Neues zu Fanpages: Facebook aktualisiert seine „Insights-Ergänzung“ zur gemeinsamen Verantwortlichkeit

Nachdem Facebook die insbesondere von der Datenschutzkonferenz kommunizierte, deutliche Kritik an der sog. Insights-Ergänzung für Fanpage-Betreiber monatelang ignoriert hatte, veröffentlichte Facebook unlängst ein Update. Ob damit nunmehr die Anforderungen an eine angemessene Regelung zur Abbildung der vom EuGH konstatierten gemeinsamen Verantwortlichkeit erfüllt werden können, erscheint fraglich.

Hintergrund

Am 05. Juni 2018 brachte der EuGH einen Stein ins Rollen: Das Gericht entschied, dass die Betreiber von Facebook-Fanpages – jedenfalls in Bezug auf zu statistischen Zwecken erhobene und ausgewertete Aktionen von Nutzern auf der jeweiligen Fanpage – gemeinsam mit Facebook für die dort verarbeiteten personenbezogenen Daten der Besucher verantwortlich sind. Das macht auch eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO notwendig. An einer seitens Facebook am 11. September 2018 veröffentlichten „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ übte die Datenschutzkonferenz deutlich Kritik. Insbesondere entspreche sie nicht den Anforderungen des Art. 26 DS-GVO, da sie die fraglichen Verarbeitungstätigkeiten nicht hinreichend transparent darstelle und den Fanpage-Betreibern nicht die Prüfung der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten der Besucher ermögliche. Weiterhin stehe es in Widerspruch zur gemeinsamen Verantwortlichkeit, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung der Insights-Daten einräumen lasse.

Davon offenbar unbeeindruckt, ließ Facebook eine Reaktion lange Zeit vermissen und meldete sich erst vor wenigen Tagen mit einer Aktualisierung der fraglichen „Insights-Ergänzung“, die zumindest rein äußerlich an Umfang gewonnen hat.

Änderungen im Einzelnen

Facebook listet im aktualisierten Stand mehr oder weniger genau auf, aus welchen personenbezogenen Daten die sog. Seiten-Insights bestehen. Maßgebliche Handlungen, die eine Protokollierung von Insights-Daten auslösen, sind dabei im Grunde alle typischen Facebook-Aktionen, vom Betrachten eines Beitrags bis hin zum Anklicken eines Artikels in einem Seiten-Shop. Die dazugehörigen Informationen zum Nutzer umfassen Datum und Zeit der Handlung, Land/Stadt (aus dem Profil entnommen oder anhand der IP-Adresse geschätzt), Sprachencode, Alters- und Geschlechtergruppe (bei eingeloggten Nutzern), zuvor besuchte Websites, genutztes Gerät, Daten zum genutzten Browser oder der App und bei eingeloggten Nutzern die Nutzer-ID.

Die betroffenen Seitenbetreiber selbst erhalten jedoch ausdrücklich nur zusammengefasste Seiten-Insights und haben keinen Zugriff auf die dazugehörigen personenbezogenen Daten. Eine Offenlegung derselben kann auch nicht verlangt werden.

Es wird im Update der Vereinbarung nicht mehr davon gesprochen, dass Facebook die „primäre Verantwortung“ für die Verarbeitung der Insights-Daten übernimmt und „sämtliche“ Pflichten aus der DS-GVO erfüllt. Facebook sichert das Vorliegen einer Rechtsgrundlage zur Verarbeitung zu und übernimmt die Erfüllung der Verpflichtungen aus der DS-GVO „sofern in dieser Seiten-Insights-Ergänzung nichts anderes angegeben wird“. Seitenbetreiber sollen ebenfalls das Vorliegen einer Rechtsgrundlage sicherstellen und diese zusätzlich zu Kontaktdaten den betroffenen Personen gegenüber kommunizieren (Art. 13 Abs. 1 lit. a-d DS-GVO).

Nach wie vor behält sich Facebook die alleinige Umsetzungsbefugnis für Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten vor. Bezog sich diese Befugnis in der alten Fassung zusätzlich noch darauf, solche Entscheidungen auch zu treffen, wird jedoch nicht deutlich, von welcher anderen Stelle entsprechende Entscheidungen andernfalls getroffen werden könnten. Ebenso wird der unveränderte Hinweis auf die irische Datenschutzkommission als federführende Aufsichtsbehörde lediglich mit dem Hinweis versehen, dass Art. 55 Abs. 2 DS-GVO unberührt bleibe.

Gänzlich neu ist ein umfassender Katalog technisch-organisatorischer Maßnahmen im Anhang der Vereinbarung, welche bei Facebook gespeicherte Daten vor unberechtigtem Zugriff, Verlust und Zerstörung schützen sollen.

Lösung des Problems?

Die recht ausführlichen Informationen zu den erhobenen Daten und maßgeblichen Handlungen stellen einen Schritt in die richtige Richtung dar und versetzen Fanpage-Betreiber jedenfalls in die Lage, einen besseren Überblick über die Ursprungsdaten zu gewinnen. Ob das ihnen auch ermöglicht, die Rechtmäßigkeit der Verarbeitung zweifelsfrei zu beurteilen und ihre datenschutzrechtlichen Rechenschaftspflichten zu erfüllen, mag jedoch mit guten Gründen bezweifelt werden, zählt Facebook die erhobenen Daten stets nur „beispielsweise“ auf und stellt fest, dass die tatsächlich erfassten Informationen davon abhängen, wie Personen Facebook-Produkte nutzen. Auch der Verweis auf diverse andere Dokumente und Richtlinien erschweren den Überblick insbesondere für fachlich nicht versierte Fanpage-Betreiber.

Positiv zu sehen ist, dass Facebook nun klarstellt, dass Fanpage-Betreiber keinen Zugriff auf die personenbezogenen Daten selbst haben, sondern nur auf zusammengefasste Insights-Daten. Auch werden nur wenige der sog. „Events“, die zur Erhebung von Insights-Daten führen, von nicht bei Facebook registrierten Nutzern ausgelöst. Aber auch dieser Aspekt ist wieder mit einer ungenauen Formulierung verbunden.

Der Widerspruch zum Wesen der gemeinsamen Verantwortlichkeit wird durch das Entfallen der Befugnis, Entscheidungen zu treffen und der Konstatierung einer bloßen Umsetzungsbefugnis wohl nicht ausgeräumt. Dass Facebook als „Datenriese“ andere als interne Entscheidungen akzeptiert oder gar umsetzt, scheint doch wenig realistisch. Dem Vorwurf wird auch durch die Streichung der „primären“ Verantwortlichkeit nicht der Wind aus den Segeln genommen, da die Events vom Seitenbetreiber ausdrücklich nicht eingerichtet, geändert oder auf sonstige Weise beeinflusst werden können.

Fazit

Im Ergebnis nähert sich Facebook den Forderungen der DSK an. Es zeigt sich einsetzende Transparenz, es fehlen jedoch „klare Ansagen“. Fanpage-Betreibern bleibt nichts anderes übrig, als ihren Besuchern eine möglichst umfassende Datenschutzerklärung an die Hand zu geben und zu hoffen, dass diese Vorgehensweise nicht beanstandet wird. Die einzige – und vielfach aus operativen Gründen naturgemäß nicht präferierte – Alternative heißt nach wie vor Abschalten. Die Reaktion der DSK darf mit Spannung erwartet werden. Es ist jedoch davon auszugehen, dass die DSK den Ball wohl mit neuen Anforderungen zurück an Facebook spielen wird. Das Ergebnis wird man daher wie folgt zusammenfassen müssen: Fortsetzung folgt.

Zurück
Dr. Sascha Vander, LL.M.

Dr. Sascha Vander, LL.M.

T: +49 221 95 190-60
ZUM PROFIL