- DAZ.online
- DAZ / AZ
- AZ 48/2018
- Sechs Monate DSGVO – ...
Recht
Sechs Monate DSGVO – ein Zwischenfazit
Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages
Gibt eine Apotheke personenbezogene Daten an eine andere Stelle weiter, kann datenschutzrechtlich eine der folgenden drei Konstellationen vorliegen: eine getrennte Verantwortlichkeit, eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit (engl. Joint Controllership). Mit Letzterer werden sich die meisten Apotheken bisher eher weniger beschäftigt haben. Für Apotheken, die eine Unternehmensseite auf Facebook betreiben (sogenannte Facebook-Fanpage), wird die gemeinsame Verantwortlichkeit jedoch relevant. Denn der Europäische Gerichtshof hat Anfang Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages gemeinsam mit Facebook für die Einhaltung der Datenschutzvorschriften verantwortlich sind.
Was heißt gemeinsame Verantwortlichkeit?
Für die Datenverarbeitung verantwortlich ist, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Der Verantwortliche entscheidet also, wozu Daten verarbeitet werden und wie die Daten verarbeitet werden. Trifft die Apotheke gemeinsam mit einem anderen die Entscheidung über Zwecke und Mittel der Datenverarbeitung, ist sie gemeinsam mit dem anderen für die Datenverarbeitung verantwortlich (Art. 26 DSGVO). Im Apothekenalltag kommt diese Konstellation nicht sehr häufig vor.
Meist gibt die Apotheke personenbezogene Daten an eine andere Stelle weiter, die die Daten in eigener Verantwortung verarbeitet, so beispielsweise Patientendaten zur Abrechnung an die gesetzliche Krankenkasse oder Mitarbeiterdaten an das Finanzamt. Schaltet die Apotheke einen Dienstleister ein, der personenbezogene Daten auf ihre Weisung und in ihrem Auftrag verarbeitet, liegt eine Auftragsverarbeitung vor. Auftragsverarbeiter für die Apotheke ist beispielsweise das Apothekenrechenzentrum, das für die Abrechnung mit der gesetzlichen Krankenkasse eingesetzt wird.
Datenerhebung über Facebook-Fanpages
Hinsichtlich des Betriebs von Facebook-Fanpages war schon nach altem Recht unklar, in welchem Verhältnis datenschutzrechtlich der Fanpage-Betreiber und Facebook zueinander standen. Der Europäische Gerichtshof hat sich mit dieser Frage befasst und Anfang Juni 2018 geurteilt, dass Facebook und das Unternehmen, das eine Fanpage auf Facebook betreibt, gemeinsam für die Verarbeitung der über die Fanpage erhobenen personenbezogenen Daten verantwortlich sind. Grund dafür ist, dass Facebook beim Besuch einer Fanpage einen Cookie auf dem Computer des Besuchers setzt, der für maximal zwei Jahre aktiv ist. Über die Cookies sammelt Facebook statistische Daten (sogenannte Insights-Daten), die in anonymisierter Form dem Seitenbetreiber zur Verfügung gestellt werden. Der Betreiber der Fanpage kann über Filter Einfluss darauf nehmen, nach welchen Kriterien die Statistiken erstellt werden. Außerdem enthält der Cookie einen Benutzercode, der mit den Anmeldedaten der bei Facebook registrierten Benutzer verknüpft werden kann. Da der Fanpage-Betreiber mit seiner Unternehmensseite zum Besuch von Facebook beiträgt und von der Datenverarbeitung durch Facebook aufgrund der ihm nach seinen Parametern zur Verfügung gestellten Informationen über die Interessen seiner Zielgruppe profitiert, ist der Europäische Gerichtshof der Ansicht, dass der Fanpage-Betreiber gemeinsam mit Facebook Verantwortlicher ist.
Die Entscheidung des Europäischen Gerichtshofs erging zum alten Datenschutzrecht. Die Datenschutzkonferenz (DSK), ein Gremium der deutschen Datenschutz-Aufsichtsbehörden, hat jedoch schon einen Tag nach Erlass des Urteils klargestellt, dass auch nach der Datenschutz-Grundverordnung (DSGVO) Fanpage-Betreiber und Facebook gemeinsam verantwortlich sind (DSK, Entschließung vom 6. Juni 2018). Die Folge ist, dass die Vorgaben der DSGVO zur gemeinsamen Verantwortlichkeit einzuhalten sind.
Vereinbarung mit Facebook notwendig
Dazu gehört, dass eine Vereinbarung zwischen dem Betreiber der Fanpage und Facebook über die gemeinsame Verantwortlichkeit zu schließen ist (Art. 26 DSGVO). In dieser Vereinbarung muss festgelegt werden, wer welche datenschutzrechtlichen Pflichten übernimmt und wer welche Informationspflichten gegenüber den Besuchern der Fanpage erfüllt. Die wesentlichen Inhalte dieser Vereinbarung müssen dann den Besuchern der Fanpage zur Verfügung gestellt werden. Das soll sicherstellen, dass die Besucher informiert sind, insbesondere darüber, an wen sie sich zur Geltendmachung ihrer Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit) wenden können.
