Beantwortung des Fragebogens der Berliner Datenschutzbeauftragten

Die Entscheidung des EuGH im Sommer 2018, dass Betreiber einer Facebook Fanpage zusammen mit Facebook für den Datenschutz als gemeinsam Verantwortliche nach Art 26 DSGVO zuständig sind, hat mächtig Staub aufgewirbelt. Nun hat die Berliner Datenschutzbeauftragte begonnen, öffentliche wie nicht-öffentliche Stellen in einem Anhörungsverfahren anzuschreiben und um die Beantwortung von 15 Fragen rund um Facebook Fanpages zu bitten.

Ich habe mir die Fragen einmal näher angesehen und versucht, diese aus der Sicht eines Fanpage-Betreibers zu beantworten. 

Die hier gegebenen Antworten stellen keine Empfehlungen dar, noch sind sie als Rechtsberatung zu verstehen. Ich kann für die Richtigkeit der Antworten keinerlei Haftung übernehmen.

1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?

Facebook hat unter dem Link https://www.facebook.com/legal/terms/page_controller_addendum eine Zusatzvereinbarung online gestellt, die ihrem Charakter nach eine AGB darstellt. Sie wird durch die Nutzung der Fanpage-Funktion in Verbindung mit der Datenverarbeitung von Facebook Insights unmittelbar gültig. Insofern stellen die Insights-Bedingungen eine gültige Vereinbarung zwischen Facebook und  mir als Betreiber einer Fanpage dar.
Artikel 26 DSGVO schreibt weder die Art des Vertragsschlusses noch die Einhaltung einer besonderen Form vor. 

2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights- Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.

Der EuGH führt in seinem Urteil zu C-210/16 (Rn 32):

“ Insoweit schließt offenbar jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.“

Die Insights-Ergänzung stellt eine Erweiterung dieser AGB dar. Die Facebook AGB lassen sich unter https://www.facebook.com/legal/terms nachlesen.

 3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?

Die Insights-Ergänzung stellt eine gültige Vereinbarung i.S.d. Art. 26 Abs 1 Satz 1 DSGVO dar. Durch die Entscheidung des EuGH vom 05.06.2018 ist die gemeinsame Verantwortung zwischen Facebook und dem Seitenbetreiber unstrittig.

Die Regelungsinhalte des Art 26 DSGVO finden sich in der Vereinbarung wieder: Die Vereinbarung legt die Verantwortlichkeiten bei der Verarbeitung gemäß Art 26 Abs 1 Satz 2 eindeutig und transparent fest:

„Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen.“

Mit diesem Passus werden zugleich die Regelungen gemäß Art 26 Abs 1 Satz 2, Art 26 Abs 2 DSGVO erfüllt.

4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.

Wie der EuGH in seinem Urteil ausführt, besteht die hier zu betrachtende Datenverarbeitung seitens Facebook in Folgendem (C-210/16 Rn 33):

„Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.

Es besteht keine gemeinsame Verantwortung für alle Datenerhebungen (auch Insight-Verarbeitungen), die außerhalb der Fanpage durch Facebook vorgenommen werden.

5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.

Facebook erhebt und verarbeitet die Nutzungsdaten und Interaktionen der Besucher mit der Fanpage und ihren Unterseiten. Dazu erhebt Facebook die Benutzerdaten (soweit es sich um angemeldete Benutzer handelt), Daten der genutzten Geräte und die Aktionen auf der Fanpage wie z.B. das Anklicken von Buttons, das Ansehen von Beiträgen oder Videos und stellt diese als anonymisierte Statistiken zur Verfügung. Durch die Beschränkung der Audience der Fanpage kann diese nur von angemeldeten Facebook-Usern aufgerufen werden. Damit kommt eine Erhebung von Daten von nicht angemeldeten Benutzern – insbesondere solchen ohne Facebook-Account – nicht zustande.

6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.

Die Verarbeitungen der Insights-Daten erfolgen zu zwei Zwecken:

  1. Zurverfügungstellung statistischer Auswertungen für den Fanpagebetreiber über die Besucher und deren Aktivitäten auf der Fanpage, um das Seitenangebot auf das Interesse der Besucher hin zu optimieren.
  2. Optimierung des Angebots sowie der Werbeprozesse von Facebook selbst.

Den Kern der Verarbeitungen haben wir bereits in der Frage Nr. 4 erläutert.

7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?

Facebook verpflichtet sich gemäß der Insights-Zusatzvereinbarung, das Wesentliche der Vereinbarung nach Art 26 DSGVO den Seitenbesuchern zur Verfügung zu stellen. Unabhängig davon kommen wir unserer Verpflichtung als Verantwortlicher dahingehend nach, dass wir auch unsererseits in der Datenrichtlinie  a) auf die Zusatzvereinbarung verlinken und b) auch die Facebook-Datenrichtlinie zur Information an unsere Besucher heranziehen.

8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?

