Umfassende Prüfung von Facebook-Fanpages

Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen  C-201/16, entschieden, dass eine gemeinsame Verantwortlichkeit von  Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz  der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen  sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für  die Betreiberinnen und Betreiber einer Facebook-Fanpage – ergeben.  Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung  (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten. Diese soll klarstellen,  wie die Pflichten aus der DSGVO erfüllt werden.

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen  Verantwortung stellen

Die DSK stellte fest, dass eine von Facebook noch im Juni 2018 angekündigte  Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) bislang nicht zur Verfügung gestellt worden sei. Auch Fanpage-Betreiberinnen und Betreiber müssten sich ihrer datenschutzrechtlichen  Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO sei der Betrieb  einer Fanpage, wie sie derzeit von Facebook angeboten werde, rechtswidrig.

Gemeinsame Verantwortlichkeit bedeutet Rechtmäßigkeit der Datenverarbeitung zu gewährleisten

Daher forderte die DSK, dass nun die Anforderungen des Datenschutzrechts beim  Betrieb von Fanpages erfüllt werden. Dazu gehöre insbesondere, dass die gemeinsam  Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen  Informationen den betroffenen Personen (= Besucherinnen und Besucher  der Facebook-Fanpage) bereitstellten.  Eine gemeinsame Verantwortlichkeit bedeute allerdings auch, dass Fanpage-Betreiberinnen  und Betreiber (unabhängig davon, ob es sich um öffentliche oder  nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden  Datenverarbeitung gewährleisten und dies nachweisen können. Zudem könnten Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen  geltend machen (Art. 26 Abs. 3 DS-GVO).

Kurz nach dem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ihren Beschluss zu den sog. Facebook Fanpages veröffentlicht hat, kam Facebook den dort postulierten Anforderungen teilweise nach.

Facebook kommt den Forderungen entgegen

Nach der Veröffentlichung dieses Beschlusses hat Facebook  ein Dokument mit dem den Titel  „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ online gestellt.  Obwohl Facebook nicht explizit darauf eingeht, ob diese Veröffentlichung als eine direkte Reaktion auf den Beschluss der DSK zu betrachten ist, ist nicht zu verkennen, dass Facebook mit diesem Dokument den Forderungen hinsichtlich einer Vereinbarung zur gemeinsamen Verantwortlichkeit nach der Art. 26 DSGVO entgegen kommt.

Beauftragter für Datenschutz und Informationsfreiheit führt Anhörungsverfahren durch

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat nun bekannt gegeben, dass sie seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie bei einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpage durchführt.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können. Den Fragenkatalog im Anhörungsverfahren wird die Berliner Beauftragte für Datenschutz und Informationsfreiheit auf ihrer Webseite veröffentlichen.

Letztes Update:20.11.18

  • Ersetzendes Scannen

    BSI veröffentlicht Handlungshilfe für ersetzendes Scannen

    Das sogenannte Ersetzende Scannen beschreibt einen Prozess, in dessen Verlauf ein Dokument unter Beachtung strenger Vorschriften in eine digitale Form umgewandelt und die Papierform im Anschluss vernichtet werden darf. Der Prozess stellt dabei sicher, dass das Dokument danach in der digitalen Form die gleichen Eigenschaften wie das Original behält und eine entsprechende rechtliche Gültigkeit aufweist.

    Mehr erfahren
  • Berufsgeheimnisträger und unverschlüsselter E-Mail-Versand

    Die Frage, ob Anwältinnen und Anwälte unverschlüsselt per E-Mail mit Mandanten kommunizieren dürfen, ohne gegen die Pflicht zur Verschwiegenheit zu verstoßen, war in jüngster Vergangenheit öfter ein Streitpunkt.  Datenschutz-Aufsichtsbehörden betrachteten die Fragestellung noch genereller und stellten diese Frage für jegliche Berufsgeheimnisträger, so bspw. auch für Ärzte (Tätigkeitsbericht 2017/18 – Bayerisches Landesamt für Datenschutzaufsicht, S. 94, Ziffer

    Mehr erfahren
  • EU-Parlament kritisirt Privacy Shield

    Nach dem Ende des Privacy-Shields: GDD gibt Handlungsempfehlungen

    Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten

    Mehr erfahren