Datenschutzerklärung für Social Media Kanäle

Datenschutzerklärung für Social Media zusammengefasst

Vor diese Herausforderungen stellen uns Facebook und co.

Für viele Betreiber eines Social Media Kanals, z.B. Facebook Fanpage, ist ein Solcher heutzutage nahezu unverzichtbar geworden. Der Betrieb ist seit Juni 2018 mit Vorsicht zu genießen.
Mit Urteil vom 04.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Ersteller und Betreiber eines Social Media Kanals mit dem Betreiber der Plattform datenschutzrechtlich „gemeinsam verantwortlich“ ist.

Bis zum aktuellsten EuGH-Urteil war man als Betreiber einer Facebook Fanpage nur inhaltlich verantwortlich. Inhaltliche Verantwortlichkeit bedeutet, die Verantwortung für die dort zur Abruf bereitgestellten Inhalte zu tragen. Es war deshalb nötig, dies in Form eines Impressums oder eines Links auf ein Impressum kenntlich zu machen, vergleiche §5 Telemediengesetzt (TGM). Eine datenschutzrechtliche Verantwortung kam dem Betreiber nicht zu, da er selbst über die Zwecke und Mittel der Datenverarbeitung von personenbezogenen Daten keine Entscheidungskompetenz hat. Über die Art wie die Daten auf einer Facebook Fanpage erhoben und verarbeitet werden bestimmt Facebook ganz alleine. Eine eigene Datenschutzerklärung zusätzlich zum Impressum war daher bisher nicht notwendig.

Was hat sich nach dem 04.06.2018 für Betreiber geändert?

Der EuGH hat in seinem jüngsten Urteil (04.06.2018 – C-210/16), nun aber auf Seiten des Fanpage-Betreibers eine Mitverantwortlichkeit angenommen und deutlich gemacht, dass Facebook mit seiner Zentrale in Irland grundsätzlich verantwortlich ist. Selbst wenn der Fanpage Betreiber keine Kontrolle über die Datenverarbeitung auf der Fanpage hat, hafte dieser allerdings neben Facebook auch als datenschutzrechtlich Verantwortlicher gegenüber dem Betroffenen/Seitenbesucher.
Die datenschutzrechtliche Verantwortlichkeit begründe sich dadurch, dass der Fanpage Betreiber zumindest die hypothetische Möglichkeit hat Auswertungsfilter zu setzen und Kriterien zu definieren, nach denen für ihn Statistiken von Facebook erstell werden. Facebook Insights ermöglicht im Anschluss den Abruf dieser Nutzungsstatistiken. Daher habe der Betreiber, so der EuGH, aufgrund der statistischen Auswertung durch Facebook einen wirtschaftlichen Vorteil. Facebook und der Fanpage-Betreiber seien demnach gegenüber dem Betroffenen „gemeinsam Verantwortliche“ Datenverarbeiter (Joint-Controllers).
Als gemeinsam Verantwortlicher haften Sie darüber hinaus nicht nur für die von Ihnen selbst begangenen datenschutzrechtlichen Verstöße, sondern auch für den Mitverantwortlichen (Facebook).

Konsequenzen – Was bedeutet das nun für Sie?

Da das EuGH-Urteil Sie, mit Facebook zusammen, zum Joint-Controller gemacht hat trifft Sie die Pflicht:
Ihre Nutzer transparent über die Datenverarbeitung auf Ihrer Fanpage mittels Datenschutz-Erklärung aufzuklären (auch über die Verarbeitungsvorgänge die im Hintergrund von Facebook ablaufen).
Ersuchen ihrer Nutzer, in Form der Wahrnehmung von Betroffenenrechten zu bearbeiten, bzw. erfüllen ( z.B. Auskunfts- oder Löschersuchen),
ein Joint Controllership Agreement mit Facebook zu schließen.
Die DSGVO sieht für Joint-Controller in Art. 26 DSGVO einen Vertrag über die gemeinsame Verantwortung vor (Joint-Controller-Agreement). Einem solches Agreement regelt, welcher Controller zu welchem Zweck, mit welchen Mitteln personenbezogene Daten verarbeitet. In einem Joint Controllership Agreement könnte man ggf. die Haftung für Rechtsverstöße ausschließen, allerdings ist dies von Facebook bisher nicht vorgesehen und wird vermutlich in absehbarer Zeit nicht angeboten werden.

UPDATE – 05.09.2018 DSK Beschluss

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden teilt nun, in ihrem Beschluss vom 05.09.2018, ihre Einschätzung zur Thematik mit. Ausgehend vom oben genannten EuGH Urteil stellt die DSK fest, dass Fanpage-Betreiberinnen und Betreiber sich ihrer datenschutzrechtlichen Verantwortung stellen müssen. Ohne eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sei der Betrieb, wie er derzeit praktiziert werde, rechtswidrig.