Der EuGH hat in seinem oben zitierten Urteil treffend ausgeführt:

„Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“ C-210/16 Rn 43

Dies vorausschickend, sehen wir den Grad der Verantwortlichkeit zwischen Facebook und uns als Seitenbetreiber derart verteilt, dass die uns zur Verfügung gestellten Informationen dahingehend reichen, um

  1. die Seitenbesucher über das Wesen der Aufgabenteilung zu informieren
  2. unter Verweis auf die  Cookie-Richtlinie von Facebook sowie die Datenschutzrichtlinie grundsätzlich über die Datenerhebung von Facebook zu informieren,
  3. die Audience unserer Fanpage so zu justieren, dass Benutzer ohne Facebook-Account nicht auf die Seite zugreifen können.

Der EuGH hat weiter ausgeführt:

„Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“ C-210/16 Rn 41″.

Der Umstand, dass wir per Audience-Einstellung vorgenannten Sachverhalt ausgeschlossen haben, mindert unsere Verantwortlichkeit im Sinne der Argumentation des EuGH. Zudem stellt Schwartmann/Jaspers/Thüsing/Kugelmann. Art 26 Rn 21 fest:

Einer gemeinsamen Verantwortlichkeit steht nicht entgegen, dass ggf. nicht jeder gemeinsam Verantwortliche alle Rechte und Pflichten aus der DS-GVO erfüllen kann, obwohl seine Rolle als Verantwortlicher ihn zur verordnungskonformen Verarbeitung personenbezogener Daten verpflichtet (Rn. 12). Ausreichend ist es, wenn der gemeinsam Verantwortliche sich zur Erfüllung seiner Rechte und Pflichten eines der anderen gemeinsam Verantwortlichen bedienen kann.[ 31] Die DS-GVO verlangt insoweit nicht die unmittelbare Erfüllung durch den Verantwortlichen selbst. An der vollumfänglichen Haftung des gemeinsam Verantwortlichen (Rn. 46) bei etwaigen Zuwiderhandlungen gegen die DS-GVO ändert diese Pflichtendelegation im Außenverhältnis jedoch nichts.

Atzert, Michael; Buchmann, Antonia; Dietze, Lars; Ferik, LL.M., Levent; Frank, Lorenz; Frey, LL.M., Dieter; Hermann, Maximilian; Hilgert, LL.M., Felix; Hünermann, Rolf; Jacquemain, LL.M., Tobias; Jaspers, Andreas; Keber, Tobias O.; Keppeler, Lutz Martin; Klein, David; Kremer, Sascha; Kugelmann, Dieter; Leutheusser-Schnarrenberger, Sabine; Martini, Mario; Mühlenbeck, Robin Lucien; Müthlein, Thomas; Pabst, Heinz-Joachim; Pieper, LL.M., Fritz Ulli; Reif, LL.M., Yvette; Richter, Philipp; Ritter, Steve; Rombey, Sebastian; Römer, Sandra; Rost, Maria Christina; Rudolph, Matthias; Schmidt, Maximilian; Schneider, Adrian; Schwartmann, Rolf; Seckelmann, Margrit; Thüsing, Gregor; Traut, Johannes; Weiß, Steffen; Wybitul, Tim. DS-GVO/BDSG: Datenschutz-Grundverordnung Bundesdatenschutzgesetz (Heidelberger Kommentar) (German Edition) (Kindle-Positionen32266-32272). CF Müller. Kindle-Version.

 9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?

Wir verarbeiten auf der Facebook-Plattform nur die Daten von angemeldeten Facebook-Benutzern entsprechend der oben genannten Zwecke. Darüberhinaus verwenden wir die Kontaktmöglichkeiten von Facebook, um mit den Besuchern unserer Seiten zu interagieren. Eine Nutzung der personenbezogenen Daten außerhalb der Facebook-Plattform findet nicht statt.

10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?

Die Verarbeitung der personenbezogenen Daten erfolgt zum einen gemäß Art 6 Abs 1 Lit f DSGVO aufgrund unseres berechtigten Interesses, unsere Dienstleistungen und uns selbst auf Facebook öffentlich zu präsentieren und den Erfolg unserer Maßnahmen zu messen bzw. unser Angebot an den Interessen der Besucherinnen und Besucher auszurichten.

Weitere personenbezogene Daten verarbeiten wir nur, wenn uns diese von den Benutzern freiwillig mitgeteilt werden und zur Interaktion mit den Benutzern dienen. Insoweit gehen wir von einer konkludenten Einwilligung nach Art 6 Abs 1 Lit a DSGVO aus.

Da wir nur Daten von Facebook-Nutzern verarbeiten, kommt zudem Art 6 Abs 1 Lit a DSGVO auch insoweit in Betracht, als alle Benutzer bei der Einrichtung eines Facebook-Kontos den AGB, Datenschutzrichtlinien und Cookie-Richtlinien zugestimmt haben.

11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht- Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?

Durch die Audience-Einstellungen unserer Fanpage ist es Nicht-Mitgliedern nicht möglich, unsere Seite zu besuchen. Daher ist eine Information an Nicht-Mitglieder obsolet. Mitglieder haben der Erfassung Ihrer Daten grundsätzlich bereits über die AGB, die Datenschutzregeln und Cookie-Richtlinien beim Einrichten ihres Kontos zugestimmt. Darüberhinaus haben wir entsprechende Informationen in unserer eigene Datenrichtlinie aufgenommen, welche über unsere Seite erreichbar ist.

