In Sachen Facebook-Fanpages hat sich in den letzten Monaten viel getan. Es gibt nun eine gemeinsame Verantwortung, 8 Fragen und ein Addendum. Was nun? Hier werden Antworten gesucht und auch gefunden. Was müssen Fanpage-Betreiber beachten? Wo besteht Handlungsbedarf? Welche Empfehlungen gibt es?
Nach dem „Facebook-Fanpage-Urteil“ des EuGH vom 5. Juni 2018 und kurz nach Veröffentlichung des Beschlusses der Konferenz der deutschen unabhängigen Datenschutzaufsichtsbehörden (DSK) zu den Facebook-Fanpages am 5. September hat der Social-Media-Anbieter nun überraschend reagiert. Die DSK hat in Ihrem Beschluss u.a. die Untätigkeit Facebooks gerügt und den Betrieb einer Fanpage – ohne Vorliegen einer Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO – für rechtswidrig erklärt. Daraufhin hat Facebook nun seine AGB um eine solche Vereinbarung über die gemeinsame Verantwortlichkeit, mit dem Namen „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“, ergänzt.
Hintergrund war, dass nach der Entscheidung des EuGH sowohl Facebook, als auch der Betreiber einer Fanpage gleichermaßen datenschutzrechtlich verantwortlich sind (Beiträge zum Fanpage-Urteil des EuGH: 10 Fragen, 10 Antworten von RA Prof. Niko Härting). Art. 26 DSGVO normiert die gemeinsam Verantwortlichkeit und verpflichtet die Verantwortlichen dazu (Art. 26 Abs. 1 S. 2 DSGVO) in einer Vereinbarung festzulegen, wer von ihnen welche datenschutzrechtliche Verpflichtung erfüllt. Zu diesen Pflichten gehören insbesondere die Wahrnehmung der Betroffenenrechte (Art. 14 bis 22 DSGVO) und die Informationspflichten (Art. 13 und 14 DSGVO). Zudem fordert Art. 26 Abs. 2 S. 2 DSGVO, dass das wesentliche der Vereinbarung den Betroffenen zur Verfügung gestellt wird. In der Praxis wird dies im Rahmen der Informationserteilung nach Art. 13 und Art. 14 DSGVO möglich sein. Ungeachtet der Einzelheiten der Vereinbarung können die Betroffenen, deren personenbezogene Daten beim Besuch der Facebook-Fanpage verarbeitet werden, ihre Rechte aus der DSGVO sowohl gegenüber Facebook als auch gegenüber des Betreibers der Fanpage geltend machen können (Art. 26 Abs. 3 DSGVO).
Der Beschluss der DSK zu Facebook-Fanpages vom 5. September führt acht Fragen an, die sowohl Facebook als auch der Fanpage-Betreiber beantworten muss, um die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und diese nachweisen zu können.
Im Folgenden wird auf die konkreten Fragen eingegangen:
1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
Dies geschieht mittels eines Vertrages (sog. Joint Controllership Agreement) zwischen den Verantwortlichen Facebook und dem Fanpage-Betreiber. Dieser Vertrag wurde als Ergänzung zu den Nutzungsbedingungen erstellt und wird von Facebook „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ genannt. In den Seiten-Insights-Ergänzung bezüglich des Verantwortlichen heißt es:
„Durch deinen weiteren Zugriff auf Seiten bzw. deren weitere Nutzung nach irgendeiner Benachrichtigung über eine Aktualisierung dieser Seiten-Insights-Ergänzung stimmst du zu, an sie gebunden zu sein“.
Der Vertrag über die gemeinsame Verantwortlichkeit zwischen Facebook und dem Fanpage-Betreiber kommt demnach automatisch durch die Nutzung von Insights zustande.
