Viele Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche erhalten derzeit Post von der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Inhalt des Schreibens ist ein umfangreicher Anhörungsbogen mit 15 Fragen zu Facebook-Fanpages.

Hintergrund

Im Juni 2018 sprach der Europäische Gerichtshof Facebook und den Betreibern von Facebook-Fanpages eine gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten von Fanpage-Besuchern zu. Wir berichteten. Gemeinsam Verantwortliche sind nach Art. 26 DSGVO dazu verpflichtet, in transparenter Form festzulegen, wer von ihnen welche datenschutzrechtliche Verpflichtung erfüllt. Facebook reagierte auf das Urteil drei Monate später mit einer Ergänzungsvereinbarung (sog. Seiten-Insights-Ergänzung). Die Berliner Aufsichtsbehörde möchte nun mit den Anhörungsbögen prüfen, ob sich Facebook und die Betreiber an ihre Pflichten halten.

Wie sollte vorgegangen werden?

 Wenn Sie einen Anhörungsbogen von der Aufsichtsbehörde erhalten haben, vergleichen Sie diesen mit den unten angegebenen Fragen. Sie sollten das Schreiben individuell prüfen und Abweichungen beachten.

  • Leiten Sie die Fragen an Facebook weiter und warten Sie die Antworten ab. Die Insights-Ergänzung mit Facebook verpflichtet Sie zu einer Weitergabe von Anfragen der Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten innerhalb von 7 Tagen. Sollten diese 7 Tage bereits verstrichen sein, ist eine schnellstmögliche Übermittlung des Anhörungsbogens an Facebook gleichwohl zu empfehlen. Facebook hat für diese Zwecke in der Insights-Ergänzung einen Link zu einem Formular bereitgestellt.
  • Die Fragen, welche Facebook nicht beantwortet und die Betreiber selbst betreffen, sollten Sie um detaillierte Antworten ergänzen. Falls Sie sich bisher nicht um die datenschutzkonforme Nutzung von Fanpages bemüht haben, geben Sie bei Entscheidungsfragen, welche ein ja oder nein implizieren, besonders Acht.
  • Stellen Sie sicher, dass Sie Datenschutzhinweise auf der Facebook-Fanpage eingepflegt haben.
  • Wenn Sie bislang nicht geantwortet und ein Erinnerungsschreiben erhalten haben, können Sie als Begründung angeben, dass Sie die Zuständigkeit der Berliner Beauftragten für Datenschutz und Informationsfreiheit anzweifeln und um eine Begründung bitten. Der Europäische Datenschutzausschuss veröffentlichte in seinem Working Paper 244 Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen. So sollten gemeinsam Verantwortliche festlegen, welche entscheidungsbefugte Niederlassung die Befugnis haben soll, für alle gemeinsam Verantwortlichen Entscheidungen über die Datenverarbeitung umzusetzen. Gemäß der Insights-Ergänzung stimmen Fanpage-Betreiber zu, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Außerdem erkennen Betreiber an, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde für diese Verarbeitung ist. Es ist fraglich, ob sich die Datenschutzaufsichtsbehörden dieser Auffassung anschließen. Ein kooperatives Verhalten gegenüber der Berliner Beauftragten für Datenschutz ist daher in jedem Fall empfehlenswert.

Um anschließend den Ball zurückzuspielen, stellen sich interessante Fragen an die Aufsichtsbehörde: Sind Sie mit den Antworten zufrieden? Falls nicht, welche Konsequenzen ziehen Sie daraus?

Fragenkatalog:

  1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
  2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
  3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?
  4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
  5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
  6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
  7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?
  8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?
  9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
  10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
  11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
  12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
  13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.
  14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
  15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

 

| | , | , , , ,