Facebook hat nun doch geliefert – Fanpages und Unternehmenssites werden ein Stück weit legaler.

Ich hatte ja vor zwei Tagen darüber berichtet, dass die Datenschutzkonferenz des Bundes und der Länder angesichts der Untätigkeit Facebooks bei der Umsetzung des Urteils des Europäischen Gerichtshofes in einer Entschließung die Fan- und Unternehmenspages für illegal erklärt hatte.

Gestern nun legte Facebook nach langem Zögern ein Dokument vor, das geeignet ist, wenigstens einen Teil der Zweifel an der Rechtmäßigkeit des Betriebs von Fanseiten auszuräumen. Im Original findet Ihr das von Facebook vorgelegte Dokument hier, an dieser Stelle nur eine Zusammenfassung der wesentlichen Punkte.


Im Einsatz für Unternehmen und Vereine als externer Datenschutzbeauftragter

Die DSGVO muss kein Schrecken sein.


Man wird ganz sicher darüber streiten, ob der Schritt des Unternehmens ausreicht, ein Fortschritt gegenüber dem vorherigen Stand ist er allemal. Das vom Europäischen Gerichtshof bemängelte Unvermögen, die gemeinsame Verantwortung von Facebook und Seitenbetreiber auf vertragliche Füsse zu stellen, wird in Teilen ausgeräumt. So schreibt das Unternehmen:

Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf die Verarbeitung von Insights-Daten fest.

und

Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen.

Worin besteht nun nach Facebooks Ansicht die sekundäre Verantwortung des Seitenbetreibers?

Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Datenverarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.

Je nach Auslegung, könnte also die sekundäre Verantwortlichkeit schon ein ganz schön großer Brocken werden. Ich vermute stark, dass hier das letzte Wort noch nicht gesprochen ist und unterschiedliche Gerichte wahrscheinlich zu sehr unterschiedlichen Beurteilungen kommen werden. Es bleibt also auf jeden Fall für den Seitenbetreiber ein ordentliches Restrisiko.

Natürlich muss der Seitenbetreiber darlegen, auf welche Rechtsgrundlage die Datenverarbeitung auf der Fan- oder Unternehmensseite beruht. Nach Lage der Dinge fällt mir da vor allem der Art. 6, Abs. 1 lit. f ein. Mehr aber auch nicht, denn eine informierte Einwilligung des Users beim Besuch der Seite ist, Stand heute, danke Nico Kovac, nicht vorgesehen. Letzteres wäre natürlich genial, muss aber von Facebook implementiert werden.

Außerdem stimmt der Betreiber der Seite, sofern unternehmerisch tätig, zu, den Gerichtsstand in Irland zu belassen. Lediglich für private Fanseiten gilt der Gerichtsstandort am Wohnort des Seiteninhabers.

Ein deutlicher Fortschritt ist, dass Facebook nicht mehr die Auskunftspflicht gegenüber Betroffenen leugnet. Stellt also ein Besucher der Seite die Anfrage auf Auskunft, Berichtigung oder Löschung der Daten, so hat der Seitenbetreiber die Aufgabe, diesen Anspruch innerhalb von sieben Tagen mittels Formular an Facebook weiterzuleiten. Das Formular findet ihr hier.

Fazit: Auch wenn der Schritt ein deutlicher Fortschritt ist, so bleiben doch am Seitenbetreiber erhebliche Risiken hängen. Ich persönlich hätte mir gewünscht, dass Facebook vor jede Seite ein Popup geschaltet hätte, das eine informierte Zustimmung des Users zum Besuch der Seite voraussetzt. Aber, geben wir die Hoffnung nicht auf, was nicht ist, kann ja noch werden.

Update 13.09.2018

Der Hessische Landesbeauftragte für Datenschutz hat sich, so in einer Facebook-Fachgruppe weitergegeben, so geäußert:

 „Der Beschluss der deutschen Datenschutzkonferenz bezüglich der Verantwortlichkeiten für Facebook-Fanpages ist ergangen, weil Facebook es bis dahin außer einigen Ankündigungen nicht geschafft hatte, den Fanpage-Seitenbetreibern irgendetwas an die Hand zu geben, das den Anforderungen des EUGH und des Art. 26 DS-GVO (Gemeinsame Verantwortung) gerecht wurde. Facebook hat darauf inzwischen reagiert und in den letzten Tagen unter https://www.facebook.com/…/terms/page_controller_addendum einen zusätzlichen Vertragstext für diesen Problembereich veröffentlicht. Inwieweit dieser Facebook-Text in der Sache weiterhilft, werden die Aufsichtsbehörden in den nächsten Monaten zunächst auf deutscher und danach auf europäischer Ebene beraten.“

 

 

Datenschutz
Daten werden erst an Facebook und Co. übermitteltt, wenn Sie aktiv auf einen Button klicken:
Teilen macht Freude - Danke sehr.