Frank Spaeing

DSK veröffentlicht Beschluss zu Facebook Fanpages

Ergebnisse der 4. Sonderkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) am 05. September 2018.

Wie an dieser Stelle am 05. Juni 2018 schon berichtet wurde, hat der EuGH am 05. Juni 2018 in seinem Urteil die gemeinsame Verantwortung für Facebook Fanpages durch Facebook und die Betreiber der Facebook-Fanpages festgestellt.

Die DSK hat sich am gleichen Tag in ihrer Entschließung dazu geäußert, was noch mehr Unruhe in die Medienlandschaft gebracht hat (Inhalt der Entschließung waren unter anderem einige mitunter als recht vage bezeichnete Anforderungen an die Betreiber von Facebook Fanpages).

Anbieter von Facebook Fanpages haben ab dann gehofft, dass Facebook seiner Ankündigung einer Vereinbarung nach Artikel 26 DS-GVO zur Verfügung zu stellen Taten folgen lassen werde.

Bis auf eine Veröffentlichung von „Nutzungsbedingungen für die Datenverarbeitung“ (Achtung, mit diesem Link landen Sie tatsächlich bei Facebook) Anfang August 2018 ist diese Hoffnung aber (zumindest nach Kenntnis* des Autors) unerfüllt geblieben. Und die verlinkten Nutzungsbedingungen erfüllen nicht die Anforderungen an eine Vereinbarung zur gemeinsamen Verantwortung gemäß Artikel 26 DS-GVO.

Drei Monate später hat am 05. September 2018 die DSK in einer Sonderkonferenz getagt und einen Beschluss zu Facebook Fanpages gefasst. Diesen Beschluss hat am heutigen 10. September 2018 die Berliner Beauftragte für den Datenschutz auf ihrer Webseite** veröffentlicht.

In diesem Beschluss stellt die DSK zum einen fest, dass „ohne Vereinbarung nach Art. 26 DSGVO (…) der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig (ist)“.
Das ist eine klare Aussage, die die erste Entschließung so noch nicht getroffen hat.

Zum anderen gibt dieser Beschluss auf der dritten Seite den Betreibern von Facebook Fanpages sowie Facebook selbst konkrete Fragen vor, denen sie sich stellen und die sie beantworten werden müssen, wenn die zuständige Aufsichtsbehörde sie zu einer konkreten Facebook Fanpage befragen wird (was wahrscheinlich ab sofort zu erwarten ist).

Die Fragen selbst lesen sich einfach, aber spätestens dann ist es mit einfach auch schon vorbei:

„Anhang: Fragenkatalog

1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?

4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?

6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?

7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?“

8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?“

Manche dieser Fragen werden für Betreiber von Facebook Fanpages allein schwer bis gar nicht beantwortbar sein. Der oben schon zitierte Kommentator äußert auf jeden fall die Hoffnung, dass Facebook nun möglichst schnell eine belastbare Vereinbarung vorlegt und stellt gleichzeitig fest:

„Für Unternehmen, die eine Fanpage betreiben, bedeutet dies nun, sich darüber Gedanken zu machen, wie man mit der eigenen Seite umgeht. Die Aussagen der DSK und die damit meines Erachtens intendierte Stoßrichtung, ist in jedem Fall klarer, als in der ersten Entschließung.“

Und außer klareren Worten, die sich der Autor jetzt selbst versagt, bleibt dem nicht mehr hinzuzufügen.

Autor:
Frank Spaeing

P.S.:
Die Sondersitzung der DSK am 05. September 2018 beschäftigte sich nicht nur mit Facebook Fanpages, es ging auch um die „Anwendung der DSGVO im Bereich von Parlamenten, Fraktionen, Abgeordneten und politischen Parteien“ sowie um die „Ablehnung der Behandlung durch Ärztinnen und Ärzte bei Weigerung der Patienten, die Kenntnisnahme der Informationen nach Art. 13 DSGVO durch Unterschrift zu bestätigen“.
Wer hätte erwartet, dass sich die DSK tatsächlich zu dem zweiten Thema explizit äußern muss…

* Dieser Beitrag wurde auf dem Rückweg von der Sommerakademie 2018 geschrieben. Dort gab es einen Vortrag zum Thema „Social Media: Was müssen Unternehmen beim Internetauftritt beachten?“. Anwesende Mitarbeiter verschiedener Aufsichtsbehörden kannten offensichtlich auch noch keine entsprechende Vereinbarung durch Facebook.
** Wollte die DSK nicht im Wesentlichen nur noch auf ihrer neuen Webseite veröffentlichen?

2 Kommentare