Datenschutz: Facebook Fanpages und InSights - hier die Antworten

Nachfolgend werden unkommentiert die Antworten von Facebook vom 04.04.2019 auf Fragen zur gemeinsamen Verantwortlichkeit (sog. Joint Control) in Bezug auf Facebook Fanpages bzw. Unternehmens-Pages und InSights veröffentlicht. 

 

Zu den Hintergründen berichteten wir in den Artikeln:

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hält einen datenschutzkonformen Betrieb einer Fanpage derzeitig (Stand: 01.04.2019) für NICHT möglich: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf 

 

Die Fragen entstammen einem Katalog der Berliner Beauftragten für Datenschutz und Informationsfreiheit und wurden Facebook eins zu eins mit Bitte um Beantwortung übermittelt: 

 

 

1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?*

 

2. Zu welchem Text/ zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.**

 

Die Erstellung einer Seite (häufig auch als „Fanpage” bezeichnet) beinhaltet die Annahme der Richtlinien für Seiten, Gruppen und Veranstaltungen (https://www.facebook.com/policies/pages_groups_events/). Die Richtlinien für Seiten-, Gruppen- und Veranstaltungen enthalten einen Abschnitt „Verarbeitung von Daten für Seiten-Insights im EWR”, der auf die Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) verweist und verdeutlicht, dass diese Teil der Richtlinien für Seiten, Gruppen und Veranstaltungen ist. 

 

Die Richtlinien für Seiten, Gruppen und Veranstaltungen beziehen darüber hinaus auch die Nutzungsbedingungen (https://www.facebook.com/legal/terms) von Facebook ein. Die Nutzungsbedingungen von Facebook (sowie die darin in Bezug genommenen weiteren Regelungen) sehen ein Verfahren vor, wie die vertraglichen Vereinbarungen mit Facebook Ireland in Übereinstimmung mit dem jeweils anwendbaren Recht geändert werden können. 

 

Facebook Ireland hat die Richtlinien für Seiten, Gruppen und Veranstaltungen im September 2018 aktualisiert. Diese Aktualisierung wurde am 11. September 2018 in einem Blogbeitrag (https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea?_rdr) angekündigt und daran anschließend per E-Mail an die Verantwortlichen von bestehenden Facebook-Seiten kommuniziert, wie in den Nutzungsbedingungen von Facebook vorgesehen. Bei neu erstellten Seiten werden automatisch die aktualisierten Richtlinien einbezogen.

 

Die Facebook Ireland geht davon aus, dass die Seiten-Insights-Ergänzung Teil der für Seiten geltenden Bedingungen geworden ist.

 

Unabhängig davon weist die Facebook Ireland allerdings noch darauf hin, dass Artikel 26 DSGVO nur eine „Vereinbarung” (Englisch: „arrangement”) voraussetzt, die nicht notwendigerweise als Vertrag ausgestaltet sein muss, sondern sich auch in einer dokumentierten Abstimmung erschöpfen könnte (vgl. den Wortlaut von Artikel 28 DSGVO, der ausdrücklich von Vertrag spricht).

 

3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?**

 

Ja, die Seiten-Insights-Ergänzung stellt eine Vereinbarung im Sinne des Artikels 26 DSGVO dar.

 

4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.**

 

5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten ,,Insights-Daten” zu verstehen? Bitte erläutern Sie abschließend.**

 

6. In der Insights-Ergänzung wird auf die ,,Verarbeitung von Insights-Daten” Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.**

 

9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?**

 

Einleitend möchte die Facebook Ireland klarstellen, dass das aktuelle Produkt „Seiten” nicht mit dem Produkt identisch ist, auf das der Europäische Gerichtshof (EuGH) seine Entscheidung im Fall C-210/16 gestützt hat. Die Funktion „Bevorzugte Seitenzielgruppe”, die es den Seiten-Verantwortlichen ermöglichte, ein Signal zu setzen, das es wahrscheinlicher machte, dass ihre Seiten bestimmten Facebook-Nutzern in deren _Newsfeed (https://www.facebook.com/facebookmedia/solutions/news-feed) empfohlen wurden, ist bereits seit längerer Zeit nicht mehr verfügbar (im Übrigen betraf diese Funktion notwendigerweise immer nur Personen, die auch Facebook-Nutzer waren). Nach unserem Verständnis war diese Funktion jedoch ein wesentliches Argument für die Annahme einer gemeinsamen Verantwortlichkeit für die Datenverarbeitung für Seiten-Insights durch den EuGH (siehe Tz. 37 und 39 der Entscheidung in der Sache C-210/16: „durch die von ihm vorgenommene Parametrierung”). Darüber hinaus weist die Facebook Ireland darauf hin, dass Seiten-Verantwortliche die Facebook Ireland nicht anweisen können, personenbezogene Daten für Page Insights in einer bestimmten Weise zu aggregieren. Auch führen Wechsel verschiedener Ansichten in Seiten-Insights nicht zu zusätzlichen Datenverarbeitungen.

