In dem Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 01.04.2019 wird Stellung genommen zum (Weiter-)Betrieb von sogenannten „Facebook-Fanpages“ nach dem Urteil des EuGH vom 05.06.2018.
Danach müssen sowohl Facebook als auch die Fanpage-Betreiber ihrer Rechenschaftspflicht nachkommen. Dazu müssen sie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können. Dies ergebe sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie in Bezug auf Verpflichtungen nach Art. 24, 25, 32 DSGVO.
Die Datenschutzkonferenz erwartet, dass Facebook nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit gerecht werden.
Für die Datenverarbeitung sei zunächst eine Vereinbarung für gemeinsam Verantwortliche nach Art. 26 DSGVO nötig. Die von Facebook am 11.9.2018 veröffentlichte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfülle die Anforderungen an eine solche Vereinbarung nicht. Im Widerspruch zu einer gemeinsamen Verantwortlichkeit stehe, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will und die veröffentlichten Informationen nicht ausreichend seien, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.
Zu den Rechenschaftspflichten wird festgestellt, dass jeder Verantwortliche eine Rechtsgrundlage für die von ihm zu verantwortenden Verarbeitungstätigkeiten nach Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO benötige, auch wenn er diese von einem gemeinsam mit ihm Verantwortlichen durchführen lässt. Zudem benötige der Verantwortliche zur Prüfung der Rechtmäßigkeit hinreichende Kenntnis über die von ihm zu verantwortenden Verarbeitungstätigkeiten.
Bezüglich der Aufsichtsbehörden wird festgestellt, dass diese für Verantwortliche (wie z.B. Fanpage-Betreiber) nach Art. 55 ff. DSGVO in ihrem Hoheitsgebiet zuständig seien.
Fazit ist, dass, solange die Fanpage-Betreiber und Facebook ihren Pflichten nicht nachgekommen, ein datenschutzkonformer Betrieb einer Fanpage nicht möglich sei.
Zur Erklärung:
Eine Facebook-Fanpage ist als eine Art Webseite innerhalb von Facebook zu verstehen, die sich auf eine Facebook Kategorie für Organisationen, Unternehmen oder Künstler bezieht, um den Kontakt zu Kunden oder Fans zu ermöglichen.
Bei Seiten-Insights handelt es sich um zusammengefasste Daten, bezüglich der Interaktion von Menschen mit der Seite.
Danach müssen sowohl Facebook als auch die Fanpage-Betreiber ihrer Rechenschaftspflicht nachkommen. Dazu müssen sie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können. Dies ergebe sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie in Bezug auf Verpflichtungen nach Art. 24, 25, 32 DSGVO.
Die Datenschutzkonferenz erwartet, dass Facebook nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit gerecht werden.
Für die Datenverarbeitung sei zunächst eine Vereinbarung für gemeinsam Verantwortliche nach Art. 26 DSGVO nötig. Die von Facebook am 11.9.2018 veröffentlichte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfülle die Anforderungen an eine solche Vereinbarung nicht. Im Widerspruch zu einer gemeinsamen Verantwortlichkeit stehe, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will und die veröffentlichten Informationen nicht ausreichend seien, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.
Zu den Rechenschaftspflichten wird festgestellt, dass jeder Verantwortliche eine Rechtsgrundlage für die von ihm zu verantwortenden Verarbeitungstätigkeiten nach Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO benötige, auch wenn er diese von einem gemeinsam mit ihm Verantwortlichen durchführen lässt. Zudem benötige der Verantwortliche zur Prüfung der Rechtmäßigkeit hinreichende Kenntnis über die von ihm zu verantwortenden Verarbeitungstätigkeiten.
Bezüglich der Aufsichtsbehörden wird festgestellt, dass diese für Verantwortliche (wie z.B. Fanpage-Betreiber) nach Art. 55 ff. DSGVO in ihrem Hoheitsgebiet zuständig seien.
Fazit ist, dass, solange die Fanpage-Betreiber und Facebook ihren Pflichten nicht nachgekommen, ein datenschutzkonformer Betrieb einer Fanpage nicht möglich sei.
Zur Erklärung:
Eine Facebook-Fanpage ist als eine Art Webseite innerhalb von Facebook zu verstehen, die sich auf eine Facebook Kategorie für Organisationen, Unternehmen oder Künstler bezieht, um den Kontakt zu Kunden oder Fans zu ermöglichen.
Bei Seiten-Insights handelt es sich um zusammengefasste Daten, bezüglich der Interaktion von Menschen mit der Seite.
