Datenschutz-Folgenabschätzung für Facebook-Fanpages

Facebook Fanpages DSFA

Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte.

Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen, insbesondere die sog.  „öffentlichen Stellen“ bzw. Bundesbehörden sind, drehen sich um die Ergebnisse des Kurzgutachtens zu der datenschutzrechtlichen Zulässigkeit der Fanpages, welches von einer Taskforce erstellt wurde, die der DSK ins Leben gerufen hatte.

Ergebnis des Gutachtens aus März 2022:
Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichertsind,sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt. „

Die DSK schloss sich noch im März 2022 dieser Bewertung an und stellten die wichtigsten Fragen zu den Konsequenzen des Gutachten in einer FAQ-Sammlung zusammen.

Damit rückten wieder die öffentlichen und nichtöffentlichen Stellen, die Facebook-Fanpages betreiben, in das Blickfeld der aufsichtsbehördlichen Tätigkeit, wobei die DSK klar kommuniziert, dass aufgrund ihrer Vorbildfunktion öffentliche Stellen zuvörderst im Fokus stehen. Ähnliche Prüfungen hatte der BfDI bereits letztes Jahr auch für Anfang 2022 in Aussicht gestellt.

Einige Ministerien weigerten sich jedoch publikumswirksam der „Empfehlung“ der Aufsichtsbehörden nachzukommen.

Neben dem Kurzgutachten der DSK-Taskforce können Interessierte nun auf eine von der Privacy Company veröffentlichte Datenschutz-Folgenabschätzung (DSFA) zugreifen, wenn sie sich ein Bild darüber machen möchten, ob die Nutzung einer Facebook-Fanpage voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 35 DS-GVO zur Folge hätte.

Privacy Company hat im Auftrag des niederländischen Ministeriums für Inneres und die Beziehungen des Königreichs die Risiken für den Schutz personenbezogener Daten für die staatliche Nutzung von Facebook Pages untersucht. Die DSFA ist in englischer Sprache abrufbar und führt auf über 150 Seiten eine technische und rechtliche Untersuchung über die Verarbeitung von personenbezogenen Daten durch, die Facebook verarbeitet, wenn man die Facebook-Seite einer staatlichen Organisation besucht. Für die DSFA wurde eine staatliche fake-Seite erstellt, die des (fiktiven) Datenschutzministeriums. Mit zwei brandneuen Facebook Accounts und einem existierenden Facebook Account (im Namen des Untersuchenden) wurde die Seite einen Monat lang jeden Tag besucht. Beide Accounts haben zufällig auf die empfohlenen Inhalte geklickt.

Ergebnis: Diese DSFA kommt zu dem Schluss, dass Regierungsorganisationen die Nutzung von Regierungsseiten einstellen sollten, wenn Facebook keine Maßnahmen zur Reduzierung der hohen Risiken ergreift. 

Hinweis:
Privacy Company hat ebenfalls eine Untersuchung in größerem Umfang über die Auswirkung auf Menschenrechtedurch den Gebrauch von Facebook Pages durchgeführt, einen sogenannten HRIA, Human Rights Impact Assessment (Menschenrecht-Folgenabschätzung).

(Foto: Wit – stock.adobe.com)




Letztes Update:28.11.22

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren