Veranlasst durch mehrere gerichtliche Entscheidungen des EuGH und des Bundesverwaltungsgerichts (BVerwG) im Kontext von Facebook-Diensten und zu Fragen gemeinsamer Verantwortlichkeit wurde Ende 2018 eine Reihe von Prüfverfahren eingeleitet. Im Laufe dieser Verfahren hat Facebook eine wesentlich überarbeitete Fassung seiner Vereinbarung zur gemeinsamen Verantwortlichkeit mit den Fanpage-Betreiber*innen bereitgestellt. Da diese nicht geeignet war, alle bisherigen Kritikpunkte und offenen Fragen auszuräumen, wurden mehrere Verantwortliche abermals um Stellungnahme gebeten. Die Reaktionen fielen gemischt aus.
Facebook stellt den Betreiber*innen von Fanpages sog. Seiten-Insights bereit. Hierbei handelt es sich um statistische Informationen darüber, ob und wie Besucher*innen der Fanpages mit der Seite und den Inhalten interagiert haben – was also bei bestimmen Gruppen gut ankommt und was weniger. Wie der EuGH 2018 festgestellt hat, verarbeiten Facebook und die Betreiber*innen der Fanpages hierfür die personenbezogenen Daten der Besucher*innen in gemeinsamer Verantwortlichkeit. In der Konsequenz sind beide Akteur*innen nicht nur verpflichtet, in einer Vereinbarung transparent festzulegen, wer hinsichtlich dieser Daten welche Verpflichtungen nach der DSGVO erfüllt. Es ist auch jede*r der gemeinsam Verantwortlichen selbst in der Verantwortung, die Rechtmäßigkeit der Datenverarbeitungen sicherzustellen und bei Bedarf gegenüber der zuständigen Aufsichtsbehörde nachzuweisen.
Nachdem Facebook den Fanpage-Betreiber*innen Ende 2018 erstmals eine Vereinbarung zur Verantwortlichkeitsverteilung bei den Seiten-Insights zur Verfügung gestellt hat, folgte Ende Oktober 2019 sodann eine wesentlich überarbeitete Fassung dieser Vereinbarung (die sogenannte Seiten-Insights-Ergänzung). Die neue Vereinbarung hat zwar einige der zuvor von den Aufsichtsbehörden geäußerten Kritikpunkte ausräumen können. Wie bereits bisher angedeutet, bleibt die Ergänzung in entscheidenden Punkten jedoch ungenügend. Letztlich werden die Fanpage-Betreiber*innen durch Facebook immer noch nicht im erforderlichen Maße in die Lage versetzt, ihrer Rechenschaftspflicht hinsichtlich der Rechtmäßigkeit der Verarbeitung von Daten der Fanpage-Besucher*innen nachzukommen.
Im Februar wurden daher erneut sechs Stellen der Landesverwaltung, sechs politische Parteien sowie sieben Berliner Unternehmen und Organisationen, u.a. aus der Handels-, Verlags- und Finanzbranche, angeschrieben. Dabei wurden einerseits Bedenken bzw. Zweifel hinsichtlich bestimmter Bestandteile der Seiten-Insights-Ergänzung geäußert und angeregt, die fraglichen Punkte kritisch mit Facebook zu klären. Andererseits wurden die konkrete Umsetzung von Informationspflichten auf den jeweiligen Fanpages angemahnt.
Nachdem bereits in der ersten Anhörungsrunde mehrere der politischen Parteien unter Verweis auf unsere angebliche Unzuständigkeit keine Auskünfte erteilt hatten, war es bedauerlich, aber nicht verwunderlich, dass auch in dieser Runde nur eine von ihnen Stellung zu unseren weiteren Fragen genommen hat. Auch andere nicht öffentliche Stellen haben zwar Zweifel an unserer Zuständigkeit angemerkt, sie haben jedoch alle konstruktiv reagiert und sich inhaltlich eingelassen. Soweit es die Benutzeroberfläche auf Facebook zuließ, haben mehrere Stellen die Gelegenheit genutzt, ihre Fanpages transparenter zu gestalten, indem z. B. Informationen zur Datenverarbeitung mit weniger Aufwand verfügbar gemacht wurden. Fast alle Verantwortlichen haben zudem Kontakt zu Facebook aufgenommen. Dies hat u.a. dazu geführt, dass Facebook einen Passus in seinen Informationen zu den Seiten-Insights-Daten korrigiert hat. Ursprünglich hieß es, dass „Du […] stets das Recht [hast], eine Beschwerde bei der irischen Datenschutzkommission (siehe unter www.dataprotection.ie) oder bei deiner lokalen Aufsichtsbehörde einzureichen.“ Da betroffene Personen das Recht haben, sich bei jeder beliebigen Aufsichtsbehörde zu beschweren (d. h. nicht lediglich der irischen und der des eigenen Mitgliedsstaates), war diese Information anzupassen. Auf die übrigen Bedenken wurde demgegenüber kaum eingegangen, sodass das Verfahren nach wie vor nicht abgeschlossen ist.
Die Senatskanzlei, die stellvertretend für die meisten angeschriebenen öffentlichen Stellen geantwortet hat, hat sich zunächst mit Rückfragen an die Aufsichtsbehörde gewandt. Das Angebot einer persönlichen Konsultation, das zusammen mit den Antworten versendet haben, wurde bisher leider nicht angenommen.
Der Fortgang der Prüfungsreihe hat zwar in gewissem Umfang zu einer Schärfung des Problembewusstseins bei den Verantwortlichen geführt. Es stehen jedoch nach wie vor ungeklärte Punkte im Raum, sodass die Verfahren weitergeführt werden, bis der legale Betrieb der Facebook-Fanpages sichergestellt ist oder deren Betrieb eingestellt wird.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks