Gutachterliche Stellungnahme - zur datenschutzrechtlichen Zulässigkeit des Be- triebs der Fanpage der Senatskanzlei - Berlin.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
| Dr. Thomas Schwenke Rechtsanwaltskanzlei | Paul-Lincke-Ufer 42/43 | 10999 Berlin |
Gutachterliche Stellungnahme
zur datenschutzrechtlichen Zulässigkeit des Be-
triebs der Fanpage der Senatskanzlei
Datum: 20. Februar 2019
Im Auftrag von:
Der Regierende Bürgermeister von Berlin
Senatskanzlei -Landesredaktion /
Koordinierung Berlin.de, Social Media
Jüdenstraße 1
10178 Berlin
Erstellt durch:
Rechtsanwalt Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH)
Zert. Datenschutzbeauftragter TÜV Süd / Zertifikat-Nr.: 1346#311657914
Paul-Lincke-Ufer 42/43, 10999 Berlin
http://drschwenke.de
Seite 1 von 74Einleitung
Das folgende Gutachten untersucht, ob die von dem Social-Media-Referat der Senats-
kanzlei des Regierenden Bürgermeisters von Berlin (nachfolgend bezeichnet als „Se-
natskanzlei“) innerhalb der Plattform Facebook betriebene Fanpage datenschutzrecht-
lich zulässig ist.
Im ersten Teil des Gutachtens werden die verwendeten Begrifflichkeiten, technische
und vertragliche sowie konzeptionelle Grundlagen des Betriebs der Fanpage darge-
stellt. Sie dienen als Grundlage für die folgenden rechtlichen Erwägungen, insbeson-
dere im Hinblick auf die Bestimmung der Zwecke des Fanpagebetriebs, die Rechts-
grundlagen sowie die Verhältnismäßigkeitserwägungen.
Das Gutachten dient ferner dem Zweck, die von der Datenschutzkonferenz (DSK) am
05.09.2018 im Beschluss zu Facebook Fanpages aufgestellte Fragen, als auch die von
der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BfDI) im Rahmen
ihrer Anhörungsanfrage vom 29.10.2018 genannten Fragen zu beantworten.
Dem Gutachten wird die Rechtslage im Zeitpunkt der Erstellung des Gutachtens zu-
grunde gelegt. Zu der Rechtslage gehören insbesondere gerichtliche Entscheidungen,
behördliche Maßnahmen und Ansichten der Rechtsliteratur.
.
Seite 2 von 74Inhaltsverzeichnis
A. Zusammenfassung der Ergebnisse des Gutachtens .................................................. 6
B. Begrifflichkeiten, technische, vertragliche und konzeptionelle Grundlagen ............ 9
I. Begriffsdefinitionen ............................................................................................... 9
II. Vertragsgrundlagen ............................................................................................. 13
III. Konzeptionelle Grundlagen, Zwecke und Verwaltung der Fanpage ............... 13
1. Social-Media-Konzept der Senatskanzlei ......................................................... 14
2. Vorbildwirkung anderer öffentlich-rechtlicher Fanpages ............................... 16
3. Alternativangebote .......................................................................................... 16
4. Verwaltung der Fanpage .................................................................................. 17
5. Evaluierung ...................................................................................................... 18
IV. EuGH zur Mitverantwortlichkeit für Fanpages und Vertragsanpassung durch
Facebook ..................................................................................................................... 18
1. Urteil des EuGH vom 05.06.2018 ..................................................................... 18
2. Stellungnahme der DSK vom 05.09.2018 ........................................................ 19
3. Facebooks Seiten-Insights-Ergänzung vom 11.9.2018 .................................... 21
4. Anhörungsverfahren der Berliner BfDI ............................................................ 22
5. Schlussanträge des Generalanwalts in Sachen „Fashion ID“ ........................... 25
C. Zulässigkeit des Betriebs der Fanpage der Senatskanzlei ....................................... 27
I. Räumlicher Anwendungsbereich......................................................................... 27
II. Sachlicher Anwendungsbereich .......................................................................... 27
1. Personenbezogene Daten ................................................................................ 27
(a) Stammdaten und Kontaktdaten der Mitglieder .......................................... 27
(b) Demografische Daten der Mitglieder ....................................................... 27
(c) Angaben zur Facebook-Nutzung, Verhalten und Interessen der Mitglieder
28
(d) Insights-Daten........................................................................................... 28
(e) Standortdaten........................................................................................... 29
(f) Technische Daten ......................................................................................... 29
(g) Inhaltsdaten .............................................................................................. 29
(h) Personenbezug ......................................................................................... 29
2. Automatisierte Verarbeitung ........................................................................... 30
III. Betroffene Personen ........................................................................................ 30
IV. Verarbeitungszwecke....................................................................................... 30
1. Facebooks Verarbeitungszwecke..................................................................... 31
Seite 3 von 74(a) Zurverfügungstellung der Fanpage und Sicherheit ...................................... 31
(b) Betriebswirtschaftliche Zwecke und Profiling .......................................... 31
2. Senatskanzlei ................................................................................................... 32
(a) Zurverfügungstellung der Fanpage und Sicherheit ...................................... 32
(b) Information, Kommunikation, Imagepflege ............................................. 33
(c) Werbewirkung .......................................................................................... 33
V. Datenschutzrechtliche Verantwortlichkeit der Senatskanzlei ............................ 34
1. Gemeinsame Verantwortlichkeit ..................................................................... 34
(a) Begründung gemeinsamer Verantwortlichkeit ............................................ 35
(b) Umfang gemeinsamer Verantwortlichkeit ............................................... 37
(c) Feststellung der gemeinsamen Verantwortlichkeit und deren Umfangs
für die Fanpage der Senatskanzlei....................................................................... 39
2. Unmittelbare Verantwortlichkeit .................................................................... 41
VI. Seiten-Insights-Ergänzung als Vereinbarung gem. Art 26 DSGVO................... 43
