Ergänzend zum Beschluss vom 05. September 2018 anlässlich des EuGH-Urteils zur gemeinsamen Verantwortlichkeit von Facebook und Fanpage-Betreibern (Az. C-210/16, auf Vorlagefrage vom BVerwG, 1 C 28.14) hat sich die DSK erneut zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie zur aufsichtsbehördlichen Zuständigkeit positioniert.
Hintergrund
In einem Beschluss vom September 2018 hatte die DSK die Erfüllung der datenschutzrechtlichen Anforderungen beim Betrieb von Fanpages gefordert, unter anderem eine Vereinbarung der Beteiligten im Sinne von Art. 26 DS-GVO sowie die Erfüllung der Informations- und Rechenschaftspflichten der DS-GVO. Facebook veröffentlichte in Reaktion auf das EuGH-Urteil eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“. Nun hat sich die DSK erneut geäußert.
Ansicht der DSK
Die „Seiten-Insights-Ergänzung“ erfüllt nach Ansicht der DSK nicht die Anforderungen an eine Vereinbarung im Sinne des Art. 26 DS-GVO. Dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen wolle (Punkt 4 der Ergänzung) stünde im Widerspruch zur gemeinsamen Verantwortlichkeit. Darüber hinaus stellten die veröffentlichten Informationen die Verarbeitungstätigkeiten nicht hinreichend transparent und konkret dar, ermöglichten den Fanpage-Betreibern somit keine ausreichende Prüfung der Rechtmäßigkeit der Verarbeitung von Besucherdaten.
Die DSK betont erneut die Rechenschaftspflicht der Fanpage-Betreiber und hält fest, dass jeder Verantwortliche für Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO benötige, auch wenn er die Datenverarbeitung nicht selbst durchführe, sondern durch andere gemeinsam mit ihmVerantwortliche durchführen lasse. Zweifel an der Rechtskonformität der Verarbeitung gingen zu Lasten des Verantwortlichen, der es in der Hand habe, solche Verarbeitungen zu unterlassen.
In Punkt 4 der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ wird ausgeführt, dass „Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie „die irische Datenschutzkom-mission die federführende Aufsichtsbehörde für diese Verarbeitung“ ist. Im Hinblick darauf konstatiert die DSK, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach den Art. 55 ff. DS-GVO richtet, also die Behörde in ihrem jeweiligen Hoheitsgebiet zuständig sei, unabhängig von Kooperations- und Kohärenzmechanismen der DS-GVO.
Anmerkung
Da ansonsten ein datenschutzkonformer Betrieb von Fanpages nicht möglich sei, erwartet die DSK, dass Facebook entsprechend nachbessert und Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Insbesondere müssten beide ihrer Rechenschaftspflicht nachkommen. Damit sei insbesondere Facebook in der Pflicht, seine Vereinbarung zu ändern und Informationen transparenter zu gestalten, damit sich Fanpage-Betreiber entsprechend aufstellen und um in dem sozialen Medium datenschutzgerecht auftreten zu können.
Link zum DSK-Papier: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf?fbclid=IwAR1in-vnREc1yzIGxZZyU8xq74mz03IAutIvfEGKpJt1eVb7McUSo-Rubn8v