Facebook übernimmt dem Vertrag nach die primäre Verantwortung für die Verarbeitung der personenbezogener Daten und für die Erfüllung sämtlicher Pflichten aus der DSGVO im Hinblick auf die Verarbeitung (u.a. die Pflichten Informationspflichten aus Art. 12 und 13 DSGVO, Umgang mit Betroffenenrechten gemäß Art. 15 bis 22 DSGVO und Datensicherheit bzw. Meldepflichten nach Art. 32 bis 34 DSGVO). Der Umfang der gemeinsamen Verantwortlichkeit beschränkt sich dabei allerdings auf jene Daten, die im Rahmen von Insights zur statistischen Auswertung genutzt werden. Der Vertrag bezieht sich somit nicht auf die Datenverarbeitung im Rahmen der Fanpage, die über die Nutzung von Insights hinausgeht. Facebook verpflichtet sich darüber hinaus, den Betroffenen das Wesentliche der Seiten-Insights-Ergänzung zur Verfügung zu stellen.
Der Fanpage-Betreiber ist verpflichtet sicherzustellen, dass für die Verarbeitung von Insights-Daten eine wirksame Rechtsgrundlage vorliegt (i.d.R. wird hier auf das berechtigte Interesse abgestellt werden können, vgl. DSI von Facebook) und dass der Betroffene über den Verantwortlichen Fanpage-Betreiber informiert wird (dies wird durch Umsetzung der Impressumspflicht nach § 5 Abs. 1 TMG ohnehin schon umgesetzt sein). Zudem trifft den Fanpage-Betreiber die Pflicht, Facebook unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten, sofern ein Betroffener oder eine Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten mit dem Fanpage-Betreiber Kontakt aufnimmt. Hierfür stellt Facebook ein entsprechendes Formular zur Verfügung. Zudem ist der Fanpage-Betreiber in einem solchen Fall verpflichtet mit Facebook zusammenzuarbeiten und zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um bei der Beantwortung derartiger Anfragen zu helfen. Ziel dieser Regelung wird es sein, die Erfüllung sämtlicher Pflichten aus der DSGVO, die dem Vertrag nach Facebook obliegen, sicherzustellen.
2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
Auf Grundlage der Seiten-Insights-Ergänzung bezüglich des Verantwortlichen verpflichtet sich Facebook die Erfüllung der Informationspflichten, im Hinblick auf die Verarbeitung von Insights-Daten, nach Art. 13 DSGVO zu übernehmen. Insights-Daten sind dabei all jene Daten, die von Facebook nach teilweise voreingestellten Kriterien ausgewertet und den Fanpage-Betreibern zur Verfügung gestellt werden.
In den Seiten-Insights-Ergänzung wird „unter anderem“ Art. 12 und 13 DSGVO genannt, nicht aber Art. 14 DSGVO. Ausdrücklich ausgeschlossen wird Art. 14 DSGVO durch die dortige Formulierung allerdings auch nicht. Es fragt sich nämlich, ob eine zusätzliche Informationspflicht nach Art. 14 DSGVO für den Fanpage-Betreiber besteht oder ob die gemeinsame Verantwortlichkeit gleichbedeutend mit einer gemeinsamen Verarbeitung ist und die Erfüllung der Informationspflicht nach Art. 13 durch Facebook auch die Pflicht des Fanpage-Betreibers erfüllt. Dagegen spricht schon die Seiten-Insights-Ergänzung selbst, wonach der Seitenbetreiber selbst sicherstellen muss, dass er eine Rechtsgrundlage für die Verarbeitung von Insights-Daten hat. Er kann sich nicht auf die Rechtsgrundlage von Facebook stützen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), sondern muss selbst eine Interessenabwägung durchführen, um die rechtssichere Verarbeitung sicherzustellen. Dies macht auch Sinn, da es sich bei dem Konstrukt der gemeinsam Verantwortlichkeit nach Art. 26 DSGVO nicht um eine eigenständige Rechtsgrundlage handelt und somit um eine Erleichterung bei der Beurteilung der Zulässigkeit einer Datenverarbeitung bzw. einer Privilegierung von Datenübermittlungen. Die nach Art. 26 DSGVO notwendige Vereinbarung hat somit im Außenverhältnis zu den Betroffenen keine Regelungskompetenz hinsichtlich der nach der DSGVO obliegenden Pflichten, sehr wohl aber Innenverhältnis zwischen Facebook und dem Fanpage-Betreiber. Dies wird auch aus Art. 26 Abs. 1 und 3 DSGVO deutlich, wonach zwar die Pflicht der Erfüllung im Innenverhältnis geregelt werden kann, diese aber keinen Einfluss auf das Recht der Betroffenen hat, Ihre Rechte gegenüber beiden Verantwortlichen geltend zu machen.
Der Fanpage-Betreiber erhebt die Insights-Daten nicht direkt bei dem Betroffenen, sondern kann über Insights lediglich auf Auswertungen dieser Daten zugreifen. Bei diesen Auswertungen soll es sich durchgängig um anonymisierte Daten handeln. Für solche gilt die DSGVO und damit auch Art. 14 aber nicht. Unterstellen man dagegen, es handelt sich bei den Insights doch um personenbezogene Daten, trifft den Fanpage-Betreiber auch eine Informationspflicht nach Art. 14 DSGVO.
Art. 14 Abs. 5 DSGVO enthält Ausnahmen, wann eine Informationspflicht nach Art. 14 Abs. 1 bis 4 DSGVO keine Anwendung findet. Dies ist nach Art. 14 Abs. 5 lit. a DSGVO dann der Fall, wenn der Betroffene bereits über die erforderlichen Informationen verfügt. Dieser Ausschlusstatbestand wird dann schwer zu erfüllen sein, wenn die Auswertungen in Insights zu anderen Zwecken durch den Fanpage-Betreiber genutzt werden, über die Facebook nicht informiert.
Im Ergebnis trifft den Fanpage-Betreiber i.d.R. weiterhin eine Informationspflicht nach Art. 14 DSGVO, welche zu erfüllen hat.
Für Fanpage-Betreiber empfiehlt sich daher, weiter eine eigenständige Datenschutzinformation für die eigene Fanpage zu formulieren.
3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
Gem. Art. 26 Abs. 2 DSGVO muss
„die Vereinbarung … die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt“.
Facebook verpflichtet sich dazu „das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung [zu] stellen“. Bisher kann jedoch den Datenschutzinformationen von Facebook keine transparente Information entnommen werden, die das Wesentliche der Vereinbarung wiedergibt.
Aus diesem Grund ist es ratsam, dass Betreiber einer Facebook-Fanpage den Betroffenen auf die Seiten-Insights-Ergänzung bezüglich des Verantwortlichen von Facebook hinweisen. Hier bietet es sich in der Praxis an, diese Information in den eigenen Datenschutzhinweisen zur Fanpage unterzubringen und auf die Seiten-Insights-Ergänzung bezüglich des Verantwortlichen zu verlinken.
4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
Bezüglich der Insights-Daten übernimmt Facebook im Innenverhältnis die Verantwortung. In der Vereinbarung verpflichtet sich Facebook dazu, u.a. die Pflichten aus Art. 12 und 13 DSGVO, Art. 15 bis 22 DSGVO und Art. 32 bis 34 DSGVO zu erfüllen. Da sich nach Art. 26 Abs. 3 DSGVO Betroffene an beide Verantwortlichen wenden können, stellt Facebook den Fanpage-Betreibern ein Formular zur Verfügung, mit dem der Fanpage-Betreibern sich Facebook über ein entsprechendes Begehren von Betroffenen oder einer Aufsichtsbehörde informieren kann. Zudem trifft den Fanpage-Betreiber die Pflicht, Facebook, innerhalb der in den Seiten-Insights-Ergänzung genannten Frist, über ein entsprechendes Begehren eines Betroffenen bzw. einer Aufsichtsbehörde zu informieren.
5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
Für den Zweck kommt es beim Betreiber maßgeblich auf den Einzelfall an. In den meisten Fällen wird dieser aber personenbezogene Daten zum Zwecke der Werbung, die Steuerung der Vermarktung der jeweiligen Tätigkeit und der Förderung der Geschäftsziele sein. Als Rechtsgrundlage kann hier grundsätzlich das berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO angeführt werden. Dies kann man zumindest für den Zweck der Optimierung der Unternehmens- und Produktdarstellung gut begründen. Allerdings muss auch hier im Einzelfall eine Interessenabwägung erfolgen, welche der Fanpage-Betreiber aufgrund der unklaren Sachlage schwer durchführen kann. Dies macht es dem Fanpage-Betreiber schwer bis nicht möglich die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung zu gewährleisten und nachzuweisen.
