Als Ergebnis der jüngsten Entscheidung des EuGH über den datenschutzrechtlichen Umgang mit Facebook-Fanpages hat Facebook kürzlich eine Vereinbarung über Datenverarbeitungsaktivitäten veröffentlicht, die darauf abzielt, diesem Urteil nachzukommen. Eine Analyse:

Entscheidung des Europäischen Gerichtshofs

Wie das Urteil des Europäischen Gerichtshofs vom 5. Juni 2018 bestätigt, ist Facebook auf EU-Ebene für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich. Facebook bestimmt die Mittel und Zwecke jeglicher Verarbeitungstätigkeit auf seiner Plattform. Beweis dafür ist die Tatsache, dass jede Person oder Firma, die eine Facebook-Fanpage erstellen möchte, verpflichtet ist, sich mit den von Facebook für diese Datenverarbeitung festgelegten Nutzungsbedingungen einverstanden zu erklären.

Facebook wird in der fraglichen Beziehung daher nicht als Auftragsverarbeiter tätig – sondern bestimmt die Art und Weise und den Zweck der Datenverarbeitung selbst.

Andererseits wird auch der Betreiber der Fanseiten als Verantwortlicher gesehen, da er Parameter der in den Fanseiten entwickelten Aktivitäten definieren kann, z.B. indem er die Zielgruppen definiert und entscheidet, welche Kampagnen und andere Aktivitäten über die Fanpage organisiert werden sollen.

Folglich werden Unternehmen, die Fanpages auf bzw. gemeinsam mit Facebook betreiben, entsprechend dem EuGH-Urteil als gemeinsam Verantwortliche eingestuft (Art. 26 DSGVO), vgl. hierzu schon unseren vorherigen Beitrag.

Umsetzung des EuGH-Urteils durch Facebook

Als Ergebnis der Entscheidung des EuGH hat Facebook nun eine Vereinbarung veröffentlicht, die – so das Unternehmen – den Vorgaben des Gerichts entspreche. Hieran bestehen allerdings, nicht erst bei näherer Betrachtung, erhebliche Zweifel. Die von Facebook hier präsentierte „Vereinbarung“ enthält im Wesentlichen Elemente einer Auftragsverarbeitung gem. Art. 28 DSGVO statt der in Art. 26 DSGVO benannten Merkmale eines Joint-Controller-Vertrages, nämlich:

  • Facebook verarbeitet nicht nur Daten nach dokumentierten Anweisungen des Verantwortlichen;
  • für Mitarbeiter mit Zugang zu personenbezogenen Daten gilt eine Vertraulichkeitsklausel;
  • Facebook verpflichtet sich – unter Bedingungen – zur Rückgabe / Löschung von Daten;
  • es sollen Prüfungsrechte des Verantwortlichen oder des von ihm beauftragten Auditors bestehen; und
  • ein Verweis auf EU-Standardvertragsklauseln, da die Daten in die USA übertragen werden.

Mehr noch: Kritische Punkte, die – wenn man schon von Art. 28 (Auftragsverarbeitung) ausginge – eigentlich Bestandteil einer solchen Vereinbarung sein müssten, fehlen, nämlich

  • Beauftragung von Subunternehmern ist ohne schriftliche Genehmigung oder Widerspruchsrecht möglich;
  • Kein benötigtes Format zur Unterstützung von Anfragen von Betroffenen;
  • es gibt keine Dokumentation der durchgeführten technischen und organisatorischen Maßnahmen; und
  • es werden SOC 2 Typ II Nachweise als zulässig für die Angemessenheit technisch-organisatorischer Maßnahmen deklariert (diese sind bisher nicht formell anerkannt).

Fazit

Von einem globalen Konzern wie Facebook darf man erwarten, dass der Unterschied zwischen einer Vereinbarung nach Art. 28 DSGVO und einem Joint-Controller-Vertrag bekannt ist. Daher lässt sich als Grund für diesen „Entwurf“ nur vermuten, dass mal wieder auf Zeit gespielt werden soll. Es wird eine Vereinbarung präsentiert, die irgendwelche datenschutzrechtlich annähernd richtig klingende Formulierungen enthält, die aber letztlich in keiner Weise das wiedergeben, was gefordert wurde. Es ist allen Beteiligten klar, dass Facebook die Daten immer auch für eigene Zwecke verarbeitet und daher Verantwortlicher ist.

Vor diesem Hintergrund erneuern wir gern unseren bisherigen Hinweis, Facebook nach wie vor zwecks Abschluss eines Joint-Controller-Vertrages zu kontaktieren und dies zu dokumentieren. Inwieweit Facebook hier reagiert oder – wahrscheinlicher – nicht reagiert, bleibt abzuwarten. In jedem Fall ist davon auszugehen, dass es hier demnächst Bußgelder für Facebook geben wird.