Denn die Berliner Datenschutzbehörde führt seit Anfang November 2018 sogenannte Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien und einer Reihe von Unternehmen und Organisationen u.a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch.
Die Behörde stellt darin 15 Fragen an die Facebook-Fanpage Betreiber. Die Verfahren werden geführt, obwohl Facebook auf das EuGH-Urteil reagiert hat und die Annahme eines „Page Controller Addendum“ für den Weiterbetrieb der Fanseiten zur Voraussetzung macht.
Dieses „Page Controller Addendum“ reicht aber nach Ansicht der Berliner Datenschutzbehörde nicht aus, um die Anforderungen der gemeinsamen Verantwortung für die Datenverarbeitung, die beim Besuch der Fanseiten vorgenommen wird, zu erfüllen.
In der Tat kann man Zweifel haben, ob das „Page Controller Addendum“ geeignet ist die Vorgaben des Artikel 26 DSGVO zu erfüllen, die regelt, dass bei einer solchen gemeinsamen Verantwortung bestimmte Dinge zu regeln und zu vereinbaren sind.
Die Behörde in Berlin hat dazu auch eine eigene Pressmeldung herausgegeben, in der es unter anderem heißt:
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.“
Daher fordert die Berliner Datenschutzbehörde sehr viel genauere Informationen über die Ausgestaltung der gemeinsamen Verantwortlichkeit von den Seitenbetreibern. Die Fragen gehen dabei ins Detail und sind von den Seitenbetreibern sicherlich ohne die Hilfe von Facebook nicht zu beantworten. Ob Facebook die Betreiber bei der Beantwortung unterstützt, ist zurzeit nicht bekannt.
Die 15 Fragen der Berliner Datenschützer lauten:
- Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
- Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar?
- Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i.S.d. Art. 26 Abs. 1 Satz 1 DSGVO?
- Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
- Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
- In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
- Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DSGVO informiert?
- Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher Ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DSGVO, insbesondere Ihrer Pflicht aus Art. 5 2 DSGVO, nachkommen können?
- Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
- Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
- Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art. 12 und Art. 13 informiert?
- Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
- In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit Dir aufnimmt (jeweils eine „Anfrage“), bist Du verpflichtet, uns unverzüglich, jedoch spätesten innerhalb 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst Du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DSGVO erfüllt werden.
- Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im so. Local Storage erzeugt? Zu welchem Zweck und auf welcher Rechtsgrundlage erfolgt dies?
- Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
Es dürfte schwierig werden, die Fragen zur Zufriedenheit der Behörde zu beantworten und damit dem weiteren Verkauf des Verfahrens, das in einem Bußgeld enden kann, zu entgehen.
Wir werden weiter berichten.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Schutt, Waetke Rechtsanwälte & Fachanwälte – IT-Recht, Veranstaltungsrecht, Urheberrecht
Wir sind hoch spezialisiert auf die Bereiche Veranstaltung & Event, IT & Internet und Urheber & Medien.
Wir vertreten bundesweit Mandanten aus allen Branchen, insbesondere aber aus der Event-, IT- und Medienbranche.
Timo Schutt – Fachanwalt für IT-Recht, Dozent
Thomas Waetke – Fachanwalt für Urheber- und Medienrecht, Dozent & Buchautor
http://www.schutt-waetke.de/kontakt/impressum/
Schutt, Waetke – Rechtsanwälte
Kriegsstraße 37
76133 Karlsruhe
Telefon: +49 (721) 1205-00
Telefax: +49 (721) 1205-05
http://www.schutt-waetke.de
Rechtsanwalt und Fachanwalt für IT-Recht
Telefon: +49 (721) 1205-00
Fax: +49 (721) 1205-05
E-Mail: info@schutt-waetke.de