Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 01.04.2019 ein neues Positionspapier veröffentlicht und darin erneut Stellung zum Thema Facebook-Fanpages genommen. Danach ist ein Betrieb von Facebook-Fanpages weiterhin nicht datenschutzkonform möglich.
“Hier wird das Risiko für den Fanpage-Betreiber deutlich: Als gemeinsam mit Facebook Verantwortlicher haftet der Betreiber der Fanpage unter Umständen für eine Verarbeitungstätigkeit, die er nicht hinreichend durchschauen kann.” – Eileen Binder
Rückblick
In seinem Urteil vom 05.06.2018 (Az.: C‑210/16) hat der EuGH festgestellt, dass Betreiber von Facebook-Fanpages gemeinsam mit dem Plattformbetreiber Facebook für die dort erfolgende Datenverarbeitung verantwortlich sind.
Das Urteil hatte unmittelbare Bedeutung für alle Betreiber von Facebook-Fanpages mit sich gebracht. Für einen zulässigen und risikofreien Betrieb der Pages musste zwischen dem Fanpage-Betreiber und Facebook ein Vertrag über die gemeinsame Verantwortung nach Art. 26 DSGVO geschlossen werden. Facebook stellt seit Anfang September ein sogenanntes Page Insights Controller Addendum (PICA) zur Verfügung. Dieses PICA soll der nach Art. 26 DSGVO geforderten Vereinbarung über die gemeinsame Verantwortlichkeit entsprechen.
Die Rechenschaftspflicht der gemeinsam Verantwortlichen
Bereits in ihrem Beschluss vom 05.09.2018 hat die DSK Stellung zum EuGH-Urteil genommen und deutlich gemacht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen müssen. In ihrem nun veröffentlichten Positionspapier äußert sich die DSK zu Facebook’s PICA mit dem Ergebnis, dass dieses die Anforderungen nach Art. 26 DSGVO nicht erfülle.
Weder könne es sein, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung der Insights-Daten einräumen lasse, noch würden die Verarbeitungen hinreichend konkret und transparent dargestellt. Eine Prüfung der Rechtsmäßigkeit der Verarbeitung von Insights-Daten sei dem Facebook-Fanpage Betreiber anhand der PICA nicht möglich.
Hier wird das Risiko für den Fanpage-Betreiber deutlich: Als gemeinsam mit Facebook Verantwortlicher haftet der Betreiber der Fanpage unter Umständen für eine Verarbeitungstätigkeit, die er nicht hinreichend durchschauen kann.
Die DSK bekräftigt daher erneut die Rechenschaftspflicht der Fanpage-Betreiber. Die Grundsätze der Verarbeitung personenbezogener Daten müssen eingehalten und nachgewiesen werden können. Solange Facebook seine PICA nicht nachbessert und die Fanpage-Betreiber ihrer Verantwortung nicht gerecht werden können, ist ein datenschutzkonformer Betrieb der Fanpage weiterhin nicht möglich.
Was Facebook-Fanpage-Betreiber tun können
Fanpage-Betreiber, die weiterhin auf Facebook präsent sein möchten, sollten auf ihrer Fanpage zumindest eine Datenrichtlinie zur Verfügung stellen, die den Anforderungen des Art. 13 DSGVO gerecht wird und über die Verarbeitung der personenbezogenen Daten aus Sicht ihrer Verantwortlichkeit informiert.
Artikel zum selben Thema:
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]