Embed Size (px)
Citation preview
| Dr. Thomas Schwenke Rechtsanwaltskanzlei | Paul-Lincke-Ufer 42/43 | 10999 Berlin |
Seite 1 von 74
Gutachterliche Stellungnahme zur datenschutzrechtlichen Zulässigkeit des Be-triebs der Fanpage der Senatskanzlei
Datum: 20. Februar 2019
Im Auftrag von:
Der Regierende Bürgermeister von Berlin Senatskanzlei -Landesredaktion / Koordinierung Berlin.de, Social Media Jüdenstraße 1 10178 Berlin
Erstellt durch:
Rechtsanwalt Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH) Zert. Datenschutzbeauftragter TÜV Süd / Zertifikat-Nr.: 1346#311657914 Paul-Lincke-Ufer 42/43, 10999 Berlin http://drschwenke.de
Seite 2 von 74
Einleitung
Das folgende Gutachten untersucht, ob die von dem Social-Media-Referat der Senats-
kanzlei des Regierenden Bürgermeisters von Berlin (nachfolgend bezeichnet als „Se-
natskanzlei“) innerhalb der Plattform Facebook betriebene Fanpage datenschutzrecht-
lich zulässig ist.
Im ersten Teil des Gutachtens werden die verwendeten Begrifflichkeiten, technische
und vertragliche sowie konzeptionelle Grundlagen des Betriebs der Fanpage darge-
stellt. Sie dienen als Grundlage für die folgenden rechtlichen Erwägungen, insbeson-
dere im Hinblick auf die Bestimmung der Zwecke des Fanpagebetriebs, die Rechts-
grundlagen sowie die Verhältnismäßigkeitserwägungen.
Das Gutachten dient ferner dem Zweck, die von der Datenschutzkonferenz (DSK) am
05.09.2018 im Beschluss zu Facebook Fanpages aufgestellte Fragen, als auch die von
der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BfDI) im Rahmen
ihrer Anhörungsanfrage vom 29.10.2018 genannten Fragen zu beantworten.
Dem Gutachten wird die Rechtslage im Zeitpunkt der Erstellung des Gutachtens zu-
grunde gelegt. Zu der Rechtslage gehören insbesondere gerichtliche Entscheidungen,
behördliche Maßnahmen und Ansichten der Rechtsliteratur.
.
Seite 3 von 74
Inhaltsverzeichnis
A. Zusammenfassung der Ergebnisse des Gutachtens .................................................. 6
B. Begrifflichkeiten, technische, vertragliche und konzeptionelle Grundlagen ............ 9
I. Begriffsdefinitionen ............................................................................................... 9
II. Vertragsgrundlagen ............................................................................................. 13
III. Konzeptionelle Grundlagen, Zwecke und Verwaltung der Fanpage ............... 13
1. Social-Media-Konzept der Senatskanzlei ......................................................... 14
2. Vorbildwirkung anderer öffentlich-rechtlicher Fanpages ............................... 16
3. Alternativangebote .......................................................................................... 16
4. Verwaltung der Fanpage .................................................................................. 17
5. Evaluierung ...................................................................................................... 18
IV. EuGH zur Mitverantwortlichkeit für Fanpages und Vertragsanpassung durch Facebook ..................................................................................................................... 18
1. Urteil des EuGH vom 05.06.2018 ..................................................................... 18
2. Stellungnahme der DSK vom 05.09.2018 ........................................................ 19
3. Facebooks Seiten-Insights-Ergänzung vom 11.9.2018 .................................... 21
4. Anhörungsverfahren der Berliner BfDI ............................................................ 22
5. Schlussanträge des Generalanwalts in Sachen „Fashion ID“ ........................... 25
C. Zulässigkeit des Betriebs der Fanpage der Senatskanzlei ....................................... 27
I. Räumlicher Anwendungsbereich......................................................................... 27
II. Sachlicher Anwendungsbereich .......................................................................... 27
1. Personenbezogene Daten ................................................................................ 27
(a) Stammdaten und Kontaktdaten der Mitglieder .......................................... 27
(b) Demografische Daten der Mitglieder ....................................................... 27
(c) Angaben zur Facebook-Nutzung, Verhalten und Interessen der Mitglieder 28
(d) Insights-Daten ........................................................................................... 28
(e) Standortdaten ........................................................................................... 29
(f) Technische Daten ......................................................................................... 29
(g) Inhaltsdaten .............................................................................................. 29
(h) Personenbezug ......................................................................................... 29
2. Automatisierte Verarbeitung ........................................................................... 30
III. Betroffene Personen ........................................................................................ 30
IV. Verarbeitungszwecke ....................................................................................... 30
1. Facebooks Verarbeitungszwecke ..................................................................... 31
Seite 4 von 74
(a) Zurverfügungstellung der Fanpage und Sicherheit ...................................... 31
(b) Betriebswirtschaftliche Zwecke und Profiling .......................................... 31
2. Senatskanzlei ................................................................................................... 32
(a) Zurverfügungstellung der Fanpage und Sicherheit ...................................... 32
(b) Information, Kommunikation, Imagepflege ............................................. 33
(c) Werbewirkung .......................................................................................... 33
V. Datenschutzrechtliche Verantwortlichkeit der Senatskanzlei ............................ 34
1. Gemeinsame Verantwortlichkeit ..................................................................... 34
(a) Begründung gemeinsamer Verantwortlichkeit ............................................ 35
(b) Umfang gemeinsamer Verantwortlichkeit ............................................... 37
(c) Feststellung der gemeinsamen Verantwortlichkeit und deren Umfangs für die Fanpage der Senatskanzlei ....................................................................... 39
2. Unmittelbare Verantwortlichkeit .................................................................... 41
VI. Seiten-Insights-Ergänzung als Vereinbarung gem. Art 26 DSGVO................... 43
1. Wirksame Vereinbarung der Seiten-Insights-Ergänzung ................................. 43
2. Inhaltliche Prüfung der Seiten-Insights-Ergänzung ......................................... 45
(a) Primäre Verantwortlichkeit .......................................................................... 45
(b) Beschränkung auf Insights-Daten ............................................................. 46
(c) Verantwortung für eigene Rechtsgrundlage ............................................ 46
(d) Umgang mit Anfragen von Betroffenen und Aufsichtsbehörden ............ 47
(e) Festlegung der irischen Datenschutzkommission als federführende Aufsichtsbehörde ................................................................................................. 48
(f) Geltendes Recht, Aktualisierungen und salvatorische Klausel .................... 50
3. Inhaltliche Vollständigkeit der Seiten-Insights-Ergänzung .............................. 50
VII. Tatsächliche Erfüllung der gesetzlichen Verpflichtungen................................ 51
1. Erfüllung von Informationspflichten ................................................................ 51
(a) Informationen zu Seiten-Insights-Daten ...................................................... 51
(b) Hinreichende Aufklärung der Nutzer durch Facebook ............................. 53
(c) Erforderlichkeit eigener Datenschutzhinweise der Senatskanzlei ........... 55
2. Wahrung der Betroffenenrechte und Beachtung von Auskunftspflichten ..... 56
3. Widerspruchsrechte bei Cookies ..................................................................... 57
4. Übrige datenschutzrechtliche Verpflichtungen ............................................... 58
VIII. Rechtsgrundlage .............................................................................................. 58
1. Einwilligung ...................................................................................................... 58
2. § 3 Abs. 1 BlnDSG i.V.m. GV Sen DSGVO ......................................................... 60
(a) Geeignetheit ................................................................................................. 62
Seite 5 von 74
(b) Keine milderen Maßnahmen .................................................................... 63
(c) Angemessenheit des Fanpagebetriebs..................................................... 65
i. Interessen der Social-Media-Nutzer und der Allgemeinheit .................... 65
ii. Reichweite und Gewichtung der Abwägungsfaktoren ............................. 66
iii. Vernünftige Erwartungen der Fanpagebesucher ..................................... 66
iv. Zwangswirkung und Alternativangebot ................................................... 68
v. Pseudonyme und anonyme Verarbeitung ............................................... 69
vi. Einwilligung in die Cookie-Speicherung.................................................... 69
vii. Evaluation und fachgemäße Betreuung ............................................... 70
viii. Einwirkung auf Facebook ...................................................................... 71
ix. Angemessenheit des Fanpagebetriebs..................................................... 71
(d) Der Fanpagebetrieb ist erforderlich ......................................................... 72
3. Verarbeitung zu Sicherheits- und Optimierungszwecken ............................... 73
IX. Der Fanpagebetrieb ist zulässig ....................................................................... 73
Seite 6 von 74
A. Zusammenfassung der Ergebnisse des Gutachtens
▪ Der Betrieb der Fanpage durch die Senatskanzlei verstößt nicht gegen geltendes
Datenschutzrecht.
▪ Die Senatskanzlei ist entsprechend der gegenwärtigen und erwarteten Recht-
sprechung des EuGH für die im Rahmen der Bereitstellung der Fanpage, Erstel-
lung der Insights-Statistiken, Darstellung der Beiträge in Newsfeeds der Face-
book-Mitglieder sowie u. U. zur Wahrung der technischen Sicherheit und Opti-
mierung der Fanpage durch Facebook verarbeiteten Insights-Daten gemeinsam
verantwortlich.
▪ Die Mitverantwortung wird durch Mitentscheidung der Senatskanzlei über die
Mittel und Zwecke der Verarbeitung der Insights-Daten begründet. Im Hinblick
auf die Mittel besteht die Mitbestimmung in der Inbetriebnahme der Fanpage.
Im Hinblick auf die Zwecke sind die betriebswirtschaftlichen Interessen von Fa-
cebook und die Zwecke der Senatskanzlei, ihren öffentlich-rechtlichen Aufgaben
in Social Media nachzukommen, insoweit hinreichend identisch.
▪ Die gemeinsame Verantwortlichkeit ist jedoch nur auf die vorgenannten Zwecke
des Fanpagebetriebs beschränkt. Die Senatskanzlei ist mangels Möglichkeit der
Einwirkung und Einflussnahme insbesondere nicht für die vorhergehende und
folgende Verarbeitung der Insight-Daten durch Facebook, z. B. zu Werbe- und
Marketingzwecken, mitverantwortlich. D. h., es bestehen zwar erhebliche Be-
denken gegen die Nutzung der personenbezogenen Daten der Nutzer durch Fa-
cebook, jedoch werde diese nicht alle der Senatskanzlei aufgebürdet.
▪ Die aufgrund der gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S. 1
DSGVO erforderliche Vereinbarung zu der Regelung der Rechte und Pflichten
zwischen Facebook und der Senatskanzlei ist ein wirksamer Bestandteil des Ver-
trages zwischen der Senatskanzlei und Facebook und entspricht im Hinblick auf
den Inhalt und die Umsetzung den gesetzlichen Anforderungen. Insbesondere
werden die Fanpagebesucher hinreichend informiert und deren Rechte, z. B. auf
Auskunft, im Rahmen des Verantwortungsbereichs der Senatskanzleigewahrt.
Seite 7 von 74
▪ Die Verarbeitung der Insights-Daten der Fanpagebesucher erfolgt auf Grundlage
des § 3 Abs. 1 BlnDSG, und ist zur Erbringung ihrer öffentlichen Aufgaben der
Information sowie Kommunikation mit Bürgern sowie Imagepflege und Anspra-
che an der Stadt Berlin interessierter Personen und Unternehmen in sozialen
Medien gem. § 3 Abs. 1 BlnDSG erforderlich.
▪ Die Fanpage ist derzeit das geeignetste Mittel, um das Konzept einer transparen-
ten und nachhaltigen Ansprache vom Bürgern und anderen Interessenten in so-
zialen Medien zu erreichen. Der Betrieb ist auch angemessen und soweit ein Er-
messensspielraum aufgrund der Unklarheit der Rechtslage besteht, darf die Se-
natskanzlei diesen aufgrund der ihr zustehenden Einschätzungsprärogative
wahrnehmen.
