Es hat sich wieder etwas getan in Sachen Facebook-Fanpage, Datenschutz-Aufsichtsbehörden und erforderliche Vereinbarungen nach Art. 26 DSGVO.
Wir berichteten bereits darüber, dass der Europäische Gerichtshof (EuGH) Anfang Juni 2018 in Hinblick auf Facebook-Fanpages und die Verantwortlichkeit über die damit verbundene Verarbeitung personenbezogener Daten entschieden hat.
Einige entschieden sich, die Facebook-Fanpage zu löschen, einige entschieden sich, abzuwarten.
Beschluss des DSK
In diesem Monat hat die DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) beschlossen, dass der Betrieb einer Facebook-Fanpage ohne eine Vereinbarung nach Art. 26 DSGVO (gemeinsame Verantwortliche) rechtswidrig sei (hier der Beschluss im pdf. Format) und fügte dem Beschluss einen Fragenkatalog bei, welcher von den Fanpage-Betreibern als auch von Facebook beantwortet werden müssten.
Schaut man sich den Fragenkatalog an, wird schnell klar, dass diese Fragen von den Facebook-Fanpage Betreibern nicht so einfach beantwortet werden können (wie etwa
die Frage 5: Wie stellen Sie sicher, dass die Betroffenenrechte erfüllt werden können, insbesondere die Rechte auf Löschung, Einschränkung der Verarbeitung, Widerspruch und Auskunft?
Oder Frage 7: Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?).
Reaktion von Facebook
Facebook hat (überraschenderweise) kurzfristig reagiert und in einer Pressemitteilung (über facebook business) mitgeteilt, was die Fanpage- Betreiber nun tun sollen, um die Fanpage entsprechend dem Urteil des EuGH (nach Auffassung von Facebook) weiter betreiben zu dürfen.
In dem sog. Page Insights Controller Addendum teilt Facebook nun mit, dass Facebook
- die gemeinsame Verantwortung für die Insights Daten mit den Betreibern der Facebook-Fanpages anerkennt (Facebook Irland übernimmt die primäre Verantwortung)
- die Verantwortung bei Auskünften, Informations- und Meldepflichten übernimmt, ebenso wie die Datensicherheit und die Meldung von Datenschutzverletzungen (Artt. 12-13, 15-22, 32-34 DSGVO).
Außerdem gibt Facebook vor, was genau der Fanpage-Betreiber zu tun hat. Diese Informationen lesen Sie bitte in dem Page Insights Controller Addendum nach.
Zusammengefasst:
Erfreulicherweise hat Facebook nun auf die europäischen Vorgaben nach der DSGVO reagiert. Ob dies ausreicht, bleibt abzuwarten. Sie müssen allerdings nun reagieren und Ihre Datenschutzerklärungen entsprechend anpassen und auf der Facebookseite einen link setzen.