Die 8 Fragen des Beschlusses der DSK und Facebooks „Joint Controllership Vertrag“
Autor: Daniel Schätzle Erstellt am: 4. Oktober 2018 Rubrik: Datenschutzinformation, Social MediaNach dem „Facebook-Fanpage-Urteil“ des EuGH vom 5. Juni 2018 und kurz nach Veröffentlichung des Beschlusses der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) zu den Facebook-Fanpages am 5. September hat der Social-Media-Anbieter nun überraschend reagiert. Die DSK hat in Ihrem Beschluss u.a. die Untätigkeit Facebooks gerügt und den Betrieb einer Fanpage – ohne vorliegen einer Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO – für Rechtswidrigkeit erklärt. Daraufhin hat Facebook nun seine AGB um eine solche Vereinbarung über die gemeinsame Verantwortlichkeit, mit dem Namen „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“, ergänzt.
Hintergrund war, dass nach der Entscheidung des EuGH sowohl Facebook, als auch der Betreiber einer Fanpage gleichermaßen datenschutzrechtlich verantwortlich sind (Beiträge zum Fanpage-Urteil des EuGH: 10 Fragen, 10 Antworten von RA Prof. Niko Härting). Art. 26 DSGVO normiert die gemeinsam Verantwortlichkeit und verpflichtet die Verantwortlichen dazu (Art. 26 Abs. 1 S. 2 DSGVO) in einer Vereinbarung festzulegen, wer von ihnen welche datenschutzrechtliche Verpflichtung erfüllt. Zu diesen Pflichten gehören insbesondere die Wahrnehmung der Betroffenenrechte (Art. 14 bis 22 DSGVO) und die Informationspflichten (Art. 13 und 14 DSGVO). Zudem fordert Art. 26 Abs. 2 S. 2 DSGVO, dass das wesentliche der Vereinbarung den Betroffenen zur Verfügung gestellt wird. In der Praxis wird dies im Rahmen der Informationserteilung nach Art. 13 und Art. 14 DSGVO möglich sein. Ungeachtet der Einzelheiten der Vereinbarung können die Betroffenen, deren personenbezogene Daten beim Besuch der Facebook-Fanpage verarbeitet werden, ihre Rechte aus der DSGVO sowohl gegenüber Facebook als auch gegenüber des Betreibers der Fanpage geltend machen können (Art. 26 Abs. 3 DSGVO).
Der Beschluss der DSK zu Facebook-Fanpages vom 5. September führt acht Fragen an, die sowohl Facebook als auch der Fanpage-Betreiber beantwortet muss, um die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und diese nachweisen zu können.
Unser Fazit:
Nutzen Fanpage-Betreiber Insights, schließen Sie automatisch eine Vereinbarung gem. Art. 26 DSGVO mit Facebook. Die fehlende Vereinbarung war der Hauptkritikpunkt der DSK, welche die Facebook-Fanpages deshalb für rechtswidrig hielt. Zwar ist eine solche Vereinbarung nun vorhanden, ob diese gänzlich den Anforderungen des Art. 26 DSGVO entspricht ist allerdings fraglich; auch unklar ist, ob die Aufsichtsbehörden diese Vereinbarung anerkennen.
Sicher ist, dass die Pflicht zur Information nach Art. 13 bzw. 14 DSGVO auch den Fanpage-Betreiber trifft, sodass diesem zu empfehlen ist eine entsprechende Datenschutzinformation auf Grundlage der vorliegenden Information auf der Fanpage vorzuhalten. Zudem sollte in dieser auf die Seiten-Insights-Ergänzung verlinkt werden, um dem Betroffenen gem. Art. 26 Abs. 2 S. 2 DSGVO das wesentliche der Vereinbarung zur Verfügung stellt. Eine entsprechende Datenschutzinformation kann über den Punkt „Datenrichtlinie“ im Infobereich verlinkt werden.
Problem und einer der kritischsten Punkte, welcher bei dem Versuch die acht Fragen der DSK deutlich wird, ist die Gewährleistung der Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung. Der Betrieb einer Facebook-Fanpage bleibt somit weiterhin nicht gänzlich frei von Risiken. Den entsprechend verbreiteten Aktionismus, umgehend alle Facebook-Fanpages offline zu nehmen, können wir allerdings nicht teilen. Es ist durchaus denkbar die Verarbeitungsvorgänge durch berechtigte Interessen zu rechtfertigen. Um dies entsprechend gewährleisten und Nachweisen zu können, sind weitere Informationen seitens Facebook notwendig.
Betreibern einer Facebook-Fanpage kann neben der Integration von Datenschutzinformationen weiterhin geraten werden, den Ausgang des EuGH-Falls vor den deutschen Verwaltungsgerichten sowie mögliche Stellungnahmen Facebooks zu dem Beschluss der DSK abzuwarten.
Rubrik: Datenschutzinformation, Social Media Stichwörter: Facebook, Fanpages, Joint Controllership