1. Wirksame Vereinbarung der Seiten-Insights-Ergänzung ................................. 43
2. Inhaltliche Prüfung der Seiten-Insights-Ergänzung ......................................... 45
(a) Primäre Verantwortlichkeit .......................................................................... 45
(b) Beschränkung auf Insights-Daten ............................................................. 46
(c) Verantwortung für eigene Rechtsgrundlage ............................................ 46
(d) Umgang mit Anfragen von Betroffenen und Aufsichtsbehörden ............ 47
(e) Festlegung der irischen Datenschutzkommission als federführende
Aufsichtsbehörde................................................................................................. 48
(f) Geltendes Recht, Aktualisierungen und salvatorische Klausel .................... 50
3. Inhaltliche Vollständigkeit der Seiten-Insights-Ergänzung .............................. 50
VII. Tatsächliche Erfüllung der gesetzlichen Verpflichtungen................................ 51
1. Erfüllung von Informationspflichten ................................................................ 51
(a) Informationen zu Seiten-Insights-Daten ...................................................... 51
(b) Hinreichende Aufklärung der Nutzer durch Facebook............................. 53
(c) Erforderlichkeit eigener Datenschutzhinweise der Senatskanzlei ........... 55
2. Wahrung der Betroffenenrechte und Beachtung von Auskunftspflichten ..... 56
3. Widerspruchsrechte bei Cookies ..................................................................... 57
4. Übrige datenschutzrechtliche Verpflichtungen ............................................... 58
VIII. Rechtsgrundlage .............................................................................................. 58
1. Einwilligung ...................................................................................................... 58
2. § 3 Abs. 1 BlnDSG i.V.m. GV Sen DSGVO ......................................................... 60
(a) Geeignetheit ................................................................................................. 62
Seite 4 von 74(b) Keine milderen Maßnahmen .................................................................... 63
(c) Angemessenheit des Fanpagebetriebs..................................................... 65
i. Interessen der Social-Media-Nutzer und der Allgemeinheit.................... 65
ii. Reichweite und Gewichtung der Abwägungsfaktoren ............................. 66
iii. Vernünftige Erwartungen der Fanpagebesucher ..................................... 66
iv. Zwangswirkung und Alternativangebot ................................................... 68
v. Pseudonyme und anonyme Verarbeitung ............................................... 69
vi. Einwilligung in die Cookie-Speicherung.................................................... 69
vii. Evaluation und fachgemäße Betreuung ............................................... 70
viii. Einwirkung auf Facebook ...................................................................... 71
ix. Angemessenheit des Fanpagebetriebs..................................................... 71
(d) Der Fanpagebetrieb ist erforderlich ......................................................... 72
3. Verarbeitung zu Sicherheits- und Optimierungszwecken ............................... 73
IX. Der Fanpagebetrieb ist zulässig ....................................................................... 73
Seite 5 von 74A. Zusammenfassung der Ergebnisse des Gutachtens
▪ Der Betrieb der Fanpage durch die Senatskanzlei verstößt nicht gegen geltendes
Datenschutzrecht.
▪ Die Senatskanzlei ist entsprechend der gegenwärtigen und erwarteten Recht-
sprechung des EuGH für die im Rahmen der Bereitstellung der Fanpage, Erstel-
lung der Insights-Statistiken, Darstellung der Beiträge in Newsfeeds der Face-
book-Mitglieder sowie u. U. zur Wahrung der technischen Sicherheit und Opti-
mierung der Fanpage durch Facebook verarbeiteten Insights-Daten gemeinsam
verantwortlich.
▪ Die Mitverantwortung wird durch Mitentscheidung der Senatskanzlei über die
Mittel und Zwecke der Verarbeitung der Insights-Daten begründet. Im Hinblick
auf die Mittel besteht die Mitbestimmung in der Inbetriebnahme der Fanpage.
Im Hinblick auf die Zwecke sind die betriebswirtschaftlichen Interessen von Fa-
cebook und die Zwecke der Senatskanzlei, ihren öffentlich-rechtlichen Aufgaben
in Social Media nachzukommen, insoweit hinreichend identisch.
▪ Die gemeinsame Verantwortlichkeit ist jedoch nur auf die vorgenannten Zwecke
des Fanpagebetriebs beschränkt. Die Senatskanzlei ist mangels Möglichkeit der
Einwirkung und Einflussnahme insbesondere nicht für die vorhergehende und
folgende Verarbeitung der Insight-Daten durch Facebook, z. B. zu Werbe- und
Marketingzwecken, mitverantwortlich. D. h., es bestehen zwar erhebliche Be-
denken gegen die Nutzung der personenbezogenen Daten der Nutzer durch Fa-
cebook, jedoch werde diese nicht alle der Senatskanzlei aufgebürdet.
▪ Die aufgrund der gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S. 1
DSGVO erforderliche Vereinbarung zu der Regelung der Rechte und Pflichten
zwischen Facebook und der Senatskanzlei ist ein wirksamer Bestandteil des Ver-
trages zwischen der Senatskanzlei und Facebook und entspricht im Hinblick auf
den Inhalt und die Umsetzung den gesetzlichen Anforderungen. Insbesondere
werden die Fanpagebesucher hinreichend informiert und deren Rechte, z. B. auf
Auskunft, im Rahmen des Verantwortungsbereichs der Senatskanzleigewahrt.
Seite 6 von 74▪ Die Verarbeitung der Insights-Daten der Fanpagebesucher erfolgt auf Grundlage
des § 3 Abs. 1 BlnDSG, und ist zur Erbringung ihrer öffentlichen Aufgaben der
Information sowie Kommunikation mit Bürgern sowie Imagepflege und Anspra-
che an der Stadt Berlin interessierter Personen und Unternehmen in sozialen
Medien gem. § 3 Abs. 1 BlnDSG erforderlich.
▪ Die Fanpage ist derzeit das geeignetste Mittel, um das Konzept einer transparen-
ten und nachhaltigen Ansprache vom Bürgern und anderen Interessenten in so-
zialen Medien zu erreichen. Der Betrieb ist auch angemessen und soweit ein Er-
messensspielraum aufgrund der Unklarheit der Rechtslage besteht, darf die Se-
natskanzlei diesen aufgrund der ihr zustehenden Einschätzungsprärogative
wahrnehmen.
▪ Der Senatskanzlei wird jedoch empfohlen, die Fanpagebesucher über das Kon-
zept des Fanpagebetriebs, die Risiken der Verarbeitung von Daten durch Face-
book, Alternativangebote sowie im Hinblick auf die übrigen Angaben gem. Art.
13 und 14 DSGVO auf einer separaten Webseite zu unterrichten. Die Webseite
muss auf der Fanpage einfach erkennbar verlinkt werden.
▪ Ferner ist die faktische und rechtliche Entwicklung zu beobachten und das Kon-
zept des Fanpage-Betriebs bei relevanten Erkenntnissen und sonst zumindest
jährlich durch das Social-Media-Referat der Senatskanzlei entsprechend zu eva-
luieren.
