Datenschutz-Folgenabschätzung für Facebook-Fanpages

Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte.

Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen, insbesondere die sog.  „öffentlichen Stellen“ bzw. Bundesbehörden sind, drehen sich um die Ergebnisse des Kurzgutachtens zu der datenschutzrechtlichen Zulässigkeit der Fanpages, welches von einer Taskforce erstellt wurde, die der DSK ins Leben gerufen hatte.

Ergebnis des Gutachtens aus März 2022:
„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichertsind,sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt. „

Die DSK schloss sich noch im März 2022 dieser Bewertung an und stellten die wichtigsten Fragen zu den Konsequenzen des Gutachten in einer FAQ-Sammlung zusammen.

Damit rückten wieder die öffentlichen und nichtöffentlichen Stellen, die Facebook-Fanpages betreiben, in das Blickfeld der aufsichtsbehördlichen Tätigkeit, wobei die DSK klar kommuniziert, dass aufgrund ihrer Vorbildfunktion öffentliche Stellen zuvörderst im Fokus stehen. Ähnliche Prüfungen hatte der BfDI bereits letztes Jahr auch für Anfang 2022 in Aussicht gestellt.

Einige Ministerien weigerten sich jedoch publikumswirksam der „Empfehlung“ der Aufsichtsbehörden nachzukommen.

Neben dem Kurzgutachten der DSK-Taskforce können Interessierte nun auf eine von der Privacy Company veröffentlichte Datenschutz-Folgenabschätzung (DSFA) zugreifen, wenn sie sich ein Bild darüber machen möchten, ob die Nutzung einer Facebook-Fanpage voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 35 DS-GVO zur Folge hätte.

Privacy Company hat im Auftrag des niederländischen Ministeriums für Inneres und die Beziehungen des Königreichs die Risiken für den Schutz personenbezogener Daten für die staatliche Nutzung von Facebook Pages untersucht. Die DSFA ist in englischer Sprache abrufbar und führt auf über 150 Seiten eine technische und rechtliche Untersuchung über die Verarbeitung von personenbezogenen Daten durch, die Facebook verarbeitet, wenn man die Facebook-Seite einer staatlichen Organisation besucht. Für die DSFA wurde eine staatliche fake-Seite erstellt, die des (fiktiven) Datenschutzministeriums. Mit zwei brandneuen Facebook Accounts und einem existierenden Facebook Account (im Namen des Untersuchenden) wurde die Seite einen Monat lang jeden Tag besucht. Beide Accounts haben zufällig auf die empfohlenen Inhalte geklickt.

Ergebnis: Diese DSFA kommt zu dem Schluss, dass Regierungsorganisationen die Nutzung von Regierungsseiten einstellen sollten, wenn Facebook keine Maßnahmen zur Reduzierung der hohen Risiken ergreift. 

Hinweis:
Privacy Company hat ebenfalls eine Untersuchung in größerem Umfang über die Auswirkung auf Menschenrechtedurch den Gebrauch von Facebook Pages durchgeführt, einen sogenannten HRIA, Human Rights Impact Assessment (Menschenrecht-Folgenabschätzung).

(Foto: Wit – stock.adobe.com)