12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?

Gemäß Insights-Zusatzvereinbarung ist Facebook verpflichtet, diese Benutzerrechte umzusetzen. Wie bereits die Artikel-29-Gruppe in WP 169 ausgeführt hat, kann sich ein Verantwortlicher zur Erfüllung seiner Verpflichtungen, eines anderen Verantwortlichen im Rahmen der gemeinsamen Verantwortlichkeit bedienen. Insoweit machen wir von dieser Möglichkeit gebrauch und nutzen das von Facebook hierfür zur Verfügung gestellte Formular zur Meldung etwaiger Anfragen.

Darüber hinaus haben wir einen eigenen Prozess eingerichtet, der sicherstellt, dass an uns gestellte Anfragen 

  1. im Rahmen der Insights-Vereinbarung an Facebook weitergemeldet werden und 
  2. zumindest stichprobenartig durch Rückfrage beim Betroffenen geprüft wird, ob Facebook zeitig und vollständig auf die Anfrage reagiert hat. 

Eine Weiterverarbeitung von personenbezogenen Daten außerhalb der Facebook-Plattform findet durch uns nicht statt.

13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenenPflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.

Wie bereits durch die Artikel-29-Gruppe in WP169 Seite 23ff ausgeführt, bedienen wir uns im Rahmen der gemeinsamen Verantwortung der Dienste von Facebook zur Erfüllung der Pflichten aus der DSGVO. Naturgemäß ist der Anteil an Kontrolle und Mitbestimmung der Mittel der Datenverarbeitung zwischen Facebook und mir nicht gleich verteilt: 

Im Rahmen der gemeinsamen Kontrolle kann die Beteiligung der Parteien an den gemeinsamen Entscheidungen jedoch verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein. Wenn mehrere Akteure an Entscheidungen beteiligt sind, kann ihre Beziehung sehr eng (z. B. vollständig übereinstimmende Zwecke und Mittel der Verarbeitung) oder eher locker sein (es stimmen z. B. nur die Zwecke oder nur die Mittel oder nur Teile davon überein). Daher sollten zahlreiche unterschiedliche Typologien für die gemeinsame Kontrolle betrachtet und ihre rechtlichen Folgen bewertet werden, wobei eine gewisse Flexibilität erforderlich ist, um der zunehmende Komplexität der heutigen Gegebenheiten im Bereich der Datenverarbeitung Rechnung zu tragen. Es gilt daher, die unterschiedliche Intensität zu betrachten, in der mehrere Parteien bei der Verarbeitung personenbezogener Daten zusammenwirken oder miteinander verzahnt sind.

 

Artikel 26 DSGVO fordert von keinem gemeinsam Verantwortlichen, die Erfüllung der rechtlichen Verpflichtungen des jeweils anderen Verantwortlichen zu kontrollieren. Ebensowenig sind gemeinsam Verantwortliche verpflichtet, alle internen Prozesse gegenüber den anderen Verantwortlichen offenzulegen. Eine solche Pflicht zur Einsicht erforderte nach hiesigem Rechtsverständnis einen Vertrag nach Art 28 DSGVO, welcher hier explizit nicht vorliegt.

Wie bereits erwähnt, haben wir einen internen Prozess aufgesetzt, der an uns gerichtete Anfragen nachhält und die Erfüllung der Verpflichtungen durch Facebook zumindest in Stichproben durch Rücksprache mit den Betroffenen überprüft.

14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht- Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

Zunächst haben wir ausgeschlossen, dass Nicht-Mitglieder unsere Fanpage aufrufen können. Daher ist eine Erstellung von Daten im Local Storage nur bei Facebook-Mitgliedern der Fall. Die Erstellung dieser Daten im Local Storage und Session Storage  ist grundsätzlich mit der Erstellung von Cookies vergleichbar und ist eine Technologie, die mit HTML5 Einzug in Browser gehalten hat. Da wir nur die Daten von Facebook-Mitgliedern verarbeiten, haben diese bereits der Verarbeitung ihrer Daten auf der gesamten Facebook-Plattform zugestimmt. Wir halten daher neben unserem berechtigten Interesse an der Verarbeitung nach Art 6 Abs 1 Lit f DSGVO auch die Einwilligung der Facebook-Mitglieder nach Art 6 Abs 1 Lit a DSGVO für einschlägig. Eine separate Prüfung der Einwilligung halten wir für entbehrlich, da die Nutzung unserer Seite nicht ohne Facebook-Mitgliedschaft und damit erfolgter Zustimmung zu der Verarbeitung der personenbezogenen Daten und zum Setzen von Cookies möglich ist.

15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage- Angebots ein Session-Cookie und drei Cookies mit Lebenszei- ten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

Das Setzen von Cookies erfolgt im Falle unserer Fanpage entsprechend der zuvor dargestellten Argumentation.