Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Update: Entschließung der DSK zum EuGH-Urteil C-210/16 im Hinblick auf eine gemeinsame Verantwortung von Facebook und Seitenbetreibern – Spoiler: Sie müssen was tun

Vor wenigen Stunden erst veröffentlichte ich hier den Artikel Facebook-Seitenbetreiber und Facebook sind gemeinsam für die Datenverarbeitung verantwortlich – EuGH C-210/16 – Und nun?. In diesem legte ich kurz da, worum es in dem Urteil ging, das gestern und heute wie ein Donnerschlag durch das Netz hallte, welche Auswirkungen es wohl haben könnte und ob Facebook-Seitenbetreiber nun Ihre Seiten besser abschalten müssten.

Ich wagte dabei ein wenig den Blick in die Glaskugel und kam zu dem Schluss:

Behalten Sie die Angelegenheit im Auge, aber rennen Sie nicht verrückt im Kreis.

Mit der Auffassung befinde ich mich in guter Gesellschaft, denn die geschätzten Kollegen

RA Dr. Thomas Schwenke – Analyse zum EuGH-Urteil: Kein Grund, Facebook-Seiten zu schließen

RA Dr. Carsten Ulbricht – EuGH Urteil: Facebook Fanpagebetreiber sind mitverantwortlich für Datenverarbeitung auf Facebook ! Und jetzt ?

RA Prof Niko Härting – Fanpage-Urteil des EuGH – 10 Fragen, 10 Antworten : Good bye Auftragsverarbeitung, welcome “gemeinsame Verantwortlichkeit” 

kommen letztlich zu dem gleichen Ergebnis.

Nichts ist älter als die News von gestern

Allerdings vergeht derzeit – gefühlt –  kaum ein halber Tag ohne dass es Neuigkeiten von datenschutzrechtlicher Relevanz gäbe. Und so teilte mir das LfDI Baden-Württemberg (öffentlich) via Twitter kurz nach der Veröffentlichung meines Artikels am Nachmittag mit, dass es noch heute zu den aufgeworfenen Fragen, bzw. vielmehr zu dem EuGH noch eine Äußerung der DSK (Datenschutzkonferenz, Zusammenschluss der Vertreter der deutschen Aufsichtsbehörden) geben würde. Anders ausgedrückt, dass Sie die Angelegenheit so kurzfristig im Auge behalten müssen, hätte ich auch nicht gedacht.

Aber hier ist sie nun, die

Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 06. Juni 2018

Der Eingangssatz/die Überschrift lautet:

Die Zeit der Verantwortungslosigkeit ist vorbei:

EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber

Die Überschrift lässt den weiteren Inhalt schon ahnen, die DSK will mit dieser Entschließung die harte Kante zeigen. Doch in welche Richtung, das sehen wir uns nun genauer an. (Selbstverständlich können Sie sich das DSK auch einfach selbst durchlesen, Sie finden es unter dem oben stehenden Link.)

Was steht in dem DSK-Papier?

Zunächst hält die DSK klipp und klar fest, dass sich die vom EuGH fest gestellte gemeinsame Verantwortung auch auf das geltende Recht erstreckt. (Soweit nichts bahnbrechend Neues, das sagte uns schon Art. 26 DSGVO.)

Das heißt dann natürlich auch, dass die der gemeinsamen Verantwortung unterliegenden Parteien jeweils Ihren nach der DSGVO bestehenden Informationspflichten nachkommen und den Betroffenen in Ihren Rechten abhelfen können müssen. Wie das konkret auszusehen hat, dazu lässt sich die DSK wie folgt ein (ich übersetze nachfolgend ein wenig, das Original können Sie hier selbst lesen):

  1. Wer eine Fanpage besucht, muss über die Datenverarbeitung transparent informiert werden (d.h. der Betreiber sollte entsprechende Informationen zur Datenverarbeitung (IDV) nach Art. 12, 13 DSGVO, besser bekannt als „Datenschutzerklärung“, im Hinblick auf seine Facebook-Seite vorhalten, z.B. in dem ein Link auf die IDV der Webseite gesetzt wird, auf der sich dann eine Passage zu der Datenverarbeitung auf der Facebook-Page findet.)
  2. Wer eine Fanpage betreibt, muss sich als Betreiber selbst versichern, dass Facebook  die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.  (*Pruuuuusst. ‚Tschuldigung, geht schon wieder. Aber haben Sie mal versucht irgendwie mit Facebook in Kontakt zu treten?)
  3. Wenn über die Facebook-Seite ein Tracking stattfindet, gleich ob durch Cookies oder User-IDs oder die Speicherung der IP-Adresse, dann ist grundsätzlich eine Einwilligung einzuholen. (Hier sträuben sich mir die Nackenhaare und zwar vorwiegend deswegen, weil die DSK schon wieder ohne jede Differenzierung jegliche Trackingformen über einen Kamm schert, mehr kritische Anmerkungen dazu finden Sie hier)
  4. Zwischen Facebook und den Fanpage-Betreibern ist ein Vertrag nach Artikel 26 DSGVO (Joint Control Contract, JCC) zu schließen, in dem festgelegt wird, wer welche Verpflichtungen zu erfüllen hat; die wesentlichen Elemente des Vertrages sind den Betroffenen, also den Nutzern, zu Verfügung zu stellen. (Ja, das ergibt sich alles aus Art. 26 DSGVO.)

