DSGVO Facebook Fanpage – Anhörungsschreiben verschickt

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer Pressemitteilung vom 16. November darauf hingewiesen, dass seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei politischen Parteien sowie einer Reihe von Unternehmen und Organisationen in Sachen Facebook-Fanpages durchgeführt werden.

Hintergrund der Anhörungsverfahren ist eine Entscheidung des EuGH vom 5. Juni 2018 (Rechtssache C‑210/16). Der EuGH hat entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher der Fanpage datenschutzrechtlich verantwortlich sind.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat daraufhin in einer Entschließung vom 06. Juni 2018 klargestellt, dass Fanpage-Betreiber demzufolge die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und nachweisen können müssen.

In einem weiteren Beschluss vom 05. September 2018 führte die DSK dann Folgendes aus:

„Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemein-sam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erfor-derlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass Fanpage-Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu ver-antwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zu-dem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Ver-antwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).“

Am 11. September 2018 veröffentlichte Facebook eine Ergänzungsvereinbarung, die auf eine gemeinsame Verantwortlichkeit Bezug nimmt („Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“).

Die Datenschutzaufsichtsbehörden stehen dieser Ergänzungsvereinbarung aber offenbar skeptisch gegenüber. So werden nun den Adressaten in dem Anhörungsschreiben des Berliner Datenschutzbeauftragten folgende Fragen gestellt:

1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?

2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.

3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?

4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.

5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.

6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.

7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?

8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?

9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?

10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?

11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?

12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?

13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.

14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt?
Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zuwelchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?