Welche personenbezogenen Daten durch die Fanpage in Insights gespeichert werden, hängt womöglich auch von den Insights-Einstellungen ab. Auch hier ist die Sachlage nicht klar. Der Datenschutzrichtlinie von Facebook ist zumindest zu entnehmen, welche Daten im Allgemeinen bei der Nutzung von Facebook bzw. Facebook-Produkten erhoben und gespeichert werden. Dies umfasst Daten, die vom Betroffenen selbst angegeben werden (z.B. Uploads, Kommunikationen, Beiträge, Aktivitäten, Zahlungstransaktionen etc.); Geräteinformationen (z.B. Betriebssystem, Hardware- und Software-Versionen, Browsertyp, Mausbewegungen, GPS-Standort etc.); sowie Informationen von Partnern (z.B. über Social Plug-Ins, Facebook Login, Facebook Pixel etc.). Welche dieser Daten durch die Fanpage in Insights gespeichert werden, lässt sich somit für den Fanpage-Betreiber nicht gesichert beantworten.
Sicher ist, dass mithilfe von Cookies und ähnlichen Technologien wie etwa Pixel-Tags von Partnern eindeutige Benutzercodes erstellt werden. Dies dient dazu, die oben genannten Daten von Nutzern zu sammeln und miteinander verknüpfen zu können, um so Profile erstellen und auch anreichern zu können. Inwieweit auch personenbezogene Daten von Nicht-Facebook-Mitgliedern in Insights gespeichert werden, um Benutzerprofile zu erstellt, geht aus der Datenschutzrichtlinie von Facebook nicht hervor.
Bezüglich der Löschfrist hält Facebook eine allgemeine Information in seiner Datenschutzrichtlinie bereit. In dieser heißt es u.a.:
„Wir speichern Daten, bis sie nicht mehr benötigt werden, um unsere Dienste und Facebook-Produkte bereitzustellen, oder bis dein Konto gelöscht wird, je nachdem, was zuerst eintritt. Dies ist eine Einzelfallbestimmung und hängt von Dingen ab wie der Art der Daten, warum sie erfasst und verarbeitet werden sowie den relevanten rechtlichen oder betrieblichen Speicherbedürfnissen …“. Eine konkrete Information zu Löschroutinen in Insights liegt auch hier nicht vor.
6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
Über die Zwecke für das Speichern von Einträgen im Local Storage auch bei Nicht-Facebook-Mitgliedern kann hier nur gemutmaßt werden. Der Local Storage ist eine Art Webspeicher, der es Javascript-Websites und -Apps ermöglicht, Daten im Browser ohne Ablaufdatum zu speichern und darauf zuzugreifen. So können im Browser gespeicherten Daten auch nach dem Schließen des Browserfensters erhalten bleiben. Der Vorteil des Local Sotrage gegenüber Cookies liegt zudem darin, dass mehr Daten im Browser ohne zeitliches Ablaufdatum auf dem Endgerät gespeichert werden können. Die Nutzung des Local Storage kann dem Zweck dienen den Datenfluss zwischen Client und Server zu reduzieren, um so die Performance von Anwendungen zu verbessern.
Grundsätzlich kann das Speichern von Einträgen im Local Storage auf das berechtigte Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Ob sich die Datenverarbeitung tatsächlich auf das berechtigte Interesse der Verantwortlichen stützen lässt, ist von der Interessenabwägung bewertet werden, die der Fanpage-Betreiber aufgrund fehlender Informationen nicht abschließend durchführen kann.
7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
Beim Aufruf eines Inhaltes über die bloße Startseite einer Fanpage hinaus werden von Facebook auch bei nicht angemeldeten Nutzern Cookies mit „identifiern“ gesetzt. Facebook stellt eine ausführliche Information bereit, wie und zu welchen Zwecken Cookies und andere Speichertechnologien eingesetzt werden. Eine konkrete Bezugnahme auf die Lebensdauer der Cookies findet sich dort nicht.
