· 

Können Facebook-Pages (mit Insights) legal betrieben werden


 

facebook

 

Die französische Datenschutzbehörde tut es: https://www.facebook.com/CNIL.

 

Zahlreiche EU-Institutionen und Teilbereiche tun es: https://europa.eu/european-union/contact/social-networks_de#n:1+i:+e:+t:+s: z.B. auch die European Investment Bank und ebenso der Europäische Rat.

 

Eine Suche nach Social-Media-Auftritten der EU-Institutionen und Agenturen ist jederzeit möglich.

Der Europäische Bürgerbeauftragte nutzt es nicht, und ebenso der Europäische Datenschutzbeauftragte.

Ist die Nutzung von Fanpages nun rechtlich unbedenklich möglich, oder nicht?

 

Der EuGH hat am 5.6.2018 in RS C-210/96 entschieden, dass ein Betreiber einer Fanpage und Facebook Ireland Ltd. sog. gemeinsame Verantwortliche iSd Art 26 DSGVO sind. Auch die dt. Datenschutzkonferenz hat dazu eine Stellungnahme abgegeben.

 

Ein Betreiber einer Fanpage ist mit Facebook Ireland Inc. ein sog. gemeinsamer Verantwortlicher iSd Art 26 DSGVO und muss einerseits

 

·         die Vereinbarung in den wesentlichen Bereichen den betroffenen Personen zur Verfügung stellen (siehe Art 26 Abs 3 DSGVO) - facebook nennt diese Vereinbarung „page controller addendum“ - , sowie andererseits

 

·         eine (eigene) allgemeine Datenschutzinformation iSd Art 13 DSGVO den Nutzern zum Zeitpunkt der Erhebung der Daten zur Kenntnis bringen.

 

Weiters muss der Betreiber sicherstellen, dass er die Daten rechtmäßig (iSd Art 6 Abs 1 Art a bis f DSGVO) erhebt, dh eine taugliche Rechtsgrundlage für die Datenerhebung darlegen können. Der Fanpage-Betreiber nutzt eine Seitenstatistik, die von facebook zur Verfügung gestellt wird, um die Reichweite und die Interaktionen mit seiner Seite analysieren zu können, und so seine Inhalte zielgruppengerecht gestalten zu könne.

 


Facebook hat reagiert und stellt Information zu Insights zur Verfügung.


ein Klick auf den Link … und der Nutzer erhält Informationen


 

 

In einer Information am 11.09.2018 hat Facebook dazu schon einmal Stellung genommen, und auch erklärt:

 



 

Eine „Vereinbarung über die gemeinsame Verantwortlichkeit“ iSd Art 26 DSGVO wird erwähnt und der Text, der sich hinter dem Link verbirgt sieht so aus, und verweist dann im unteren Bereich auf die Vereinbarung selbst (page controller addendum).

 

Was ist zu tun?

 

 

1. Erfüllung der Informationspflicht gem. Art 13 DSGVO:
An einer auffälligen Stelle auf der Fanpage sollte der Besucher der Fanpage die Möglichkeit haben, die Datenschutzinformation gem. Art 13 DSGVO einzusehen, und sich so über die Art und Weise der Datenerhebung zu informieren.

 

 

2. Sicherstellen, dass eine taugliche Rechtsgrundlage gegeben ist:
Dies kann mE nur das berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO sein.

 

 

3. Auf die Widerspruchsmöglichkeiten hinweisen:
Bei jeder Verarbeitung, die auf einem berechtigten Interesse beruht, sind die betroffenen Personen auf das Widerspruchsrecht hinzuweisen.

 


Ist man an Fanpage-Betreiber damit „rechtssicher“?

 

Leider nein, denn es kann mE nicht seriös vorhergesagt werden, ob die Datenschutzbehörden diese gemeinsame Verantwortlichkeit in der Form wie sie von facebook angeboten wird, als ausreichend anerkennen.  Es besteht zB keine Möglichkeit für den Fanpage-Betreiber als Verantwortlichen Einfluss auf die Vereinbarung zu nehmen, in dieser ist definiert, dass eine die für Facebook Ireland Ltd. zuständige Aufsichtsbehörde als federführende Aufsichtsbehörde „vereinbart“ wird, und die Speicherfrist für die Daten, die von facebook erhoben werden, ist eher als „unendlich“ formuliert als mit einem definitiven Fristende versehen.

 

 

Eine „Garantie“, dass diese Maßnahmen ausreichen, um die Vorgaben der DSGVO im Bereich „gemeinsame Verantwortliche“ und „Informationspflichten“ sowie „Grundprinzipien des Art 5 DSGVO“ und „Rechtmäßigkeit des Art 6 Abs 1 lit f DSGVO“ zu erfüllen, kann nicht gegeben werden.

 

 

Jeder Fanpage-Betreiber nutzt daher die Social-Media-Dienste mE auf eigenes Risiko, kann es aber durch diese Vorgehensweise minimieren.