Rechtliche Vorgaben des

Rechtliche Vorgaben des Datenschutzes Beispielsweise bietet Facebook bei der Verwendung des speziellen Features „Facebook bzw. Instagram Insights“ ein „Page Controller Addendum“ zur gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO in den folgenden ergänzenden Nutzungsbedingungen an: https://www.facebook.com/legal/ terms/page_controller_addendum. In dieser Vereinbarung werden im Wesentlichen Regelungen zu den „Insights“-Daten getroffen, die im Rahmen dieser besonderen Funktion erhoben und verarbeitet werden, um das Nutzerverhalten auf Facebook und Instagram auszuwerten. Inwieweit die mittlerweile aktualisierte Vereinbarung von Facebook als rechtssicher angesehen werden kann, kann derzeit nicht abschließend beurteilt werden, da es an Einflussmöglichkeiten des Betreibers einer Social-Media-Fanpage fehlt und einige Fragen der Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), die in der Stellungnahme vom 01.04.2019 zu dem EuGH- Urteil (https://www.datenschutzkonferenz-online.de/media/ dskb/20190405_positionierung_facebook_fanpages.pdf) veröffentlicht wurden, auch weiterhin von Facebook ungelöst bleiben. Die Vereinbarung regelt indes, dass Facebook die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten bei der Verarbeitung von „Insights“-Daten übernimmt und informiert über die dabei verbleibende datenschutzrechtliche Verantwortung der Social-Media-Betreiber. Letztlich ist es unerlässlich, dass jeder Betreiber eine eigene Datenschutzerklärung für seine Social-Media-Webseite erstellt und verlinkt. Aus der gemeinsamen Verantwortlichkeit des Betreibers einer Social-Media-Fanpage bei Facebook folgt dessen Pflicht, die Seiten-Besucher hinreichend über die dort stattfindende eigene Datenverarbeitung gem. Art. 13 ff DSGVO und über die Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortung zu informieren. Diesbezüglich sind unter anderem der Umfang und alle Zwecke der Datenverarbeitung, die jeweils zutreffende Rechtsgrundlage aus dem Katalog des Art. 6 Abs. 1 S. 1 DSGVO zu nennen, sowie der Umfang der Datenverarbeitung durch den Verantwortlichen mitzuteilen. Bei anderen Social-Media-Plattformen, die in ihren vertraglichen Vereinbarungen nach wie vor keine Lösung für diese Fragen enthalten, bleibt für den Betreiber eines Social-Media- Accounts ein gewisses Restrisiko bestehen, der den Dienst bzw. dessen besondere Funktionen nicht ausschließlich zu privaten Zwecken betreibt. Praxistipp: Dürfen Kommunen, Kommunale Eigenbetriebe und andere KdöR und AdöR Social-Media-Webseiten betreiben? Die öffentliche Hand betreibt oftmals genauso Öffentlichkeitsarbeit auf Social-Media-Webseiten wie private Unternehmen. Insbesondere ist dies von großer Wichtigkeit, wenn zahlreiche Personen erreicht werden müssen, wie z. B. bei Verkehrsverbünden, gesetzlichen Krankenkassen oder Tourismuszentralen. Bei führenden Social-Media- Webseiten (Facebook, Instagram, Youtube, etc.) besteht grundsätzlich das EU-US-Privacy-Shield-Problem, wonach es letztlich keine Rechtsgrundlage für den Transfer von personenbezogenen Daten zu den jeweiligen Plattformanbietern gibt. Derzeit lassen sich somit alleine schon wegen der Datenübertragung in die USA Social-Media-Webseiten wie z. B. Facebook oder LinkedIn nicht rechtskonform von der öffentlichen Hand betreiben. Ein weiteres Problem stellt sich bei den Rechtsgrundlagen. Wenn Bürger die Social-Media-Profile von Organisationen aufrufen, die der öffentlichen Hand zuzuordnen sind, ohne ein Nutzerkonto (z. B. von Facebook-Konto) zu besitzen, besteht keine denkbare Rechtsgrundlage für die Datenverarbeitung auf der jeweiligen Social-Media-Seite des Seitenbetreibers. Schon beim einmaligen Aufruf erfolgt ungefragt ein Tracking durch die Social-Media-Seite des Seitenbetreibers, so dass diesem extensive Profildaten über seine Seitenbesucher zur Verfügung gestellt werden können. Der Einsatz von Social-Media-Seiten durch juristische Personen des öffentlichen Rechts birgt somit erhebliche datenschutzrechtliche Probleme, die sich momentan in der Praxis nicht rechtskonform lösen lassen. Diese Ansicht vertritt auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BfDI, der die von Facebook bereitgestellte datenschutzrechtliche Vereinbarung aus dem Jahr 2019 (Facebook Addendum) für unzureichend zur Einhaltung der Anforderungen aus Art. 26 DSGVO ansieht. Der BfDI rät bis Ende des Jahres 2021 zur Abschaltung der öffentlichen Facebook-Seiten des Bundes und will andernfalls von den Maßnahmen aus Art. 58 DS- GVO Gebrauch machen. RA Marcus Dury LL.M. Fachanwalt für IT-Recht 27

Rechtliche Vorgaben des Datenschutzes 3.9 CHECKLISTE - Datenschutzrechtliche Besonderheiten bei Social-Media- Webseiten Anforderung Erfüllt Irrelevant Nicht erfüllt a) Das Benennen des tatsächlichen Verantwortlichen gem. Art. 13 Abs. 1 lit. a DSGVO (ggf. gemeinsame Verantwortlichkeit i.S.d. Art. 26 Abs. 1 S. 1 DSGVO) und Zuständigkeiten beachten b) Unterrichtung über alle zum Einsatz kommenden besonderen Social-Media-Funktionen , wie z.B. Livestream, Umfragen, Gewinnspiele, Bewerbungstool, Insta-Shops, etc. c) Rechtskonforme Gestaltung von Veranstaltungen (z. B. Seminaren) per Live-Stream in den Social-Media-Kanälen d) Rechtskonforme Gestaltung von Social-Media-Gewinnspielen e) Nutzungsrecht an den Stockfotos in den sozialen Medien beachtet e) Korrekte Einbindung des Links zur Social-Media Datenschutzerklärung in der Social Media-Webseite; Hosten des Rechtstextes auf einer Webseite des Unternehmens f) Social-Media-Datenschutzerklärung auf der externen Webseite: leicht auffindbar, ständig verfügbar und als “Social-Media-Datenschutzerklärung" zu erkennen (max. zwei Klicks) 28