 

Der Facebook Ireland ist nicht bekannt, inwieweit das aktuelle Seiten-Produkt von den deutschen Datenschutzbehörden überprüft und ob die oben genannten Aspekte bei der rechtlichen Beurteilung berücksichtigt wurden. Eine nähere Begründung, auf welcher genauen Grundlage die Datenschutzbehörden von einer gemeinsamen Verantwortlichkeit für Seiten-Insights ausgehen, ist uns ebenfalls bisher nicht bekannt, was die Beantwortung entsprechender Anfragen von Datenschutzbehörden generell erschwert.

 

Unabhängig davon greift die vereinbarte Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) die Kriterien auf, auf die sich der EuGH bezüglich der Annahme einer gemeinsamen Verantwortlichkeit gestützt hat, um sicherzustellen, dass alle relevanten Datenverarbeitungsaktivitäten, die eine gemeinsame Kontrolle auslösen könnten, abgedeckt sind. Die Seiten-Insights-Ergänzung definiert den Begriff „Insights-Daten” als die personenbezogenen Daten unter der DSGVO, die im Zusammenhang mit einem Besuch auf oder einer Interaktion von Personen mit einer Seite und deren Inhalten erhoben und verarbeitet werden, soweit dies unter dem Einfluss und der Kontrolle des Seiten-Verantwortlichen zum Zwecke der Erstellung von Seiten-Insights erfolgt.

 

Im Einzelnen:

 

Wenn Personen Facebook-Produkte, einschließlich Seiten, nutzen, erfasst Facebook Ireland die in der _Datenrichtlinie (https://www.facebook.com/about/privacy/update) von Facebook unter „Welche Arten von Informationen erfassen wir?” aufgeführten Informationen. Dazu gehören Informationen darüber, wie Personen unsere Produkte nutzen, wie z.B. die Art der Inhalte, die sie betrachten oder mit denen sie interagieren, oder die Aktionen, die sie auf der Seite vornehmen, sowie Informationen über die von ihnen verwendeten Geräte (z.B. Desktop-Computer oder Mobiltelefon). Der tatsächliche Umfang der erfassten Daten hängt davon ab, wie die Personen unsere Dienste nutzen.

 

In Übereinstimmung mit den Informationen, die in der Datenrichtlinie (https://www.facebook.com/about/privacy/update) von Facebook unter „Wie verwenden wir diese Informationen” angegeben sind, verwendet Facebook Ireland einen Teil der gesammelten Informationen auch, um Seiten-Verantwortlichen Analyse-Dienstleistungen zur Verfügung zu stellen, die Personen und Unternehmen helfen, Interaktionen mit ihren Seiten besser zu verstehen. Diese sog. Seiten-Insights (https://www.facebook.com/business/a/page/page-insights) bestehen aus aggregierten Statistiken. Deren Erstellung ist der Zweck der von der Seiten-Insights-Ergänzung umfassten Datenverarbeitung.

 

Die Informationen zu Daten für Seiten-Insights (https://www.facebook.com/legal/terms/information_about_page_insights_data) listen Informationen auf, wie sie zum Erstellen von Seiten-Insights verwendet werden:

  • Aufrufen einer Seite bzw. eines Beitrags oder eines Videos von einer Seite
  • Eine Seite abonnieren oder nicht mehr abonnieren
  • Eine Seite oder einen Beitrag mit „Gefällt mir” oder „Gefällt mir nicht mehr” markieren
  • Eine Seite in einem Beitrag oder Kommentar empfehlen
  • Einen Seitenbeitrag kommentieren, teilen oder auf ihn reagieren (einschließlich der Art der Reaktion)
  • Einen Seitenbeitrag verbergen oder als Spam melden
  • Von einer anderen Seite auf Facebook oder von einer Webseite außerhalb von Facebook auf einen Link klicken, der zu der Seite führt
  • Mit der Maus über den Namen oder das Profilbild einer Seite fahren, um eine Vorschau der Seiteninhalte zu sehen
  • Auf den Webseiten-, Telefonnummer-, „Route planen”-Button oder einen anderen Button auf einer Seite klicken
  • Die Information, ob du über einen Computer oder ein Mobilgerät angemeldet bist, während du eine Seite besuchst oder mit ihr bzw. ihren Inhalten interagierst

Wir ermitteln über Cookies, ob Personen Facebook-Nutzer sind, gemäß unserer Cookies Policy (https://www.facebook.com/policies/cookies/). Es gibt allerdings keine Seiten-Insights, die unmittelbar aus Cookie-Informationen erstellt werden. Seiten-Insights zeigen auch keine Informationen über Personen, die nicht auf Facebook sind.

 

7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?**

 

Jede Seite auf Facebook enthält einen Link „Informationen zu Daten für Seiten-Insights” auf der rechten Seite über der allgemeinen Facebook-Fußzeile (in der rechten Spalte). Dieser Link führt zu einem Dokument (https://www.facebook.com/legal/terms/information_about_page_insights_data) („Informationen zu Seiten-Insights-Daten“), das Betroffene über das Wesentliche der Seiten-Insights-Ergänzung informiert (einschließlich eines Links zu der vollständigen Vereinbarung). Das Dokument steht auch Seitenbesuchern zur Verfügung, die keine Facebook-Nutzer sind.

 

8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?**

 

Zusätzlich zu den Informationen in der Datenrichtlinie (https://www.facebook.com/about/privacy/update) von Facebook und dem Blogbeitrag (https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea?_rdr) hat Facebook Ireland die Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) und die Informationen zu Seiten-Insights-Daten (https://www.facebook.com/legal/terms/information_about_page_insights_data) bereitgestellt.

 

Der EuGH hat ausgeführt, dass gemeinsame Verantwortlichkeit nicht gleichbedeutend ist mit gleichwertiger Verantwortlichkeit, sondern dass der Grad der Verantwortlichkeit jedes Verantwortlichen unter Berücksichtigung der Umstände des Einzelfalls bewertet werden muss. Der Grad der Beteiligung der Seiten-Verantwortlichen im Rahmen der Verarbeitung personenbezogener Daten im Zusammenhang mit Seiten-Insights ist allenfalls geringfügig. Mit der Seiten-Insights-Ergänzung hat Facebook Ireland die primäre Verantwortung im Rahmen der DSGVO für die Verarbeitung von Insights-Daten übernommen. Vor diesem Hintergrund geht Facebook Ireland davon aus, dass die bereitgestellten Informationen ausreichen, um es den Seiten-Verantwortlichen zu ermöglichen, ihren verbleibenden gesetzlichen Verpflichtungen als Verantwortliche nachzukommen. 

 

Darüber hinaus möchten wir betonen, dass jede rechtliche Bewertung der Verarbeitung von Insights-Daten notwendigerweise auch die Verarbeitung durch Facebook Ireland betrifft und daher nicht allein von der Aufsichtsbehörde des Seiten-Verantwortlichen vorgenommen werden sollte. In Übereinstimmung mit den allgemeinen Grundsätzen der DSGVO und Abschnitt 2.1.3 („Joint Data Controllers”) des Arbeitspapiers der Artikel-29-Arbeitsgruppe WP244 rev.01 (http://ec.europa.eu/newsroom/document.cfm?doc_id=44102) („Guidelines for identifying a controller or processor’s lead supervisory authority”, angenommen am 13. Dezember 2016, letzter Stand vom 5. April 2017, am 25. Mai 2018 offiziell vom Europäischen Datenschutzausschuss („EDSA”) bestätigt), haben Facebook Ireland und der Seiten-Verantwortliche festgelegt, dass die Facebook Ireland die "Hauptniederlassung" für die Verarbeitung von Insights-Daten ist. Nach Ansicht von Facebook Ireland müsste daher jede Anfrage, die den Bereich der gemeinsamen Verantwortlichkeit unter der Seiten-Insights-Ergänzung betrifft, die irische Datenschutzkommission einbeziehen (zumindest außerhalb des von Artikel 55(2) DSGVO erfassten Bereichs, wobei dessen Reichweite nach unserem Verständnis umstritten ist).

 

10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?**

 

Die Frage, auf welche Rechtsgrundlage(n) sich ein Seiten-Verantwortlicher stützt, kann nicht von Facebook Ireland beantwortet werden. Allerdings gehen wir davon aus, dass Artikel 6 (1) (f) DSGVO in der Regel eine denkbare Rechtsgrundlage darstellt.

 

11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?**

 

Jede Seite auf Facebook enthält einen Link „Informationen zu Daten für Seiten-Insights” auf der rechten Seite über der allgemeinen Facebook-Fußzeile (in der rechten Spalte). Der Link führt zu einem Dokument (https://www.facebook.com/legal/terms/information_about_page_insights_data), das, zusammen mit der Datenrichtlinie (https://www.facebook.com/about/privacy/update) von Facebook, die ebenfalls aus der Facebook-Fußzeile wie auch aus dem vorgenannten Dokument verlinkt ist, Betroffene über die Verarbeitung ihrer Daten für Seiten-Insights informiert. Der Link ist auch für Personen aufrufbar, die Facebook nicht nutzen.

 

Wie in der Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) ausgeführt, sollten Seiten-Verantwortliche die von Artikel 13 (1) (a) bis (d) DSGVO geforderten Informationen auf ihrer Seite bereitstellen, soweit sie sich auf den Seiten-Verantwortlichen beziehen. Darüber hinaus steht es Seiten-Verantwortlichen frei, zusätzliche Informationen, die sie für hilfreich erachten, aufzunehmen. Seiten erlauben es dazu z.B., eine eigene Datenschutzerklärung zu verlinken. 

 

12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?**

 

Artikel 26 DSGVO gestattet es, die Erfüllung der Verpflichtungen der Verantwortlichen unter der DSGVO, insbesondere im Hinblick auf die Rechte von Betroffenen, aufzuteilen. Im Rahmen der Seiten-Insights-Ergänzung hat Facebook Ireland die primäre Verantwortung für die Erfüllung der DSGVO-Pflichten für die gemeinsame Verarbeitung von Insights-Daten übernommen (mit Ausnahme von Artikel 13(1)(a)-(d) DSGVO, soweit sie den Seiten-Verantwortlichen betreffen). Dies schließt Artikel 15, 17, 18 und 21 DSGVO ein. Hierdurch wird die Erfüllung der Betroffenenrechte im Einklang mit Artikel 26(1) DSGVO sichergestellt. 

 

Facebook stellt in den _Informationen zu Insights-Daten (https://www.facebook.com/legal/terms/information_about_page_insights_data) sowie seiner Datenrichtlinie (https://www.facebook.com/about/privacy/update) verschiedene Kontaktmöglichkeiten bereit. Soweit Betroffene sich direkt an Seiten-Verantwortliche wenden, findet das in der Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) beschriebene Verfahren Anwendung.

 

13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: ,,Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine ,,Anfrage”), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.” Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.**

 

Facebook Ireland und die Seiten-Verantwortlichen haben vereinbart, wie nach Artikel 26 DSGVO erforderlich und gestattet, wer von ihnen welche Verpflichtung aus der DSGVO erfüllt. Auch wenn Artikel 26(3) DSGVO es Betroffenen gestattet, ihre Rechte gegenüber jedem der Verantwortlichen geltend zu machen, heißt dies nicht, dass es unzulässig wäre, dass nur einer von zwei gemeinsam Verantwortlichen den Betroffenen antwortet. Daher werden sämtliche Anfragen nach der Seiten-Insights-Ergänzung direkt von der Facebook Ireland beantwortet. Dieses Vorgehen stellt sicher, dass die Facebook Ireland ihre eigenen Systeme nutzen kann, z.B. um Nutzer zu authentifizieren, und dass die Facebook Ireland keine personenbezogenen Daten an Seiten-Verantwortliche weitergeben muss, was Risiken für Betroffene vermeidet.

 

Die Facebook Ireland ist unter der Seiten-Insights-Ergänzung (https://www.facebook.com/legal/terms/page_controller_addendum) zur Beantwortung von Betroffenen-Anfragen, die sich auf Insights-Daten beziehen, verpflichtet.

 

14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

 

15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?**

 

(...) Es gibt (...) keine Seiten-Insights, die unmittelbar aus Cookie-Informationen erstellt werden. Seiten-Insights zeigen auch keine Informationen über Personen, die nicht auf Facebook sind.

 

Seiten auf Facebook sind Teil der Facebook-Plattform. Facebook Ireland nutzt Cookies, nach Einwilligung des Nutzers, im Einklang mit ihrer Cookie-Richtlinie (https://www.facebook.com/policies/cookies/) auf allen Teilen ihrer Plattform, einschließlich von Seiten. Eine Liste der von Facebook Ireland verwendeten Cookies kann in der Cookie-Richtlinie unter dem Punkt „Warum verwenden wir Cookies?” über den Link _Cookies_ abgerufen werden.

 

 

So nimmt Facebook Stellung - vielleicht hilft dies den einen oder anderen Facebook-Fanpage-Betreiber. Benötigen Sie Unterstützung, stehen wir Ihnen sehr gerne zur Seite.

 

 

"Datenschutz: Facebook Fanpages und InSights - hier die Antworten" von

Rechtsanwalt Jean Paul Bohne