UPDATE: Wie gefährlich sind Facebook-Fanseiten?

Bild Datenschutz in der Praxis jetzt im HandelBereits im Juni 2018 hat der Europäische Gerichtshof eine beachtenswerte Entscheidung bezüglich Facebook-Fanseiten getroffen (siehe auch: Entsprechen Facebook-Seiten dem Datenschutz?). Zu diesem Thema hat mittlerweile auch die deutsche Datenschutzkonferenz DSK einen Beschluss veröffentlicht. Der gesetzeskonforme Zustand im Sinne der Datenschutz-Grundverordnung ist demzufolge aktuell kaum herstellbar.

Kurz zur Vorgeschichte: Der EuGH hat am 5. Juni 2018 entschieden (Aktenzahl C-210/16), dass beim Betreiben einer Facebook-Fanseite eine gemeinsame Verantwortlichkeit von Facebook und dem (privaten wie betrieblichen) Seitenbetreiber vorliegt. Denn der Seitenbetreiber unterstützt Facebook mit seiner Fanseite beim Sammeln von personenbezogenen Daten. Laut EuGH liegt eine gemeinsame Verantwortlichkeit für die personenbezogenen Daten vor.

Obwohl die Entscheidung des EuGH noch auf der alten Datenschutz-Richtlinie beruht, kann sie wohl auf die aktuellen Gegebenheiten im Sinne der DSGVO übertragen werden. Und die Datenschutz-Grundverordnung fordert bei gemeinsamer Verantwortlichkeit unter anderem eine Vereinbarung zwischen den Parteien, in der festgehalten wird, wie die Pflichten aus der DSGVO erfüllt werden und von wem.

Nach wie vor keine Rechtssicherheit

Zwar hat Facebook laut dem Beschluss der deutschen DSK einige Änderungen vorgenommen, doch werden weiterhin auch bei Personen, die keinen eigenen Facebook-Account haben, in bestimmten Fällen Cookies gesetzt. Fanseiten-Besuche werden darüber hinaus nach bestimmten Kriterien ausgewertet und den Seitenbetreibern zur Verfügung gestellt. Wo und wie Facebook die gesammelten Daten sonst noch verarbeitet, ist ebenfalls unklar.

Facebook selbst hat (bis Anfang September 2018 laut DSK) noch keinen rechtskonformen Zustand hergestellt. Eine Vereinbarung gemäß Artikel 26 DSGVO bezüglich gemeinsamer Verantwortlichkeit fehlt nach wie vor. Trotzdem müssen Fanseiten-Betreiber ihren datenschutzrechtlichen Pflichten nachkommen. Ohne zumindest so einer Vereinbarung nach Artikel 26 DSGVO ist der aktuelle Betrieb einer Fanseite laut DSK rechtswidrig.

Laut DSK sollten Betreiber einer Facebook-Fanseite unter anderem folgende Fragen beantworten können:

  • Wie stellen Sie sicher, dass die Betroffenenrechte erfüllt werden können, insbesondere die Rechte auf Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch und auf Auskunft?
  • Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucher Ihrer Fanseite? Welche personenbezogenen Daten werden gespeichert?
  • Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Artikel 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?

Hand aufs Herz: Können Sie als Betreiber einer Facebook-Fanseite diese (und noch einige weitere) Fragen beantworten?

UPDATE: Facebook hat Informationen zu Seiten-Insights-Daten bereitgestellt, im Folgenden ein paar Auszüge daraus:

  • Facebook Ireland und der Seitenadministrator haben eine Vereinbarung geschlossen, in der ihre jeweiligen Verpflichtungen unter der DSGVO geregelt sind.
  • Facebook Ireland und der Seitenadministrator haben vereinbart, dass Facebook vorrangig dafür verantwortlich ist, dir Informationen über die gemeinsame Verarbeitung bereitzustellen und es dir zu ermöglichen, deine dir gemäß DSGVO zustehenden Rechte auszuüben.
  • Facebook Ireland und der Seitenadministrator haben vereinbart, dass die irische Datenschutzkommission die Behörde ist, die die Aufsicht über die Verarbeitung unter gemeinsamer Verantwortung federführend ausübt.

Auszüge aus den Seiten-Insights-Ergänzung bezüglich des Verantwortlichen:

  • Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten.
  • Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen.
  • Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.

So bleiben Sie auf dem Laufenden!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.


Weitere interessante Beiträge:

DSGVO: Darf WhatsApp weiterhin genutzt werden?

Einfacher Datenschutz im beruflichen und privaten Alltag

Datenschutz: Muss HTTPS-Verschlüsselung für Internetseiten sein?