▪ Der Senatskanzlei wird jedoch empfohlen, die Fanpagebesucher über das Kon-
zept des Fanpagebetriebs, die Risiken der Verarbeitung von Daten durch Face-
book, Alternativangebote sowie im Hinblick auf die übrigen Angaben gem. Art.
13 und 14 DSGVO auf einer separaten Webseite zu unterrichten. Die Webseite
muss auf der Fanpage einfach erkennbar verlinkt werden.
▪ Ferner ist die faktische und rechtliche Entwicklung zu beobachten und das Kon-
zept des Fanpage-Betriebs bei relevanten Erkenntnissen und sonst zumindest
jährlich durch das Social-Media-Referat der Senatskanzlei entsprechend zu eva-
luieren.
▪ Des Weiteren wird der Senatskanzlei empfohlen, allein oder gemeinsam mit an-
deren öffentlich-rechtlichen Stellen auf Facebook einzuwirken und zu fordern,
dass Facebook den von Datenschutzbehörden vorgebrachten Bedenken Rech-
nung trägt. Dazu gehören vor allem ein Einwilligungsprozess für Fanpagebesu-
cher, die keine Facebook-Mitglieder sind, ein einfacheres Widerspruchsverfah-
ren und die Aufnahme eines Links zu den Datenschutzhinweisen der Senatskanz-
lei auf der Frontseite der Fanpage.
▪ Nur ergänzend wird darauf hingewiesen, dass Zweifel an der Zuständigkeit der
Berliner BfDI im Hinblick auf die Fanpage der Senatskanzlei bestehen. Vielmehr
Seite 8 von 74
ist aufgrund einer faktisch grenzüberschneidenden gemeinsamen Verantwort-
lichkeit sowie vertraglicher Vereinbarung zwischen der Senatskanzlei und Face-
book von der Federführung der Datenschutzaufsicht durch die irische Daten-
schutzkommission auszugehen.
Seite 9 von 74
B. Begrifflichkeiten, technische, vertragliche und konzeptionelle
Grundlagen
Dieser Teil des Gutachtens dient der Einführung und Erläuterung der im Rahmen des
Gutachtens verwendeten Begriffe, der vertraglichen Grundlagen sowie des Betriebs-
konzeptes der Fanpage der Senatskanzlei.
Anschließend werden die aktuellen rechtlichen Entwicklungen in Folge des Urteil des
Europäischen Gerichtshofs zur gemeinsamen Verantwortlichkeit für Fanpages (EuGH,
Urteil vom 5.6.2018, C-210/16) sowie anschließende Vertragsanpassungen durch Face-
book dargestellt.
I. Begriffsdefinitionen
Die Begriffsdefinitionen erhalten zum Teil technische Funktionsbeschreibungen und da-
neben eine Darstellung rechtlicher und faktischer Beziehungen unter den beteiligten
Parteien.1
▪ „Facebook“ – Der Begriff wird allgemeinsprachlich sowohl für das Unternehmen
Facebook als auch die von dem Unternehmen angebotene soziale Plattform mit
demselben Namen verwendet. Im Rahmen des Gutachtens wird der Begriff für
Facebook als Unternehmensgruppe verwendet. Sofern relevant, z. B. im Hinblick
auf vertragliche Beziehung, werden die jeweiligen Niederlassungen genauer be-
zeichnet.
▪ „Facebook USA“ und „Facebook Irland“- Sofern von Facebook Irland oder Face-
book USA die Rede ist, sind damit der Hauptsitz des Facebook-Konzerns in den
USA (Facebook Inc., 1 Hacker Way Menlo Park, CA 94025, USA) und die für den
europäischen Betrieb der Plattform Facebook zuständige Niederlassung in Irland
(Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2,
Irland) gemeint. Vertragspartner der Senatskanzlei ist dabei Facebook Irland,2
1 Alle im Gutachten verwendeten Begrifflichkeiten sind geschlechtsneutral zu verstehen (z. B. umfasst der Begriff „Fanpagebesucher“ sowohl weibliche, als auch männliche oder übrigen Geschlechtern angehörende Besucher). 2 EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 32.
Seite 10 von 74
wobei die maßgeblichen personenbezogenen Daten der Fanpagebesucher zur
technischen Verarbeitung an Facebook USA übermittelt werden.
▪ „Fanpages“ – Für den Betrieb durch Unternehmen, öffentlich-rechtliche Stellen
oder Personen des öffentlichen Lebens gedachte Facebook-Profile.3 Der Begriff
„Fanpage“ wird allgemeinsprachlich und auch in der Rechtsprechung verwendet.
Fanpages werden durch Facebook selbst als „(Facebook-)Seiten“ bezeichnet.
Wenn im Gutachten der Begriff „Fanpage“ im Kontext der Senatskanzlei verwen-
det wird, ist damit die Fanpage der Senatskanzlei gemeint.
▪ „Insights“ / „Insights-Daten“ – Als Insights werden die den Betreibern von Fan-
pages zur Verfügung gestellten Statistiken bezeichnet.4 Diese Statistiken sind
nicht abschaltbar und enthalten im Hinblick auf die Interaktion mit der Fanpage
und demografische Eigenschaften aggregierte Daten der Fanpagebesucher
(diese Daten werden auch als „Insights-Daten“ bezeichnet). Hierzu gehören auch
aggregierte Werte zum Alter, Geschlecht oder Zeiten der Abrufe oder Bekun-
dung von Gefallen oder Nichtgefallen im Hinblick auf die innerhalb der Fanpage
veröffentlichten Beiträge. Die Nutzung der Insights-Statistiken ist nicht abding-
bar und erfolgt auf Grundlage von pseudonymen „Cookies“ 5
▪ „Cookies“ – Die in diesem Gutachten in Rede stehende Datenverarbeitung er-
folgt im Wesentlichen in der Weise, dass Facebook auf dem Computer oder je-
dem anderen Gerät der Personen, die eine Fanpage besucht haben, Cookies plat-
ziert, die die Speicherung von Informationen in den Web-Browsern bezwecken
und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht
werden. Ferner empfängt Facebook die in den Cookies gespeicherten Informati-
onen, zeichnet sie auf und verarbeitet sie, insbesondere wenn eine Person die
„Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-
3 Vgl. EuGH, Urt. v. 05.06.2018, Az. C‑210/16 „Wirtschaftsakademie“, Rn. 15 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=4096862); Golland, K&R 433. 4 Golland, K&R 433. 5 Vgl. EuGH, Urt. v. 05.06.2018, Az. C‑210/16 „Wirtschaftsakademie“, Rn. 15 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=4096862).
Seite 11 von 74
Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Un-
ternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht.
Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf
den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk di-
rekt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereit-
zustellen“.6
▪ „Facebook-Ads“ – Innerhalb der Plattform Facebook können Personen und Un-
ternehmen Werbeanzeigen platzieren. Die Zielgruppe der Mitglieder, denen Fa-
cebook-Ads angezeigt werden, kann anhand einer Varianz von Parametern be-
stimmt werden (sog. „Targeting“). Zu diese Parametern können z. B. Eigenschaf-
ten, Interessen, Verhalten oder Interaktionen der Personen gehören, z. B. „Per-
sonen des Geschlechts X, des Altersbereichs Y, lebend in Berlin, mit Deutsch als
eingestellter Sprache und Interesse an Musik und Politik“.
▪ „Mitglieder“ – Personen (oder Unternehmen), die sich bei der Plattform Face-
book registriert haben.
▪ „Nutzer“ / „Besucher“ – Personen, die Fanpages in deren Browsern aufrufen,
unabhängig davon, ob sie Mitglieder von Facebook sind. Eine Fanpage kann so-
wohl von Mitgliedern als auch von anderen Nutzern, d. h. von „Nicht-Mitglie-
dern“, aufgerufen werden (die in diesem Kontext als „Fanpagebesucher“ be-
zeichnet werden). In diesem Fall wird in deren Browser jedoch eine einge-
schränkte Darstellung der Fanpage (z. B. ohne Interaktionsmöglichkeiten) und
eine Möglichkeit, sich bei Facebook zu registrieren, ausgegeben.
▪ „Privatnachrichten“ / „Facebook Messenger“ – Der Facebook Messenger ist ein
proprietäres Kommunikationssystem innerhalb der Plattform Facebook, mit
dem Mitglieder untereinander kommunizieren können.
▪ „Social Plugin“ – Als Social Plugins werden Funktionen von Facebook bezeichnet,
die Betreiber von Webseiten mittels der Einbindung eines im Browser der Nutzer
6 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 33.
Seite 12 von 74
ausführbaren Codes in deren Website integrieren können. Am bekanntesten ist
die „Gefällt mir“-Schaltfläche, mit deren Klick Facebook-Mitglieder einen Link zu
der jeweiligen Webseite innerhalb derer Facebook-Profile teilen können. Dabei
sendet der Browser des Webseitenbesuchers automatisch Informationen betref-
fend seine IP‑Adresse und den Browser-String an Facebook Ireland und kann
diese Informationen zudem in einem Cookie speichern. Die Übermittlung und
Speicherung dieser Informationen erfolgt, ohne dass der Facebook-„Gefällt mir“-
Button angeklickt zu werden braucht und auch bei Nicht-Mitgliedern von Face-
book.
▪ „Betreiber“ – Als Betreiber wird der Anbieter einer Fanpage bezeichnet, hier die
Senatskanzlei. Der Begriff wird zwecks Abgrenzung zu der Figur des datenschutz-
rechtlichen Verantwortlichen verwendet, die gesondert zu prüfen ist.
▪ „Fans“ / „Abonnenten“ – Als „Fans“ werden Mitglieder bezeichnet, welche die
Schaltfläche „Gefällt mir“ einer Fanpage geklickt und damit deren Beiträge abon-
niert haben. „Abonnenten“ sind Mitglieder, die nur die Beiträge abonnieren,
aber ohne die Schaltfläche „Gefällt mir“ zu klicken. Im Zeitpunkt der Erstellung
dieses Gutachtens wird die Fanpage der Senatskanzlei von rund 6.700 Personen
abonniert, wovon 6.400 Personen die „Gefällt mir“-Schaltfläche geklickt haben.
▪ „Beiträge“ – Als Beiträge werden die im Namen von Fanpages auf diesen publi-
zierten Einträge, sei es in Form von Texten, Bildern, Videos oder Umfragen, be-
zeichnet.
▪ „Newsfeed“ – Der Newsfeed ist ein grundlegende Funktion sozialer Netzwerke
und enthält die Beiträge befreundeter Nutzer oder abonnierter Fanpages. Der
Newsfeed von Facebook wird den Nutzern standardmäßig beim Aufruf der Platt-
form angezeigt. Dabei sortiert Facebook die Beiträge, ebenfalls standardmäßig,
im Newsfeed anhand des Vorverhaltens und der Facebook bekannten Interessen
der Nutzer vor. Diese algorithmische Sortierung kann von den Nutzern in den
„Einstellungen zum Newsfeed“ in einem gewissen Maße (z. B. durch Priorisie-
rung der Beiträge bestimmter Personen oder Fanpages) verändert werden.
Seite 13 von 74
II. Vertragsgrundlagen
Die Vertragsgrundlagen umfassen vor allem die allgemeinen Geschäftsbedingungen von
Facebook sowie Datenschutzhinweise, welche jeweils aus mehreren einzelnen Klausel-
werken bestehen:
▪ Nutzungsbedingungen von Facebook: https://www.facebook.com/legal/terms.
