Wir nehmen euch heute mit auf eine kurze Zeitreise und erinnern uns; vor knapp 4 Monaten ist die europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten.
Damals war die DSGVO-Unsicherheit und Angst sehr groß.
Die neuen DSGVO Gesetze waren für Laien nicht leicht zu verstehen. Aber auch die praktische Umsetzung war nicht einfach. Leider haben sehr viele KMUs in diesem Zeitraum ihre Webseiten oder aber auch ihre Facebook-FanPage-Seiten geschlossen. Wichtig ist es, sich in solchen Situationen aus guten Quellen zu informieren und dabei strukturiert vorzugehen. Das Internet ist übersät mit den richtigen Informationen, nehmt euch die Zeit und Ruhe und arbeitet die Punkte der Reihe nach ab. Wer dennoch professionelle Hilfe benötigen sollte, der findet sowohl bei uns, als auch bei vielen anderen guten Kollegen die richtige Beratung und eine Vielzahl and Angeboten.
Am 05.September 2018 bebte erneut die Online-Welt…
…denn am 05. September 2018 bestätigte die Datenschutzkonferenz, dass eine Facebook-Fanpage, solange keine Vereinbarung beider Parteien nach Artikel 26 DSGVO vorliegt, rechtswidrig ist.
Somit hat die DSK, das Urteil vom5. Juni 2018 vom Gerichtshof der Europäischen Union (EuGH), mit dem Aktenzeichen C-210/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht – bestätigt.
Seitdem EuGH Urteil vor drei Monaten ist leider von Seiten von Facebook nicht viel passiert. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) wurde bislang nicht zur Verfügung gestellt. Das Unternehmen von Mark Zuckerberg ließ leider offen, wer für die Datensammlung auf Facebook-Fanpages nun verantwortlich ist.
Datenschutzkonferenz – um was geht es konkret?
Laut der Datenschutzkonferenz ist eine Facebook-Fanpage, solange keine Vereinbarung beider Parteien nach Artikel 26 DSGVO vorliegt, rechtswidrig.
Die DSK fordert nun alle auf, den Ansprüchen des Datenschutzrechts nachzukommen
Die Konferenz klagt an: dass seit dem Urteil des EuGH schon drei Monate vergangen sind und Facebook zwar einige Änderungen in seinem Angebot vorgenommen hat (z.B. das speichern von Cookies), doch immer noch werden bei Personen, die keinen Facebook Account haben, Cookies mit Identifikatoren gesetzt. Hier erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“
Ferner geht es auch um die Auswertung von Fanpage Besuchern, die nach bestimmten und teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet werden. Diese Auswertungen werden dann den Betreiberinnen und Betreibern zur Verfügung gestellt.
Daher müssen sich auch Fanpage-Betreiberinnen und Betreiber ihrer datenschutzrechtlichen Verantwortung stellen, denn ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.
Die am 05. September 2018 stand gefundene Datenschutzkonferenz stellte an Facebook verschiedene Fragen in Form eines Fragekataloges:
In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Der Rechtsanwalt Dr. Thomas Schwenke postete in seinem Facebook Account folgende Aussage am 10. September 2018 dazu:
Ich verstehe zwar, dass im Datenschutz vieles unklar ist. Aber eine Entscheidung des obersten Europäischen Gerichts sowie klare Gesetzesregeln nicht zu beachten und die eigenen Nutzer/Kunden zu gefährden, halte ich für verantwortungslos. ? Ich wünsche mir, dass Facebook endlich handelt, ansonsten kann es sein, dass wir uns hier bald nicht mehr lesen.
Was viele zu diesem Zeitpunkt noch nicht wussten – Facebook lieferte innerhalb von 24 Stunden, am 06.September 2018 eine umfassende Ergänzung zum Thema „Seiten-Insights-Verantwortung“ in seinem „Page Controller Addendum“ nach.
Der Druck war jetzt sicherlich zu groß für Facebook geworden.
Anerkennung der Verantwortung von Facebook – Facebook erkennt die gemeinsame Verantwortung für die Insights-Daten mit den Betreibern der Seiten an. Facebook Irland übernimmt die primäre Verantwortung.
Übernahme der Verantwortung bei Auskünften, Informations- und Meldepflichten sowie der Sicherheit von Seiten Facebook – Informationspflichten (Art. 12 – 13 DSGVO), der Betroffenenrechte (Art. 15 – 22 DSGVO), der Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).
Die Pflichten als Seitenbetreiber
Facebook-Seiten Betreibern werden natürlich auch Pflichten auferlegt, welche folgende sind:
Eigene Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß der DSGVO haben (gem. Art. 6 Abs. 1 lit. f DSGVO). Eine Einwilligung hier kann nur Facebook umsetzen.Wer allerdings den strengen Ansichten der Datenschutzbehörden folgt, der könnte eine Einwilligung verlangen (was dann eine Frage der technisch kaum möglichen Umsetzung wäre).
Meldepflicht – wenn Anfragen von Nutzern oder von Datenschutzbehörden, sind Betreiber von Facebook-FanPage-Seiten dazu verpflichtet, diese an Facebook sofort unverzüglich – spätestens innerhalb von 7 Tagen an Facebook weiterzuleiten. Hierzu stellt Facebook ein eigenes Kontaktformular zur Verfügung. Wichtige: diese bitte nur dann ausfüllen, wenn ihr Anfragen habt!
