Über die schwelende Problematik der Datenschutz-Konformität der facebook-Fanpages haben wir ausführlich berichtet – zuletzt dahingehend, dass die „Vereinbarung“, die facebook als Folge des EUGH-Urteils zu Fanpages angeboten hat, den Anforderungen in keinem Fall gerecht wird. Wenig überraschend präzisiert die Konferenz der Datenschutz-Aufsichtsbehörden nun die konkreten Voraussetzungen an die festgestellte gemeinsame Verantwortlichkeit in ihrem Beschluss vom 5. September mithilfe eines Fragenkatalogs. Taktisch ein sehr smarter Schachzug: Statt explizit zu sagen, dass Fanpages – auch unter Berücksichtigung der neuen „Vereinbarung“ – nach wie vor datenschutzwidrig sind, wenn keine den Anforderungen des Art. 26 DSGVO entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit vorliegt, stellen die Aufsichtsbehörden zum Schluss Ihres Papiers insgesamt 8 Fragen, von denen die Mehrheit tatsächlich ohne Vorliegen eines „richtigen“ Joint-Controller-Vertrages nicht beantwortet werden können. Beispiele:

  • In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  • Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

Zuvor haben die Aufsichtsbehörden im Text klargestellt, dass

Auch Fanpage-Betreiberinnen und Betreiber […] sich ihrer datenschutzrechtlichen Verant­wortung stellen (müssen). Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. 

Auch die weiteren Fragen, die hier zur Vermeidung von Wiederholungen nicht noch einmal komplett wiedergegeben werden sollen, bringen facebook und Fanpage-Betreiber in eine Bredouille: Wie sollen Fanpage-Betreiber Auskunft geben über die Frage nach der Profilerstellung bzw. der Anreicherung von Profilen oder genauen Löschfristen bei facebook (Datenlöschung bei facebook – der kleine Wortwitz sei gestattet) ohne dazu konkrete Informationen von facebook zu haben?

Zwar sagt facebook in der o.g. „Vereinbarung“, dass Daten spätestens 180 Tage nach „Beendigung der geltenden Produktnutzungsbedingungen (was genau soll das heißen? Kündigung durch den Nutzer, Außerkraftsetzen der Bedingungen durch facebook selbst?) – löscht. Dies gilt aber nicht, wenn „die Speicherung für die Bereitstellung anderer in den geltenden Produkt-Nutzungsbedingungen dargelegten Dienste erforderlich ist“.

Das soll genau… was … heißen?

Auch Datenschutz-Juristen dürfen hier mit den Achseln zucken. Allein an diesen beiden Formulierungen wird deutlich, woran es im Hinblick auf facebook in großem, entscheidenden Maßstab fehlt: An Transparenz. Was genau unter diesen beispielhaft genannten Formulierungen zu verstehen sein soll, wissen vermutlich nur wenige, selbst bei facebook selbst. Um aber den Betroffenenrechten gem. DSGVO gerecht zu werden, reicht es vorn und hinten nicht. Und so ist es nur konsequent und logisch, dass die Aufsichtsbehörden nun mit dem genannten Beschluss sehr konkret werden. Da mangels echten Entgegenkommens von facebook auf absehbare Zeit keine den Fragen genügende Antworten gefunden werden können, wird in Kürze mit entsprechenden Bußgeldern zu rechnen sein. Inwieweit sich diese dann auch in angemessener Weise an facebook richten, wird in jedem Fall interessant!