book ergriffenen Umsetzungsmaßnahmen. Ich bin der
Auffassung, dass Fanpage-Betreiber die Rechtmäßigkeit
der gemeinsam zu verantwortenden Datenverarbeitung
gewährleisten und die Einhaltung der Grundsätze für
die Verarbeitung personenbezogener Daten (Artikel 5
Absatz 1 DSGVO) nachweisen müssen. Um bewerten
zu können, ob die der eigenen Verantwortung unterlie‑
genden Verarbeitungen rechtskonform durchgeführt
werden, benötigen Fanpage-Betreiber – zusätzlich zu
den von Facebook bereitgestellten Informationen – noch
weitere Informationen. Hier sehe ich nicht nur Face‑
book in der Pflicht, weitere Informationen bereitzustel‑
len, sondern auch die Fanpage-Betreiber, die benötigten
Informationen aktiv einzufordern. Selbiges gilt auch
für den Abschluss einer Vereinbarung zur gemeinsa‑
men Verantwortlichkeit, die den Anforderungen des
Artikel 26 DSGVO entspricht. Als Orientierungshilfe für
die mit Facebook zu klärenden Punkte kann der Fragen
katalog aus dem Beschluss der Datenschutzkonferenz
vom 5. September 2018 dienen (vgl. Kasten zu Nr. 15.2.8).
Solange diese Punkte nicht mit Facebook geklärt sind,
empfehle ich den Fanpage-Betreibern, zu prüfen, ob
der Betrieb einer Facebook-Fanpage zur Erfüllung ihrer
Aufgaben unbedingt erforderlich ist oder sie sich nicht
– zumindest bis zur Klärung der Situation – auf daten‑
schutzfreundlichere Kommunikationskanäle konzent‑
rieren können. Bundesbehörden sollten dabei besonders
sensibel sein.
Ich empfehle den Bundesbehörden, die eine Fanpage betreiben, zu prüfen, ob der Betrieb einer Facebook-Fanpage zur Erfüllung ihrer Aufgaben unbedingt
erforderlich ist oder sie sich nicht – zumindest bis zur
rechtlichen Klärung der Situation – datenschutzfreundlichere Kommunikationskanäle nutzen können.
Fragenkatalog
112
→→
In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen fest
gelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
→→
Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informa
tionspflichten nach Art. 13 und 14 DSGVO nachkommt?
→→
Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Perso‑
nen zur Verfügung gestellt?
→→
Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, ins
besondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung
nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
→→
Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen
Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten wer‑
den gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt
oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur
Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
→→
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage
auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
→→
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite inner‑
halb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier
Monaten und zwei Jahren gespeichert?
→→
Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemein‑
sam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Verein
barung abzuschließen?
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018