Datenschutzbehörde: Anhörungsbogen zu Facebook-Fanpages – Sollte man antworten?

Haben Sie auch einen Anhörungsbogen zu Fanpages erhalten? Zumindest in Berlin erhalten Unternehmen und öffentliche Stellen von der Berliner Datenschutzbeauftragten einen Katalog mit 15 umfangreichen Fragen zu Facebook-Fanpages (Pressemitteilung).

Die Fragen müssen Sie an Facebook weiterleiten und sollten es auch. In dem folgenden Beitrag erkläre ich Ihnen warum und welche Konsequenzen die Nichtbeachtung des Fragebogens haben kann.

Individuelle Prüfung: Bitte beachten Sie, dass die behördlichen Anschreiben sich unterscheiden können und dieser Beitrag nur eine allgemeine Übersicht bieten kann. Ferner sind im Datenschutz sehr viele Punkte umstritten. Bitte lesen Sie daher Ihren Fragebogen sorgfältig und achten insbesondere auf eine Androhung von Zwangsmitteln. Dazu unten mehr.

Warum wird der Fragebogen verschickt?

Der Fragebogen greift dabei das Urteil des Europäischen Gerichtshofs vom Juni 2018 auf (EuGH, 05.06.2018 – C-210/16). In dem Urteil erklärte das Gericht, dass Betreiber von Fanpages für die Verarbeitung der personenbezogenen Daten der Besucher durch Facebook mit verantwortlich sind.

Die Mitverantwortung bedeutet, dass Sie auch Informations-, Auskunfts- und Löschpflichten im Hinblick auf die Daten der Nutzer treffen. Wer diese Pflichten trägt, muss vereinbart werden (Art. 26 Abs. 1 DSGVO).

Eine solche Vereinbarung soll das „Page Controller Addendum“ (deutsch: „Insights-Ergänzung“) sein, das Facebook nach dem Urteil veröffentlicht hat. Darin verpflichtet sich Facebook u.a. zur Übernahme der vorgenannten Pflichten:

Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO).

Nunmehr prüft die Aufsichtsbehörde, ob Facebook sich an die Zusagen hält und die Insights-Ergänzung verlässlich ist.

Muss der Fragebogen beantwortet werden?

Wenn die Aufsichtsbehörde einen verbindlichen Auskunftsbescheid androht, dann spricht dies dafür, dass die vorliegende Anfrage noch unverbindlich ist.

Die Aufsichtsbehörde verweist auf die Pflicht zur Beantwortung der Fragen gem. Art. 31 DSGVO und droht für den Fall der Nichtbeantwortung innerhalb der gesetzten Frist (sechs Wochen) an, einen „Auskunftsheranziehungsbescheid“ zu erlassen sowie diesen notfalls mit Zwangsgeld durchzusetzen.

Die Androhung eines förmlichen Bescheids deutet darauf hin, dass der Fragebogen selbst keinen sog. Verwaltungsakt darstellt. Dafür spricht auch ein fehlender Hinweis auf die Möglichkeit, sich gegen die Fragen mit einem Widerspruch wehren zu dürfen (sog. „Rechtsbehelfsbelehrung„).

Ist der Fragebogen aber kein durchsetzbarer Verwaltungsakt, dann müssen Sie ihn auch nicht beantworten. D.h. Sie könnten den Anhörungsbogen solange unbeantwortet lassen, bis der angedrohte „Auskunftsheranziehungsbescheid“ erlassen wird. Ob Sie es darauf ankommen lassen möchten, müssen Sie anhand Ihrer eigenen Möglichkeiten und Umstände entscheiden.

Meine Erfahrung ist jedoch, dass ein kooperatives Verhalten sich zumindest dann lohnt, wenn Sie keine direkten Konsequenzen befürchten müssen. D.h., wenn Sie die Informationen von Facebook erhalten haben, spricht einiges dafür sie auch an die Behörde weiter zu leiten (das zumal die Antworten alle gleich lauten werden).

