie sich im Netz bewegen. Man könnte nun argumentieren, dass Facebook allein für diese Daten verantwortlich ist, da nur Facebook diese Daten erhebt. Der EuGH sah das aber für Facebook Fanpages anders. Denn die gewonnenen Informationen stellt Facebook den Fanpage-Betreiber:innen in den sog. Facebook Insights zur Verfügung. Dort erhalten Fanpage-Betreiber:innen Statistiken dazu, wie sich ihre Follower:innen zusammensetzen und ziehen daraus Schlüsse, wie sie die Ansprache ihrer Zielgruppe verbessern können. Daraus hat der EUGH geschlossen, dass Facebook und die Fanpage-Betreiber:innen ein gleichgewichtiges Interesse daran haben, Nutzer:innen auf die Plattform „zu locken“. Denn Facebook kann so Daten sammeln und diese verkaufen. Die Fanpages wiederum erhalten Reichweite und Daten über ihre Zielgruppe.
Dieses gemeinsame Interesse führt dazu, dass Facebook und die Fanpage-Betreiber:innen sogenannte „gemeinsame Verantwortliche“ sind. Deswegen müssen sowohl Facebook als auch die Fanpage-Betreiber:innen eine Datenschutzerklärung bereithalten. Dies kann bei Facebook links unter dem Link „Datenrichtlinie“ geschehen. Es reicht, wenn dort auf die Datenschutzerklärung auf der eigenen Homepage verlinkt wird.
Außerdem verpflichtet die DS-GVO die gemeinsam Verantwortlichen, eine Vereinbarung zu schließen, in der sie festlegen, wer für welche Daten „zuständig“ ist. Dies hat Facebook mit dem sogenannten Addendum getan, das unter https://www.facebook.com/legal/controller_addendum abrufbar ist. Auf die bestehende gemeinsame Verantwortlichkeit und auf das Addendum muss in der Datenschutzerklärung hingewiesen werden. Datenschutzbehörden haben an diesem Addendum kritisiert, dass es den Anforderungen der DS-GVO nicht genüge und eine datenschutzkonforme Nutzung des Dienstes deswegen weiterhin nicht möglich sei. Gewerbliche Nutzer:innen müssen daher eine Risikoabwägung treffen, ob das Risiko einer Unterlassungsaufforderung oder gar eines Bußgeldes durch die Reichweite bei Facebook aufgewogen wird.