DSK fordert weitere Nachbesserung für Facebook-Fanpages
Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen C-201/16, entschieden, dass bei Facebook-Fanpages eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für die Betreiberinnen und Betreiber einer Fanpage – ergeben. Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten, die klarstellt, wie die Pflichten aus der DSGVO erfüllt werden.
Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen
Die DSK stellte fest, dass eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) bislang nicht zur Verfügung gestellt worden sei. Auch Fanpage-Betreiberinnen und Betreiber müssten sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO sei der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten werde, rechtswidrig.
Betroffene können ihre Rechte aus der DSGVO gegenüber jedem Verantwortlichen geltend machen
Daher forderte die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Facebook-Fanpages erfüllt werden. Dazu gehöre insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellten. Eine gemeinsame Verantwortlichkeit bedeute allerdings auch, dass Fanpage-Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem könnten Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DS-GVO).
Kurz nach dem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ihren Beschluss zu den sog. Facebook Fanpages veröffentlicht hat, kam Facebook den dort postulierten Anforderungen teilweise nach.
Facebook reagiert
Nach der Veröffentlichung dieses Beschlusses hat Facebook ein Dokument mit dem den Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ online gestellt. Obwohl Facebook nicht explizit darauf eingeht, ob diese Veröffentlichung als eine direkte Reaktion auf den Beschluss der DSK zu betrachten ist, ist nicht zu verkennen, dass Facebook mit diesem Dokument den Forderungen hinsichtlich einer Vereinbarung zur gemeinsamen Verantwortlichkeit nach der Art. 26 DSGVO entgegen kommt.
In seinem neuesten Positionspapier vom 01.04. 2019 fordert die DSK sowohl Facebook als auch die Fanpage-Betreiber auf ihrer Rechenschaftspflicht nachzukommen. Die Datenschutzkonferenz erwarte, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen sei, ist ein
datenschutzkonformer Betrieb einer Fanpage nicht möglich.
Anforderungen werden bislang nicht erfüllt
Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nach Ansicht der DSK nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO. Insbesondere stehe es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen wolle. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere
Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar, so die Aufsichtsbehörden. Sie seien nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer
Fanpage zu ermöglichen.
Das könnte Sie auch interessieren
-
Praxisnahe Handreichung zum Datenpannenmanagement
Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –
Mehr erfahren -
LLM-gestützte Chatbots in der öffentlichen Verwaltung
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob
Mehr erfahren -
Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen
Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand
Mehr erfahren
