RA, Dr. Ulrich Hallermann, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Investitions- und Strukturbank Rheinland-Pfalz (ISB)
Banken unterhalten Fanpages auf Facebook, um für sich zu werben und mit vorrangig jungen Personen in Kontakt zu kommen. Dieses Ansinnen ist verständlich, da Facebook für junge Personen ein bevorzugtes Kommunikationsmedium ist. Indes sind die damit verbundenen datenschutzrechtlichen Risiken erheblich. Nach einer aktuellen Entscheidung des EuGH ist die Bank als Betreiber der Fanpage neben Facebook datenschutzrechtlich verantwortlich (Az. C 210/16).
Jedoch ist nicht bekannt, was Facebook im Einzelnen mit den personenbezogenen Daten macht und zu welchen Zwecken die personenbezogenen Daten weiterverarbeitet werden. Der Fanpagebetreiber kann also kaum über die Verarbeitung ordnungsgemäß belehren bzw. eine Einwilligung des Betroffenen einholen.
SEMINARTIPPS
(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.
Unterschätzte Pflichten zum Beschäftigten Datenschutz aus neuer DSGVO, 10.04.2019, Frankfurt/M.
Prüfung DSGVO-Umsetzung, 22.–23.05.2019, Frankfurt/M.
Für beide Verstöße ist aber die Bank als Fanpagetreiber verantwortlich und riskiert die Verhängung von Bußgeldern bzw. die Verurteilung zur Zahlung von Schadensersatz. Vor diesem Hintergrund ist zu empfehlen, die Fanpages offline zu stellen. Dies zumindest so lange, bis Facebook seine Datenschutzprozesse verbessert hat.
Nachfolgend werden die Fragen wiedergegeben, welche die Aufsicht an den Betreiber einer Fanpage nunmehr vorrangig stellt (https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf):
- In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gem. der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO).
- Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
- Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
- Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert.
- Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
PRAXISTIPPS
- Prüfen: Fanpages offline stellen, bis Facebook seine Datenschutzprozesse verbessert hat?
- Prüfen: Einwilligung der Fanpagebesucher in die Datenverarbeitung (technisch umsetzbar ?)
- Individuelle Datenschutzbelehrung für die Fanpage erstellen und hierbei die relevanten Datenverarbeitungsprozesse beschreiben.
Sie erreichen den Autor per Mail unter info@kanzlei-hallermann.de. Die nachfolgenden Ausführungen geben die persönliche Rechtsmeinung des Autors wieder und ersetzen keine individuelle anwaltliche Beratung im Einzelfall. ↑
Beitragsnummer: 1038