Datenschutzkonferenz (DSK): Facebook Fanpages
Die Datenschutzkonferenz (DSK) hat erneut klargestellt, dass der Betrieb einer Facebook-Fanpage auch weiterhin nicht datenschutzkonform möglich ist. Die neue Stellungnahme der DSK finden Sie hier.
Der EuGH hatte mit Urteil vom 05.06.2018 (Urt. v. 05.06.2018 - Az.: C-210/16) entschieden, dass Betreiber von Facebook-Fanpages gemeinsam mit Facebook für die Einhaltung von Datenschutzvorschriften verantwortlich sind.
Kurz darauf folgte die erste Stellungnahme der DSK und Handlungsempfehlungen des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen (NRW). Im September 2018 hatte die DSK nochmals klargestellt, dass der Betrieb von Facebook-Fanpages, einen Vertrag über gemeinsame Verantwortlichkeit erfordert (sog. Joint-Control-Vertrag nach Art. 26 DSGVO).
Dem kam Facebook nach und stellte einen entsprechenden Vertrag zur Verfügung. Diesen hält die DSK allerdings nicht für ausreichend (siehe Stellungnahme vom 01.04.2019). Ein datenschutzkonformer Betrieb von Facebook Fanpages sei bis zur Nachbesserung des von Facebook zur Verfügung gestellten Vertrags nicht möglich, so die DSK.
"Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten" einräumen lassen will.
Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen."
Was ist nach Meinung der DSK also zu tun?
"1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt hierzu aus: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“ (EuGH, C-210/16, Rn. 40).
3. Im Hinblick auf die Ausführungen zur „Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie zur federführenden Aufsichtsbehörde (Punkt 4 in der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) weist die Konferenz darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen."
Info: Die Stellungnahmen der DSK sind nicht rechtsverbindlich, lassen aber erkennen, welche Auffassung die Behörden Vertreten und wie sie die DSGVO auslegen. Am Ende entscheiden jedoch die Gerichte.
Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.
