Das Urteil des EuGH vom 5. Juni 2018 (https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf) zur Joint Con­trol­ler­ship (Art. 26 DS-GVO Ge­mein­sam für die Ver­ar­bei­tung Ver­ant­wort­li­che) hat Folgen für Fan­page­be­trei­ber. Am 10. Sep­tem­ber 2018 ver­öf­fent­lich­te die Da­ten­­­schutz-Kon­­­fe­­renz (DSK) zu dem Thema einen ak­tu­el­len Be­schluss, in dem die Da­ten­schutz­be­hör­den ar­gu­men­tier­ten, dass der Betrieb einer Fanpage rechts­wid­rig ist, wenn nicht mit Face­book die er­for­der­li­che Ver­ein­ba­rung nach Art. 26 DS-GVO zur ge­mein­sa­men Ver­ant­wort­lich­keit ge­schlos­sen wird. (Be­schluss: https://www.datenschutz-berlin.de//pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf)

In diesem Be­schluss stellt die DSK zum einen fest, dass „ohne Ver­ein­ba­rung nach Art. 26 DS-GVO (…) der Betrieb einer Fanpage, wie sie derzeit von Face­book an­ge­bo­ten wird, rechts­wid­rig (ist)“. Das ist eine klare Aussage, die die erste Ent­schlie­ßung am 06. Juni 2018 so noch nicht ge­trof­fen hat. Zum anderen gibt dieser Be­schluss den Be­trei­bern von Face­­book-Fan­­pa­ges sowie Face­book selbst kon­kre­te Fragen vor, denen sie sich stellen und die die Be­trei­ber be­ant­wor­ten müssen, wenn die zu­stän­di­ge Auf­sichts­be­hör­de für Daten­schutz sie zu einer kon­kre­ten Face­book Fanpage be­fra­gen wird, was durch­aus wahr­schein­lich ist.

Die Fragen selbst lesen sich einfach, aber spä­tes­tens dann ist es mit einfach auch schon vorbei – der Fragenkatalog:

  1. In welcher Art und Weise wird zwi­schen Ihnen und anderen ge­mein­sam Ver­ant­wort­li­chen fest­ge­legt, wer von Ihnen welche Ver­pflich­tung gemäß der DS-GVO erfüllt? (Art. 26 Abs. 1 DS-GVO)
  2. Auf Grund­la­ge welcher Ver­ein­ba­rung haben Sie un­ter­ein­an­der fest­ge­legt, wer welchen In­for­ma­ti­ons­pflich­ten nach Artt. 13 und 14 DS-GVO nachkommt? 
  3. Auf welche Weise werden die we­sent­li­chen Aspekte dieser Ver­ein­ba­rung den be­trof­fe­nen Per­so­nen zur Ver­fü­gung gestellt? 
  4. Wie stellen Sie sicher, dass die Be­trof­fe­nen­rech­te (Artt. 12 ff. DS-GVO) erfüllt werden können, ins­be­son­de­re die Rechte auf Lö­schung nach Art. 17 DS-GVO, auf Ein­schrän­kung der Ver­ar­bei­tung nach Art. 18 DS-GVO, auf Wi­der­spruch nach Art. 21 DS-GVO und auf Aus­kunft nach Art. 15 DS-GVO? 
  5. Zu welchen Zwecken und auf welcher Rechts­grund­la­ge ver­ar­bei­ten Sie die per­so­nen­be­zo­ge­nen Daten der Be­su­che­rin­nen und Be­su­cher von Fan­pages? Welche per­so­nen­be­zo­ge­nen Daten werden ge­spei­chert? In­wie­weit werden auf­grund der Besuche von Face­book Fan­pages Profile er­stellt oder an­ge­rei­chert? Werden auch per­so­nen­be­zo­ge­ne Daten von Nicht-Face­­book-Mit­­glie­­dern zur Er­stel­lung von Pro­fi­len ver­wen­det? Welche Lösch­fris­ten sind vorgesehen? 
  6. Zu welchen Zwecken und auf welcher Rechts­grund­la­ge werden beim Erst­auf­ruf einer Fanpage auch bei Nicht-Mit­­glie­­dern Ein­trä­ge im so­ge­nann­ten Local Storage erzeugt? 
  7. Zu welchen Zwecken und auf welcher Rechts­grund­la­ge werden nach Aufruf einer Un­ter­sei­te in­ner­halb des Fanpage-An­­ge­­bots ein Session-Cookie und drei Cookies mit Le­bens­zei­ten zwi­schen vier Monaten und zwei Jahren gespeichert? 
  8. Welche Maß­nah­men haben Sie er­grif­fen, um Ihren Ver­pflich­tun­gen aus Art. 26 DS-GVO als ge­mein­sam für die Ver­ar­bei­tung Ver­ant­wort­li­cher gerecht zu werden und eine ent­spre­chen­de Ver­ein­ba­rung abzuschließen?

Manche dieser Fragen werden für Fanpage-Be­­trei­­ber schwer bis gar nicht zu be­ant­wor­ten sein. Face­book hat direkt re­agiert und stellte ein Do­ku­ment mit dem Titel „Seiten-In­­­sights-Er­­gän­­zung be­züg­lich des Ver­ant­wort­li­chen“ zur Ver­fü­gung: https://www.facebook.com/legal/terms/page_controller_addendum

Die DSK fordert, dass die An­for­de­run­gen des Da­ten­schutz­rechts beim Betrieb von Fan­pages jetzt erfüllt werden müssen. Es bleibt zu hoffen, dass Face­book mög­lichst schnell eine be­last­ba­re Ver­ein­ba­rung den Be­trei­bern vorlegt und zur Ver­fü­gung stellt.

 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!