Die gemeinsam Verantwortlichen müssten Klarheit über die Sachlage schaffen und die erforderlichen Informationen dem Betroffenen bereitstellen.

Insbesondere folgender Fragenkatalog müsse von den gemeinsam Verantwortlichen beantwortet werden:

1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen
festgelegt, wer von Ihnen welche Verpflichtung gemäß der
DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
betroffenen Personen zur Verfügung gestellt?

4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt
werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO,
auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch
nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die
personenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
Welche personenbezogenen Daten werden gespeichert? Inwieweit werden
aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert?
Werden auch personenbezogene Daten von Nicht-FacebookMitgliedern
zur Erstellung von Profilen verwendet? Welche Löschfristen sind
vorgesehen?

6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local
Storage erzeugt?

7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf
einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und
drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
und eine entsprechende Vereinbarung abzuschließen?

Den vollständigen Beschluss finden Sie unter: https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

UPDATE – 13.09.2018 Facebook reagiert

Facebook hat reagiert und eine Joint-Controllership-Vereinbarung (JCV) vorgelegt. Im Fehlen eines solchen Vereinbarung lag der Hauptkritikpunkt der DSK. Dieser Vereinbarung stimmen Facebook Fanpage-Betreiber automatisiert zu, indem sie ihre Seite weiter zur Verfügung stellen.

Diese JCV beschreibt die Datenverarbeitungsvorgänge von Facebook Insights und erklärt Facebook für die Verarbeitungsvorgänge über Insights zum Allein-/Hauptverantwortlichen. Anfragen von Betroffenen oder Aufsichtsbehörden müssen, so die JCV, direkt an Facebook Ireland weitergeleitet werden.

Außerdem soll jeder Fanpage-Betreiber für sich klären, ob er eine Rechtsgrundlage für die Verarbeitung der Insight-Daten hat (Bspw. Art. 6 Abs.1 S.1 lit. f DSGVO) , bevor er diese auswertet und einen Verantwortlichen für die Datenverarbeitung nennen.

Empfehlung!

Was heißt dies nun für Sie als Fanpage-Betreiber?

Zumindest auf den ersten Blick scheint Facebook durch das Nachschieben der Vereinbarung gem. Art. 26 DSGVO seiner Pflicht nachgekommen zu sein. Auch wenn diese JCV sehr kurz ausfällt, war das Fehlen einer solchen Vereinbarung der Hauptgrund der DSK Facebook Fanpages, in der zuvor gängigen Praxis, für illegal zu erklären. Ob die Vereinbarung ausreicht, um die Ansprüche der Aufsichtsbehörden zu befriedigen, bleibt allerdings weiterhin offen. Facebook schuldet darüberhinaus noch Ergänzungen in der eigenen Datenschutzerklärung. Darüber hinaus muss Facebook den eigenen Informationspflichten zu Verarbeitungsvorgängen, wie angekündigt, vollständig nachkommen.

Auch wenn sich das Risiko der Inanspruchnahme durch Aufsichtsbehörden oder Betroffene mit dem JCV verringert hat, lautet unsere Empfehlung nach wie vor die Fanpage zunächst noch auf unsichtbar zu belassen bis die Rechtslage durch die Behörden und die Gerichte geklärt ist und Facebook nochmals nachgelegt hat.

Alternative?

Wenn der wirtschaftliche Nutzen Ihrer Fanpage das Risiko einer Inanspruchnahme durch einen Betroffenen oder eine Aufsichtsbehörde überwiegt, sollten Sie einen Link in eine externe Datenschutzerklärung setzen. Darin sollten Sie soweit es ihnen möglich ist den Nutzer über Ihre Verarbeitungsvorgänge informieren. (Dabei können wir Ihnen gerne behilflich sein.)

Andere Social Media Kanäle?

Der EuGH wird, nach unserer Einschätzung, die gleiche gemeinsame Verantwortlichkeit auch für andere Social-Media-Kanäle annehmen. Auch wenn derzeit primär Facebook Fanpages im Focus der Behörden und der Datenschutzbeauftragten liegt. Das dargestellte Vorgehen wird daher auch für den Einsatz eines Youtube-Kanals, Twitter, Google+ oder Instagram nahegelegt.

Johannes Pfaff

20:49 11 Dec 18

Kompetente und super fixe Beratung rund um die Umsetzung der DSGVO in unserem Unternehmen und der Erstellung einer Datenschutzerklärung! Würde ich wieder hier machen lassen.

Mona Damian

18:21 04 Dec 18

Wir werden als gemeinnütziger Verein von datenschutzfrankfurt.de umfassend und kompetent beraten und sind dankbar, einen so sachkundigen Dienstleister als externen DSB bestellt zu haben. Herzlichen Dank für die gute Zusammenarbeit!

Peter Lachmund

10:56 05 Dec 18

Aus persönlichen Gesprächen mit anderen Selbständigen oder Kunden wurde mir bewusst. dass das Thema Datenschutz häufig unterschätzt wird. Aus diesem Grund war es mir wichtig Profis an meiner Seite zu wissen. Gerade als Selbständiger ist man ständig einem potenziellen Datenschutz-Risiko ausgesetzt und dann ist es wichtig, sich auf einen sehr guten Partner zum Thema Datenschutz verlassen zu können. Seit ich mit den externen Datenschutzbeauftragten und Rechtsanwälten von DatenschutzFrankfurt.de zusammenarbeite habe ich ein sehr gutes und sicheres Gefühl. Man hat vom ersten Telefonat an das Gefühl... hier stimmt nicht nur das Know How zum Thema Datenschutz, sondern man trifft auf empathische Menschen die mich verstehen. Meine TOP Empfehlung. Peter L. aus Kelkheim

R R

09:22 26 Dec 18

Vertrauensvolle und kompetente Zusammenarbeit mit den Datenschutz Spezialisten der DatenschutzFrankfurt.de bzgl der Umsetzung der DSGVO in unserem online Webshop.

Flx Hbl

13:24 13 Apr 19

Top Beratung! Endlich sicher fühlen mit der DSGVO. Tausend Dank

Jack .Mcphee

07:17 16 Apr 19

Vielen Dank an das Team von datenchutzfrankfurt.de bei der kompetenten Beratung und Umsetzung der DSGVO auf unserer Unternehmenshomepage.

Alican T

12:40 24 Apr 19

Wir haben für unser Unternehmen einen externen Datenschutzbeauftragten gesucht und bei datenschutzfrankfurt.de fündig geworden. Seit dem müssen wir uns keine Sorge mehr um die Umsetzungen der rechtlichen Anforderungen der DSGVO machen. Vielen Dank für die kompetente Unterstützung.

Lukas Neumann

08:14 13 May 19

Vielen Dank für die kompetente und vertrauensvolle Beratung rund um das Thema Beschäftigtendatenschutz und dessen Umsetzung in unserem Unternehmen

Kenan Celikkal

13:29 13 May 19

Vielen dank für die schnelle Erstellung einer abmahnsicheren Datenschutzerklärung für unsere Homepage.

Michi S.

15:50 29 Oct 19

Tolles Team, dass mir unglaublich schnell geholfen hat meine Homepage auf den aktuellen Stand der DSGVO zu bringen. Vielen Dank.......

Christian

23:01 29 Oct 19

Im Zuge einer Unternehmensgründung haben wir uns vorher beim Team von datenschutzfrankfurt umfassend um die notwendigen Voraussetzungen und Bestimmungen rund um den Datenschutz beraten lassen. Vielen Dank für das freundliche, kompetente und sehr interessante Gespräch

Dieter Schöppen

19:52 12 Mar 20

Vielen Dank für die ständige, freundliche und kompetente Unterstützung als externer Datenschutzberater für unser Unternehmen. Absolute Empfehlung

Matthias Lastowiecki

23:42 21 Dec 20

Die Zusammenarbeit mit Herrn Florian Kaiser ist hervorragend - er begleitet uns seit längerem zu unserer vollsten Zufriedenheit als externer Datenschutzbeauftragter. Wir freuen uns weiterhin auf eine lange und erfolgreiche Zusammenarbeit, vielen Dank!

COGITARIS GmbH

16:02 19 Feb 24

Die Beratung durch Datenschutzberatung Frankfurt ist für unser Unternehmen ein absoluter Gewinn. Die kompetente und umfassende Beratung hilft uns, den Datenschutz in unserem Unternehmen auf ein neues Niveau zu heben. Besonders die freundliche und zielgerichtete Zusammenarbeit mit dem Team ist super.

Datenschutzerklärung für Social Media Kanäle zusammengefasst

Vor diese Herausforderungen stellen uns Facebook und co.

Was hat sich nach dem 04.06.2018 für Betreiber geändert?

Konsequenzen – Was bedeutet das nun für Sie?

UPDATE – 05.09.2018 DSK Beschluss

UPDATE – 13.09.2018 Facebook reagiert

Empfehlung!

Alternative?

Andere Social Media Kanäle?

Leave a Reply Cancel Reply

Neueste Beiträge

Neueste Kommentare

Archive

Kategorien

Meta

In Zusammenarbeit mit

Sprechzeiten

Kontakt

Anschrift