Endlich: Facebook veröffentlicht die "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" und übernimmt "sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten".
Ausdrücklich heißt es von Facebook:
"Facebook Ireland bleibt alleinig verantwortlich für die Verarbeitung solcher personenbezogenen Daten im Zusammenhang mit Seiten-Insights, die nicht unter diese Seiten-Insights-Ergänzung fallen. Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen."
Zwar sind noch alle nicht offenen Fragen geklärt, aber Betreiber von Facebook Fanpages können wohl endlich aufatmen.
Zu den Hintergründen:
Mit Urteil vom
05. Juni 2018 hatte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber einer Facebook-Fanpage für die ordnungsgemäße Erhebung und Verarbeitung persoenenbezogener Daten
festgestelllt.
Wir berichteten.
Nach dem Vorliegen des Urteils dauerte es nicht lange, bis die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sich positionierte und einen dringenden
Handlungsbedarf für die Betreiber feststellte. Gleichzeitig wies die DSK darauf hin, dass nicht zu verkennen sei, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen
könnten, wenn Facebook selbst an der Lösung mitwirke und ein datenschutzkonformes Produkt anbiete, das die Rechte der Betroffenen wahre.
Wie also sollen Betreiber von Fagebook-Fanpages nun einen rechtskonformen Betrieb, der die datenschutzrechtlichen Anforderungen der DSGVO erfüllt, sicherstellen? Was bedeutet eine solche
gemeinsame Verantwortlichkeit von Betreiber der Fanpage und Facebook?
Wie häufig hilft ein Blick ins Gesetz, hier in die DSGVO:
Allgemein bekannt ist zunächst der sogenannte Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Wie die meisten Unternehmer wissen, ist ein solcher dann erforderlich, wenn es sich – kurz gesagt – um eine beauftragte
Verarbeitung von personenbezogenen Daten handelt. Voraussetzung für das Vorliegen einer solchen ist jedenfalls eine sogenannte Weisungsgebundenheit bei der Ausführung der Verarbeitung. Damit ist
klar, dass nicht der Postbote, der ein Paket ausliefert und auch nicht die Reinigungskraft oder Handwerker, die Arbeiten im Unternehmen durchführen, unter die Regelungen der
Auftragsverarbeitungsverarbeitung fallen. Diese verarbeiten keine personenbezogenen im Auftrag und nach Weisung des Unternehmers. Vielmehr können diese Personengruppen bei der Ausführung der für
den Unternehmer zu verrichtenden Tätigkeit mit personenbezogenen Daten in Berührung kommen. Letzteres ist ein klarer Fall für die Notwendigkeit der Vereinbarung einer
Verschwiegenheitsverpflichtung, nicht hingegen für die Vereinbarung eines AVV.
Eher unbekannt, jedoch keinesfalls nicht zu vernachlässigen, ist im Gegensatz zur Auftragsverarbeitung, die sogenannte „Joint Control“ nach Art. 26 DSGVO: Ist nämlich gerade keine der Vertragsparteien im Sinne des Art. 28 DSGVO von der anderen zu einer
weisungsgebunden Datenverabeitung beauftragt, sondern verarbeiten beide Parteien in gemeinsamer Verantwortung personenbezogene Daten, spricht man von einer Joint Control gemäß
Art. 26 Abs. S. 1 DSGVO. Kennzeichnend für die Joint-Control ist also, dass nicht eine Person alleine über die Zwecke und Mittel der Verarbeitung entscheidet und es keine hierarchische Struktur
gibt, wie sie die Auftragsverarbeitung kennzeichnet. Die an der Verarbeitung Teilnehmenden trifft vielmehr eine gemeinsame Verantwortung. Art. 26 Abs. 2 DSGVO regelt sodann die Anforderungen an
entsprechendes Vertragswerk.
Eben das Vorliegen einer solchen gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO hat der EUGH in seinem Urteil 05.06.2018 festgestellt.
Was heißt das für den Betrieb meiner Facebook Fanpage in der Praxis?
Eben das hat sich auch die
DSK gefragt und am 05.09.2018 einen „Beschluss zu Facebook Fanpages“ herausgegeben. Nach einer kurzen Erläuterung der Problemstellung enthält der Beschluss im Anhang den nachfolgenden
Fragenkatalog (in unserer Kanzlei aus gegebenem Anlass als ein sehr unbeliebtes Instrument bekannt), den es auch vom Betreiber der Fanpage zu beantworten gilt:
Ja, das war einfach. Haben Sie auch alle Fragen beantwortet? Schnell dürfte beim Lesen der Fragen klar werden, dass die Beantwortung doch, formulieren wir es mal vorsichtig, eine kleine
Herausforderung darstellt. Ohne die Mithilfe von Facebook, dürften die Fragen schlicht nicht beantwortbar sein.
Facebook selbst hatte schon im Juni angekündigt, dass eine Vereinbarung nach Art. 26 DSGVO zur Verfügung gestellt werden sollte. Gestern gab es einige Pressemitteilungen, wonach dieses geschehen
sein solle. Tatsächlich hat Facebook dann auch gestern die angekündigte "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" veröffentlicht. Diese beantwortet zwar noch nicht alle Fagen aus dem
Fragebogen, enthält aber doch Regelungen, wonach Facebook die Verantwortung für den Betrieb der Fanpages, soweit es um Daten geht, die zur statistischen Auswertung genutzt werden, immerhin im
Innenverhältnis übernimmt. Ob dies den Aufsichtsbehörden nun reichen wird oder wie die Seiten-Insights-Ergänzung bezüglich des Verantwortlichen zum Inhalt eines Vertrages zwischen Betreiber und Facebook werden
soll, bleibt in den nächsten Tagen abzuwarten.
Wir werden weiter berichten.
Wenn Sie weitere Fragen zu Ihren Betreiberpflichten haben oder generelle Fragen zur Umsetzung der DSGVO haben, wenden Sie sich an uns. Wir helfen gerne und jederzeit.
"DSGVO: Aktueller Stand Facebook Fanpages und Betreiberpflichten"