Donnerstag, 17. Januar 2019

Facebook, Fanpages und der Datenschutz

RA, Dr. Ulrich Hallermann, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Investitions- und Strukturbank Rheinland-Pfalz (ISB)[1]


Banken unterhalten Fanpages auf Facebook, um für sich zu werben und mit vorrangig jungen Personen in Kontakt zu kommen. Dieses Ansinnen ist verständlich, da Facebook für junge Personen ein bevorzugtes Kommunikationsmedium ist. Indes sind die damit verbundenen datenschutzrechtlichen Risiken erheblich. Nach einer aktuellen Entscheidung des EuGH ist die Bank als Betreiber der Fanpage neben Facebook datenschutzrechtlich verantwortlich (Az. C 210/16).

Jedoch ist nicht bekannt, was Facebook im Einzelnen mit den personenbezogenen Daten macht und zu welchen Zwecken die personenbezogenen Daten weiterverarbeitet werden. Der Fanpagebetreiber kann also kaum über die Verarbeitung ordnungsgemäß belehren bzw. eine Einwilligung des Betroffenen einholen.

SEMINARTIPPS

(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.

Unterschätzte Pflichten zum Beschäftigten Datenschutz aus neuer DSGVO, 10.04.2019, Frankfurt/M.

Prüfung DSGVO-Umsetzung, 22.–23.05.2019, Frankfurt/M.

Für beide Verstöße ist aber die Bank als Fanpagetreiber verantwortlich und riskiert die Verhängung von Bußgeldern bzw. die Verurteilung zur Zahlung von Schadensersatz. Vor diesem Hintergrund ist zu empfehlen, die Fanpages offline zu stellen. Dies zumindest so lange, bis Facebook seine Datenschutzprozesse verbessert hat.

Nachfolgend werden die Fragen wiedergegeben, welche die Aufsicht an den Betreiber einer Fanpage nunmehr vorrangig stellt (https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf):

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gem. der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO).
  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert.
  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?

PRAXISTIPPS

  • Prüfen: Fanpages offline stellen, bis Facebook seine Datenschutzprozesse verbessert hat?
  • Prüfen: Einwilligung der Fanpagebesucher in die Datenverarbeitung (technisch umsetzbar ?)
  • Individuelle Datenschutzbelehrung für die Fanpage erstellen und hierbei die relevanten Datenverarbeitungsprozesse beschreiben.


Sie erreichen den Autor per Mail unter info@kanzlei-hallermann.de. Die nachfolgenden Ausführungen geben die persönliche Rechtsmeinung des Autors wieder und ersetzen keine individuelle anwaltliche Beratung im Einzelfall.



Beitragsnummer: 1038

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Schadensersatz nach DSGVO

Der EuGH hat Kriterien für die Gewährung des immateriellen Schadensersatzanspruchs nach Art. 82 I DSGVO sowie zur Bemessung der Entschädigungshöhe festgelegt.

23.10.2024

Beitragsicon
Anwendbarkeit einer CRR-Legal Opinion für deutsche Kreditsicherheiten

Voraussetzungen für die Anwendbarkeit einer CRR-Legal Opinion für deutsche Kreditsicherheiten und Besonderheiten einiger ausgewählter Kreditsicherheiten

05.06.2024

Beitragsicon
Individuelle Datenverarbeitung (IDV) und Banking 4.0

IDV (dezentrale Anwendungsentwicklung) kann auch als Chance gesehen werden, um den technologischen Wandel voranzutreiben & den Weg zu Banking 4.0 zu ebnen.

11.11.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.