Bevor Sie jedoch Antworten absenden, die davon zeugen könnten, dass Sie sich mit dieser Rechtsproblematik oder gar der DSGVO gar nicht auseinandergesetzt haben, könnte das Abwarten einer  Erinnerung durchaus Vorteile haben. Zudem könnten Sie die Unzuständigkeit der Datenschutzbehörde als Grund für die fehlende Antwort vorbringen.

Lesetipp zu Beantwortung von Behördenanfragen: Zu der Frage, ob und wann Sie Anfragen von Datenschutzbehörden beantworten sollten, empfehle ich die Lektüre des Beitrags „Post von der Datenschutzbehörde – Risiken des Wohlverhaltens“ von Prof. Härting im CRonline-Blog.

Ist die Berliner Datenschutzbehörde überhaupt zuständig?

In der Vergangenheit verwiesen deutsche Gerichte darauf, dass die europäische Dependance von Facebook in Irland sitzt und daher die irische Datensschutzbehörde zuständig ist. Die Berliner Datenschutzbeauftragte nimmt jedoch nicht Facebook, sondern die Fanpage-Betreiber in Anspruch, die wiederum in Deutschland (hier in Berlin), sitzen.

Allerdings wird sich Facebook wohl auf diese Aussage des Europäischen Datenschutzausschusses (ehemals „Art. 29 Gruppe„)  berufen, wonach bei gemeinsamer Verantwortlichkeit im Zuständigkeitsbereich von zwei Datenschutzbehörden, eine als „federführend“ festgelegt werden darf (WP 244, S. 8 – 9):

Um die Vorteile des Verfahrens der Zusammenarbeit und Transparenz in vollem Umfang nutzen zu können, sollten gemeinsam Verantwortliche daher festlegen, welche entscheidungsbefugte Niederlassung eines gemeinsam Verantwortlichen die Befugnis haben soll, für alle gemeinsam Verantwortlichen Entscheidungen über die Datenverarbeitung umzusetzen.

Facebook hat diese Empfehlung aufgegriffen und sich für entscheidungsbefugt erklärt, wodurch wiederum doch die irische Datenschutzbehörde zuständig sein könnte:

Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt. Du stimmst zu, dass Facebook Ireland in der EU die Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche ist. Außerdem erkennst du an, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde für diese Verarbeitung ist.

Allerdings ist die Frage, ob die Datenschutzbehörde sich der Ansicht anschließen oder sie in diesem Fall für unanwendbar erklären wird. Unabhängig davon, welcher Ansicht man ist, kann dieser Punkt zumindest als erster Einwand dienen, den Fragebogen nicht zu beantworten.

So könnten Sie der Datenschutzbehörde mitteilen, dass sie unzuständig ist und um Begründung ihrer Zuständigkeit bitten (das insbesondere, wenn Sie zuerst nicht reagiert haben und auf eine Erinnerung hin begründen, warum).

In welchem Umfang muss der Fragebogen beantwortet werden?

Falls Sie den Fragenkatalog beantworten, kommen umfangreiche Angaben auf Sie zu. Der Fragebogen enthält viele offene Fragen, bei denen eine „detaillierte“ oder „abschließende“ Antwort verlangt wird, z.B.:

Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.

Diese und andere Fragen sind in den „Informationen zu Seiten-Insights-Daten“ beantwortet. Da diese der Datenschutzbehörde bekannt sind, scheinen sie ihr nicht auszureichen.

D.h. Sie kommen nicht umhin Facebook zu kontaktieren, was Sie jedoch ohnehin müssen.

Pflicht zur Weiterleitung des Fragebogens an Facebook

Facebook hat sich nicht nur selbst verpflichtet Ihnen die benötigten Informationen zu geben. Die Insights-Ergänzung verpflichtet Sie, derartige Anfragen an Facebook innerhalb von 7 Tagen weiter zu leiten:

Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten

Für die Zwecke der Weiterleitung, sollten Sie das Formular „Anfragen zur Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ nutzen.

Dennoch werden Sie einige der Fragen auch selbst beantworten müssen.

