Facebook-dom: Supplerende aftale for Fanpage-operatøren

Efter at det var blevet stille i flere uger omkring Facebook Fanpage-problemet, skete der nu et par ting inden for et par dage. I sin afgørelse fra juni 2018 fandt EF-Domstolen, at ud over Facebook selv var fan-side-operatørerne også ansvarlige for behandlingen af ​​data fra besøgende af fansider. I henhold til artikel 26 GDPR er de ansvarlige i fællesskab forpligtet til at nå til en aftale i gennemsigtig form om, hvem der opfylder hvilke forpligtelser i henhold til GDPR (såkaldt Joint-Controllership-Agreement). De forpligtelser, der reguleres af GDPR, inkluderer især beskyttelsen af ​​rettighederne for personer, der er underlagt behandling, som f.eks retten til information og information som omhandlet i artikel 13 til 15 GDPR.

Bare få dage efter kendelsen kommenterede konferencen for uafhængige databeskyttelsesmyndigheder i de tyske føderale og statslige regeringer (DSK) problemet og krævede en tilsvarende aftale fra Facebook og webstedsoperatørerne. Facebook talte også og annoncerede en tilpasning af vilkårene for brug af fan-side-operatører.

udstilling

Ordene fulgte dog oprindeligt ingen handling, og det er grunden til, at DSK indtog den 05.09.2018 for anden gangs holdning til den meget omtalte “Fanpage” -kendelse fra EF-Domstolen. I den nye beslutning nu – i modsætning til den temmelig vage første erklæring – stillede der konkrete krav til Fanpage-operatøren. DSK behandler især aftalen om fælles ansvar i henhold til artikel 26 GDPR. I mangel af en sådan aftale er driften af ​​Facebook fan-siden ulovlig.

Facebook leverer den nødvendige aftale

EU-Domstolens dom, DSK’s erklæringer og Facebooks manglende reaktion skabte betydelig usikkerhed hos fanpageselskaber. Nu har Facebook imidlertid svaret et par dage efter DSKs anden beslutning og leveret et dokument med titlen “Sideindsigtstilskud om det ansvarlige”. Selvom titlen ikke angiver, at dette er den aftale, der kræves af GDPR, er dette ikke nødvendigt i henhold til artikel 26 GDPR, dokumentets indhold er afgørende.

De ændrede vilkår og betingelser angiver, at webstedsoperatørerne og Facebook er fælles ansvarlige for behandlingen af ​​Insights-data. Ved hjælp af disse data leveret af Facebook kan webstedsoperatører foretage en statistisk evaluering af besøgende på deres websted. Muligheden for at bruge disse data var det afgørende punkt i EF-Domstolens beslutning om at forpligte operatører af websteder i henhold til databeskyttelsesloven.

Derudover garanterer Facebook tilvejebringelsen af ​​de “væsentlige aspekter” af dokumentet til alle registrerede, således også kriteriet “i en gennemsigtig form” i.S.d. Artikel 26 GDPR skal opfyldes. Omvendt betyder dette også, at tillægget til brugsbetingelserne ikke gælder for nogen databehandling på fansiden, men kun for behandling af Insights-data.

Hovedansvaret for databeskyttelse ligger hos Facebook

For behandlingen af ​​Insights-data overtager Facebook det primære ansvar. Dette gælder især for de registreredes rettigheder, der er reguleret i artikel 12 til 22 i GDPR og datasikkerheden og anmeldelse af dataforbrud, der er reguleret i artikel 32-34 GDPR.

Derudover er det aftalt, at datacontrolleren vil være Facebook Irland (Facebooks hovedkontor i EU). Dette har perle. Som et resultat af artikel 56 GDPR vil de irske databeskyttelsesmyndigheder i hele Europa være ansvarlige for alle relevante spørgsmål. Domstol og retssager vil også være Irland. Forespørgsler fra nationale databeskyttelsesmyndigheder og registrerede skal videresendes til Facebook Irland inden for syv dage via en formular.

Hvad Fanpage-operatører skal overveje nu

Selvom det primære ansvar for behandling af Insights-data nu ligger på Facebook Irland, pålægger de nye brugsbetingelser stadig nogle forpligtelser for webstedsoperatørerne.

For det første kræver aftalen, at webstedsoperatørerne udpeger controller. Ifølge en engelsk note fra Facebook kan oplysningerne om det ansvarlige firma og dets databeskyttelsesansvarlige, inklusive deres kontaktoplysninger, indtastes i afsnittet “Om” via “Rediger sideinfo”.

Desuden skal webstedsoperatører sikre, at behandlingen af ​​Insights-data er baseret på et retsgrundlag i henhold til artikel 6, stk. 1, GDPR. En tilladelse i henhold til artikel 6, stk. 1, punktum 1 lit. Kom DSGVO. Dette legitimerer behandlingen af ​​personoplysninger, hvis behandlingspersonen har en overvejende interesse i behandlingen af ​​den registrerede – f.eks. Direkte mail.

Derudover er webstedsoperatøren også forpligtet til at informere de registrerede om behandlingen af ​​dataene ved at anføre et link til deres egen privatlivspolitik på fanesiden i informationsområdet under Datapolitik og vise dem til brugerne. I overensstemmelse hermed skal den egen privatlivspolitik suppleres med et tekstmodul til fællesansvar i driften af ​​fansiden inklusive retsgrundlag.

DSK har yderligere krav

Derudover skal det bemærkes, at DSK’s ovennævnte nye beslutning i bilaget indeholder et spørgeskema, som alle webstedsoperatører (og Facebook) skal kunne svare på. Dette går delvis ud over aftalen i henhold til artikel 26 GDPR. For eksempel ønsker DSK svar på spørgsmål som:

  • Til hvilke formål og på hvilket retsgrundlag oprettes poster i den såkaldte lokale opbevaring på det første opkald på en fan-side, også for ikke-medlemmer?
  • Til hvilke formål og på hvilket retsgrundlag lagres en session-cookie og tre cookies med levetid mellem fire måneder og to år, efter at du har ringet til en underside inden for fansides tilbud?

Dette er naturligvis oplysninger, der ikke er tilgængelig for webstedsoperatøren, men kun Facebook alene. Igen skal det sociale netværk flytte igen og give de nødvendige oplysninger.

Konklusion

Efter usikkerheden i de sidste par måneder reducerer denne aftale af Facebook risikoen for at betjene fan-siden enormt, da de eksisterende “smuthuller” stort set kan lukkes.

Imidlertid ventes de tyske databeskyttelsesmyndigheders reaktion. En endelig vurdering vil ikke være mulig, før de første retsafgørelser er truffet i denne sag.

Kathrin Schuermann 10X15 300Dpi
Kathrin Schürmann (Foto: Schürmann Rosenthal Dreyer)

Kathrin Schürmann, advokat for den digitale forretning

Kathrin Schürmann er advokat og partner hos SCHÜRMANN ROSENTHAL DREYER. Ud over ophavsret og medielovgivning, databeskyttelse og konkurrenceret har Ms Schürmann specialiseret sig i hele markedsføringsområdet, især på tærsklen mellem konkurrence og databeskyttelseslovgivning. Et særligt fokus på hendes arbejde er at rådgive virksomheder inden for digital forretning, teknologi og medier.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *