Datenschutz-Folgenabschätzung für Facebook-Fanpages

Facebook Fanpages DSFA

Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte.

Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen, insbesondere die sog.  „öffentlichen Stellen“ bzw. Bundesbehörden sind, drehen sich um die Ergebnisse des Kurzgutachtens zu der datenschutzrechtlichen Zulässigkeit der Fanpages, welches von einer Taskforce erstellt wurde, die der DSK ins Leben gerufen hatte.

Ergebnis des Gutachtens aus März 2022:
Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichertsind,sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt. „

Die DSK schloss sich noch im März 2022 dieser Bewertung an und stellten die wichtigsten Fragen zu den Konsequenzen des Gutachten in einer FAQ-Sammlung zusammen.

Damit rückten wieder die öffentlichen und nichtöffentlichen Stellen, die Facebook-Fanpages betreiben, in das Blickfeld der aufsichtsbehördlichen Tätigkeit, wobei die DSK klar kommuniziert, dass aufgrund ihrer Vorbildfunktion öffentliche Stellen zuvörderst im Fokus stehen. Ähnliche Prüfungen hatte der BfDI bereits letztes Jahr auch für Anfang 2022 in Aussicht gestellt.

Einige Ministerien weigerten sich jedoch publikumswirksam der „Empfehlung“ der Aufsichtsbehörden nachzukommen.

Neben dem Kurzgutachten der DSK-Taskforce können Interessierte nun auf eine von der Privacy Company veröffentlichte Datenschutz-Folgenabschätzung (DSFA) zugreifen, wenn sie sich ein Bild darüber machen möchten, ob die Nutzung einer Facebook-Fanpage voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 35 DS-GVO zur Folge hätte.

Privacy Company hat im Auftrag des niederländischen Ministeriums für Inneres und die Beziehungen des Königreichs die Risiken für den Schutz personenbezogener Daten für die staatliche Nutzung von Facebook Pages untersucht. Die DSFA ist in englischer Sprache abrufbar und führt auf über 150 Seiten eine technische und rechtliche Untersuchung über die Verarbeitung von personenbezogenen Daten durch, die Facebook verarbeitet, wenn man die Facebook-Seite einer staatlichen Organisation besucht. Für die DSFA wurde eine staatliche fake-Seite erstellt, die des (fiktiven) Datenschutzministeriums. Mit zwei brandneuen Facebook Accounts und einem existierenden Facebook Account (im Namen des Untersuchenden) wurde die Seite einen Monat lang jeden Tag besucht. Beide Accounts haben zufällig auf die empfohlenen Inhalte geklickt.

Ergebnis: Diese DSFA kommt zu dem Schluss, dass Regierungsorganisationen die Nutzung von Regierungsseiten einstellen sollten, wenn Facebook keine Maßnahmen zur Reduzierung der hohen Risiken ergreift. 

Hinweis:
Privacy Company hat ebenfalls eine Untersuchung in größerem Umfang über die Auswirkung auf Menschenrechtedurch den Gebrauch von Facebook Pages durchgeführt, einen sogenannten HRIA, Human Rights Impact Assessment (Menschenrecht-Folgenabschätzung).

(Foto: Wit – stock.adobe.com)




Letztes Update:28.11.22

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren