DSK: Betrieb Fanpages ohne Regelung durch Facebook rechtswidrig, Facebook kündigt Reaktion an

Die DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) hat mit Beschluss vom 5. September 2018 den Betreibern von Facebook-Fanpages die volle Haftung für den momentanen Fanpage-Betrieb bei Facebook auferlegt. daraufhin hat Facebook eine Reaktion und Übernahme der Hauptverantwortung angekündigt.

Die DSK hat 3 Monate nach der Entscheidung des EuGH sowie ihrer Kommentierung festgestellt, dass der momentane Betrieb der Fanpages bei Facebook rechtswidrig ist. Grund dafür ist, dass nach dem Urteil des EuGH eine gemeinsame Verantwortlichkeit des betreibenden Unternehmens auf der einen und Facebook auf der anderen existiert. Infolge dessen muss nach der DSGVO eine Regelung zwischen Facebook und dem Fanpage-Betreiber getroffen werden, deren wesentliche Inhalte den Besuchern der Fanpage zu kommunizieren ist und mit welcher regelt wird, wer die Rechte der Betroffenen erfüllt. In diesem Zusammenhang hat die DSK 8 Fragen formuliert, welche nicht nur Facebook, sondern der Fanpage-Betreiber beantworten muss. Die 8 Fragen lauten wie folgt:

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?“
  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?“

Facebook hat nun endlich darauf reagiert und folgende Änderungen angekündigt:

  1. Facebook übernimmt die Hauptverantwortung für die Einhaltung der Datenschutz-Verpflichtungen. Hierzu soll ein Nachtrag zu den Nutzungsbedingungen (Addendum) erfolgen.
  2. Des Weiteren wird ein neuer Abschnitt eingeführt „Information About Page Insights Data“, der von sämtlichen Seiten aus zugänglich ist. In diesem wird erläutert, welche Daten verwendet werden und auch über den Nachtrag mit der Hauptverantwortlichkeit von Facebook für die Datenschutz-Verpflichtungen informiert.
  3. Zu guter Letzt soll ein neues Formular zur Weiterleitung für Benutzeranfragen zur Verfügung gestellt werden, um die Einhaltung von Benutzerrechten zu ermöglichen. Hierzu sollen die Seitenbetreiber die Anfragen an Facebook weiterleiten. „.

Fazit:

Die DSK stellt eindeutig die Rechtswidrigkeit des momentanen Betriebs von Facebook-Fanpages ohne Regelung zur gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO fest. Wörtlich lautet es in Richtung der Fanpage-Betreiber dass sie sich nun „ihrer datenschutzrechtlichen Verantwortung stellen müssen“. Offenbar hat diese Drohung nun ihre Wirkung nicht verfehlt. Es bleibt abzuwarten, ob über den Nachtrag von Facebook sämtliche Informationen für den Nutzer transparent zur Verfügung gestellt werden. Jedes Unternehmen sollte die Situation im Auge behalten und entsprechend der Vorgaben von Facebook handeln sobald die Informationen und Formulare zur Verfügung stehen. In jedem Fall ist die angekündigte Rektion erst einmal erfreulich.