▪ Datenrichtlinie: https://www.facebook.com/privacy/explanation.
▪ Rechtsgrundlagen der Verarbeitung personenbezogener Daten durch Facebook:
https://www.facebook.com/about/privacy/legal_bases (kurz „Facebooks
Rechtsgrundlagen“).
▪ Hinweise zu Cookies und anderen Speichertechnologien: https://www.face-
book.com/policies/cookies/ (kurz „Cookie-Hinweise“) .
▪ Seiten-Insights-Ergänzung bezüglich des Verantwortlichen: https://www.face-
book.com/legal/terms/page_controller_addendum (kurz „Seiten-Insights-Er-
gänzung“).
▪ Informationen zu Seiten-Insights-Daten: https://www.facebook.com/le-
gal/terms/information_about_page_insights_data.
▪ Social-Media-Konzept des Referates für Social Media der Senatskanzlei Berlin
Fassung vom 21.11.2017 (kurz „Social-Media-Konzept“).
▪ Fanpage der Senatskanzlei : „Der Regierende Bürgermeister von Berlin“,
https://www.facebook.com/RegBerlin/.
III. Konzeptionelle Grundlagen, Zwecke und Verwaltung der Fanpage
Die Senatskanzlei betreibt seit dem 08.05.2017 auf der Plattform Facebook eine Fan-
page, die sie zur Information der Bürger, Besucher der Stadt Berlin oder anderer Inte-
ressenten zwecks Information, Kommunikation, Informationsaufnahme und Image-
pflege einsetzt. Verwaltungsleistungen werden über die Fanpage nicht angeboten,
Seite 14 von 74
hierzu werden die Nutzer auf den Bürgerservice, u. a. auf der Website der Senatskanz-
lei, verwiesen.
Die Fanpage ist in Folge und auf Grundlage des im Folgenden dargestellten Social-Me-
dia-Konzeptes, Beobachtung anderer öffentlich-rechtlicher Fanpages sowie rechtlicher
Überlegungen unter der fachlichen Leitung des ebenfalls neu begründeten Social-Me-
dia-Referats angelegt worden.
1. Social-Media-Konzept der Senatskanzlei
Der Betrieb und die Zweckbestimmung der Fanpage basiert auf einem Social-Media-
Konzept, das die Senatskanzlei zur Evaluation des faktischen Bedarfs nach einer Fan-
page in Auftrag gab. Die Evaluation soll sicherstellen, im Wege einer „nachhaltigen Re-
gierungskommunikation“,
„[…] uber die Politik des Senats zu informieren, Transparenz uber politische Ent-
scheidungen herzustellen und den politischen Dialog mit den Burgerinnen und
Burgern der Stadt zu befordern.“
Der Beschluss zur Nutzung sozialer Medien und insbesondere von Facebook erfolgte
hierbei insbesondere auf Grundlage der Erwartungshaltung der Bürger sowie Besucher
Berlins an eine zeitgemäße Informations- und Kommunikationskultur. Dies insbeson-
dere unter Beachtung der besonderen Stellung von Berlin als eine „junge und innova-
tive Stadt“, die besonders viele technologieaffine und soziale Medien nutzende Men-
schen aus dem Inland und Ausland anzieht:
„Soziale Netzwerke bilden heute Raume der Offentlichkeit, in denen hohere Reich-
weiten als uber die Webseite oder uber Zeitungen erzielt werden konnen. Heute fin-
det dort die Auseinandersetzung mit politisch und gesellschaftlich relevanten The-
men statt. Folglich gehort die Online-Kommunikation zu einem grundlegenden Be-
standteil der Presse- und Offentlichkeitsarbeit, uber welche das medial vermittelte
Bild beeinflusst werden kann. Daruber hinaus erwarten die Burgerinnen und Burger,
dass eine Regierung transparent und regelmaßig uber ihr Handeln informiert, Hin-
tergrunde erklart und zum niedrigschwelligen Dialog bereit ist. Erfolgreiche Social-
Seite 15 von 74
Media-Kommunikation muss die Arbeit von Politik und Verwaltung in Bezug auf die
Stadt und das Leben der Menschen vor Ort plattformadaquat transportieren.“
„Nach einer Studie von YouGov vom Februar 2017 nutzten 27 Prozent der befragten
Bundesburger/innen soziale Netzwerke als Nachrichtenquelle. Fur jede und jeden
Funften waren soziale Netzwerke vorwiegende Nachrichtenquelle fur politische
Themen. Social Media folgte damit nach dem Fernsehen mit 78 Prozent, Radio mit
56 Prozent, der gedruckten Ausgabe einer Zeitung mit 50 Prozent und der Zeitungs-
webseite mit 38 Prozent.„
„Die Zahlen verdeutlichen, dass sich die Informationswirklichkeit fur jede funfte Per-
son danach konstruiert, welche Informationen sie oder er von den mit ihr oder ihm
vernetzten Profilen erhalt. Auch 57 Prozent der Befragten der YouGov-Studie gaben
an, sich vorstellen zu konnen, sich in Zukunft starker uber Messenger-Dienste und
soziale Online-Netzwerke uber politische Themen zu informieren.“
Die Entscheidung für die Nutzung der Plattform Facebook erfolgte hierbei aufgrund
der Dominanz der Plattform innerhalb der Social-Media-Angebote:
In Hinblick auf die Plattformen der sozialen Netzwerke informieren sich mit uber 70
Prozent die meisten Menschen auf Facebook uber aktuelle politische Geschehnisse.
Facebook gilt mit seinen 31 Millionen aktiven Mitgliedern in Deutschland als „der
Marktplatz“ unter den sozialen Netzwerken. Hier kann die „breite Masse“ erreicht
werden – in Berlin 1,9 Millionen der aktuell fast 3,47 Millionen in Berlin lebenden
Menschen (Stand: November 2017, im Zeitpunkt der Erstellung des Gutachtens lie-
gen diese Zahlen bei ca. 32 Millionen, wobei für Deutschland keine offiziellen Zahlen
herausgegeben werden und auf Informationen in anderen Kontexten, z.B. gegen-
über Werbekunden, beruhen).7
7 https://allfacebook.de/zahlen_fakten/offiziell-facebook-nutzerzahlen-deutschland (alle Links zuletzt aufge-rufen zum Datum des Gutachtens).
Seite 16 von 74
2. Vorbildwirkung anderer öffentlich-rechtlicher Fanpages
Der Entschluss zur Nutzung der Fanpage basierte auch auf der Beobachtung der ande-
ren Landesregierungen, von denen elf ebenfalls die Plattform Facebook nutzen. Dane-
ben finden sich auf der Plattform Facebook ebenfalls Bundesorgane (wie die Bundesre-
gierung, Landesbehörden (z. B. Polizeibehörden) oder Gemeinden und Städte.
Zu betonen ist dabei auch der Social-Media-Auftritt des Landesdatenschutzbeauftrag-
ten Baden-Württemberg (LfDI BW).8 Zwar handelt es sich hierbei um ein anderes sozia-
les Netzwerk, dessen Nutzung aber mit dem Betrieb einer Fanpage bei Facebook ver-
gleichbar ist. Auch Twitter-Profile dienen der Information und Kommunikation der Öf-
fentlichkeit und auch bei Twitter werden statistische Daten der Nutzer gesammelt. Die
Daten können z. B. im Rahmen der Platzierung von gebuchten Werbeanzeigen zur Ziel-
gruppenbestimmung verwendet und in Cookies gespeichert werden. Die Twitter-Nut-
zung basiert wiederum auf einer vom LfDI BW veröffentlichten „Neuen Richtlinie des
LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen“.9
Dabei wird als Grundlage für eine sichere Nutzung sozialer Medien ein klares und öf-
fentliches Konzept mit Festlegung von Zweck, Art und Umfang der vorgesehenen Nut-
zung und Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge und des-
sen mindestens jährlich stattfindende Evaluation sowie Betreuung durch geschultes
Personal vorgeschlagen. Ebenso werden eigene Datenschutzhinweise oder alternativ
regelmäßige Information der Nutzer für notwendig erachtet. Zudem sollten die Nutzer
auf alternative Informations- und Kommunikationswege hingewiesen werden.
3. Alternativangebote
Die Fanpage der Senatskanzlei wird als ein alternativer Informations- und Kommunika-
tionskanal umgesetzt. Das bedeutet, dass die Fanpage keine anderen Informations- o-
der Kommunikationsangebote substituieren soll.
8 https://twitter.com/lfdi_bw. 9 https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/04/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf (abgekürzt „Richtlinie SoMe“).
Seite 17 von 74
Den Bürgern stehen weiterhin die Möglichkeiten offen, sich auf den Webseiten der Se-
natskanzlei oder über die Presse über die politischen Prozesse und die Tätigkeit der
Verwaltung zu informieren. Ebenso stehen den Bürgern weiterhin traditionelle Kom-
munikationswege, wie z. B. das Telefon, die Briefpost oder der persönliche Besuch im
Bürgerservicebüro zur Verfügung.
Die Senatskanzlei verfolgt also nicht das Ziel, Bürger von anderen Informations- oder
Kommunikationskanälen auf die Fanpage zu lenken. Vielmehr ist das Ziel, Bürger, die
bereits die Plattform Facebook nutzen, mit dem Informations- und Kommunikations-
angebot der Fanpage anzusprechen.
Bei den Vorteilen, wie z.B. der Möglichkeit, die Facebookseite der Senatskanzlei zu
abonnieren und so aktiv und schnell über diese informiert zu werden, handelt es sich
um inhärente Vorteile von Social Media, die per se die Nutzer zu der Nutzung von
Plattformen wie Facebook bewegen und nicht von der Senatskanzlei neu geschaffen
werden.
Ergänzend ist aufzuführen, dass auch wenn die Fanpage den Bürgern und anderen Be-
suchern Berlins ein lediglich alternatives Informationsangebot eröffnet, sie umgekehrt
für die Senatskanzlei neue Möglichkeiten schafft, die Stimmung und Ansichten der Bür-
ger wahrzunehmen. So können z. B. anhand der Kommentare der Bürger zu veröffent-
lichen Informationen und einer stattfindenden Diskussion eine Stimmungslage gewon-
nen und neue Ideen oder Impulse für das Regierungshandeln gewonnen werden.
4. Verwaltung der Fanpage
Für die Koordination der Social-Media-Aktivitäten wurde ein eigenes Referat mit der
festgelegten Zuständigkeit des Referatspersonals gegründet. Die Aufgaben des Refe-
ratspersonals umfassen insbesondere die redaktionelle, technische und rechtliche Be-
treuung der Fanpage.
Das Referatspersonal wurden im Hinblick auf die von ihnen wahrzunehmenden Aufga-
ben instruiert, werden fortgebildet und haben die Möglichkeit externe Fachexperten
hinzuzuziehen.
Seite 18 von 74
5. Evaluierung
Das Social-Media-Konzept der Senatskanzlei unterliegt einer ständigen Evaluation
durch das Referatspersonal. Die Evaluation umfasst, neben der technischen und inhalt-
lichen Prüfung, vor allem auch die rechtliche Zulässigkeit des Betriebs der Fanpage.
Die Senatskanzlei handelt im Bewusstsein der rechtlichen Unklarheiten, unterschiedli-
cher Rechtsansichten und Risiken, weshalb das Referatspersonal ständig die Nachrich-
tenlage sowie interne Hinweise zur Rechtslage beobachtet. Die Grundlagen und das
„Ob“ der Nutzung der Facebook-Seite werden vor allem dann gesondert und vertieft
geprüft, wenn wesentliche Änderungen der Rechtslage hierzu Anlass geben, wie die im
Folgenden dargestellte Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit
für Fanpages.
IV. EuGH zur Mitverantwortlichkeit für Fanpages und Vertragsanpassung
durch Facebook
Die folgende Darstellung fasst die Entscheidung des EuGH vom Juni 2018 zur Mitver-
antwortlichkeit für Fanpages und die ihr folgende Anpassung der Vertragsgrundlagen
durch Facebook als auch die Stellungnahmen und Forderungen der Aufsichtsbehörden
zusammen.
1. Urteil des EuGH vom 05.06.2018
In der Rechtssache C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schles-
wig-Holstein ./. Wirtschaftsakademie Schleswig-Holstein GmbH, kurz „Wirtschaftsaka-
demie“) hat der Gerichtshof der Europäischen Union (EuGH) am 5.6.2018 entschieden,
dass auch der Betreiber einer Fanpage gemeinsam mit Facebook Irland für die Verar-
beitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.
Maßgeblicher Grund für das EuGH-Urteil sind die Insights-Statistiken, für die Facebook
unter Verwendung von Cookies personenbezogene Insights-Daten der Fanpagebesu-
cher verarbeitet.
Seite 19 von 74
Diese Daten werden anschließend in Form anonymisierter statistischer Daten den Fan-
pagebetreibern automatisch und unabdingbar kostenfrei zur Verfügung stellt.
Den Umstand, dass die Fanpagebetreiber lediglich Zugang zu aggregierten, d. h. anony-
men, Daten erhalten, hielt der EuGH für unbeachtlich.10
Der EuGH betonte hierbei, dass die Verantwortlichkeit nicht gleichwertig sein muss,
sondern deren Grad sich nach den Umständen des Einzelfalls, insbesondere der Einbe-
ziehung in die jeweiligen Phasen der Verarbeitung, bestimmt.
Die Entscheidung des EuGH beschränkte sich ferner nur auf den Umstand, dass Betrei-
ber von Facebook-Seiten datenschutzrechtlich mitverantwortlich sind und die Daten-
schutzbehörden den Betrieb einer Fanpage generell untersagen dürfen. Ob tatsächlich
Datenschutzverstöße seitens von Facebook vorliegen und ob sie von der Mitverant-
wortlichkeit umfasst wären, hat der EuGH nicht entschieden. Diese Entscheidungen
unterliegen zunächst den nationalen Gerichten, im Fall der Wirtschaftsakademie dem
Bundesverwaltungsgericht (Az. 1 C 28.14). Zum Zeitpunkt der Erstellung dieses Gutach-
tens ist in dieser Hinsicht noch keine bekannte gerichtliche Entscheidung bekannt, wel-
che diese, vorliegend besprochene, Sachverhaltssituation betrifft.
2. Stellungnahme der DSK vom 05.09.2018
Als Reaktion auf das Urteil veröffentlichte die DSK als Gremium der unabhängigen
deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder am 05.09.2018
einen Beschluss zu Facebook Fanpages.11
In dem Beschluss verwies die DSK darauf, dass die gemeinsame Verantwortlichkeit be-
deutet, dass die gemeinsam Verantwortlichen die sich aus der DSGVO ergebenden
Pflichten erfüllen müssen.
Hierzu forderte die Konferenz insbesondere den Abschluss einer Vereinbarung nach
Art. 26 DSGVO, Schaffung von Klarheit über die derzeitige Sachlage und die
10 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 34; so auch EuGH, Urt. v. 10.07.2018, C-25/17 „Jehovan todistajat“, Rn. 69; Schlussanträge „Fashion ID“, a.a.O., Rn. 70. 11 https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf.
Seite 20 von 74
erforderlichen Informationen für die Besucher der Fanpages bereitzustellen. Ebenso
forderte die DSK, dass die Fanpagebetreiber die Rechtmäßigkeit der gemeinsam zu
verantwortenden Datenverarbeitung gewährleisten und diese nachweisen können
müssen. Zudem müssen die Betroffenen ihre Rechte aus der DSGVO bei und gegen-
über jedem Verantwortlichen entsprechend Art. 26 Abs. 3 DSGVO erfolgreich geltend
machen können.
Kritisiert wurde hierbei insbesondere die Setzung von Cookies zwecks Verarbeitung
von Insights-Daten seitens von Fanpagebesuchern, die keine Facebook-Mitglieder sind.
Als Maßstab für ihre Anforderungen forderte die Konferenz, dass sowohl Facebook als
auch Fanpagebetreiberinnen und -betreibern die folgenden Fragen beantworten kön-
nen:
▪ In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verant-
wortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO
erfüllt? (Art. 26 Abs. 1 DSGVO)
▪ Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer
welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
▪ Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den
betroffenen Personen zur Verfügung gestellt?
▪ Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt wer-
den können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Ein-
schränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21
DSGVO und auf Auskunft nach Art. 15 DSGVO?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die per-
sonenbezogenen Daten der Besucherinnen und Besucher von Fanpages?
▪ Welche personenbezogenen Daten werden gespeichert? Inwieweit werden auf-
grund der Besuche von Fanpages Profile erstellt oder angereichert? Werden
Seite 21 von 74
auch personenbezogene Daten von Nicht-Facebook Mitgliedern zur Erstellung
von Profilen verwendet? Welche Löschfristen sind vorgesehen?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf
einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage
erzeugt?
▪ Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer
Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies
mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
▪ Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26
DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden
und eine entsprechende Vereinbarung abzuschließen?
3. Facebooks Seiten-Insights-Ergänzung vom 11.9.2018
Als Reaktion auf die EuGH-Entscheidung aktualisierte Facebook die Vertragswerke und
ergänzte sie um die Seiten-Insights-Ergänzung. Die Fanpagebetreiber wurden hierüber
im Rahmen eines offiziellen Blogbeitrags informiert.12
In der Seiten-Insights-Ergänzung erkannte Facebook Irland die gemeinsame Verant-
wortlichkeit mit den Betreibern der Fanpages im Hinblick auf die Verarbeitung der für
die Insights-Daten an, wobei Facebook Irland die primäre Verantwortung übernahm.
Insbesondere übernahm Facebook Irland die explizite Verantwortlichkeit für die Erfül-
lung der datenschutzrechtlichen Pflichten im Hinblick auf die Information Betroffener
(Art. 12 – 13 DSGVO), Wahrnehmung der Betroffenenrechte (Art. 15 – 22 DSGVO) so-
wie die Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34
DSGVO).
Facebook machte ferner deutlich, dass Betreibern für Facebook-Seiten kein Recht auf
Einblick in die einzelnen personenbezogenen Daten der Besucher der Fanpage zusteht
12 https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea.
Seite 22 von 74
und sie ferner eine eigene Rechtsgrundlage für die Verarbeitung der Insights-Daten be-
nötigen.
Des Weiteren legte Facebook fest, dass im Fall von Anfragen von Betroffenen oder von
Datenschutzbehörden die Betreiber von Facebook-Seiten verpflichtet sind, diese an Fa-
cebook Irland sofort weiterzuleiten. Zu Zwecken der Weiterleitung stellt Facebook ein
Kontaktformular zur Verfügung.13
Facebook traf ferner eine Vereinbarung über die Geltung des irischen Rechts und des
Gerichtsstands in Irland. Im Fall von privaten Betreibern der Fanpages ist das Gericht
an deren Wohnsitz zuständig. Im Fall der Einschaltung von Aufsichtsbehörden be-
stimmte Facebook die irische Datenschutzbehörde als aufsichtsführend.
4. Anhörungsverfahren der Berliner BfDI
Am 29.10.2018 erhielt die Senatskanzlei eine Anfrage der Berliner BfDI mit einem Kata-
log von Fragen im Hinblick auf den Betrieb von Fanpages.
Die Anfrage war Teil eines Anhörungsverfahrens, das die Berliner BfDI seit Anfang No-
vember bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie
bei einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags-
und Finanzbranche in Sachen Fanpages durchführt.14
Die Anfrage forderte die Senatskanzlei hierbei zur Beantwortung der folgenden Fragen
auf:
▪ Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf
welche Weise ist dies erfolgt?
▪ Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine
Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die
entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
13 https://www.facebook.com/help/contact/308592359910928. 14 https://www.datenschutz-Berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2018/20181116-PM-Fanpages.pdf.
Seite 23 von 74
▪ Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26
Abs. 1 Satz 1 DS-GVO?
▪ Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach
dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im
Detail dar.
▪ Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen
genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
▪ In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug
genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt
es sich hierbei? Bitte erläutern Sie im Detail.
▪ Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglie-
der sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26
Abs. 2 DS-GVO informiert?
▪ Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über
die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ih-
rer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen,
dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus
Art. 5 Abs. 2 DS-GVO, nachkommen können?
▪ Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und
Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese
Verarbeitungen?
▪ Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten
Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fan-
page?
▪ Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Per-
sonen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer
Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
Seite 24 von 74
▪ Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DS-GVO) erfüllt wer-
den können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf
Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art.
21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
▪ In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrech-
ten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO
hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland
im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt
mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich,
jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informa-
tionen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular ein-reichen.
Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-
Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah
sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der
Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht
berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“
Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten An-
fragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu
prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend
der DS-GVO erfüllt werden.
▪ Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im
sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrund-
lage erfolgt dies?
▪ Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Ses-
sion-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei
Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage er-
folgt dies?
Die vorstehende Darstellung der Sachverhaltes legt den Rahmen sowie die Schwer-
punkte für die rechtliche Prüfung fest. Zu diesen gehören vor allem die Frage der
Seite 25 von 74
gemeinsamen Verantwortlichkeit für die Fanpage, deren vertragliche Ausgestaltung,
Vorliegen einer Rechtsgrundlage für den Betrieb der Fanpage und die faktische sowie
nachweisbare Möglichkeit der Wahrnehmung der Informations- und übrigen Betroffe-
nenrechte gegenüber der Senatskanzlei .
5. Schlussanträge des Generalanwalts in Sachen „Fashion ID“
Nach der oben angesprochenen Entscheidung „Wirtschaftsakademie“ (C-210/16) des
EuGH zur gemeinsamen Verantwortlichkeit von Fanpages wird der EuGH eine anschlie-
ßende Entscheidung zur Einbindung eines Social-Plugins (der „Gefällt mir“-Schaltflä-
che) treffen.
In diesem Fall geht es ebenfalls um die Frage der gemeinsamen Verantwortlichkeit für
die durch Facebook durchgeführte Verarbeitung personenbezogener Daten von Nut-
zern. Es geht jedoch nicht um die Besucher einer Fanpage, sondern die Besucher einer
Website, auf der ein Facebook-Code ausgeführt wird. Über den Code speichert Face-
book auf den Geräten der Website-Besucher personenbezogene Daten zur Interaktion
und Interesse an der Website in einem Cookie. Die Daten werden, vergleichbar wie im
Fall der Fanpages zu Zwecken des Profilings, für Werbezwecke verarbeitet.
In den Schlussanträgen empfiehlt der Generalanwalt dem Gericht, die Grenzen und
Folgen der gemeinsamen Verantwortlichkeit einzugrenzen (Schlussanträge des Gene-
ralanwalts vom 19. Dezember 2018, Rechtssache C‑40/17, Fashion ID GmbH & Co. KG
gegen Verbraucherzentrale NRW e. V., kurz „Fashion ID“).15 Dabei weist der General-
walt darauf hin, dass die ursprüngliche Entscheidung „Wirtschaftsakademie“ (C-
210/16) zwar zutreffend sei, aber als zu weit verstanden werden könnte und daher ei-
ner Einschränkung auf die Erhebung und Übermittlung der Daten an Facebook be-
darf.16
15 Schlussanträge des Generalanwalts vom 19. Dezember 2018, Rechtssache C‑40/17, Fashion ID GmbH & Co. KG gegen Verbraucherzentrale NRW e. V., „Fashion ID“, http://curia.europa.eu/ju-ris/document/document.jsf?text=&docid=209357&pageIndex=0&do-clang=en&mode=lst&dir=&occ=first&part=1&cid=4104104. 16 Schlussanträge „Fashion ID“, a.a.O., Rn. 71 ff.