▪ Des Weiteren wird der Senatskanzlei empfohlen, allein oder gemeinsam mit an-
deren öffentlich-rechtlichen Stellen auf Facebook einzuwirken und zu fordern,
dass Facebook den von Datenschutzbehörden vorgebrachten Bedenken Rech-
nung trägt. Dazu gehören vor allem ein Einwilligungsprozess für Fanpagebesu-
cher, die keine Facebook-Mitglieder sind, ein einfacheres Widerspruchsverfah-
ren und die Aufnahme eines Links zu den Datenschutzhinweisen der Senatskanz-
lei auf der Frontseite der Fanpage.
▪ Nur ergänzend wird darauf hingewiesen, dass Zweifel an der Zuständigkeit der
Berliner BfDI im Hinblick auf die Fanpage der Senatskanzlei bestehen. Vielmehr
Seite 7 von 74ist aufgrund einer faktisch grenzüberschneidenden gemeinsamen Verantwort-
lichkeit sowie vertraglicher Vereinbarung zwischen der Senatskanzlei und Face-
book von der Federführung der Datenschutzaufsicht durch die irische Daten-
schutzkommission auszugehen.
Seite 8 von 74B. Begrifflichkeiten, technische, vertragliche und konzeptionelle
Grundlagen
Dieser Teil des Gutachtens dient der Einführung und Erläuterung der im Rahmen des
Gutachtens verwendeten Begriffe, der vertraglichen Grundlagen sowie des Betriebs-
konzeptes der Fanpage der Senatskanzlei.
Anschließend werden die aktuellen rechtlichen Entwicklungen in Folge des Urteil des
Europäischen Gerichtshofs zur gemeinsamen Verantwortlichkeit für Fanpages (EuGH,
Urteil vom 5.6.2018, C-210/16) sowie anschließende Vertragsanpassungen durch Face-
book dargestellt.
I. Begriffsdefinitionen
Die Begriffsdefinitionen erhalten zum Teil technische Funktionsbeschreibungen und da-
neben eine Darstellung rechtlicher und faktischer Beziehungen unter den beteiligten
Parteien.1
▪ „Facebook“ – Der Begriff wird allgemeinsprachlich sowohl für das Unternehmen
Facebook als auch die von dem Unternehmen angebotene soziale Plattform mit
demselben Namen verwendet. Im Rahmen des Gutachtens wird der Begriff für
Facebook als Unternehmensgruppe verwendet. Sofern relevant, z. B. im Hinblick
auf vertragliche Beziehung, werden die jeweiligen Niederlassungen genauer be-
zeichnet.
▪ „Facebook USA“ und „Facebook Irland“- Sofern von Facebook Irland oder Face-
book USA die Rede ist, sind damit der Hauptsitz des Facebook-Konzerns in den
USA (Facebook Inc., 1 Hacker Way Menlo Park, CA 94025, USA) und die für den
europäischen Betrieb der Plattform Facebook zuständige Niederlassung in Irland
(Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2,
Irland) gemeint. Vertragspartner der Senatskanzlei ist dabei Facebook Irland,2
1 Alle im Gutachten verwendeten Begrifflichkeiten sind geschlechtsneutral zu verstehen (z. B. umfasst der
Begriff „Fanpagebesucher“ sowohl weibliche, als auch männliche oder übrigen Geschlechtern angehörende
Besucher).
2 EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 32.
Seite 9 von 74wobei die maßgeblichen personenbezogenen Daten der Fanpagebesucher zur
technischen Verarbeitung an Facebook USA übermittelt werden.
▪ „Fanpages“ – Für den Betrieb durch Unternehmen, öffentlich-rechtliche Stellen
oder Personen des öffentlichen Lebens gedachte Facebook-Profile.3 Der Begriff
„Fanpage“ wird allgemeinsprachlich und auch in der Rechtsprechung verwendet.
Fanpages werden durch Facebook selbst als „(Facebook-)Seiten“ bezeichnet.
Wenn im Gutachten der Begriff „Fanpage“ im Kontext der Senatskanzlei verwen-
det wird, ist damit die Fanpage der Senatskanzlei gemeint.
▪ „Insights“ / „Insights-Daten“ – Als Insights werden die den Betreibern von Fan-
pages zur Verfügung gestellten Statistiken bezeichnet.4 Diese Statistiken sind
nicht abschaltbar und enthalten im Hinblick auf die Interaktion mit der Fanpage
und demografische Eigenschaften aggregierte Daten der Fanpagebesucher
(diese Daten werden auch als „Insights-Daten“ bezeichnet). Hierzu gehören auch
aggregierte Werte zum Alter, Geschlecht oder Zeiten der Abrufe oder Bekun-
dung von Gefallen oder Nichtgefallen im Hinblick auf die innerhalb der Fanpage
veröffentlichten Beiträge. Die Nutzung der Insights-Statistiken ist nicht abding-
bar und erfolgt auf Grundlage von pseudonymen „Cookies“ 5
▪ „Cookies“ – Die in diesem Gutachten in Rede stehende Datenverarbeitung er-
folgt im Wesentlichen in der Weise, dass Facebook auf dem Computer oder je-
dem anderen Gerät der Personen, die eine Fanpage besucht haben, Cookies plat-
ziert, die die Speicherung von Informationen in den Web-Browsern bezwecken
und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht
werden. Ferner empfängt Facebook die in den Cookies gespeicherten Informati-
onen, zeichnet sie auf und verarbeitet sie, insbesondere wenn eine Person die
„Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-
3 Vgl. EuGH, Urt. v. 05.06.2018, Az. C‑210/16 „Wirtschaftsakademie“, Rn. 15
(http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&
mode=lst&dir=&occ=first&part=1&cid=4096862); Golland, K&R 433.
4 Golland, K&R 433.
5 Vgl. EuGH, Urt. v. 05.06.2018, Az. C‑210/16 „Wirtschaftsakademie“, Rn. 15
(http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&
mode=lst&dir=&occ=first&part=1&cid=4096862).
Seite 10 von 74Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Un-
ternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht.
Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf
den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk di-
rekt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereit-
zustellen“.6
▪ „Facebook-Ads“ – Innerhalb der Plattform Facebook können Personen und Un-
ternehmen Werbeanzeigen platzieren. Die Zielgruppe der Mitglieder, denen Fa-
cebook-Ads angezeigt werden, kann anhand einer Varianz von Parametern be-
stimmt werden (sog. „Targeting“). Zu diese Parametern können z. B. Eigenschaf-
ten, Interessen, Verhalten oder Interaktionen der Personen gehören, z. B. „Per-
sonen des Geschlechts X, des Altersbereichs Y, lebend in Berlin, mit Deutsch als
eingestellter Sprache und Interesse an Musik und Politik“.
▪ „Mitglieder“ – Personen (oder Unternehmen), die sich bei der Plattform Face-
book registriert haben.
