Datenschutzerklärung für Social Media Kanäle zusammengefasst

Vor diese Herausforderungen stellen uns Facebook und co.

Für viele Betreiber eines Social Media Kanals, z.B. Facebook Fanpage, ist ein Solcher heutzutage nahezu unverzichtbar geworden. Der Betrieb ist seit Juni 2018 mit Vorsicht zu genießen.
Mit Urteil vom 04.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Ersteller und Betreiber eines Social Media Kanals mit dem Betreiber der Plattform datenschutzrechtlich „gemeinsam verantwortlich“ ist.

Bis zum aktuellsten EuGH-Urteil war man als Betreiber einer Facebook Fanpage nur inhaltlich verantwortlich. Inhaltliche Verantwortlichkeit bedeutet, die Verantwortung für die dort zur Abruf bereitgestellten Inhalte zu tragen. Es war deshalb nötig, dies in Form eines Impressums oder eines Links auf ein Impressum kenntlich zu machen, vergleiche §5 Telemediengesetzt (TGM). Eine datenschutzrechtliche Verantwortung kam dem Betreiber nicht zu, da er selbst über die Zwecke und Mittel der Datenverarbeitung von personenbezogenen Daten keine Entscheidungskompetenz hat. Über die Art wie die Daten auf einer Facebook Fanpage erhoben und verarbeitet werden bestimmt Facebook ganz alleine. Eine eigene Datenschutzerklärung zusätzlich zum Impressum war daher bisher nicht notwendig.

Was hat sich nach dem 04.06.2018 für Betreiber geändert?

Der EuGH hat in seinem jüngsten Urteil (04.06.2018 – C-210/16), nun aber auf Seiten des Fanpage-Betreibers eine Mitverantwortlichkeit angenommen und deutlich gemacht, dass Facebook mit seiner Zentrale in Irland grundsätzlich verantwortlich ist. Selbst wenn der Fanpage Betreiber keine Kontrolle über die Datenverarbeitung auf der Fanpage hat,  hafte dieser allerdings neben Facebook auch als datenschutzrechtlich Verantwortlicher gegenüber dem Betroffenen/Seitenbesucher.
Die datenschutzrechtliche Verantwortlichkeit begründe sich dadurch, dass der Fanpage Betreiber zumindest die hypothetische Möglichkeit hat Auswertungsfilter zu setzen und Kriterien zu definieren, nach denen für ihn Statistiken von Facebook erstell werden. Facebook Insights ermöglicht im Anschluss den Abruf dieser Nutzungsstatistiken. Daher habe der Betreiber, so der EuGH, aufgrund der statistischen Auswertung durch Facebook einen wirtschaftlichen Vorteil. Facebook und der Fanpage-Betreiber seien demnach gegenüber dem Betroffenen „gemeinsam Verantwortliche“ Datenverarbeiter (Joint-Controllers).
Als gemeinsam Verantwortlicher haften Sie darüber hinaus nicht nur für die von Ihnen selbst begangenen datenschutzrechtlichen Verstöße, sondern auch für den Mitverantwortlichen (Facebook).

Konsequenzen – Was bedeutet das nun für Sie?

  • Da das EuGH-Urteil Sie, mit Facebook zusammen, zum Joint-Controller gemacht hat trifft Sie die Pflicht:
  • Ihre Nutzer transparent über die Datenverarbeitung auf Ihrer Fanpage mittels Datenschutz-Erklärung aufzuklären (auch über die Verarbeitungsvorgänge die im Hintergrund von Facebook ablaufen).
  • Ersuchen ihrer Nutzer, in Form der Wahrnehmung von Betroffenenrechten zu bearbeiten, bzw. erfüllen ( z.B. Auskunfts- oder Löschersuchen),
  • ein Joint Controllership Agreement mit Facebook zu schließen.
    Die DSGVO sieht für Joint-Controller in Art. 26 DSGVO einen Vertrag über die gemeinsame Verantwortung vor (Joint-Controller-Agreement). Einem solches Agreement regelt, welcher Controller zu welchem Zweck, mit welchen Mitteln personenbezogene Daten verarbeitet. In einem Joint Controllership Agreement könnte man ggf. die Haftung für Rechtsverstöße ausschließen, allerdings ist dies von Facebook bisher nicht vorgesehen und wird vermutlich in absehbarer Zeit nicht angeboten werden.

UPDATE – 05.09.2018 DSK Beschluss

Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden teilt nun, in ihrem Beschluss vom 05.09.2018, ihre Einschätzung zur Thematik mit. Ausgehend vom oben genannten EuGH Urteil stellt die DSK fest, dass Fanpage-Betreiberinnen und Betreiber sich ihrer datenschutzrechtlichen Verantwortung stellen müssen. Ohne eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sei der Betrieb, wie er derzeit praktiziert werde, rechtswidrig.

Die gemeinsam Verantwortlichen müssten Klarheit über die Sachlage schaffen und die erforderlichen Informationen dem Betroffenen bereitstellen.

Insbesondere folgender Fragenkatalog müsse von den gemeinsam Verantwortlichen beantwortet werden:

1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen
festgelegt, wer von Ihnen welche Verpflichtung gemäß der
DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
betroffenen Personen zur Verfügung gestellt?

4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt
werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO,
auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch
nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die
personenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
Welche personenbezogenen Daten werden gespeichert? Inwieweit werden
aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert?
Werden auch personenbezogene Daten von Nicht-FacebookMitgliedern
zur Erstellung von Profilen verwendet? Welche Löschfristen sind
vorgesehen?

6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local
Storage erzeugt?

7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf
einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und
drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
und eine entsprechende Vereinbarung abzuschließen?

Den vollständigen Beschluss finden Sie unter: https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

UPDATE – 13.09.2018 Facebook reagiert

Facebook hat reagiert und eine Joint-Controllership-Vereinbarung (JCV) vorgelegt. Im Fehlen eines solchen Vereinbarung lag der Hauptkritikpunkt der DSK. Dieser Vereinbarung stimmen Facebook Fanpage-Betreiber automatisiert zu, indem sie ihre Seite weiter zur Verfügung stellen.

Diese JCV beschreibt die Datenverarbeitungsvorgänge von Facebook Insights und erklärt Facebook für die Verarbeitungsvorgänge über Insights zum Allein-/Hauptverantwortlichen. Anfragen von Betroffenen oder Aufsichtsbehörden müssen, so die JCV, direkt an Facebook Ireland weitergeleitet werden.

Außerdem soll jeder Fanpage-Betreiber für sich klären, ob er eine Rechtsgrundlage für die Verarbeitung der Insight-Daten hat (Bspw. Art. 6 Abs.1 S.1 lit. f DSGVO) , bevor er diese auswertet und einen Verantwortlichen für die Datenverarbeitung nennen.

Empfehlung!

Was heißt dies nun für Sie als Fanpage-Betreiber?

Zumindest auf den ersten Blick scheint Facebook durch das Nachschieben der Vereinbarung gem. Art. 26 DSGVO seiner Pflicht nachgekommen zu sein. Auch wenn diese JCV sehr kurz ausfällt, war das Fehlen einer solchen Vereinbarung der Hauptgrund der DSK Facebook Fanpages, in der zuvor gängigen Praxis, für illegal zu erklären. Ob die Vereinbarung ausreicht, um die Ansprüche der Aufsichtsbehörden zu befriedigen, bleibt allerdings weiterhin offen. Facebook schuldet darüberhinaus noch Ergänzungen in der eigenen Datenschutzerklärung. Darüber hinaus muss Facebook den eigenen Informationspflichten zu Verarbeitungsvorgängen, wie angekündigt, vollständig nachkommen.

Auch wenn sich das Risiko der Inanspruchnahme durch Aufsichtsbehörden oder Betroffene mit dem JCV verringert hat, lautet unsere Empfehlung nach wie vor die Fanpage zunächst noch auf unsichtbar zu belassen bis die Rechtslage durch die Behörden und die Gerichte geklärt ist und Facebook nochmals nachgelegt hat.

Alternative?

Wenn der wirtschaftliche Nutzen Ihrer Fanpage das Risiko einer Inanspruchnahme durch einen Betroffenen oder eine Aufsichtsbehörde überwiegt, sollten Sie einen Link in eine externe Datenschutzerklärung setzen. Darin sollten Sie soweit es ihnen möglich ist den Nutzer über Ihre Verarbeitungsvorgänge informieren. (Dabei können wir Ihnen gerne behilflich sein.)

Andere Social Media Kanäle?

Der EuGH wird, nach unserer Einschätzung, die gleiche gemeinsame Verantwortlichkeit auch für andere Social-Media-Kanäle annehmen. Auch wenn derzeit primär Facebook Fanpages im Focus der Behörden und der Datenschutzbeauftragten liegt. Das dargestellte Vorgehen wird daher auch für den Einsatz eines Youtube-Kanals, Twitter, Google+ oder Instagram nahegelegt.

Leave a Reply