Seite 26 von 74
Der Generalanwalt nimmt eine gemeinsame Verantwortlichkeit mit Facebook im Rah-
men der Einbindung der „Gefällt mir“-Schaltfläche als gegeben an. Denn mit der Ent-
scheidung über die Einbindung des Social-Plugins, entscheide der Betreiber der Webs-
ite zum einen mit über die Mittel der Verarbeitung der personenbezogenen Daten der
Besucher der Website. Zum anderen sind die von Facebook verfolgten betriebswirt-
schaftlichen Zwecke mit den Zwecken des (hier kommerziellen) Websitebetreibers,
seine Website mit Hilfe des Social-Plugins zu bewerben, hinreichend identisch. Dabei
betont der Generalanwalt, dass er die gemeinsame Verantwortlichkeit auch im Hin-
blick auf die Fanpages, d. h. entsprechend der Entscheidung „Wirtschaftsakademie“,
als gegeben ansieht.17
17 Schlussanträge „Fashion ID“, a.a.O., Rn. 100 ff.
Seite 27 von 74
C. Zulässigkeit des Betriebs der Fanpage der Senatskanzlei
Zu Beginn der rechtlichen Würdigung ist zunächst die räumliche und sachliche An-
wendbarkeit der DSGVO zu prüfen, bevor danach insbesondere eine datenschutzrecht-
liche Verantwortlichkeit der Senatskanzlei für die Fanpage sowie die Rechtmäßigkeit
der mit ihr verbundenen Verarbeitung der Insights-Daten zu untersuchen ist.
I. Räumlicher Anwendungsbereich
Der Anwendungsbereich der DSGVO ist gem. Art. 3 Abs. 1 DSGVO räumlich eröffnet, da
vorliegend Verarbeitungen personenbezogenen Daten durch in der EU ansässige öffent-
liche (Senatskanzlei) und nicht-öffentliche (Facebook Irland) Stellen erfolgt.
II. Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich ist eröffnet, wenn im Rahmen des Fanpage-Betriebs
personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.
1. Personenbezogene Daten
Die Verarbeitung von Daten der Nutzer durch Facebook zeichnet sich durch eine große
Vielfalt der Arten der Daten und deren Umfang aus. Nachfolgend werden daher typi-
sierend Daten aufgeführt, deren Darstellung für die folgende rechtliche Prüfung rele-
vant ist.
(a) Stammdaten und Kontaktdaten der Mitglieder
Facebook speichert die Stammdaten der Mitglieder samt deren Klarnamen (Vornamen,
Nachname), als auch deren Kontaktdaten wie Telefonnummer oder E-Mailadresse.
(b) Demografische Daten der Mitglieder
Daneben speichert Facebook den Stammdaten zugeordnet demografische Daten, zu de-
nen Merkmale wie Alter, Geschlecht, Wohnort und soziale Merkmale wie Beruf, Fami-
lienstand oder Einkommen, aber auch entsprechend Art. 9 Abs. 1 DSGVO besondere
Seite 28 von 74
Kategorien von Daten, wie Beziehungen zu anderen Personen, politische oder religiöse
Ansichten gehören können.
Diese Merkmale können, bis auf das Alter, freiwillig angegeben werden.
(c) Angaben zur Facebook-Nutzung, Verhalten und Interessen der Mitglieder
Facebook speichert ferner Daten, die Interessen der Nutzer und deren Verhalten betref-
fen. Diese Interessen können z. B. durch Angaben im Profil angegeben oder aus der In-
teraktion mit bestimmten Inhalten oder Fanpages oder Webseiten Dritter ermittelt wer-
den (z. B. Besuche der Fanpages, Verfassen von Kommentaren oder Klick auf die „Gefällt
mir“-Schaltfläche).
Daneben werden weitere nutzungsrelevante Daten, wie Zeitpunkte der Interaktionen
mit den Facebook-Funktionen und Inhalten sowie die IP-Adresse gespeichert.
Diese Informationen werden zur weiteren Auswertung auf den Geräten der Nutzer in
kleinen Textdateien, sog. Cookies, gespeichert.
(d) Insights-Daten
Bei den folgenden Insights-Daten handelt es sich um Arten von interessens- und ver-
haltensbezogenen Nutzungsdaten, die laut Facebook im Zusammenhang mit dem Be-
such einer Fanpage verarbeitet werden und Grundlage der Insights-Statistiken sind:
• Aufruf einer Fanpage bzw. eines Beitrags oder eines Videos von einer Fanpage.
• Eine Fanpage abonnieren oder nicht mehr abonnieren.
• Eine Fanpage oder einen Beitrag mit „Gefällt mir“ oder „Gefällt mir nicht mehr“
markieren.
• Eine Fanpage in einem Beitrag oder Kommentar empfehlen.
• Einen Fanpagenbeitrag kommentieren, teilen oder auf ihn reagieren (ein-
schließlich der Art der Reaktion).
Seite 29 von 74
• Einen Fanpagenbeitrag verbergen oder als Spam melden.
• Von einer anderen Fanpage auf Facebook oder von einer Webseite außerhalb
von Facebook auf einen Link klicken, der zu der Fanpage führt.
• Mit der Maus über den Namen oder das Profilbild einer Fanpage fahren, um
eine Vorschau der Fanpageninhalte zu sehen.
• Auf den Webseiten-, Telefonnummer-, „Route planen“-Button oder einen an-
deren Button auf einer Fanpage klicken.
• Die Information, ob Besucher über einen Computer oder ein Mobilgerät ange-
meldet ist, während er eine Fanpage besuchst oder mit ihr bzw. ihren Inhalten
interagiert.
(e) Standortdaten
Facebook erhebt ferner Informationen zum Standort der Mitglieder, wozu die Mitglie-
der eine Einwilligung abgeben müssen.
(f) Technische Daten
Ferner werden seitens von Facebook technische Informationen, z. B. zur Art oder Modell
eines verwendeten Gerätes gespeichert, dessen Betriebssystem oder verwendete Brow-
ser-Software.
(g) Inhaltsdaten
Facebook speichert ferner inhaltsbezogene Daten, d. h. von Mitgliedern verfasste Texte
(z. B. als Bestandteile von Kommunikationsvorgängen), Fotografien oder Videos.
(h) Personenbezug
Die vorstehend in diesem Abschnitt genannten Daten gelten gem. Art. 4 Nr. 1 DSGVO
als personenbezogen, wenn sie „sich auf eine identifizierte oder identifizierbare natür-
liche Person (im Folgenden ‚betroffene Person‘) beziehen“, wozu insbesondere auch
Onlinekennungen gehören.
Seite 30 von 74
Da Facebook Klarnamen, E-Mailadressen oder Telefonnummern, d. h. eindeutig identi-
fizierende Daten, den Nutzerprofilen zuordnet, muss mangels anderweitiger Anhalts-
punkte davon ausgegangen werden, dass alle vorstehend genannten Daten zumindest
für Facebook ebenfalls personenbezogen sind. Auch die Speicherung von personenbe-
zogenen Onlinekennungen wie IP-Adressen oder (wenn auch pseudonym) den Fan-
pagebesuchern zugeordneten Cookies führt zum gleichen Ergebnis eines Personenbe-
zuges der im Hinblick auf die Nutzer von Facebook verarbeiteten Daten.
2. Automatisierte Verarbeitung
Da auch der Verarbeitungsbegriff im Art. 4 Nr. 1 DSGVO sehr weitreichend ist, umfasst
der für Zwecke dieses Gutachtens mit der von Erhebung, über Speicherung, Ordnung,
Übermittlung oder Bereitstellung und bis zur Löschung reichende Verarbeitungskatalog
auch alle von Facebook durchgeführten Maßnahmen im Hinblick auf die personenbe-
zogenen Daten der Fanpagebesucher.
Hierbei kann eine automatisierte Verarbeitung personenbezogener Daten angesichts
der allein im virtuellen Raum, d. h. bei einer zwangsläufig auf einer automatisierten
Verarbeitung basierenden Fanpage, ohne Schwierigkeiten angenommen werden.
Folglich ist der sachliche Anwendungsbereich der DSGVO eröffnet.
III. Betroffene Personen
Von der Verarbeitung durch Facebook sind die personenbezogenen Daten von Face-
book-Mitgliedern, aber auch von Nicht-Mitgliedern, die die Fanpage der Senatskanzlei
aufsuchen, betroffen.18
IV. Verarbeitungszwecke
Laut Art. 5 Abs. 1 lit. b DSGVO dürfen personenbezogene Daten nur „für festgelegte,
eindeutige und legitime Zwecke erhoben werden […]“. Die folgende Darstellung der
Zwecke der Verarbeitung ist zudem im Hinblick auf die anschließende Festlegung und
18 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 15.
Seite 31 von 74
Prüfung der gemeinsamen Verantwortlichkeit sowie anwendbarer Rechtsgrundlagen
relevant. Die Verarbeitungszwecke werden hierzu aus der Sicht von Facebook und der
Sicht der Senatskanzlei dargelegt, wobei Überschneidungen der Zwecke möglich sind.
1. Facebooks Verarbeitungszwecke
Facebook verarbeitet die personenbezogenen Daten der Facebook-Plattform vor allem
zur technischen Darstellung ihrer Funktionen und Inhalte (zu denen auch Fanpages ge-
hören), Optimierung der Nutzererfahrung und Steigerung ihrer betriebswirtschaftli-
chen Rentabilität.
(a) Zurverfügungstellung der Fanpage und Sicherheit
Die personenbezogenen Daten der Fanpagebesucher müssen ferner zwangsläufig ver-
arbeitet werden, um die Fanpage im Browser der Nutzer darzustellen und den Verbin-
dungs- sowie Nutzungsvorgang, insbesondere im Hinblick auf die Erkennung von Zu-
griffen unbefugter Dritter, abzusichern.
Hierbei handelt es sich um einen legitimen Schutz der eigenen Interessen oder der In-
teressen der Nutzer.
(b) Betriebswirtschaftliche Zwecke und Profiling
„Profiling“ ist laut Art. 4 Nr. 4 DSGVO „jede Art der automatisierten Verarbeitung perso-
nenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwen-
det werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person be-
ziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftli-
che Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten,
Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorher-
zusagen.“
Das Profiling liegt dem Angebot von Facebook zugrunde. Im Rahmen eines algorithmi-
schen Verfahrens werden personenbezogene Daten der Facebook-Mitglieder verarbei-
tet, um den Mitgliedern auf Grundlage der Bewertung ihrer demografischen Daten, des
Seite 32 von 74
Nutzungsverhaltens sowie ihrer Interessen, technischer Daten und des Standortes be-
stimmte Inhalte und Informationen anzuzeigen.19
Anhand der so erstellten Nutzerprofile trifft Facebook z. B. Vorhersagen zur Bestim-
mung, welche Beiträge anderer Mitglieder für die jeweiligen Profilinhaber interessant
sein werden und hebt diese Beiträge aus der Masse anderer Beiträge, die der Nutzer
abonniert hat, hervor.
Im Hinblick auf das Geschäftsmodell von Facebook ist insbesondere die Vorhersage des
Interesses der Mitglieder an Facebook-Ads relevant. Gerade die Vermeidung der Streu-
verluste durch speziell auf die Mitglieder zugeschnittenen Werbeeinblendungen, d. h.
des Targetings, macht das Geschäftsmodell von Facebook lukrativ für Werbekunden.
Aber auch das Profiling zur Auswahl der Beiträge der Fanpages anhand potentieller In-
teressen der Facebook-Mitglieder dient mittelbar wirtschaftlichen Interessen, da sie ei-
ner längeren und intensiveren Nutzung der Facebook-Plattform und damit der Erhöhung
ihrer Attraktivität für Werbekunden dient.
Die vorgenannten betriebswirtschaftlichen Interessen von Facebook stellen dabei legi-
time Interessen dar, insbesondere weil die zielgerichtete Werbung im Erwägungsgrund
47 DSGVO, dort als „Direktwerbung“ bezeichnet, zu einem berechtigten Interesse er-
klärt wird.
2. Senatskanzlei
Die von der Senatskanzlei im Hinblick auf die Fanpage verfolgten Interessen über-
schneiden sich nur zum Teil mit den vorgenannten Interessen von Facebook.
(a) Zurverfügungstellung der Fanpage und Sicherheit
Was die Zurverfügungstellung und Gewährleistung der Sicherheit der Fanpage angeht,
ist davon auszugehen, dass sich das Interesse der Senatskanzlei zwangsläufig auch auf
diese Aspekte erstreckt.
19 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 34.
Seite 33 von 74
(b) Information, Kommunikation, Imagepflege
Entsprechend dem Social-Media-Konzept setzt die Senatskanzlei die Fanpage für die
Zwecke einer schnellen, unmittelbaren und transparenten Kommunikation mit Bürgern
und deren Information im Hinblick auf die Arbeit des Regierenden Bürgermeisters so-
wie seiner Behörde, Einholung von Informationen zu den Bedürfnissen der Bürger so-
wie zur Imagepflege der Stadt gegenüber den Bürgern und auswärtigen Besuchern so-
wie Interessenten ein.20
Hierbei handelt es sich allesamt um legale Zwecke die originär zum Aufgabenbereich
der städtischen Verwaltung gehören, sei es dem Inhalt nach als auch im Hinblick auf
deren Effektivität und Transparenz.
(c) Werbewirkung
Die Senatskanzlei verfolgt im Hinblick auf den Betrieb der Fanpage, anders als Face-
book, keine betriebswirtschaftlichen Zwecke.
Allerdings ist auch der Senatskanzlei daran gelegen, mit der Fanpage weitere potenti-
elle Besucher aus dem festgelegten Kreis der Bürger und potentieller Stadtbesucher
oder Unternehmen zu erreichen. Hierzu wertet die Senatskanzlei auch die Insights-Sta-
tistiken, z. B. zu Zwecken der Gestaltung der Fanpage-Beiträge, aus und profitiert
ebenfalls davon, dass Facebook ihre Beiträge auf Grundlage der Insights-Daten poten-
tiell interessierten Facebook-Mitgliedern anzeigt.
Da die Nutzung der Daten der Fanpagebesucher zur mittelbaren Förderung der vorge-
nannten Zwecke der Information, Kommunikation und Imagepflege dient, ist sie als
Zweck ebenfalls als legal zu qualifizieren.
20 S. Punkt B.III.1 des Gutachtens.
Seite 34 von 74
V. Datenschutzrechtliche Verantwortlichkeit der Senatskanzlei
Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über
die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im Fall der Fanpages ist unmittelbar Facebook verantwortlich, da Facebook über die
Mittel, d. h. die der Verarbeitung der Nutzerdaten zugrunde liegenden Technologien
und Verträge, als auch deren Zwecke, vor allem in betriebswirtschaftlicher Hinsicht,
bestimmt.21 Die Senatskanzlei kann jedoch für diese von Facebook durchgeführte Ver-
arbeitung mitverantwortlich sein.
1. Gemeinsame Verantwortlichkeit
Eine gemeinsame Verantwortlichkeit würde voraussetzen, dass die Senatskanzlei ge-
meinsam mit Facebook über die Zwecke und Mittel der Verarbeitung von personenbe-
zogenen Daten der Fanpagebesucher entscheidet.
Maßgeblich für diese Beurteilung ist die Entscheidung „Wirtschaftsakademie“ (C-
210/16) des EuGH.22 Ferner müssen die Schlussanträge des Generalanwalts in Sachen
„Fashion ID“ beachtet werden B.IV.3.23 Bei den Schlussanträgen handelt es sich zwar
um eine Entscheidungsempfehlung an den EuGH. Doch zum einen folgt das Gericht
diesen Empfehlungen in weit überwiegender Zahl der Fälle und zum anderen erfolgen
diese Vorschläge auf Grundlage der Entscheidung „Wirtschaftsakademie“ und entwi-
ckeln diese auf Grundlage der Aussagen des EuGH unter Beachtung praktischer Folgen
der gemeinsamen Verantwortlichkeit weiter.24
21 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 30. 22 S. B.IV.1. 23 S. B.IV.3. 24 In 86 % der Fälle, s. Wie folgsam ist der EuGH?, Baron van Lijnden, Constantin, 07.12.2017, https://www.faz.net/aktuell/politik/inland/wie-folgsam-ist-der-eugh-15330065.html.
Seite 35 von 74
(a) Begründung gemeinsamer Verantwortlichkeit
Der EuGH nahm eine gemeinsame Verantwortlichkeit aufgrund einer gemeinsamen
Entscheidung von Facebook und der Fanpagebetreiber über die Mittel und Zwecke der
Verarbeitung der personenbezogenen Daten der Fanpagebesucher an.
Eine gemeinsame Bestimmung über die Mittel der Verarbeitung sah das Gericht in der
Entscheidung des Betreibers, eine Fanpage einzurichten. Hierdurch ermöglicht der
Fanpagebetreiber die Erhebung und weitere Verarbeitung der personenbezogenen Da-
ten der Fanpagebesucher.25
Daneben weist das Gericht darauf hin, dass die Einrichtung einer Facebookseite eine
„Parametrierung“ erlaubt:26
„Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber
die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und so-
gar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von
Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook un-
terhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher
seiner Seite bei.“
Diese Parametrierung scheint auf eine ältere Funktion von Facebook abzustellen, mit
der Betreiber früher die Möglichkeit hatten, z. B. gewünschte Zielgruppen für deren
Fanpages zu bestimmen. Diese Funktion ist nach Wissen des Verfassers nicht mehr ak-
tiv. Ohnehin scheint der Umstand der Parametrierung nur zusätzlich zu den o. g. Vor-
teilen der gewonnenen statistischen Daten und den Vorteilen für die Ausrichtung des
eigenen Informationsangebotes genannt zu werden. So wird die „Parametrierung“ in
den Schlussanträge des Generalanwalts in Sachen „Fashion ID“ (C‑40/17) weit in dem
Sinne verstanden, dass bereits die Ermöglichung der Datenerhebung durch Facebook
einen „Parameter“ im Sinne des EuGH darstellen könnte.27
25 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 35. 26 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 36. 27 Schlussanträge „Fashion ID“, a.a.O., Rn. 69 f.; so auch Golland, K&R 433, 436 f.
Seite 36 von 74
Im Hinblick auf die gemeinsame Entscheidung über die Zwecke der Verarbeitung ent-
schied das Gericht, dass die Fanpage es dem Betreiber ermöglicht,
„zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Face-
book aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispiels-
weise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine
Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere In-
halte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem
Interesse sein könnten.“ 28
„Insbesondere kann der Fanpagebetreiber demografische Daten über seine Ziel-
gruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen
in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Infor-
mationen über den Lebensstil und die Interessen seiner Zielgruppe und Informatio-
nen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Ka-
tegorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie
geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen
durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein
ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.“29
In den Schlussanträgen in Sachen „Fashion ID“ (C‑40/17) erörterte der Generalanwalt
die Notwendigkeit der Übereinstimmung der gemeinsamen Zwecke näher und emp-
fahl dem Gericht festzustellen, dass die Zwecke nicht absolut identisch sein müssen
und eine Einheit der Zwecke ausreicht. So seien die von Facebook Irland verfolgten
kommerziellen Zwecke mit den werblichen Zwecken des mitwirkenden Unternehmens
einheitlich.30
Diese Ansicht des EuGH und des Generalanwalts bleibt jedoch nicht unwidersprochen
und so wird z.B. im Fall eines extremen Über-/Unterordnungsverhältnisses, wie bei Fa-
cebook und Fanpagebetreibern vorliegend, eine gemeinsame Verantwortlichkeit zum
28 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 34. 29 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 37. 30 Schlussanträge „Fashion ID“, a.a.O., Rn. 105.
Seite 37 von 74
Teil abgelehnt.31 Auch wenn diese Ansicht bei praktischer Betrachtung dem Urteil des
EuGH nicht standhalten dürfte, so muss das vorgenannte Über-/Unterordnungsver-
hältnis zumindest im Rahmen der Beurteilung des Umfangs der gemeinsamen Verant-
wortlichkeit berücksichtigt werden.
(b) Umfang gemeinsamer Verantwortlichkeit
Der EuGH hat selbst im Hinblick auf den Umfang der gemeinsamen Verantwortlichkeit
zum einen betont, dass diese insbesondere „noch höher erscheint“, wenn Nicht-Mit-
glieder von Facebook die Fanpage aufrufen.32
Von wesentlicher Bedeutung ist zudem der Hinweis, dass die Reichweite der gemeinsa-
men Verantwortlichkeit nach den Umständen des Einzelfalls zu bestimmen ist und
nicht zwangsläufig einen gleichen Verantwortungsumfang für Facebook und Fanpage-
betreiber bedeutet:
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der
Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber
nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Ak-
teure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen
sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten
in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen
sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichti-
gung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. 33
Die Frage der Gewichtung wurde von dem Generalanwalt in den Schlussanträgen in Sa-
chen „Fashion ID“ (C‑40/17) weiter erörtert.34 Der Generalanwalt stimmt dabei dem
EuGH zu, dass die gemeinsame Verantwortlichkeit sich nur auf die Phasen einer tat-
sächlichen Einwirkungsmöglichkeit beschränken sollten.35 So soll die Mitwirkung an
der Erhebung der personenbezogenen Daten und deren Übermittlung an Facebook
31 Kartheuser/Nabulsi, MMR 2018, 717, 720. 32 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 42. 33 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 43. 34 Schlussanträge „Fashion ID“, a.a.O., Rn. 71 ff. 35 Schlussanträge „Fashion ID“, a.a.O., Rn. 94.