▪ „Nutzer“ / „Besucher“ – Personen, die Fanpages in deren Browsern aufrufen,
unabhängig davon, ob sie Mitglieder von Facebook sind. Eine Fanpage kann so-
wohl von Mitgliedern als auch von anderen Nutzern, d. h. von „Nicht-Mitglie-
dern“, aufgerufen werden (die in diesem Kontext als „Fanpagebesucher“ be-
zeichnet werden). In diesem Fall wird in deren Browser jedoch eine einge-
schränkte Darstellung der Fanpage (z. B. ohne Interaktionsmöglichkeiten) und
eine Möglichkeit, sich bei Facebook zu registrieren, ausgegeben.
▪ „Privatnachrichten“ / „Facebook Messenger“ – Der Facebook Messenger ist ein
proprietäres Kommunikationssystem innerhalb der Plattform Facebook, mit
dem Mitglieder untereinander kommunizieren können.
▪ „Social Plugin“ – Als Social Plugins werden Funktionen von Facebook bezeichnet,
die Betreiber von Webseiten mittels der Einbindung eines im Browser der Nutzer
6 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 33.
Seite 11 von 74ausführbaren Codes in deren Website integrieren können. Am bekanntesten ist
die „Gefällt mir“-Schaltfläche, mit deren Klick Facebook-Mitglieder einen Link zu
der jeweiligen Webseite innerhalb derer Facebook-Profile teilen können. Dabei
sendet der Browser des Webseitenbesuchers automatisch Informationen betref-
fend seine IP‑Adresse und den Browser-String an Facebook Ireland und kann
diese Informationen zudem in einem Cookie speichern. Die Übermittlung und
Speicherung dieser Informationen erfolgt, ohne dass der Facebook-„Gefällt mir“-
Button angeklickt zu werden braucht und auch bei Nicht-Mitgliedern von Face-
book.
▪ „Betreiber“ – Als Betreiber wird der Anbieter einer Fanpage bezeichnet, hier die
Senatskanzlei. Der Begriff wird zwecks Abgrenzung zu der Figur des datenschutz-
rechtlichen Verantwortlichen verwendet, die gesondert zu prüfen ist.
▪ „Fans“ / „Abonnenten“ – Als „Fans“ werden Mitglieder bezeichnet, welche die
Schaltfläche „Gefällt mir“ einer Fanpage geklickt und damit deren Beiträge abon-
niert haben. „Abonnenten“ sind Mitglieder, die nur die Beiträge abonnieren,
aber ohne die Schaltfläche „Gefällt mir“ zu klicken. Im Zeitpunkt der Erstellung
dieses Gutachtens wird die Fanpage der Senatskanzlei von rund 6.700 Personen
abonniert, wovon 6.400 Personen die „Gefällt mir“-Schaltfläche geklickt haben.
▪ „Beiträge“ – Als Beiträge werden die im Namen von Fanpages auf diesen publi-
zierten Einträge, sei es in Form von Texten, Bildern, Videos oder Umfragen, be-
zeichnet.
▪ „Newsfeed“ – Der Newsfeed ist ein grundlegende Funktion sozialer Netzwerke
und enthält die Beiträge befreundeter Nutzer oder abonnierter Fanpages. Der
Newsfeed von Facebook wird den Nutzern standardmäßig beim Aufruf der Platt-
form angezeigt. Dabei sortiert Facebook die Beiträge, ebenfalls standardmäßig,
im Newsfeed anhand des Vorverhaltens und der Facebook bekannten Interessen
der Nutzer vor. Diese algorithmische Sortierung kann von den Nutzern in den
„Einstellungen zum Newsfeed“ in einem gewissen Maße (z. B. durch Priorisie-
rung der Beiträge bestimmter Personen oder Fanpages) verändert werden.
Seite 12 von 74II. Vertragsgrundlagen
Die Vertragsgrundlagen umfassen vor allem die allgemeinen Geschäftsbedingungen von
Facebook sowie Datenschutzhinweise, welche jeweils aus mehreren einzelnen Klausel-
werken bestehen:
▪ Nutzungsbedingungen von Facebook: https://www.facebook.com/legal/terms.
▪ Datenrichtlinie: https://www.facebook.com/privacy/explanation.
▪ Rechtsgrundlagen der Verarbeitung personenbezogener Daten durch Facebook:
https://www.facebook.com/about/privacy/legal_bases (kurz „Facebooks
Rechtsgrundlagen“).
▪ Hinweise zu Cookies und anderen Speichertechnologien: https://www.face-
book.com/policies/cookies/ (kurz „Cookie-Hinweise“) .
▪ Seiten-Insights-Ergänzung bezüglich des Verantwortlichen: https://www.face-
book.com/legal/terms/page_controller_addendum (kurz „Seiten-Insights-Er-
gänzung“).
▪ Informationen zu Seiten-Insights-Daten: https://www.facebook.com/le-
gal/terms/information_about_page_insights_data.
▪ Social-Media-Konzept des Referates für Social Media der Senatskanzlei Berlin
Fassung vom 21.11.2017 (kurz „Social-Media-Konzept“).
▪ Fanpage der Senatskanzlei : „Der Regierende Bürgermeister von Berlin“,
https://www.facebook.com/RegBerlin/.
III. Konzeptionelle Grundlagen, Zwecke und Verwaltung der Fanpage
Die Senatskanzlei betreibt seit dem 08.05.2017 auf der Plattform Facebook eine Fan-
page, die sie zur Information der Bürger, Besucher der Stadt Berlin oder anderer Inte-
ressenten zwecks Information, Kommunikation, Informationsaufnahme und Image-
pflege einsetzt. Verwaltungsleistungen werden über die Fanpage nicht angeboten,
Seite 13 von 74hierzu werden die Nutzer auf den Bürgerservice, u. a. auf der Website der Senatskanz-
lei, verwiesen.
Die Fanpage ist in Folge und auf Grundlage des im Folgenden dargestellten Social-Me-
dia-Konzeptes, Beobachtung anderer öffentlich-rechtlicher Fanpages sowie rechtlicher
Überlegungen unter der fachlichen Leitung des ebenfalls neu begründeten Social-Me-
dia-Referats angelegt worden.