Schließlich wird betont, dass die DSK einen dringenden Handlungsbedarf bei den Betreibern von Fanpages sieht. Jedoch heißt es darauf hin sogleich:

Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglich.

Mit diesem Satz endet die Entschließung der DSK.

Was heißt denn das nun?

Das heißt, dass die DSK der Auffassung ist, dass

  1. Sie als Betreiber einer Facebook-Page eine IDV (Informationen zur Datenverarbeitung) im Hinblick auf die Datenverarbeitung über die Facebook-Page bereithalten müssen.
  2. Sie, wenn getrackt wird, bezüglich dieses Trackings eine Einwilligung einholen müssen.
  3. Sie einen Vertrag gemäß Art. 26 DSGVO mit Facebook abschließen müssen.

Und nein, Sie rennen jetzt bitte immer noch nicht schreiend im Kreis. Aus den folgenden Gründen:

Wenn man eine gemeinsame Verantwortung annimmt, dann ist die Folge, dass Sie über die Datenverarbeitung aufklären müssen nur logisch, bzw. vielmehr in Art. 12, 13 DSGVO festgelegt. Das nervt zwar vielleicht. Aber es ist, wie es ist. Derzeit können Sie jedoch überhaupt nicht ordentlich über die Datenverarbeitung aufklären. Sie wissen ja selbst nichts. Außer das, was Facebook in seinen Informationen zur Datenverarbeitung bereit hält. Und das ist herzlich wenig und immer noch herzlich wenig durchschaubar.

Ob Sie bezüglich des „Trackings“ eine Einwilligung einholen müssen, kann man schon dem Grunde nach trefflich streiten (siehe hier). Vorliegend können Sie das selbst verständlich schon rein technisch nicht. Sie haben ja gar keinen Zugriff auf die Seiten bzw. die Technik selbst. Sowas muss schon Facebook anbieten.

Und damit sind wir bei dem vorgenannten Punkt 3 und dem letzten Satz der DSK-Entschließung. Facebook muss mit den Seitenbetreibern einen Vertrag nach Art. 26 DSGVO schließen und darin muss festgelegt werden, wer welche Pflichten übernimmt. Da Facebook hier an dieser Stelle der einzige ist, der tatsächlich Informationen über die Datenverarbeitung bereitstellen kann und der die technischen Voraussetzungen zum Abschalten eines Trackings durch den Seitenbetreiber oder aber einer Einwilligungs-Lösung schaffen kann, ist ziemlich eindeutig, wer die Informationen bereitstellen und die Tracking-Problematik umsetzen muss. Ihnen bleibt dann nur noch Ihre Nutzer zu informieren. Das sollte nicht so schwierig sein.

Vor diesem Hintergrund wird klar, dass die DSK zwar die Seitenbetreiber anspricht, aber den Ball ziemlich weit in das Feld von Facebook gelegt hat.

Und damit hätte dann meine magische Glaskugel dann im Ergebnis doch Recht: Facebook wird sich wohl doch noch bewegen und die Joint Control Contracts aus der Tasche ziehen und die eine oder andere Pflicht gegenüber den Seitenbetreibern übernehmen müssen.

Ja, ja, ja. Aber: Müssen wir unsere Facebook-Seite nun abschalten oder nicht?!

Ehrlich gesagt, diese Entscheidung kann ich Ihnen nicht abnehmen. Nach Auffassung der DSK befinden Sie sich mit Ihrer Facebook-Seite gerade im grauen Niemandsland, wenn nicht sogar eher auf der dunklen Seite. Wenn Sie ganz, ganz sicher sein wollen, dann nehmen Sie die Seite vorerst offline. Ich bin allerdings immer noch der Meinung, dass dies übervorsichtig wäre, denn:

Die DSK hat klar statuiert, dass Rechtskonformität nur mit Facebook zu erreichen ist. Alles, was Sie derzeit tun können, ist Ihren Informationspflichten soweit nachzukommen, wie es derzeit eben möglich ist. Und das ist nicht viel mehr als auf die Informationen zur Datenverarbeitung von Facebook zu verweisen. Wenn Sie dies tun und die Angelegenheit weiter im Auge behalten, insbesondere, wie Facebook nun reagieren wird, sehe ich nicht, dass Ihnen unmittelbar mehr droht als ein Hinweis der für Sie zuständigen Datenschutzbehörde. Ich werde jedenfalls – vorerst – die Facebook-Seite zum Blog online lassen. Und befinde mich damit – jedenfalls noch 😉 – in guter Gesellschaft, denn das Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung ist ebenso noch online wie das Bundesministerium der Justiz und für Verbraucher.

(Achso, Abmahner lassen wir jetzt mal außen vor. Auch hier sehe ich einfach keine Abmahnwelle. Außerdem ist es nun wirklich spät….)

In diesem Sinne,

keep on breathing. Winter is not coming (yet).


Update – 08.08.2018 –  

Über Neuigkeiten und aktuelle Geschehnisse berichten wir in diesem Blogbeitrag.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Rechtsanwältin Nina Diercks

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) führt die Anwaltskanzlei Diercks in Hamburg und war bis Mai 2018 beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannte Sachverständige für IT-Produkte (rechtlich). Ihre Tätigkeitsschwerpunkte liegen im IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.