Facebook-Fanpages: Berliner Datenschutzaufsichtsbehörde verschickt Anhörungen an Betreiber
Wir hatten bereits darüber berichtet, dass der Betreiber einer Facebook-Fanpage nach einer Entscheidung des EuGH gemeinsam mit Facebook für die bei Facebook erfolgende Datenverarbeitung verantwortlich ist und daher zwingend eine eigene Datenschutzerklärung bei Facebook vorhalten muss, in der über die Datenverarbeitung konkret informiert wird. Im Internet wird nunmehr von unterschiedlichen Quellen darüber berichtet, dass einige Unternehmen und Organisationen, die eine Facebook-Fanpage betreiben, ein Anhörungsschreiben der Berliner Beauftragen für Datenschutz und Informationsfreiheit erhalten haben, in dem diese den Betreibern im Zusammenhang mit einem mutmaßlichen Datenschutzverstoß 15 Fragen zum datenschutzkonformen Betrieb ihrer Facebook-Fanpage stellt.
Rechtlicher Hintergrund
Die Behörde nimmt dabei Bezug auf das oben erwähnte Urteil des EuGH sowie auf einen Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 05.09.2018. Darin hatte die DSK festgestellt, dass der Betrieb einer Facebook-Fanpage rechtswidrig ist, solange zwischen Facebook und dem Betreiber keine Vereinbarung gemäß Art. 26 DSGVO geschlossen wird.
Art. 26 DSGVO regelt Folgendes:
Gemeinsam für die Verarbeitung Verantwortliche
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Facebook reagierte auf das Urteil des EuGH sowie auf den Beschluss der DSK, indem es am 11.09.2018 seine Nutzungsbedingungen um besondere Regelungen für „Seiten-Insights“ ergänzte, ohne dabei jedoch explizit klarzustellen, dass es sich hierbei um eine Vereinbarung nach Art. 26 DSGVO handelt. Die Behörde geht in ihren Schreiben aber davon aus, dass Facebook mit dieser Ergänzung seinen Verpflichtungen aus Art. 26 DSGVO nachkommen wollte. Allerdings scheint der Behörde dies nicht zu genügen.
Fragen der Aufsichtsbehörde
Unter Hinweis auf einen möglichen Eingriff in die Persönlichkeitsrechte der Besucher der jeweiligen Facebook-Fanpage bittet die Behörde in ihren Schreiben um Beantwortung der folgenden Fragen:
1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i.S.d. Art. 26 Abs. 1 Satz 1 DSGVO?
4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DSGVO informiert?
8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher Ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DSGVO, insbesondere Ihrer Pflicht aus Art. 5 2 DSGVO, nachkommen können?
9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art. 12 und Art. 13 informiert?
12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit Dir aufnimmt (jeweils eine „Anfrage“), bist Du verpflichtet, uns unverzüglich, jedoch spätesten innerhalb 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst
Du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrangungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DSGVO erfüllt werden.
14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im so. Local Storage erzeugt? Zu welchem Zweck und auf welcher Rechtsgrundlage erfolgt dies?
15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
Dabei belässt es die Behörde allerdings nicht bei einer höflichen Bitte, sondern droht für den Fall der nicht rechtzeitigen oder nicht vollständigen Beantwortung der Fragen den Erlass eines Auskunftsheranziehungsbescheides an, mit dem die Verpflichtung zur Beantwortung der oben genannten Fragen ausdrücklich ausgesprochen würde.
Reaktion von Facebook erforderlich
Facebook hat auf das Urteil des EuGH sowie auf den Beschluss der DSK bisher nur mit der Ergänzung seiner Nutzungsbedingungen um die Regelungen für die Seiten-Insights reagiert. Dies könnte möglicherweise zu kurz gesprungen sein. Ohne Mithilfe von Facebook sind die oben genannten Fragen der Berliner Aufsichtsbehörde kaum zu beantworten. Facebook sollte sich hierzu öffentlich positionieren, um seinen Nutzern den weiteren Betrieb einer Facebook-Fanpage zu ermöglichen. Der Vorgang zeigt aber auch, dass der Betrieb einer Facebook-Fanpage derzeit in datenschutzrechtlicher Hinsicht bedenklich ist. Dies dürfte für andere Social-Media-Kanäle entsprechend gelten, die jedoch bisher noch nicht in gleichem Maße wie Facebook in den Focus von Rechtsprechung und Behörden gerückt sind.
Tipp
Die IT-Recht Kanzlei bietet im Rahmen ihrer Schutzpakete derzeit für die nachfolgend aufgeführten Social-Media-Kanäle Datenschutzerklärungen an, die für den rechtskonformen Betrieb einer entsprechenden Nutzerseite unerlässlich sind:
- Datenschutzerklärung für Facebook
- Datenschutzerklärung für Instagram
- Datenschutzerklärung für Pinterest
- Datenschutzerklärung für Twitter
- Datenschutzerklärung für Tumblr
- Datenschutzerklärung für YouTube
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar