Das Urteil des EuGH vom 5. Juni 2018 (https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf) zur Joint Controllership (Art. 26 DS-GVO Gemeinsam für die Verarbeitung Verantwortliche) hat Folgen für Fanpagebetreiber. Am 10. September 2018 veröffentlichte die Datenschutz-Konferenz (DSK) zu dem Thema einen aktuellen Beschluss, in dem die Datenschutzbehörden argumentierten, dass der Betrieb einer Fanpage rechtswidrig ist, wenn nicht mit Facebook die erforderliche Vereinbarung nach Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit geschlossen wird. (Beschluss: https://www.datenschutz-berlin.de//pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf)
In diesem Beschluss stellt die DSK zum einen fest, dass „ohne Vereinbarung nach Art. 26 DS-GVO (…) der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig (ist)“. Das ist eine klare Aussage, die die erste Entschließung am 06. Juni 2018 so noch nicht getroffen hat. Zum anderen gibt dieser Beschluss den Betreibern von Facebook-Fanpages sowie Facebook selbst konkrete Fragen vor, denen sie sich stellen und die die Betreiber beantworten müssen, wenn die zuständige Aufsichtsbehörde für Datenschutz sie zu einer konkreten Facebook Fanpage befragen wird, was durchaus wahrscheinlich ist.
Die Fragen selbst lesen sich einfach, aber spätestens dann ist es mit einfach auch schon vorbei – der Fragenkatalog:
- In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DS-GVO erfüllt? (Art. 26 Abs. 1 DS-GVO)
- Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Artt. 13 und 14 DS-GVO nachkommt?
- Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
- Wie stellen Sie sicher, dass die Betroffenenrechte (Artt. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
- Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DS-GVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Manche dieser Fragen werden für Fanpage-Betreiber schwer bis gar nicht zu beantworten sein. Facebook hat direkt reagiert und stellte ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung: https://www.facebook.com/legal/terms/page_controller_addendum
Die DSK fordert, dass die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages jetzt erfüllt werden müssen. Es bleibt zu hoffen, dass Facebook möglichst schnell eine belastbare Vereinbarung den Betreibern vorlegt und zur Verfügung stellt.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177