1. Social-Media-Konzept der Senatskanzlei
Der Betrieb und die Zweckbestimmung der Fanpage basiert auf einem Social-Media-
Konzept, das die Senatskanzlei zur Evaluation des faktischen Bedarfs nach einer Fan-
page in Auftrag gab. Die Evaluation soll sicherstellen, im Wege einer „nachhaltigen Re-
gierungskommunikation“,
„[…] über die Politik des Senats zu informieren, Transparenz über politische Ent-
scheidungen herzustellen und den politischen Dialog mit den Bürgerinnen und
Bürgern der Stadt zu befördern.“
Der Beschluss zur Nutzung sozialer Medien und insbesondere von Facebook erfolgte
hierbei insbesondere auf Grundlage der Erwartungshaltung der Bürger sowie Besucher
Berlins an eine zeitgemäße Informations- und Kommunikationskultur. Dies insbeson-
dere unter Beachtung der besonderen Stellung von Berlin als eine „junge und innova-
tive Stadt“, die besonders viele technologieaffine und soziale Medien nutzende Men-
schen aus dem Inland und Ausland anzieht:
„Soziale Netzwerke bilden heute Räume der Öffentlichkeit, in denen höhere Reich-
weiten als über die Webseite oder über Zeitungen erzielt werden können. Heute fin-
det dort die Auseinandersetzung mit politisch und gesellschaftlich relevanten The-
men statt. Folglich gehört die Online-Kommunikation zu einem grundlegenden Be-
standteil der Presse- und Öffentlichkeitsarbeit, über welche das medial vermittelte
Bild beeinflusst werden kann. Darüber hinaus erwarten die Bürgerinnen und Bürger,
dass eine Regierung transparent und regelmäßig über ihr Handeln informiert, Hin-
tergrunde erklärt und zum niedrigschwelligen Dialog bereit ist. Erfolgreiche Social-
Seite 14 von 74Media-Kommunikation muss die Arbeit von Politik und Verwaltung in Bezug auf die
Stadt und das Leben der Menschen vor Ort plattformadäquat transportieren.“
„Nach einer Studie von YouGov vom Februar 2017 nutzten 27 Prozent der befragten
Bundesbürger/innen soziale Netzwerke als Nachrichtenquelle. Für jede und jeden
Fünften waren soziale Netzwerke vorwiegende Nachrichtenquelle für politische
Themen. Social Media folgte damit nach dem Fernsehen mit 78 Prozent, Radio mit
56 Prozent, der gedruckten Ausgabe einer Zeitung mit 50 Prozent und der Zeitungs-
webseite mit 38 Prozent.„
„Die Zahlen verdeutlichen, dass sich die Informationswirklichkeit für jede fünfte Per-
son danach konstruiert, welche Informationen sie oder er von den mit ihr oder ihm
vernetzten Profilen erhält. Auch 57 Prozent der Befragten der YouGov-Studie gaben
an, sich vorstellen zu können, sich in Zukunft stärker über Messenger-Dienste und
soziale Online-Netzwerke über politische Themen zu informieren.“
Die Entscheidung für die Nutzung der Plattform Facebook erfolgte hierbei aufgrund
der Dominanz der Plattform innerhalb der Social-Media-Angebote:
In Hinblick auf die Plattformen der sozialen Netzwerke informieren sich mit über 70
Prozent die meisten Menschen auf Facebook über aktuelle politische Geschehnisse.
Facebook gilt mit seinen 31 Millionen aktiven Mitgliedern in Deutschland als „der
Marktplatz“ unter den sozialen Netzwerken. Hier kann die „breite Masse“ erreicht
werden – in Berlin 1,9 Millionen der aktuell fast 3,47 Millionen in Berlin lebenden
Menschen (Stand: November 2017, im Zeitpunkt der Erstellung des Gutachtens lie-
gen diese Zahlen bei ca. 32 Millionen, wobei für Deutschland keine offiziellen Zahlen
herausgegeben werden und auf Informationen in anderen Kontexten, z.B. gegen-
über Werbekunden, beruhen).7
7https://allfacebook.de/zahlen_fakten/offiziell-facebook-nutzerzahlen-deutschland (alle Links zuletzt aufge-
rufen zum Datum des Gutachtens).
Seite 15 von 742. Vorbildwirkung anderer öffentlich-rechtlicher Fanpages
Der Entschluss zur Nutzung der Fanpage basierte auch auf der Beobachtung der ande-
ren Landesregierungen, von denen elf ebenfalls die Plattform Facebook nutzen. Dane-
ben finden sich auf der Plattform Facebook ebenfalls Bundesorgane (wie die Bundesre-
gierung, Landesbehörden (z. B. Polizeibehörden) oder Gemeinden und Städte.
Zu betonen ist dabei auch der Social-Media-Auftritt des Landesdatenschutzbeauftrag-
ten Baden-Württemberg (LfDI BW).8 Zwar handelt es sich hierbei um ein anderes sozia-
les Netzwerk, dessen Nutzung aber mit dem Betrieb einer Fanpage bei Facebook ver-
gleichbar ist. Auch Twitter-Profile dienen der Information und Kommunikation der Öf-
fentlichkeit und auch bei Twitter werden statistische Daten der Nutzer gesammelt. Die
Daten können z. B. im Rahmen der Platzierung von gebuchten Werbeanzeigen zur Ziel-
gruppenbestimmung verwendet und in Cookies gespeichert werden. Die Twitter-Nut-
zung basiert wiederum auf einer vom LfDI BW veröffentlichten „Neuen Richtlinie des
LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen“.9
Dabei wird als Grundlage für eine sichere Nutzung sozialer Medien ein klares und öf-
fentliches Konzept mit Festlegung von Zweck, Art und Umfang der vorgesehenen Nut-
zung und Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge und des-
sen mindestens jährlich stattfindende Evaluation sowie Betreuung durch geschultes
Personal vorgeschlagen. Ebenso werden eigene Datenschutzhinweise oder alternativ
regelmäßige Information der Nutzer für notwendig erachtet. Zudem sollten die Nutzer
auf alternative Informations- und Kommunikationswege hingewiesen werden.
3. Alternativangebote
Die Fanpage der Senatskanzlei wird als ein alternativer Informations- und Kommunika-
tionskanal umgesetzt. Das bedeutet, dass die Fanpage keine anderen Informations- o-
der Kommunikationsangebote substituieren soll.
8https://twitter.com/lfdi_bw.
9https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/04/2017.11.02._Richtlinie-
zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf (abgekürzt „Richtlinie SoMe“).
Seite 16 von 74Den Bürgern stehen weiterhin die Möglichkeiten offen, sich auf den Webseiten der Se-
natskanzlei oder über die Presse über die politischen Prozesse und die Tätigkeit der
Verwaltung zu informieren. Ebenso stehen den Bürgern weiterhin traditionelle Kom-
munikationswege, wie z. B. das Telefon, die Briefpost oder der persönliche Besuch im
Bürgerservicebüro zur Verfügung.
Die Senatskanzlei verfolgt also nicht das Ziel, Bürger von anderen Informations- oder
Kommunikationskanälen auf die Fanpage zu lenken. Vielmehr ist das Ziel, Bürger, die
bereits die Plattform Facebook nutzen, mit dem Informations- und Kommunikations-
angebot der Fanpage anzusprechen.
Bei den Vorteilen, wie z.B. der Möglichkeit, die Facebookseite der Senatskanzlei zu
abonnieren und so aktiv und schnell über diese informiert zu werden, handelt es sich
um inhärente Vorteile von Social Media, die per se die Nutzer zu der Nutzung von
Plattformen wie Facebook bewegen und nicht von der Senatskanzlei neu geschaffen
werden.
Ergänzend ist aufzuführen, dass auch wenn die Fanpage den Bürgern und anderen Be-
suchern Berlins ein lediglich alternatives Informationsangebot eröffnet, sie umgekehrt
für die Senatskanzlei neue Möglichkeiten schafft, die Stimmung und Ansichten der Bür-
ger wahrzunehmen. So können z. B. anhand der Kommentare der Bürger zu veröffent-
lichen Informationen und einer stattfindenden Diskussion eine Stimmungslage gewon-
nen und neue Ideen oder Impulse für das Regierungshandeln gewonnen werden.
4. Verwaltung der Fanpage
Für die Koordination der Social-Media-Aktivitäten wurde ein eigenes Referat mit der
festgelegten Zuständigkeit des Referatspersonals gegründet. Die Aufgaben des Refe-
ratspersonals umfassen insbesondere die redaktionelle, technische und rechtliche Be-
treuung der Fanpage.
Das Referatspersonal wurden im Hinblick auf die von ihnen wahrzunehmenden Aufga-
ben instruiert, werden fortgebildet und haben die Möglichkeit externe Fachexperten
hinzuzuziehen.
Seite 17 von 745. Evaluierung
Das Social-Media-Konzept der Senatskanzlei unterliegt einer ständigen Evaluation
durch das Referatspersonal. Die Evaluation umfasst, neben der technischen und inhalt-
lichen Prüfung, vor allem auch die rechtliche Zulässigkeit des Betriebs der Fanpage.
Die Senatskanzlei handelt im Bewusstsein der rechtlichen Unklarheiten, unterschiedli-
cher Rechtsansichten und Risiken, weshalb das Referatspersonal ständig die Nachrich-
tenlage sowie interne Hinweise zur Rechtslage beobachtet. Die Grundlagen und das
„Ob“ der Nutzung der Facebook-Seite werden vor allem dann gesondert und vertieft
geprüft, wenn wesentliche Änderungen der Rechtslage hierzu Anlass geben, wie die im
Folgenden dargestellte Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit
für Fanpages.
IV. EuGH zur Mitverantwortlichkeit für Fanpages und Vertragsanpassung
durch Facebook
Die folgende Darstellung fasst die Entscheidung des EuGH vom Juni 2018 zur Mitver-
antwortlichkeit für Fanpages und die ihr folgende Anpassung der Vertragsgrundlagen
durch Facebook als auch die Stellungnahmen und Forderungen der Aufsichtsbehörden
zusammen.
1. Urteil des EuGH vom 05.06.2018
In der Rechtssache C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schles-
wig-Holstein ./. Wirtschaftsakademie Schleswig-Holstein GmbH, kurz „Wirtschaftsaka-
demie“) hat der Gerichtshof der Europäischen Union (EuGH) am 5.6.2018 entschieden,
dass auch der Betreiber einer Fanpage gemeinsam mit Facebook Irland für die Verar-
beitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.
Maßgeblicher Grund für das EuGH-Urteil sind die Insights-Statistiken, für die Facebook
unter Verwendung von Cookies personenbezogene Insights-Daten der Fanpagebesu-
cher verarbeitet.
Seite 18 von 74Diese Daten werden anschließend in Form anonymisierter statistischer Daten den Fan-
pagebetreibern automatisch und unabdingbar kostenfrei zur Verfügung stellt.
Den Umstand, dass die Fanpagebetreiber lediglich Zugang zu aggregierten, d. h. anony-
men, Daten erhalten, hielt der EuGH für unbeachtlich.10
Der EuGH betonte hierbei, dass die Verantwortlichkeit nicht gleichwertig sein muss,
sondern deren Grad sich nach den Umständen des Einzelfalls, insbesondere der Einbe-
ziehung in die jeweiligen Phasen der Verarbeitung, bestimmt.
Die Entscheidung des EuGH beschränkte sich ferner nur auf den Umstand, dass Betrei-
ber von Facebook-Seiten datenschutzrechtlich mitverantwortlich sind und die Daten-
schutzbehörden den Betrieb einer Fanpage generell untersagen dürfen. Ob tatsächlich
Datenschutzverstöße seitens von Facebook vorliegen und ob sie von der Mitverant-
wortlichkeit umfasst wären, hat der EuGH nicht entschieden. Diese Entscheidungen
unterliegen zunächst den nationalen Gerichten, im Fall der Wirtschaftsakademie dem
Bundesverwaltungsgericht (Az. 1 C 28.14). Zum Zeitpunkt der Erstellung dieses Gutach-
tens ist in dieser Hinsicht noch keine bekannte gerichtliche Entscheidung bekannt, wel-
che diese, vorliegend besprochene, Sachverhaltssituation betrifft.
2. Stellungnahme der DSK vom 05.09.2018
Als Reaktion auf das Urteil veröffentlichte die DSK als Gremium der unabhängigen
deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder am 05.09.2018
einen Beschluss zu Facebook Fanpages.11
In dem Beschluss verwies die DSK darauf, dass die gemeinsame Verantwortlichkeit be-
deutet, dass die gemeinsam Verantwortlichen die sich aus der DSGVO ergebenden
Pflichten erfüllen müssen.
Hierzu forderte die Konferenz insbesondere den Abschluss einer Vereinbarung nach
Art. 26 DSGVO, Schaffung von Klarheit über die derzeitige Sachlage und die
10 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 34; so auch EuGH, Urt. v. 10.07.2018, C-25/17 „Jehovan
todistajat“, Rn. 69; Schlussanträge „Fashion ID“, a.a.O., Rn. 70.
11 https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf.
Seite 19 von 74erforderlichen Informationen für die Besucher der Fanpages bereitzustellen. Ebenso
forderte die DSK, dass die Fanpagebetreiber die Rechtmäßigkeit der gemeinsam zu
verantwortenden Datenverarbeitung gewährleisten und diese nachweisen können
müssen. Zudem müssen die Betroffenen ihre Rechte aus der DSGVO bei und gegen-
über jedem Verantwortlichen entsprechend Art. 26 Abs. 3 DSGVO erfolgreich geltend
machen können.
Kritisiert wurde hierbei insbesondere die Setzung von Cookies zwecks Verarbeitung
von Insights-Daten seitens von Fanpagebesuchern, die keine Facebook-Mitglieder sind.
Als Maßstab für ihre Anforderungen forderte die Konferenz, dass sowohl Facebook als
auch Fanpagebetreiberinnen und -betreibern die folgenden Fragen beantworten kön-
nen:
▪ In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verant-
wortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO
erfüllt? (Art. 26 Abs. 1 DSGVO)
▪ Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
▪ Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
betroffenen Personen zur Verfügung gestellt?
▪ Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt wer-
den können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Ein-
schränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21
DSGVO und auf Auskunft nach Art. 15 DSGVO?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die per-
sonenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
▪ Welche personenbezogenen Daten werden gespeichert? Inwieweit werden auf-
grund der Besuche von Fanpages Profile erstellt oder angereichert? Werden
Seite 20 von 74auch personenbezogene Daten von Nicht-Facebook Mitgliedern zur Erstellung
von Profilen verwendet? Welche Löschfristen sind vorgesehen?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage
erzeugt?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer
Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies
mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
▪ Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
und eine entsprechende Vereinbarung abzuschließen?
3. Facebooks Seiten-Insights-Ergänzung vom 11.9.2018
Als Reaktion auf die EuGH-Entscheidung aktualisierte Facebook die Vertragswerke und
ergänzte sie um die Seiten-Insights-Ergänzung. Die Fanpagebetreiber wurden hierüber
im Rahmen eines offiziellen Blogbeitrags informiert.12
In der Seiten-Insights-Ergänzung erkannte Facebook Irland die gemeinsame Verant-
wortlichkeit mit den Betreibern der Fanpages im Hinblick auf die Verarbeitung der für
die Insights-Daten an, wobei Facebook Irland die primäre Verantwortung übernahm.
Insbesondere übernahm Facebook Irland die explizite Verantwortlichkeit für die Erfül-
lung der datenschutzrechtlichen Pflichten im Hinblick auf die Information Betroffener
(Art. 12 – 13 DSGVO), Wahrnehmung der Betroffenenrechte (Art. 15 – 22 DSGVO) so-
wie die Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34
DSGVO).
Facebook machte ferner deutlich, dass Betreibern für Facebook-Seiten kein Recht auf
Einblick in die einzelnen personenbezogenen Daten der Besucher der Fanpage zusteht
12 https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea.
Seite 21 von 74und sie ferner eine eigene Rechtsgrundlage für die Verarbeitung der Insights-Daten be-
nötigen.
Des Weiteren legte Facebook fest, dass im Fall von Anfragen von Betroffenen oder von
Datenschutzbehörden die Betreiber von Facebook-Seiten verpflichtet sind, diese an Fa-
cebook Irland sofort weiterzuleiten. Zu Zwecken der Weiterleitung stellt Facebook ein
Kontaktformular zur Verfügung.13
Facebook traf ferner eine Vereinbarung über die Geltung des irischen Rechts und des
Gerichtsstands in Irland. Im Fall von privaten Betreibern der Fanpages ist das Gericht
an deren Wohnsitz zuständig. Im Fall der Einschaltung von Aufsichtsbehörden be-
stimmte Facebook die irische Datenschutzbehörde als aufsichtsführend.
4. Anhörungsverfahren der Berliner BfDI
Am 29.10.2018 erhielt die Senatskanzlei eine Anfrage der Berliner BfDI mit einem Kata-
log von Fragen im Hinblick auf den Betrieb von Fanpages.
Die Anfrage war Teil eines Anhörungsverfahrens, das die Berliner BfDI seit Anfang No-
vember bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie
bei einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags-
und Finanzbranche in Sachen Fanpages durchführt.14
Die Anfrage forderte die Senatskanzlei hierbei zur Beantwortung der folgenden Fragen
auf:
▪ Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf
welche Weise ist dies erfolgt?
▪ Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine
Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die
entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
13https://www.facebook.com/help/contact/308592359910928.
14https://www.datenschutz-Berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2018/20181116-PM-
Fanpages.pdf.
Seite 22 von 74▪ Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26
Abs. 1 Satz 1 DS-GVO?
▪ Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach
dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im
Detail dar.
▪ Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen
genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
▪ In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug
genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt
es sich hierbei? Bitte erläutern Sie im Detail.
▪ Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglie-
der sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26
Abs. 2 DS-GVO informiert?
▪ Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über
die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ih-
rer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen,
dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus
Art. 5 Abs. 2 DS-GVO, nachkommen können?
▪ Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und
Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese
Verarbeitungen?
▪ Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten
Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fan-
page?
▪ Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Per-
sonen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer
Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
Seite 23 von 74▪ Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt wer-
den können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf
Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art.
21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
▪ In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrech-
ten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO
hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland
im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt
mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich,
jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informa-
tionen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular ein-reichen.
Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-
Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah
sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der
Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht
berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“
Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten An-
fragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu
prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend
der DS-GVO erfüllt werden.
▪ Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im
sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrund-
lage erfolgt dies?
▪ Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Ses-
sion-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei
Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage er-
folgt dies?
Die vorstehende Darstellung der Sachverhaltes legt den Rahmen sowie die Schwer-
punkte für die rechtliche Prüfung fest. Zu diesen gehören vor allem die Frage der
Seite 24 von 74gemeinsamen Verantwortlichkeit für die Fanpage, deren vertragliche Ausgestaltung,
Vorliegen einer Rechtsgrundlage für den Betrieb der Fanpage und die faktische sowie
nachweisbare Möglichkeit der Wahrnehmung der Informations- und übrigen Betroffe-
nenrechte gegenüber der Senatskanzlei .
5. Schlussanträge des Generalanwalts in Sachen „Fashion ID“
Nach der oben angesprochenen Entscheidung „Wirtschaftsakademie“ (C-210/16) des
EuGH zur gemeinsamen Verantwortlichkeit von Fanpages wird der EuGH eine anschlie-
ßende Entscheidung zur Einbindung eines Social-Plugins (der „Gefällt mir“-Schaltflä-
che) treffen.
In diesem Fall geht es ebenfalls um die Frage der gemeinsamen Verantwortlichkeit für
die durch Facebook durchgeführte Verarbeitung personenbezogener Daten von Nut-
zern. Es geht jedoch nicht um die Besucher einer Fanpage, sondern die Besucher einer
Website, auf der ein Facebook-Code ausgeführt wird. Über den Code speichert Face-
book auf den Geräten der Website-Besucher personenbezogene Daten zur Interaktion
und Interesse an der Website in einem Cookie. Die Daten werden, vergleichbar wie im
Fall der Fanpages zu Zwecken des Profilings, für Werbezwecke verarbeitet.
In den Schlussanträgen empfiehlt der Generalanwalt dem Gericht, die Grenzen und
Folgen der gemeinsamen Verantwortlichkeit einzugrenzen (Schlussanträge des Gene-
ralanwalts vom 19. Dezember 2018, Rechtssache C‑40/17, Fashion ID GmbH & Co. KG
gegen Verbraucherzentrale NRW e. V., kurz „Fashion ID“).15 Dabei weist der General-
walt darauf hin, dass die ursprüngliche Entscheidung „Wirtschaftsakademie“ (C-
210/16) zwar zutreffend sei, aber als zu weit verstanden werden könnte und daher ei-
ner Einschränkung auf die Erhebung und Übermittlung der Daten an Facebook be-
darf.16
15 Schlussanträge des Generalanwalts vom 19. Dezember 2018, Rechtssache C‑40/17, Fashion ID GmbH &
Co. KG gegen Verbraucherzentrale NRW e. V., „Fashion ID“, http://curia.europa.eu/ju-
ris/document/document.jsf?text=&docid=209357&pageIndex=0&do-
clang=en&mode=lst&dir=&occ=first&part=1&cid=4104104.
16 Schlussanträge „Fashion ID“, a.a.O., Rn. 71 ff.
Seite 25 von 74Der Generalanwalt nimmt eine gemeinsame Verantwortlichkeit mit Facebook im Rah-
men der Einbindung der „Gefällt mir“-Schaltfläche als gegeben an. Denn mit der Ent-
scheidung über die Einbindung des Social-Plugins, entscheide der Betreiber der Webs-
ite zum einen mit über die Mittel der Verarbeitung der personenbezogenen Daten der
Besucher der Website. Zum anderen sind die von Facebook verfolgten betriebswirt-
schaftlichen Zwecke mit den Zwecken des (hier kommerziellen) Websitebetreibers,
seine Website mit Hilfe des Social-Plugins zu bewerben, hinreichend identisch. Dabei
betont der Generalanwalt, dass er die gemeinsame Verantwortlichkeit auch im Hin-
blick auf die Fanpages, d. h. entsprechend der Entscheidung „Wirtschaftsakademie“,
als gegeben ansieht.17
17 Schlussanträge „Fashion ID“, a.a.O., Rn. 100 ff.
Seite 26 von 74C. Zulässigkeit des Betriebs der Fanpage der Senatskanzlei
Zu Beginn der rechtlichen Würdigung ist zunächst die räumliche und sachliche An-
wendbarkeit der DSGVO zu prüfen, bevor danach insbesondere eine datenschutzrecht-
liche Verantwortlichkeit der Senatskanzlei für die Fanpage sowie die Rechtmäßigkeit
der mit ihr verbundenen Verarbeitung der Insights-Daten zu untersuchen ist.
I. Räumlicher Anwendungsbereich
Der Anwendungsbereich der DSGVO ist gem. Art. 3 Abs. 1 DSGVO räumlich eröffnet, da
vorliegend Verarbeitungen personenbezogenen Daten durch in der EU ansässige öffent-
liche (Senatskanzlei) und nicht-öffentliche (Facebook Irland) Stellen erfolgt.
II. Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich ist eröffnet, wenn im Rahmen des Fanpage-Betriebs
personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.
1. Personenbezogene Daten
Die Verarbeitung von Daten der Nutzer durch Facebook zeichnet sich durch eine große
Vielfalt der Arten der Daten und deren Umfang aus. Nachfolgend werden daher typi-
sierend Daten aufgeführt, deren Darstellung für die folgende rechtliche Prüfung rele-
vant ist.
(a) Stammdaten und Kontaktdaten der Mitglieder
Facebook speichert die Stammdaten der Mitglieder samt deren Klarnamen (Vornamen,
Nachname), als auch deren Kontaktdaten wie Telefonnummer oder E-Mailadresse.
(b) Demografische Daten der Mitglieder
Daneben speichert Facebook den Stammdaten zugeordnet demografische Daten, zu de-
nen Merkmale wie Alter, Geschlecht, Wohnort und soziale Merkmale wie Beruf, Fami-
lienstand oder Einkommen, aber auch entsprechend Art. 9 Abs. 1 DSGVO besondere
Seite 27 von 74Kategorien von Daten, wie Beziehungen zu anderen Personen, politische oder religiöse
Ansichten gehören können.
Diese Merkmale können, bis auf das Alter, freiwillig angegeben werden.
(c) Angaben zur Facebook-Nutzung, Verhalten und Interessen der Mitglieder
Facebook speichert ferner Daten, die Interessen der Nutzer und deren Verhalten betref-
fen. Diese Interessen können z. B. durch Angaben im Profil angegeben oder aus der In-
teraktion mit bestimmten Inhalten oder Fanpages oder Webseiten Dritter ermittelt wer-
den (z. B. Besuche der Fanpages, Verfassen von Kommentaren oder Klick auf die „Gefällt
mir“-Schaltfläche).
Daneben werden weitere nutzungsrelevante Daten, wie Zeitpunkte der Interaktionen
mit den Facebook-Funktionen und Inhalten sowie die IP-Adresse gespeichert.
Diese Informationen werden zur weiteren Auswertung auf den Geräten der Nutzer in
kleinen Textdateien, sog. Cookies, gespeichert.
(d) Insights-Daten
Bei den folgenden Insights-Daten handelt es sich um Arten von interessens- und ver-
haltensbezogenen Nutzungsdaten, die laut Facebook im Zusammenhang mit dem Be-
such einer Fanpage verarbeitet werden und Grundlage der Insights-Statistiken sind:
• Aufruf einer Fanpage bzw. eines Beitrags oder eines Videos von einer Fanpage.
• Eine Fanpage abonnieren oder nicht mehr abonnieren.
• Eine Fanpage oder einen Beitrag mit „Gefällt mir“ oder „Gefällt mir nicht mehr“
markieren.
• Eine Fanpage in einem Beitrag oder Kommentar empfehlen.
• Einen Fanpagenbeitrag kommentieren, teilen oder auf ihn reagieren (ein-
schließlich der Art der Reaktion).
Seite 28 von 74Sie können auch lesen