Die Zwecke können je nach Cookie variieren. Möglich ist, dass der Einsatz der Cookies, abhängig davon ob die Fanpage über einen Browser oder die App aufgerufen wird, technisch notwendig ist. Zudem werden durch Facebook Cookies gesetzt um den Nutzer widerzuerkennen und tracken zu können und ihm so ein möglichst personalisiertes Nutzererlebnis zu bieten. Auch die Verbesserung der Dienstleistungen und der Schutz vor bösartigen Aktivitäten wird hier eine Rolle spielen. Zudem werden durch den Einsatz von Cookies gesammelt, um Profilbildung zu betreiben und Werbung effizient steuern zu können. In den Seiten-Insights-Ergänzung sowie der Datenschutzrichtlinie von Facebook wird hierzu allerdings keine konkrete Angabe gemacht.
Somit ist es auch hier in Bezug auf die Rechtfertigung der Datenverarbeitung auf Grundlage von berechtigten Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO problematisch. Ohne eine, auf einer konkreten Sachlage durchgeführte, Interessenabwägung, wird ein Nachweis der Rechtmäßigkeit nicht möglich sein.
8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Durch die veröffentlichte Seiten-Insights-Ergänzung und den Vertragsschluss der Fanpage-Betreiber mit Facebook besteht durch die Weiternutzung von Insights automatisch ein „Joint Controllership Vertrag“ gem. Art. 26 DSGVO. Für Fanpage-Betreiber sind somit erst einmal keine weiteren Maßnahmen zu ergreifen als den Betrieb der Fanpage weiterhin aufrecht zu erhalten.
Fazit
Nutzen Fanpage-Betreiber Insights, schließen Sie automatisch eine Vereinbarung gem. Art. 26 DSGVO mit Facebook. Die fehlende Vereinbarung war der Hauptkritikpunkt der DSK, welche die Facebook-Fanpages deshalb für rechtswidrig hielt. Zwar ist eine solche Vereinbarung nun vorhanden, ob diese gänzlich den Anforderungen des Art. 26 DSGVO entspricht ist allerdings fraglich; auch unklar ist, ob die Aufsichtsbehörden diese Vereinbarung anerkennen.
Sicher ist, dass die Pflicht zur Information nach Art. 13 bzw. 14 DSGVO auch den Fanpage-Betreiber trifft, sodass diesem zu empfehlen ist eine entsprechende Datenschutzinformation auf Grundlage der vorliegenden Information auf der Fanpage vorzuhalten. Zudem sollte in dieser auf die Seiten-Insights-Ergänzung verlinkt werden, um dem Betroffenen gem. Art. 26 Abs. 2 S. 2 DSGVO das wesentliche der Vereinbarung zur Verfügung stellt. Eine entsprechende Datenschutzinformation kann über den Punkt „Datenrichtlinie“ im Infobereich verlinkt werden.
Problem und einer der kritischsten Punkte, welcher bei dem Versuch die acht Fragen der DSK deutlich wird, ist die Gewährleistung der Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung. Der Betrieb einer Facebook-Fanpage bleibt somit weiterhin nicht gänzlich frei von Risiken. Den entsprechend verbreiteten Aktionismus, umgehend alle Facebook-Fanpages offline zu nehmen, können wir allerdings nicht teilen. Es ist durchaus denkbar die Verarbeitungsvorgänge durch berechtigte Interessen zu rechtfertigen. Um dies entsprechend gewährleisten und Nachweisen zu können, sind weitere Informationen seitens Facebook notwendig.
Betreibern einer Facebook-Fanpage kann neben der Integration von Datenschutzinformationen weiterhin geraten werden, den Ausgang des EuGH-Falls vor den deutschen Verwaltungsgerichten sowie mögliche Stellungnahmen Facebooks zu dem Beschluss der DSK abzuwarten.
Mehr dazu auch in unserem Webinar Social Networks und Datenerhebung – Wie weiter auf Facebook und Instagram?