Themen A bis Z

Facebook-Fanpages

Hintergrund zu den Facebook-Fanpages

Am 5. Juni 2018 hat der Europäische Gerichtshof entschieden (Rechtssache C-210/16), dass die Betreiberin / der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher der Fanpage datenschutzrechtlich verantwortlich ist. Der EuGH hat diese Entscheidung auf die Auslegung des Art. 2 Buchst. d der EU-Datenschutz-Richtlinie (DSRL) 95/46/EG gestützt. Die Erwägungen des Urteils lassen sich jedoch in vollem Umfang auf die seit dem 25. Mai 2018 geltende Rechtslage übertragen, denn die Definition der verantwortlichen Stelle in Art. 2 Buchst. d der DSRL 95/46/EG, als eine Stelle, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, ist deckungsgleich mit der Definition des Verantwortlichen in Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Vor diesem Hintergrund hat die Entscheidung auch nach Gültigkeit der DS-GVO Bestand.

Im Falle der gemeinsamen Verantwortung sieht die DS-GVO zusätzliche Anforderungen vor, die in Art. 26 DS-GVO niedergelegt sind. Danach sind gemeinsam Verantwortliche verpflichtet, in einer Vereinbarung transparent festzulegen, wer welche Verpflichtungen nach der DS-GVO erfüllt. Darüber hinaus müssen gem. Art. 26 Abs. 2 DS-GVO die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen in der Vereinbarung gebührend widergespiegelt und das Wesentliche der Vereinbarung muss den Betroffenen zur Verfügung gestellt werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 5. September 2018 einen Beschluss zur Thematik gefasst (siehe Anlage) und dabei festgestellt, dass der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DS-GVO rechtswidrig ist. Die DSK machte deutlich, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen (Art. 5 Abs. 2 DS-GVO) können müssen. Zudem können betroffene Personen ihre Rechte aus der DS-GVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DS-GVO). Zusammen mit dem Beschluss hatte die DSK daher eine Reihe von Fragen veröffentlicht, die Fanpage-Betreiberinnen und -Betreiber beantworten können sollten.

Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ (abrufbar unter: https://www.facebook.com/legal/terms/page_controller_addendum; im Folgenden „Insights-Ergänzung“) sowie „Informationen zu Seiten Insights“ (abrufbar unter: https://www.facebook.com/legal/terms/information_about_page_insights_data; im Folgenden „Insights-Information“). Vor dem Hintergrund der EuGH-Entscheidung vom 5. Juni 2018 sowie des o. g. Beschlusses der DSK geht die Berliner Beauftragte für Datenschutz und Informationsfreiheit davon aus, dass Facebook mit der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ seinen Verpflichtungen aus Art. 26 DS-GVO nachkommen möchte, ohne dabei direkt auf Art. 26 DS-GVO zu verweisen.

Fragenkatalog der Anhörungen (siehe Pressemitteilung „Berliner Datenschutzbeauftragte eröffnet umfassende Prüfung des Betriebs von Facebook-Fanpages“, vom 16. November 2018):

  1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
  2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
  3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?
  4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
  5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
  6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
  7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?
  8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?
  9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
  10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
  11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
  12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
  13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.
  14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
  15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
zurück zur Seite: