Post von der Aufsicht – 15 Fragen an Facebook-Fanpage-Betreiber

Facebook Fanpage Datenschutz
3 min.

Letzte Woche erreichte einige Unternehmen und Organisationen ein Anhörungsschreiben der Berliner Beauftragen für Datenschutz und Informationsfreiheit. Die Aufsichtsbehörde stellt darin den Betreibern von Facebook Fanpages 15 Fragen zum datenschutzkonformen Betrieb ihrer Seiten. Können Sie als Fanpagebetreiber diese Fragen beantworten?

(Das komplette Schreiben finden Sie am Ende des Artikels.)

 

Die Behörde leitet ihr Schreiben mit dem bekannten Urteil des Europäischen Gerichtshofs (EuGH) ein. Der EuGH entschied am 05. Juni 2018, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Seitenbesucher verantwortlich ist.

 

Bei einer gemeinsamen Verantwortung sieht Artikel 26 DSGVO spezielle Anforderungen vor. Diese sind:

  • Schließen einer Vereinbarung, in der transparent festgelegt ist, wer welche datenschutzrechtlichen Verpflichtungen erfüllen muss.
  • Diese Vereinbarung muss die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen widerspiegeln.
  • Den betroffenen Personen, in diesem Fall die Seitenbesucher, muss das Wesentliche dieser Vereinbarung zur Verfügung gestellt werden.

 

Auf Grundlage dieses EuGH-Urteils fasste die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) am 05. September 2018 den Beschluss, dass der Betrieb einer Facebookseite rechtswidrig ist, solange keine solche Vereinbarung zwischen Facebook und Betreiber geschlossen wird.

 

Am 11. September 2018 veröffentliche Facebook dann ihre Seiten-Insights-Ergänzung. Facebook verweist darin nicht direkt auf Artikel 26 DSGVO. Die Datenschutzbehörde geht aber in ihrem Schreiben davon aus, dass Facebook damit seinen Pflichten als gemeinsam Verantwortlicher nachkommen will.
(Einen sehr guten Überblick über die Historie gibt der Kollege Dr. Thomas Schwenke unter https://drschwenke.de/anleitung-facebook-datenschutz-page-controller-addendum/)

Ganz offensichtlich reicht dies der Aufsicht noch nicht. Sie möchte noch sehr viel genauere Informationen über die Ausgestaltung der gemeinsamen Verantwortlichkeit und formuliert in ihrem Brief folgende 15 Fragen an den Seitenbetreiber.

 

Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?

 

Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar?

 

Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i.S.d. Art. 26 Abs. 1 Satz 1 DSGVO?

 

Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.

 

Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.

 

In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.

 

Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DSGVO informiert?

 

Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher Ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DSGVO, insbesondere Ihrer Pflicht aus Art. 5 2 DSGVO, nachkommen können?

 

Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?

 

Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?

 

Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art. 12 und Art. 13 informiert?

 

Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

 

In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit Dir aufnimmt (jeweils eine „Anfrage“), bist Du verpflichtet, uns unverzüglich, jedoch spätesten innerhalb 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst Du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrangungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DSGVO erfüllt werden.

 

Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im so. Local Storage erzeugt? Zu welchem Zweck und auf welcher Rechtsgrundlage erfolgt dies?

 

Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespreichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

 

Wer sich bereits mit der Materie beschäftig hat, dem wird auffallen, dass einige Fragen sehr stark an den Fragenkatalog der DSK angelehnt sind. Und tatsächlich fügt die Behörde ihrem Schreiben die 8 Fragen der DSK noch einmal gesondert an.
Die Aufsicht geht mit Ihren Formulierungen hier aber einen ganz klaren Schritt weiter.
Sie bringt den Stein wieder ins Rollen. Von Facebook sah man nach dem EuGH Urteil bis auf die Insights-Ergänzung keine weiteren Reaktionen. Es ist aber relativ unwahrscheinlich, dass ein Seitenbetreiber alle Fragen ohne die Hilfe von Facebook beantworten kann. Facebook muss diese Fragen öffentlich klären, wenn es verhindern will, dass große Unternehmen u.U. ihre Seiten und Werbeanzeigen abschalten. Denn der Betrieb einer Facebookseite scheint zum derzeiten Stand datenschutzrechtlich mehr als nur bedenklich zu sein.

 

Betreiben Sie eine Facebookseite? Könnten Sie alle Fragen der Aufsichtsbehörde beantworten? Welche der Fragen bereitet Ihnen vielleicht Kopfschmerzen? Ich freue mich auch Ihren Kommentar!

 

Facebook Fanpage Datenschutz Facebook Fanpage Datenschutz Facebook Fanpage Datenschutz

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

2 Kommentare

You can post comments in this post.


  • Die Berliner Aufsichtsbehörde ist für diese Fragen gar nicht zuständig. Gemäß der joint controller Vereinbarung ist die irische Aufsichtsbehörde zuständig. Diese Zuständigkeitsregelung ist zulässig entsprechend WP 244 Seite 8/9.

    Arno Nym 1 Monat ago Reply


    • Das ist so nicht richtig. Bitte das WP 244 auch zu Ende lesen, vgl S. 11: „Gemäß Artikel 56 Absätze 2 und 5 der DSGVO kann sich eine betroffene Aufsichtsbehörde mit einem Fall befassen, ohne als federführende Aufsichtsbehörde zu fungieren.“

      Nym Arno 4 Wochen ago Reply


Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.