Seite 38 von 74
umfasst werden, aber nicht die vorhergehende oder nachfolgende Verarbeitung der
Besucherdaten durch Facebook.36 Ansonsten würde die gemeinsame Verantwortlich-
keit uferlos werden und womöglich einen Internetserviceprovider oder gar den Strom-
versorger umfassen, da diese auch automatisierte Verarbeitungsvorgänge ermögli-
chen.37 Nach Ansicht des Generalanwalts bestünde sonst die Gefahr, dass in Folge ei-
ner zu weit gefassten gemeinsamen Verantwortlichkeit die Erfüllung der datenschutz-
rechtlichen Pflichten praktisch unmöglich wird.38
Auch im Hinblick auf die Einholung von Einwilligungen und die Erfüllung von Informati-
onspflichten, Auskunftspflichten und übriger Pflichten im Hinblick auf die Rechte der
betroffenen Personen sowie weiterer Datenschutzvorgaben, muss laut dem General-
anwalt die gemeinsame Verantwortlichkeit auf die tatsächlich beeinflussbare und ge-
meinsam verfolgte Verarbeitung der Daten beschränkt werden:39
Schließlich gilt, dass keine gute (Auslegung einer) Regelung dazu führen sollte, dass
die darin vorgesehenen Verpflichtungen von den jeweiligen Adressaten tatsächlich
nicht erfüllt werden können. Soll also die in zupackender Weise getroffene Bestim-
mung des Begriffs der (gemeinsamen) Verantwortlichkeit nicht in eine an alle Ak-
teure gerichtete und gerichtlich gestützte Anordnung mutieren, offline zu gehen
und soziale Netzwerke, Plugins sowie gegebenenfalls sonstige Drittinhalte nicht
mehr zu nutzen, muss bei der Bestimmung der Verpflichtungen und Verantwortlich-
keiten die Lebenswirklichkeit eine Rolle spielen, wobei wiederum die Fragen von
Kenntnis, originärer Verhandlungsmacht und der Fähigkeit, auf beliebige der hier in
Rede stehenden Aktivitäten Einfluss zu nehmen, einzubeziehen sind. 40
Der Generalanwalt spricht sich geradezu dafür aus, dass die gemeinsame Verantwort-
lichkeit nicht zur Einschränkung der Nutzung sozialer Netzwerke (in dem Fall ging es
um Facebook) führen darf und die tatsächliche Einflussnahme berücksichtigt werden
muss. Dabei komme es auf die faktischen Umstände an, weniger auf vertragliche
36 Schlussanträge „Fashion ID“, a.a.O., Rn. 107. 37 Schlussanträge „Fashion ID“, a.a.O., Rn. 73 f.; so auch Hacker, MMR 779 f. 38 Schlussanträge „Fashion ID“, a.a.O., Rn. 95. 39 Schlussanträge „Fashion ID“, a.a.O., Rn. 132 ff. 40 Schlussanträge „Fashion ID“, a.a.O., Rn. 91-94.
Seite 39 von 74
Regelungen.41 Vorliegend hat die Senatskanzlei laut der Seiten-Insights-Ergänzung we-
der vertraglich noch faktisch eine Möglichkeit, auf die Fanpage Einfluss zu nehmen, als
diese einzurichten oder abzuschalten.42
Es könnte hiergegen jedoch eingewandt werden, dass die Senatskanzlei faktisch die
betriebswirtschaftlichen Interessen von Facebook fördert, indem sie mit der Eröffnung
der Fanpage zumindest die Quantität der Insights-Daten steigert. Ferner könnte einge-
wandt werden, dass ebenfalls der Beitrag zu seinem Summierungseffekt berücksichtigt
werden sollte. Denn, auch wenn die Verantwortung des einzelnen Fanpagebetreibers
gering sein mag, summieren sich die einzelnen Einträge zu einer insgesamt intensive-
ren quantitativen Beeinträchtigung der betroffenen Nutzer. Vor diesem Hintergrund
könnte auch auf die Vielzahl der Datenschutzvorfälle bei Facebooks verwiesen wer-
den.43
Doch gerade diese Übertragung der Verantwortung würde jedem, der im Hinblick auf
deren faktische Einwirkung sehr eingeschränkten Fanpagebetreiber, quasi die gesamte
Verantwortung für alle Handlungen Facebooks aufbürden. Eine derartige Reichweite
der gemeinsamen Verantwortlichkeit würde jedoch im Gegensatz zu der vom EuGH
und dem Generalanwalt in Sachen „Wirtschaftsakademie“ und „Fashion ID“ verlangten
angemessenen Gewichtung der Verantwortung auf Grundlage der tatsächlichen Um-
stände stehen.44
(c) Feststellung der gemeinsamen Verantwortlichkeit und deren Umfangs für die Fan-
page der Senatskanzlei
Im Hinblick auf die Frage der gemeinsamen Mittel kann die Entscheidung des EuGH in
Sachen „Wirtschaftsakademie“ direkt übertragen werden. Denn auch die Senatskanzlei
ermöglichte mit der Einrichtung der Fanpage Facebook die Insights-Daten der Fan-
pagebesucher zu erheben und anschließend zu verarbeiten.
41 Schlussanträge „Fashion ID“, a.a.O., Rn. 85-87. 42 S. B.IV.1. 43 „Die ultimative Liste: So viele Datenskandale gab es 2018 bei Facebook“, netzpolitik.org, Simon Rebiger, 20.12.2018, https://netzpolitik.org/2018/die-ultimative-liste-so-viele-datenskandale-gab-es-2018-bei-face-book. 44 C.V.1(b).
Seite 40 von 74
Soweit eingewendet wird, dass der EuGH eine „Parametrierung“ des Erhebungsvor-
gangs fordert, so ist eher dem Generalanwalt zuzustimmen, demzufolge bereits die
Einrichtung einer Fanpage als eine „Parametrierung“ zu verstehen ist. Dies entspricht
auch dem weiten Verständnis der gemeinsamen Verantwortlichkeit seitens des EuGH,
der damit einen wirksamen und umfassenden Schutz der betroffenen Personen ge-
währleisten möchte.45
Im Hinblick auf die Übereinstimmung der Zwecke der Verarbeitung stand bzw. steht
sowohl im Verfahren „Wirtschaftsakademie“, wie auch „Fashion ID“ die Mitverantwor-
tung von nicht-öffentlichen und wirtschaftlich agierenden Unternehmen zur Debatte.
Die Senatskanzlei handelt jedoch zur Erfüllung öffentlicher Aufgaben und nicht aus un-
ternehmerischen Motiven. So ging der Generalanwalt in der Sache „Fashion ID“ auf
eine Einheit der kommerziellen Zwecke und der werblichen Zwecke des mit Facebook
zusammenwirkenden Unternehmens ein. Allerdings ist anhand der vorhergehenden
Ausführungen des EuGH und des Generalanwalts in beiden Verfahren nicht davon aus-
zugehen, dass im Fall der Senatskanzlei als öffentliche und nicht-kommerziell agie-
rende Stelle, keine Übereinstimmung der Zwecke vorliegt.
So stützte der EuGH seine Ausführungen darauf, dass die gewonnenen Insights-Daten
dem Fanpagebetreiber es erlauben,
„spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren […],
und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie
möglich zu gestalten.“46
Auch unter Zugrundelegung eines effizienten Schutzes der betroffenen Personen und
daraus resultierenden weiten Verständnisses der gemeinsamen Verantwortlichkeit
wäre eine Beschränkung auf nicht-öffentliche und/oder auf kommerziell agierende Ak-
teure nicht nachzuvollziehen. Es werden letztendlich dieselben Datenkategorien verar-
beitet. Der Unterschied besteht allein darin, dass in einem Fall Produkte oder
45 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 27 f; EugH, Urt. v. 13.5.2014, C‑131/12, „Google Spain“, Rn. 34, http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&do-clang=de&mode=lst&dir=&occ=first&part=1&cid=4107252. 46 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 37.
Seite 41 von 74
wirtschaftliche Leistungen der Wunschzielgruppe nähergebracht werden und im ande-
ren Fall Informationen für Bürger oder das Image der Stadt Berlin.
Folglich ist davon auszugehen, dass auch die Senatskanzlei und Facebook Irland sich
gegenseitig ergänzende und einheitliche Zwecke verfolgen. Facebook verfolgt betriebs-
wirtschaftliche Zwecke auf Basis der erhobenen Insights-Daten und die Senatskanzlei
möchte auf Grundlage dieser Daten ihr öffentliches Angebot effektiver bewerben und
an den Interessen der Bürger sowie potentieller Besucher oder Unternehmen ausrich-
ten.
Somit entscheiden Facebook und die Senatskanzlei gemeinsam über die Mittel und
Zwecke der Verarbeitung der Insights-Daten, weswegen davon auszugehen ist, dass sie
ebenfalls gemeinsam für deren Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO verant-
wortlich sind.
Allerdings reicht diese Mitverantwortung nur insoweit, als die Senatskanzlei an der
Phasen der Verarbeitung der Daten durch Facebook tatsächlich mitwirkt. Die Einwir-
kungs- und Mitentscheidungsmöglichkeiten der Senatskanzlei umfassen jedoch nur die
Erhebung, Speicherung und weitere Verarbeitung der Insights-Daten betreffend Face-
book-Mitglieder und Nicht-Mitglieder im Zusammenhang mit der Darstellung der Fan-
page, Erstellung der zu ihr gehörenden Insights-Statistiken sowie deren Nutzung für die
Anzeige der Fanpage-Beiträge in den Newsstreams der Nutzer. Unter Umständen kann
die gemeinsame Verantwortlichkeit auf Sicherheits- und Optimierungsbelange ausge-
dehnt werden.
Dagegen ist die vorhergehende Erhebung von Nutzerdaten, z. B. bei der Registrierung
oder im Rahmen der übrigen Nutzung der Facebook-Plattform oder die spätere Nut-
zung der Daten zur Zwecken der Einblendung interessens- und verhaltensbezogener
Werbung nicht von der gemeinsamen Verantwortlichkeit mitumfasst.
2. Unmittelbare Verantwortlichkeit
Eine Verantwortlichkeit der Senatskanzlei könnte sich zusätzlich oder parallel zu der
gemeinsamen Verantwortlichkeit entsprechend Art. 4 Nr. 7 DSGVO unmittelbar aus
Seite 42 von 74
der Grundrechtsbindung der Senatskanzlei gem. Art. 20 Abs. 3 GG ergeben. Hiernach
kann sich eine Zurechenbarkeit für Handlungen Dritter aufgrund mittelbarer und fakti-
scher Einwirkung ergeben. Hierzu wird der klassisch enge Eingriffsbegriff auch auf Fol-
gen, „die indirekt mit dem eingesetzten Zweck und dem verwirklichten Mittel zusam-
menhängen“, erweitert und für soziale Medien bejaht.47
Allerdings erscheint ein derartiger Auffangrechtsschutz nicht als erforderlich, wenn der
Gesetzgeber die Verantwortlichkeit in einem Tatbestandsbereich explizit normiert hat.
Ansonsten würde der Sinn und Zweck der DSGVO als ein harmonisierendes Recht ver-
fehlt werden, wenn nationale Gerichte eigene Verantwortlichkeitsgrenzen festlegen
würden. Diese Betrachtung entspricht der Argumentation des Generalanwalts in Sa-
chen „Fashion ID“ im Hinblick auf die Ablehnung der Figur der Störerhaftung, die eben-
falls auf mittelbaren und faktischen Einwirkungen beruht.48
D. h., es bedarf keiner parallelen Prüfung einer faktischen Verantwortlichkeit. Anhalts-
punkte dafür, dass das grundgesetzliche Schutzniveau durch die europarechtlichen Re-
gelungen der DSGVO zur Mitverantwortung unterschritten wurde, liegen nicht vor.49
Ohnehin müsste sich die Prüfung der Verantwortlichkeit auch hier an den vom EuGH
und Generalanwalt zugrunde gelegten Kriterien der Adäquanz, also insbesondere Mög-
lichkeit und Zumutbarkeit normgemäßen Verhalten orientieren.50 Es wäre also mit ei-
nem mit der Prüfung der gemeinsamen Verantwortlichkeit übereinstimmenden Ergeb-
nis zu rechnen.
47 BVerfG 26.6.2002, 1 BvR 670/91, BVerfGE 105, 279 „Sektenwarnungen“; explizit bejahend, Engeler, MMR 2017, 651, 654 f.; Schiff, MMR 2018, 366. 48 S. C.V.1(b). 49 Vgl., „Solange“-Rechtsprechung, BVerfG, Beschl. v. 29.5.1974 (2 BvL 52/71), BVerfGE 37, 371 (278 ff.). 50 So im Rahmen der Prüfung der Störerhaftung, Hacker, MMR 279, 779, 780 ff.
