Beschluss der DSK zu Facebook Fanpages vom 5. September 2018

Es gibt einen neuen Beschluss der DSK zu Facebook Fanpages - Wer eine betreibt, sollte sich dies durchlesen

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Düsseldorf, 5. September 2018

Beschluss der DSK zu Facebook Fanpages

Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Ak-tenzeichen C-210/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Kon-ferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konse-quenzen sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für die Betreiberinnen und Betreiber einer Fanpage – ergeben.

Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten, die klarstellt, wie die Pflichten aus der DSGVO erfüllt werden.

Seit dem Urteil des EuGH sind drei Monate vergangen. Zwar hat Facebook einige Änderungen in seinem Angebot – zum Beispiel bezüglich der Cookies – vorgenom-men, doch weiterhin werden auch bei Personen, die keine Facebook-Nutzerinnen und Nutzer sind, Cookies mit Identifikatoren gesetzt, jedenfalls wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufrufen.

Auch werden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt.

Der EuGH hat unter anderem hervorgehoben, dass „die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsicht-lich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“

Offizielle Verlautbarungen vonseiten Facebooks, ob und welche Schritte unternommen
werden, um einen rechtskonformen Betrieb von Facebook-Fanpages zu ermöglichen,
sind bisher ausgeblieben. Eine von Facebook noch im Juni 2018 angekündigte
Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche)
wurde bislang nicht zur Verfügung gestellt. Die deutschen Datenschutzaufsichtsbehörden
wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen
gegenüber Facebook hin.

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen
Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb
einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim
Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam
Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen
Informationen den betroffenen Personen (= Besucherinnen und Besucher
der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass Fanpage-
Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder
nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden
Datenverarbeitung gewährleisten und dies nachweisen können. Zudem
können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen
geltend machen (Art. 26 Abs. 3 DSGVO).

Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook
als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden
können.

Anhang: Fragenkatalog

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen
    festgelegt, wer von Ihnen welche Verpflichtung gemäß der
    DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
    welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
    betroffenen Personen zur Verfügung gestellt?

  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt
    werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO,
    auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch
    nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die
    personenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
    Welche personenbezogenen Daten werden gespeichert? Inwieweit werden
    aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert?
    Werden auch personenbezogene Daten von Nicht-Facebook-
    Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind
    vorgesehen?

  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
    einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local
    Storage erzeugt?

  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf
    einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und
    drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
    DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
    und eine entsprechende Vereinbarung abzuschließen?

2 Likes