I.          Das Problem

Seit der Europäische Gerichtshof am 05. Juni 2018 entschied, dass Betreiber von Facebook-Fanpages mit Facebook gemeinsam für die datenschutzrechtliche Verarbeitung verantwortlich ist (= joint controller nach Art. 26 DS-GVO) wir berichteten https://www.datarea.de/eugh-entscheidung-zu-facebook-fanpages-hat-weitreichende-folgen/) ist die Rechtslage in Bezug auf Facebook-Fanpages umstritten.

Denn durch diese Entscheidung ist es für Betreiber von Facebook-Fanpages zunehmend schwieriger sich an datenschutzrechtliche Vorgaben halten zu können. Besonders aufgrund der Tatsache, dass die Betroffenenrechte nicht erfüllt werden können, ist das Risiko an datenschutzrechtliche Problemstellungen zu stoßen sehr hoch.

Vor allem die Frage des Trackings mittels Insights ist hochproblematisch, da hierzu keinerlei Maßnahmen ergriffen werden können diese zu unterbinden. Auch die Betroffenen haben hierzu in der Regel keine Einwilligung erteilt, welche die Angelegenheit bessern könnte.

II.          Was ist bisher geschehen?

Aufgrund dieser Problematik wurde empfohlen soweit die Facebookseite nicht geschlossen wurde, zumindest ein Link zu der eigenen Datenschutzbestimmung im Impressum auf der Fanpage einzufügen (2-Klicktherorie). Dies löste jedoch nicht das eigentliche Problem, sodass Facebook einige Zugeständnisse machte und einige Änderungen einfügte. (Ergänzungsvereinbarung September 2018) So ist Facebook den Betreibern etwas entgegengekommen und hat im Sinne des Art. 26 DSGVO entsprechende Maßnahmen ergriffen um einige wesentliche Pflichten erfüllen zu können (vgl. https://www.facebook.com/legal/terms/page_controller_addendum).

Mithin können Betreiber nun die jeweiligen Verpflichtungen der Informationspflichten und die Gewährung der Betroffenen Rechte, Benennung von Anlaufstellen und Bekanntgabe der Vereinbarung mit Auftragsverarbeitern erfüllen. Weiterhin jedoch besteht das größte Problem, dass die Betreiber keinen Einfluss darauf haben wie Facebook mit den Daten umgeht, welches jedoch als Auftraggeber unerlässlich ist.

Demnach besteht hier das eigentliche Problem, zwar in abgeschwächter Form weiterhin fort.

III.          Was möchte nun die Aufsicht?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben im September 2018 deutlich hervorgehoben, dass die Betreiber dieser Fanpages die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und nachweisen können müssen. Zum Beispiel hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit erhebliche Zweifel, ob die vorhandenen Informationen auch mit Blick auf die Ergänzungsvereinbarung geeignet sind, die Rechenschaftspflicht zu erfüllen.

Vor allem Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie bei einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche werden seit November 2018 Anhörungen zu diesem Thema durchgeführt.

IV.          Was bedeutet das für Sie?

In erster Linie sollten Sie ihre Facebook-Fanpage entsprechend überprüfen und mögliche Risiken soweit wie möglich minimieren.

Mithin ist es nun unerlässlich, dass Sie:

• ein Link zu Ihrer Datenschutzerklärung und ggf. Transparenzerklärung auf Facebook aufnehmen.
• müsste ihre Datenschutzerklärung angepasst werden.
  • Hier also um Angaben darüber das Betroffenenrechte bei Facebook Ireland sowie bei Ihnen geltend gemacht werden können.
  • Die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten bei Facebook liegt und Facebook sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten erfüllt.
  • Sowie das Sie als Betreiber keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten, treffen.
• Fügen Sie ein Opt-In Banner auf ihre Webseite ein, in der Sie die Erlaubnis zum Tracking via Insights einholen.
• Dokumentieren Sie die Standards von Facebook (z.B. https://www.facebook.com/legal/terms/page_controller_addendum
• Anfragen von Betroffenen und Aufsichtsbehörden sollten an das Formular von Facebook wie vereinbarungsgemäß von Facebook vorgesehen verwiesen werden. (https://www.facebook.com/help/contact/308592359910928).

IV.          Wie verhalte ich mich bei einer Anhörung?

Bitte nehmen Sie immer Rücksprache mit ihrem Datenschutzbeauftragten soweit es zu einer Anhörung kommen sollte. Gemeinsam mit ihm, ggf. den IT-Verantwortlichen und Ihnen sollten diese Angelegenheiten vorbereitet und bearbeitet werden.