DSGVO und Facebook – Alles ok mit der neuen Datenschutzvereinbarung?

Der Streit zwischen Facebook und den Datenschützern scheint beigelegt. Vorerst.
Wir haben ja erzählt, dass die DSK bekanntgegeben hat, wie sie sich die vom EuGH formulierte gemeinsame Verantwortung zwischen Facebook und den Fanpage-Betreibern vorstellt. Dabei geht es vor allem um die an eine Datenschutzvereinbarung (DVV) gemäß Art. 26 DSGVO zu stellenden Anforderungen. Moniert wurde dabei vor allem der Umgang mit den als sogenannten “Insights” erhobenen Daten.

Facebook ergänzt seine Datenschutzerklärung

Nun hat Facebook reagiert und wirklich erstaunlich schnell eine Erklärung zur Verfügung gestellt, die zumindest das “Insight”-Thema abhandelt. Dass das Dokument etwas verschämt “Seiten-Insights-Ergänzung bezüglich des Veranwtortlichen” genannt wird, schadet dabei nicht, solange die Regelung die DSGVO Forderungen erfüllt. Ob diese ausschließlich auf Insights formulierte Erklärung ausreicht, bleibt abzuwarten.

Für alle, die sich die Nutzungsstatistik ihrer Fanpage anzeigen lassen, ist diese Ergänzung nun maßgeblich. Die DSGVO verlangt, dass eine Datenschutzvereinbarung transparent aufzeigt, wer genau welche datenschutzrechtlich erforderliche Aufgabe erfüllt.

Die Facebook-DVV greift nun auf, was der EuGH gesagt hat, nämlich, dass der jeweilige Seitenbetreiber und Facebook Ireland gemeinsam für die Verarbeitung von Insights-Daten verantwortlich sind. Darüber hinaus übernimmt Facebook ausdrücklich die primäre Verantwortung. In der Facebook-DVV verpflichtet sich Facebook, “sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen”.

Das ist bereits der zweite Wurf, denn in der ersten – allgemein als unzureichend angesehenen Erklärung – war wieder nur die Rede von den Facebook obliegenden Pflichten die Rede gewesen, womit also nicht klar war, ob damit “nur” die Facebook obliegenden Pflichten gemeint waren, oder eben die “auch” Facebook auferlegten (gemeinsamen) Pflichten gemeint waren. Gemäß Art 26. Abs.2 DSGVO muss die Art der Verwendung den Betroffenen gegenüber dokumentiert werden. Ob dies zB durch einen entsprechenden Link von Facebook nun wie in der Erklärung versprochen, tatsächlich bereitgestellt wird, muss man noch sehen.

Entwarnung? Vorläufig!

Ob das nun ausreicht, bleibt abzuwarten. Sicher ist, dass wieder einmal wirklich nur das absolut unerlässliche, unvermeidliche an Datenschutz eingeräumt wird. Das ist im Ergebnis unerfreulich, denn es bleibt zu befürchten, dass das noch nicht der letzte Streit zwischen Datenschützern und Facebook gewesen sein wird, der auf dem Rücken der User ausgetragen wird. Bezeichnenderweise hat Facebook darauf verzichtet, eine entsprechende Haftungsfreistellung gegenüber den Fanpage-Betreibern in die Erklärung aufzunehmen.

Was muss jetzt der Seitenbetreiber tun?

1. Eigene Regeltreue

Zunächst einmal muss der Seitenbetreiber selbst darauf achten, die ihm zur Verfügung gestellten Daten nur DSGVO-konform zu verwenden. Das heißt, man muss sich überlegen, ob ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO vorliegt, der die Nutzung erlaubt und diesen in seiner persönlichen Datenschutzerklärung nennen.

2. Meldepflicht

Wenn sich bei einem Fanpage-Betreiber ein User oder eine Behörde wegen Datenschutzfragen meldet, ist diese Anfrage unverzüglich an Facebook weiterzuleiten. Dafür gibt es ein Kontaktformular.

3. Informationspflicht

Auch wenn Facebook sich selbst um die Information zu den Insights kümmern will, sollte man seinen eigenen Umgang mit personenbezogenen Daten auf den Fanpages dokumentieren.

Facebook hat zwar bereits ein Eingabefeld für den Datenschutzlink vorgesehen, aber leider wird der im Informationsfeld noch nicht angezeigt. Man kann nun im Info-Feld den Link zur Datenschutzerklärung angeben, aber nicht aktivieren. Vermutlich sollte das reichen, aber es ist noch nicht entschieden.

Für solche User, die keine Homepage betreiben, hilft eine solche Link-Möglichkeit ohnehin nicht weiter.

Es ist daher vermutlich am besten, die Datenschutzerklärung wie bisher auch auf der Fanpage zB unter Notizen anzubieten.

Anpassung der Facebook-Datenschutzerklärung

Fanpage-betreiber sollten auf jeden Fall beachten, dass der in dem neuen Beschluss der DSK enthaltene Fragenkatalog noch weitere Fragen enthält, die ein Seitenbetreiber im Zweifel beantworten können sollte.

Eure Datenschutzerklärung sollte daher folgende Punkte behandeln:

  • Erklärung, ob ihr Insights oder andere Statistiken nutzt.
  • Wenn ihr sie nutzt, aufgrund welcher Rechtsgrundlage ihr das tut (vgl. Art. 6 DSGVO, hierzu haben wir ausführlich im DSGVO-Artikel berichtet)
  • Hinweis auf die Verantwortung von Facebook, die Facebook-Datenschutzerklärung (samt Ergänzung) und
  • wie Betroffene ihre Rechte wahrnehmen können.

All jene, die ihre Facebook-Datenschutzerklärung schon erstellt haben, sollten den Hinweis auf die Ergänzung aufnehmen und ggf. auf die Insights besonders eingehen.

 

Tipp:
Ausführlich und mit Screenshots erklärt das auch RA Schwenke auf seinem Blog.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.