Fragen, die Facebook nicht beantworten wird

Einige der Fragen betreffen auch die Betreiber der Facebook-Seiten selbst. Hier kann Facebook keine Antworten geben und darf es auch nicht, um keine unerlaubte Rechtsberatung zu betreiben. Z.B.,

Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?

Im obigen Fall müssten Sie selbst die Rechtsgrundlage nennen (m.E. wird es Art. 6 Abs. 1 lit f. DSGVO sein). Auch wenn gefragt wird, wie Sie die Besucher der Fanpage informieren, sollten Sie auf die Datenschutzhinweise auf Ihrer Facebook-Seite und Ihrer Website verweisen.

Insgesamt sollten Sie jedoch zunächst die Antworten von Facebook abwarten, um dann die übriggebliebenen Fragen auszufüllen.

Tipp: Der Passus „Onlinepräsenzen in sozialen Medien“ im Datenschutz-Generator.de des Autors enthält die Datenschutzhinweise für Facebook, als auch für andere Plattformen, wie z.B. LinkedIn, Twitter, Instagram, etc. Wie Sie die Datenschutzhinweise auf Ihrer Website wiederum auf der Facebook-Seite einbinden, können Sie in dem Beitrag Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“ nachlesen.

Die Fragen der Datenschutzbehörde

Nachfolgende liste ich die Fragen der Berliner Datenschutzbehörde und werde sie gerne mit Antworten ergänzen, sobald ich dazu weitere Informationen erhalten habe:

1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 1 DS-GVO?
4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DS-GVO informiert?
8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 Abs. 2 DS-GVO, nachkommen können?
9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular ein-reichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.
14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

Fazit und Praxishinweis

Der EuGH hat den Datenschutzbehörden einen starken Hebel gegeben, um auf Facebook einwirken zu können. Indem die Fanpage-Betreiber zu Mitverantwortlichen erklärt wurden, können Datenschutzbehörden sich direkt an sie wenden, statt Auskünfte von Facebook zu verlangen.

Dabei können sich die Behörden sogar darauf berufen, dass dies deren Pflicht ist, weil sie prüfen müssen, ob Facebook seinen Pflichten zur Unterstützung der Fanpage-Betreiber nachkommt.

Allerdings sollten Sie auch prüfen, ob Sie den Fragebogen beantworten. Nach meiner Ansicht könnten Sie sich zumindest im ersten Schritt darauf berufen, dass für Facebook Irland auch die irische Datenschutzbehörde ist. Allerdings müssen Sie dann damit rechnen, dass in nächsten Schritt ein verbindlicher Anhörungsbescheid erlassen wird.

Nunmehr ist es spannend, wie Facebook reagieren wird und ob die Antworten die Datenschutzbehörden zufriedenstellen werden. Je nach Ergebnis kann die Behörde „Nachbesserung“ verlangen oder den Betrieb der Facebook-Seiten untersagen. Davon gehe ich derzeit aufgrund der noch ungeklärten Rechtlage vorerst noch nicht aus.

In jedem Fall empfehle ich Ihnen bereits heute die Ihnen möglichen Maßnahmen zu ergreifen und einen Datenschutzhinweis auf Ihrer Fanpage und der Datenschutzerklärung aufzunehmen.

P.S. Falls Sie bereits schon eine Antwort von Facebook erhalten sollten, freue ich mich, wenn Sie mir die Antworten mitteilen könnten.

Update

Die Antworten seitens von Facebook wurden schnell erteilt und m.E. auch zufriedenstellend, so dass man sie an die Datenschutzbehörde weiterleiten kann. Leider aber mit dem Hinweis, dass sie nicht im Original publiziert werden sollen.

Allerdings verweise ich gerne auf die Antworten, verfasst aus der Sicht eines Fanpage-Betreibers bei Dauener IT Management Consulting: „Beantwortung des Fragebogens der Berliner Datenschutzbeauftragten„.

Der Beitrag Datenschutzbehörde: Anhörungsbogen zu Facebook-Fanpages – Sollte man antworten? erschien zuerst auf Kanzlei Dr. Thomas Schwenke.