Für die Unternehmen, die auf Facebook Unternehmensseiten betreiben, bedeutete diese Entscheidung zunächst einmal Unsicherheit – im Datenschutzrecht ja nichts Ungewöhnliches. Die Fanpages haben sich zu einem bedeutenden Marketingmittel für Unternehmen entwickelt. Allein in Deutschland sind laut Facebook mehr als 32 Millionen Menschen monatlich aktiv. Weltweit sind es über 2 Milliarden aktive Nutzer. Unternehmen dienen die Facebook-Seiten dazu, sich diesen Menschen zu präsentieren und mit ihnen unmittelbar in Kontakt zu treten. Kleinere Unternehmen unterhalten oftmals aus Kostengründen keine eigene Homepage, sondern sind nur auf Facebook präsent. Die Fanpage zu schließen, ist oftmals wirtschaftlich keine wirkliche Option. Auch öffentliche Stellen wollten nach der Entscheidung des EuGH nicht auf ihre Präsenz bei Facebook verzichten. So betreiben beispielsweise das Bundesministerium der Justiz und für Verbraucherschutz und das Bundesministerium für Wirtschaft und Energie weiterhin ihre Fanpages auf Facebook.
Ein rechtskonformes Betreiben der Fanpage war allerdings ohne Mitwirkung von Facebook nach dem Urteil nicht möglich. Darauf hat die DSK mit Beschluss vom 5. September 2018 hingewiesen. Leider ohne Unternehmen eine Handreichung zu geben, wie sie sich nun verhalten sollen. Das Ziel war offensichtlich, über die deutschen Unternehmen Druck auf Facebook aufzubauen, sich datenschutzkonform zu verhalten. Da Facebook seinen Sitz in Irland hat und damit in den Zuständigkeitsbereich der irischen Datenschutz-Aufsichtsbehörde fällt, konnten die deutschen Aufsichtsbehörden nicht direkt gegen Facebook vorgehen. Für die deutschen Unternehmen inklusive Apotheken war diese Lage natürlich misslich.
Reicht Reaktion von Facebook aus?
Facebook hat zwischenzeitlich jedoch reagiert und eine Ergänzung seiner AGB veröffentlicht. Die „Seiten-Insights-Ergänzung“ regelt die Verantwortlichkeiten hinsichtlich der Datenverarbeitung der Insights-Daten. Facebook möchte die Unternehmen damit entlasten und nimmt einen Großteil der datenschutzrechtlichen Pflichten auf sich, insbesondere indem die Besucher der Fanpages über die Datenverarbeitung informiert und die Betroffenenrechte erfüllt werden. Facebook zeigt damit den Willen, europäischen Unternehmen auch weiterhin den rechtskonformen Betrieb von Fanpages zu ermöglichen.
Die deutschen Datenschutz-Aufsichtsbehörden haben sich noch nicht dazu geäußert, ob aus ihrer Sicht die Bemühungen von Facebook um ein datenschutzkonformes Verhalten ausreichen. Einige Fragen sind noch offen, deren Beantwortung die Datenschutzkonferenz laut ihres Beschlusses vom 5. September 2018 für einen rechtmäßigen Betrieb der Fanpages für erforderlich hielt. Insbesondere ist unklar, auf welcher Rechtsgrundlage die personenbezogenen Daten der Fanpage-Besucher erhoben werden, welche Daten im Einzelnen von Facebook wie verarbeitet werden und wann diese wieder gelöscht werden. Für Unternehmen, so auch Apotheken, bleibt zu hoffen, dass sich die europäischen Datenschutz-Aufsichtsbehörden zur Klärung dieser Fragen direkt an Facebook wenden.
Empfehlenswerte Maßnahmen
Apotheken, die eine Fanpage betreiben, ist zu empfehlen, auf dieser eine eigene Datenschutzerklärung vorzuhalten, in der auch auf die wesentlichen Inhalte der „Seiten-Insights-Ergänzung“, insbesondere die Aufteilung der Verantwortlichkeiten zwischen Facebook und dem Fanpage-Betreiber hingewiesen wird. Zwingend erforderlich ist eine Datenschutzerklärung, wenn über die Fanpage, beispielsweise im Rahmen eines Gewinnspiels, weitere personenbezogene Daten erhoben und verarbeitet werden. Über die Datenverarbeitung sind die Besucher der Fanpage zu informieren. Außerdem sollten zukünftig Anfragen von Betroffenen und Aufsichtsbehörden zur Datenverarbeitung über das von Facebook bereitgestellte Formular entsprechend der Seiten-Insights-Ergänzung an Facebook weitergeleitet werden. |
- Teil 1 des Zwischenfazits zur DSGVO „Was tut sich bei Abmahnungen und Bußgeldern?“ finden Sie in AZ 2018, Nr. 46, S. 5.
- Teil 2 „Ist der Datenschutzbeauftragte bald Geschichte?“ in AZ 2018, Nr. 47, S. 7
0 Kommentare
Das Kommentieren ist aktuell nicht möglich.