Gemeinsame Verantwortlichkeit bei Facebook-Fanpages 

Beitrag verfasst von Mag. Claudia Gabauer am 31.10.2018 – KTR-Newsletter Okt 2018

Frau Mag. Claudia Gabauer, LL.M., Rechtsanwaltsanwärterin in unserer Kanzlei, hat für diesen und den nächsten Newsletter eine Zusammenfassung der Fanpage-Problematik erstellt:

EuGH 5. 6. 2018, C-210/16

Die Entscheidung bezieht sich auf die Auslegung des Begriffs „für die Verarbeitung Verantwortliche“ im Sinne der Datenschutz-Richtlinie 95/46/EG sowie auf die Qualifikation von Betreibern einer Fanpage auf Facebook. Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Facebook stellt Fanpage-Betreibern die Funktion „Facebook Insights“ zur Verfügung, die mit Hilfe von Cookies Daten von registrierten und nicht-registrierten Besuchern der Fanpage erhebt und anschließend statistisch auswertet.

Im Zusammenhang mit dieser Datenverarbeitung bejahte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und den Betreibern von Fanpages. An dieser Qualifikation ändert auch der Umstand nichts, dass der Fanpage-Betreiber die Besucherstatistiken lediglich in anonymisierter Form erhält, da eine gemeinsame Verantwortlichkeit nicht voraussetzt, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat. Gleichzeitig stellte der EuGH klar, dass diese gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, sondern der Grad der Verantwortlichkeit eines jeden Verantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

Auswirkungen der Entscheidung

Obwohl sich diese Entscheidung auf die Datenschutz-Richtlinie bezieht, ist diese insbesondere auch für die DSGVO von besonderer Relevanz. Art 26 DSGVO normiert für den Fall einer gemeinsamen Verantwortlichkeit, dass die Verantwortlichen in einer Vereinbarung in transparenter Form festlegen müssen, wer von ihnen welche Verpflichtungen nach der DSGVO erfüllt, insbesondere wer für die Wahrnehmung der Betroffenenrechte und für die Erteilung der Informationspflichten nach Art 13 f DSGVO zuständig ist (sog. „Joint-Controller-Vertrag“). Auch wenn die endgültigen Konsequenzen der Entscheidung noch nicht restlos geklärt sind, ist zum jetzigen Zeitpunkt von einer gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage auszugehen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden in Deutschland wies bereits einen Tag nach der Entscheidung auf den „dringenden Handlungsbedarf“ für Fanpage-Betreiber hin und fasste drei Monate später einen Beschluss, wonach „ohne Vereinbarung nach Art 26 DSGVO […] der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig“ sei. Kurz nach diesem Beschluss der Datenschutzkonferenz kündigte Facebook ein „Page Insights Controller Addendum“ bzw. „Seiten-Insights-Ergänzung“ an, mit der die Anforderungen an einen Joint-Controller-Vertrag erfüllt werden sollen. Ob die Ergänzung diesem Anspruch tatsächlich gerecht wird und ob der Betrieb von Fanpages dadurch DSGVO-konform ist, soll im nächsten Newsletter untersucht werden.

Artikel drucken

Beiträge

Newsletter Okt 2018

Gemeinsame Verantwortlichkeit bei Facebook-Fanpages

Frau Mag. Claudia Gabauer, LL.M., Rechtsanwaltsanwärterin in unserer Kanzlei, hat für diesen und den nächsten Newsletter eine Zusammenfassung der Fanpage-Problematik erstellt

Strategieforum Datenschutzrecht, Cyber Security

Im November findet zum 3. Mal die „PriSec“, die Privacy & Security Konferenz von BusinessCircle, unter meiner fachlichen Leitung statt.

Die geplante Urheberrechtsreform auf den Punkt gebracht

Die geplante Urheberrechtsreform, das ist – frei nach Helmut Qualtinger – „brutal wie Simmering gegen Kapfenberg…“.

der neue DatKomm

Fast genau auf den Tag 40 Jahre nachdem im österreichischen Parlament das erste Datenschutzgesetz beschlossen wurde, fand am 15. Oktober in der Albert Hall in Wien die Präsentation des DatKomm statt.

Aktuelle Entscheidungen – Okt 2018

Speicherdauer von Bewerberdaten und kein Löschungsrecht ohne Löschungsantrag…