Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 01.04.2019 ein neues Positionspapier veröffentlicht und darin erneut Stellung zum Thema Facebook-Fanpages genommen. Danach ist ein Betrieb von Facebook-Fanpages weiterhin nicht datenschutzkonform möglich.
“Hier wird das Risiko für den Fanpage-Betreiber deutlich: Als gemeinsam mit Facebook Verantwortlicher haftet der Betreiber der Fanpage unter Umständen für eine Verarbeitungstätigkeit, die er nicht hinreichend durchschauen kann.” – Eileen Binder
Rückblick
In seinem Urteil vom 05.06.2018 (Az.: C‑210/16) hat der EuGH festgestellt, dass Betreiber von Facebook-Fanpages gemeinsam mit dem Plattformbetreiber Facebook für die dort erfolgende Datenverarbeitung verantwortlich sind.
Das Urteil hatte unmittelbare Bedeutung für alle Betreiber von Facebook-Fanpages mit sich gebracht. Für einen zulässigen und risikofreien Betrieb der Pages musste zwischen dem Fanpage-Betreiber und Facebook ein Vertrag über die gemeinsame Verantwortung nach Art. 26 DSGVO geschlossen werden. Facebook stellt seit Anfang September ein sogenanntes Page Insights Controller Addendum (PICA) zur Verfügung. Dieses PICA soll der nach Art. 26 DSGVO geforderten Vereinbarung über die gemeinsame Verantwortlichkeit entsprechen.
Die Rechenschaftspflicht der gemeinsam Verantwortlichen
Bereits in ihrem Beschluss vom 05.09.2018 hat die DSK Stellung zum EuGH-Urteil genommen und deutlich gemacht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen müssen. In ihrem nun veröffentlichten Positionspapier äußert sich die DSK zu Facebook’s PICA mit dem Ergebnis, dass dieses die Anforderungen nach Art. 26 DSGVO nicht erfülle.
Weder könne es sein, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung der Insights-Daten einräumen lasse, noch würden die Verarbeitungen hinreichend konkret und transparent dargestellt. Eine Prüfung der Rechtsmäßigkeit der Verarbeitung von Insights-Daten sei dem Facebook-Fanpage Betreiber anhand der PICA nicht möglich.
Hier wird das Risiko für den Fanpage-Betreiber deutlich: Als gemeinsam mit Facebook Verantwortlicher haftet der Betreiber der Fanpage unter Umständen für eine Verarbeitungstätigkeit, die er nicht hinreichend durchschauen kann.
Die DSK bekräftigt daher erneut die Rechenschaftspflicht der Fanpage-Betreiber. Die Grundsätze der Verarbeitung personenbezogener Daten müssen eingehalten und nachgewiesen werden können. Solange Facebook seine PICA nicht nachbessert und die Fanpage-Betreiber ihrer Verantwortung nicht gerecht werden können, ist ein datenschutzkonformer Betrieb der Fanpage weiterhin nicht möglich.
Was Facebook-Fanpage-Betreiber tun können
Fanpage-Betreiber, die weiterhin auf Facebook präsent sein möchten, sollten auf ihrer Fanpage zumindest eine Datenrichtlinie zur Verfügung stellen, die den Anforderungen des Art. 13 DSGVO gerecht wird und über die Verarbeitung der personenbezogenen Daten aus Sicht ihrer Verantwortlichkeit informiert.
Artikel zum selben Thema:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]