Es gilt irisches Recht für Unternehmer und für Privat-Betreibern von Facebook-Seiten, ist das Gericht an den Wohnsitz zuständig
Facebook trifft aber eine Vereinbarung über die Geltung des irischen Rechts und des Gerichtsstands in Irland. Im Fall der Einschaltung von Aufsichtsbehörden, wird die irische Datenschutzbehörde als aufsichtsführend bestimmt (Entsprechend Art. 29 Gruppe, Working Paper 244, S.8-9).
Prüfung der AGB da diese geändert werden könnten (Abonniert am besten die FB Seite von Mark Zuckerberg oder Facebook – wir hoffen, dass es angekündigt wird)
Keine Offenlegung der Daten:Facebook macht deutlich, dass Betreibern für Facebook-Seiten kein Recht auf Einblick in die einzelnen personenbezogenen Daten der Besucher der Facebook-Seite zusteht
Datenverantwortlichen für Facebook-FanPage-Seiten benennen: Wenn es eure Seite ist, dass seid ihr das in diesem Fall. Verwaltet ihr eine oder mehrere Seiten von Unternehmen, so sind das immer die Unternehmen die Verantwortlich sind.Sind wir nun 100% sicher? Eine eindeutige Sicherheit gibt es nicht, wie im echten Leben, wir wissen nie was morgen kommt, aber es besteht nun eine Vereinbarung und einige Punkte, die die DSK gefordert hat wurden von Facebook erfüllt.
Eine endgültige Einwilligung der Nutzer kann nur Facebook umsetzen und herbeiführen.Wir von 45Nord, werden weiterhin bei Facebook bleiben. Über die Accounts von Rechtsanwalt Dr. Thomas Schwenke und der Kanzlei Keese-Haufs, halten wir uns auf dem Laufenden und können euch beide nur wärmstens empfehlen.
Wichtige Info
In unserem Blog-Beitrag in der KW 39 kommt die Schritt für Schritt-Anleitung für die Umsetzung aller neuen Regelungen auf Facebook und eurer Homepage.
Sind Facebook Fanpages rechtswidrig? Oder nicht? Was ist zu beachten und wie?
Wir nehmen euch heute mit auf eine kurze Zeitreise und erinnern uns; vor knapp 4 Monaten ist die europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten.
Damals war die DSGVO-Unsicherheit und Angst sehr groß.
Die neuen DSGVO Gesetze waren für Laien nicht leicht zu verstehen. Aber auch die praktische Umsetzung war nicht einfach. Leider haben sehr viele KMUs in diesem Zeitraum ihre Webseiten oder aber auch ihre Facebook-FanPage-Seiten geschlossen.
Wichtig ist es, sich in solchen Situationen aus guten Quellen zu informieren und dabei strukturiert vorzugehen. Das Internet ist übersät mit den richtigen Informationen, nehmt euch die Zeit und Ruhe und arbeitet die Punkte der Reihe nach ab. Wer dennoch professionelle Hilfe benötigen sollte, der findet sowohl bei uns, als auch bei vielen anderen guten Kollegen die richtige Beratung und eine Vielzahl and Angeboten.
Am 05.September 2018 bebte erneut die Online-Welt…
…denn am 05. September 2018 bestätigte die Datenschutzkonferenz, dass eine Facebook-Fanpage, solange keine Vereinbarung beider Parteien nach Artikel 26 DSGVO vorliegt, rechtswidrig ist.
Somit hat die DSK, das Urteil vom 5. Juni 2018 vom Gerichtshof der Europäischen Union (EuGH), mit dem Aktenzeichen C-210/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht – bestätigt.
Seitdem EuGH Urteil vor drei Monaten ist leider von Seiten von Facebook nicht viel passiert. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) wurde bislang nicht zur Verfügung gestellt. Das Unternehmen von Mark Zuckerberg ließ leider offen, wer für die Datensammlung auf Facebook-Fanpages nun verantwortlich ist.
Datenschutzkonferenz – um was geht es konkret?
Die am 05. September 2018 stand gefundene Datenschutzkonferenz stellte an Facebook verschiedene Fragen in Form eines Fragekataloges:
Quelle Fragenkatalog: www.datenschutzzentrum.de
Der Rechtsanwalt Dr. Thomas Schwenke postete in seinem Facebook Account folgende Aussage am 10. September 2018 dazu:
Was viele zu diesem Zeitpunkt noch nicht wussten – Facebook lieferte innerhalb von 24 Stunden, am 06.September 2018 eine umfassende Ergänzung zum Thema „Seiten-Insights-Verantwortung“ in seinem „Page Controller Addendum“ nach.
Der Druck war jetzt sicherlich zu groß für Facebook geworden.
Die Pflichten als Seitenbetreiber
Facebook-Seiten Betreibern werden natürlich auch Pflichten auferlegt, welche folgende sind:
Wichtige Info
In unserem Blog-Beitrag in der KW 39 kommt die Schritt für Schritt-Anleitung für die Umsetzung aller neuen Regelungen auf Facebook und eurer Homepage.
Weiter führende Links:
https://www.datenschutzzentrum.de/uploads/facebook/2018-06-05-Entschliessung-DSK-Fanpages-EuGH-Urteil.pdf
https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/
https://drschwenke.de/anleitung-facebook-datenschutz-page-controller-addendum/
https://www.facebook.com/pg/raschwenke/about/?ref=page_internal
https://curia.europa.eu/jcms/jcms/j_6/de/
https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/beschluesse/
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf
https://dsgvo-gesetz.de/