"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Fortsetzung des Datenschutzrechts-Newsletters Nr. 2 - Juni 2018

Einführung

Der EuGH entschied am 5. Juni 2018, dass der Betreiber einer Facebook-Fanpage – neben Facebook – datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt (sog. Page Insights) (Rechtssache C‑210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH). Die Datenschutzkonferenz (DSK; d.h. die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) veröffentlichte am 6. Juni 2018 eine Entschließung zu diesem Urteil. Danach bedarf es für den datenschutzkonformen Betrieb einer Facebook Fanpage unter anderem eines Vertrags mit Facebook, der die gemeinsame Verantwortung für die Datenverarbeitung regelt. Facebook veröffentlichte kürzlich eine solche Vereinbarung zur gemeinsamen Verantwortung beim Betrieb von Facebook Page Insights (sog. Page Insights Addendum), abrufbar unter

https://www.facebook.com/legal/terms/page_controller_addendum.

Wesentliche Inhalte der Vereinbarung

Die wesentlichen Inhalte der Vereinbarung sind wie folgt:

  • Facebook Ireland verpflichtet sich, im Rahmen der EU Datenschutzgrundverordnung (nachfolgend „DS-GVO“) die Hauptverantwortung für die Verarbeitung von Insights-Daten zu übernehmen und alle anwendbaren Verpflichtungen aus der DS-GVO in Bezug auf die Verarbeitung von Insights-Daten zu erfüllen (einschließlich, aber nicht beschränkt auf die Artikel 12 und 13 DS-GVO (Erfüllung der Informationspflichten), die Artikel 15 bis 22 DS-GVO (Erfüllung der Betroffenenrechte) und die Artikel 32 bis 34 DS-GVO (Sicherheit der Verarbeitung, Meldung von Datenschutzverstößen an Aufsichtsbehörden und Betroffene)). Facebook Ireland wird den Betroffenen die wesentlichen Inhalte dieser Vereinbarung zur Verfügung stellen.
  • Der Page Insights-Nutzer muss sicherstellen, dass er über eine Rechtsgrundlage für die Verarbeitung von Insights-Daten im Rahmen der DS-GVO verfügt, den für die Datenverarbeitung Verantwortlichen für die Facebook Fanpage identifiziert und alle anderen geltenden gesetzlichen Verpflichtungen erfüllt.
  • Wird der Page Insights-Nutzer von Betroffenen oder einer Aufsichtsbehörde in Bezug auf die Verarbeitung von Insights-Daten und die von Facebook Ireland im Rahmen dieser Vereinbarung übernommenen Verpflichtungen kontaktiert, ist er verpflichtet, Facebook Ireland alle relevanten Informationen unverzüglich, maximal jedoch innerhalb von sieben Kalendertagen, zukommen lassen. Zu diesem Zweck stellt Facebook Ireland ein Formular zur Verfügung (erreichbar über einen Link in der Vereinbarung).
  • Betreiben Unternehmen eine Facebook-Fanpage, erklären sie sich damit einverstanden, dass alle Ansprüche, Rechtsstreitigkeiten oder Streitigkeiten, die sie gegen Facebook Ireland haben und die sich aus der Vereinbarung ergeben oder damit in Zusammenhang stehen, ausschließlich vor den Gerichten Irlands entschieden werden, sie sich unwiderruflich der Zuständigkeit der irischen Gerichte zum Zwecke der gerichtlichen Durchsetzung einer solchen Forderung unterwerfen und dass die Gesetze Irlands für diese Vereinbarung gelten.

Die Vereinbarung kommt laut Facebook durch die weitere Nutzung von Page Insights zustande. Der Geltung der Vereinbarung können Fanpage-Betreiber laut Facebook nur dadurch entgehen, dass sie jegliche Nutzung von Facebook Fanpages einstellen.

Beurteilung

Die Vereinbarung ist nicht unproblematisch: Zum einen obliegt dem Fanpage-Betreiber die Verantwortung dafür, dass er eine Rechtsgrundlage für die Datenverarbeitung durch Facebook im Rahmen von Page Insights hat. Nach der Entschließung der DSK vom 6. Juni 2018 kommt als Rechtsgrundlage nur eine Einwilligung der Fanpage-Besucher in Frage. Die Einholung einer Einwilligung ist derzeit technisch aber gar nicht möglich. Auf unsere Nachfrage hierzu verwies Facebook auf seinen Blogpost zur Entscheidung des EuGH

https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/

und stellte in Aussicht, die Seitenbetreiber zu informieren, sobald weitere Informationen vorliegen.

Zudem gilt für die Vereinbarung irisches Recht und die irischen Gerichte sind für alle Rechtstreitigkeiten aus der Vereinbarung zuständig. Das erschwert die Rechtsdurchsetzung gegenüber Facebook. Ebenfalls zu beachten ist die Pflicht, Facebook Ireland innerhalb von sieben Kalendertagen (nicht Arbeitstagen) über alle Anfragen von Betroffenen und Aufsichtsbehörden zu informieren.

Handlungsempfehlung

Ein datenschutzkonformer Betrieb von Facebook Fanpages ist auch mit der von Facebook bereitgestellten Vereinbarung nicht möglich. Es ist auch damit zu rechnen, dass die Aufsichtsbehörden über kurz oder lang Prüfungen hierzu starten werden. Eine entsprechende (wenn auch zeitlich nicht näher beschriebene) Ankündigung gibt es etwa von der LDI Nordrhein-Westfalen. Unternehmen, die trotz der Risiken ihre Facebook-Fanpage weiter betreiben wollen, sollten in jedem Fall einen Absatz zur Datenverarbeitung durch Facebook und sie auf der Fanpage in die Datenschutzerklärung auf ihrer Website aufnehmen und diese (ggf. in gekürzter Form) auch auf ihrer Facebook-Fanpage einbinden. Hierbei unterstützen wir Sie selbstverständlich gerne.


Sollten Sie zu diesem Newsletter Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.