Seite 43 von 74
VI. Seiten-Insights-Ergänzung als Vereinbarung gem. Art 26 DSGVO
Ebenso wie eine Einzelverantwortlichkeit bedeutet auch die gemeinsame Verantwort-
lichkeit, dass die gemeinsam Verantwortlichen jeweils für sich die sich aus der DSGVO
ergebenden Pflichten erfüllen müssen. Hierzu gehört insbesondere die Pflicht zum Ab-
schluss einer speziellen Vereinbarung gem. Art. 26 Abs. 1 S. 1 DSGVO. Diese Pflicht
könnte durch die von Facebook bereitgestellte Seiten-Insights-Ergänzung erfüllt wor-
den sein, wenn diese Ergänzung wirksam vereinbart wurde und inhaltlich den gesetzli-
chen Anforderungen entspricht.
1. Wirksame Vereinbarung der Seiten-Insights-Ergänzung
Der EuGH stellte in der Sache „Wirtschaftsakademie“ zunächst fest, dass zwischen Fa-
cebook und dem Fanpagebetreiber ein Vertrag auf Grundlage der Nutzungsbedingun-
gen einschließlich der Cookie-Richtlinie abgeschlossen wird.51
Dieses Klauselwerk ergänzte Facebook durch die Seiten-Insights-Ergänzung und nahm
in der Seiten-Insights-Ergänzung den Hinweis auf, dass diese eine Vereinbarung gem.
Art. 26 DSGVO im Hinblick auf die Insights-Daten darstellt:
Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwort-
liche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt
die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf
die Verarbeitung von Insights-Daten fest.
Ferner erklärte Facebook die „Seiten-Insights-Ergänzung“ für verbindlich:
Seiten-Insights können auf personenbezogenen Daten basieren, die im Zusammen-
hang mit einem Besuch oder einer Interaktion von Personen auf bzw. mit deiner
Seite und ihren Inhalten erfasst wurden. Wenn du in der Europäischen Union/im Eu-
ropäischen Wirtschaftsraum wohnst und sofern diese personenbezogenen Daten
unter deinem Einfluss und deiner Kontrolle (bzw. dem-/derjenigen irgendeines Drit-
ten, für den du die Seite erstellst oder verwaltest) im Rahmen der Datenschutz-
51 EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 32.
Seite 44 von 74
Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) verarbeitet werden, („In-
sights-Daten“), erkennst du in deinem eigenen Namen (und als Vertreter fur jedwe-
den sonstigen Dritt-Verantwortlichen, für den du die Seite erstellst oder verwaltest,
und in dessen Namen) an und stimmst zu, dass diese Seiten-Insights-Ergänzung be-
zuglich des Verantwortlichen („Seiten-Insights-Erganzung“) gilt.
Die vertraglichen Grundlagen von Dauerschuldverhältnissen können nachträglich
grundsätzlich nur mit einer Einigung beider Vertragsparteien wirksam verändert wer-
den. Die Veröffentlichung der Seiten-Insights-Ergänzung stellt das Angebot einer sol-
chen Einigung dar, das die Senatskanzlei jedoch angenommen haben müsste.
Im vorliegenden Fall hat sich die Senatskanzlei nach Wissensstand des Verfassers mit
der Annahme des Änderungsangebotes bereit erklärt (zumal diese Einigung für die Se-
natskanzlei insgesamt eine günstige Regelung darstellt, da sie der Erfüllung ihrer Pflich-
ten aus Art. 26 DSGVO dient). Allerdings ist die Annahme gegenüber Facebook nicht
ausdrücklich erklärt worden. Jedoch geht Facebook entsprechend Ziffer 4.1. der Nut-
zungsbedingungen davon aus, dass die aktualisierten Nutzungsbedingungen in Kraft
treten und die Vertragspartner binden, wenn diese Facebooks Produkte weiterhin nut-
zen. Folglich erwartet Facebook nach den Regeln des common law/ law of contract
(entsprechend § 151 BGB) keine Annahmeerklärung im Hinblick auf die Einführung der
Seiten-Insights-Ergänzung, weshalb diese bereits mit der weiteren Nutzung der Platt-
form durch die Senatskanzlei wirksam und Teil des Vertrages mit Facebook geworden
ist.52
Nur ergänzend wird darauf hingewiesen, dass Art. 26 DSGVO nur eine „Vereinbarung”
(Englisch: „arrangement”) voraussetzt, die nicht notwendigerweise als Vertrag ausge-
staltet sein muss, sondern sich auch in einer dokumentierten Abstimmung erschöpfen
könnte (vgl. den Wortlaut von Artikel 28 DSGVO, der ausdrücklich von Vertrag spricht).
52 Zum Prinzip der Annahme durch schlüssiges Handeln, s. "An Introduction to Building Contracts: an Irish Context", Dublin Institute of Technology, Cunningham, 2016, https://arrow.dit.ie/cgi/viewcontent.cgi?arti-cle=1065&context=beschreoth, S. 5.
Seite 45 von 74
2. Inhaltliche Prüfung der Seiten-Insights-Ergänzung
Im Hinblick auf die Ausgestaltung der gemeinsamen Verantwortlichkeit legt Art. 26
Abs. 1 S. 1 DSGVO fest, dass in einer transparente Vereinbarung festzulegen ist, welche
der mitverantwortlichen Parteien welche der vorgenannten Verpflichtung erfüllt. Da-
bei soll insbesondere festgelegt werden, welche der Vertragsparteien den Informati-
onspflichten gemäß den Artikeln 13 und 14 nachkommt.
Ebenso muss die Vereinbarung gemäß Absatz „die jeweiligen tatsächlichen Funktionen
und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen
gebührend widerspiegeln“. Ferner muss „das Wesentliche der Vereinbarung der be-
troffenen Person zur Verfügung gestellt“ werden.
Des Weiteren kann in der Vereinbarung eine Anlaufstelle für die betroffenen Personen
angegeben werden.
Daneben wird in Absatz 3 festgestellt, dass die betroffenen Personen unabhängig von
der Vereinbarung ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzel-
nen der Verantwortlichen geltend machen können.
Die Seiten-Insights-Ergänzung wird nachfolgend entsprechend diesen Vorgaben ge-
prüft.
(a) Primäre Verantwortlichkeit
Im Hinblick auf die Verteilung der Verantwortlichkeit bei der Erfüllung der Pflichten aus
der DSGVO, statuiert die Seiten-Insights-Ergänzung, dass die primäre Verantwortlich-
keit bei Facebook liegt:
Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Ver-
arbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der
DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel
12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber
hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den
betroffenen Personen zur Verfügung stellen.
Seite 46 von 74
Diese Verantwortlichkeit umfasst entsprechend den Anforderung des Art. 26 Abs. 1 S.
2 DSGVO die Erfüllung der Informationspflichten, Auskunftspflichten, Löschungspflich-
ten und die Gewährleistung weiterer Betroffenenrechte, als auch der Sicherheit der
Verarbeitung sowie der Maßnahmen im Fall von Verletzungen des Datenschutzes.
Ebenso verpflichtet sich Facebook entsprechend zur Unterrichtung der betroffenen
Nutzer über das „wesentliche“ der Seiten-Insights-Ergänzung entsprechend den Anfor-
derung des Art. 26 Abs. 2 S. 2 DSGVO Bereitzustellen.
(b) Beschränkung auf Insights-Daten
Die Reichweite der Seiten-Insights-Ergänzung wird allein auf die Verarbeitung der In-
sights-Daten festgelegt. Ferner stehen den Betreibern keine Rechte auf Offenlegung
der personenbezogenen Daten der Nutzer zu.
Facebook Ireland bleibt alleinig verantwortlich für die Verarbeitung solcher perso-
nenbezogenen Daten im Zusammenhang mit Seiten-Insights, die nicht unter diese
Seiten-Insights-Ergänzung fallen. Diese Seiten-Insights-Ergänzung gewährt dir kein
Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeite-
ten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich
für Seiten-Insights, welche wir dir bereitstellen.
Diese Regelung entspricht der Entscheidung des EuGH in der Sache „Wirtschaftsakade-
mie“ und der Empfehlung des Generalanwalts in der Sache „Fashion ID“.53 Die gemein-
same Verantwortlichkeit erstreckt sich nur auf die im Rahmen des Fanpagebesuches
erhobenen Daten der Nutzer.
(c) Verantwortung für eigene Rechtsgrundlage
In der Seiten-Insights-Ergänzung weist Facebook die Fanpagebetreiber ferner auf die
Verantwortung, eine eigene Rechtsgrundlage der Fanpagenutzung vorzuweisen, Ver-
antwortliche zu benennen und sonstige geltenden Rechtspflichten zu beachten hin:
53 S. C.V.1(b).
Seite 47 von 74
Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von In-
sights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der
Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.
(d) Umgang mit Anfragen von Betroffenen und Aufsichtsbehörden
Die Vereinbarung enthält Regelungen im Hinblick auf Anfragen von Betroffenen und
Aufsichtsbehörden. Für diese Zwecke stellt Facebook ein Kontaktformular zur Verfü-
gung, mittels dessen die Anfragen innerhalb von 7 Tagen übersendet werden sollen
und die Betreiber von Fanpages zur Kooperation bei der Beantwortung der Fragen ver-
pflichtet werden. Zugleich wird den Betreibern von Fanpages untersagt, Antworten im
Namen von Facebook zu erteilen oder entsprechende Handlungen vorzunehmen.
Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsicht-
lich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen
dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir auf-
nimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spä-
testens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiter-
zuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland
wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung ob-
liegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen
Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derar-
tigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Face-
book Ireland zu handeln oder zu antworten.
Entsprechend den Anforderungen des Art. 26 Abs. 1 S. 2 DSGVO sichert diese Regelung
vertraglich ab, dass die gesetzlichen Pflichten erfüllt und insbesondere die Betroffe-
nenrechte geschützt werden. Entsprechend Art. 26 Abs. 3 DSGVO wird durch Festle-
gung der Mitwirkungspflichten beider Vertragsparteien, zumindest vertraglich, sicher-
gestellt, dass die Betroffenenrechte unabhängig davon, ob Betroffene sich an Face-
book Irland oder die Fanpagebetreiber wenden, beachtet werden.
Seite 48 von 74
(e) Festlegung der irischen Datenschutzkommission als federführende Aufsichtsbe-
hörde
Facebook legt die eigene Federführung bei dem Betrieb der Fanpage fest und be-
stimmt zugleich, dass die irische Datenschutzkommission die federführende Aufsichts-
behörde für die Verarbeitung von Insights-Daten ist.
Du stimmst zu, dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbei-
tung von Insights-Daten treffen und umsetzen kann. Facebook Ireland entscheidet
nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-In-
sights-Ergänzung erfüllt. Du stimmst zu, dass Facebook Ireland in der EU die Haupt-
niederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortli-
che ist. Außerdem erkennst du an, dass die irische Datenschutzkommission die fe-
derführende Aufsichtsbehörde für diese Verarbeitung ist.
Diese Festlegung der federführenden Aufsichtsbehörde entspricht der Empfehlung des
Europäischen Datenschutzausschusses (ehemals „Art. 29 Gruppe“), wonach bei ge-
meinsamer Verantwortlichkeit im Zuständigkeitsbereich von zwei Datenschutzbehör-
den, eine als „federführend“ festgelegt werden darf:54
Um die Vorteile des Verfahrens der Zusammenarbeit und Transparenz in vollem
Umfang nutzen zu können, sollten gemeinsam Verantwortliche daher festlegen,
welche entscheidungsbefugte Niederlassung eines gemeinsam Verantwortlichen die
Befugnis haben soll, für alle gemeinsam Verantwortlichen Entscheidungen über die
Datenverarbeitung umzusetzen.
Entsprechend der Festlegung wäre die Berliner BfDI nur im Rahmen der qualifizierten
Zuständigkeitsanforderungen des Art. 56 Abs. 2 DSGVO berechtigt sich mit einem ihrer
Ansicht nach aus dem Betrieb der Fanpage resultierenden Verstoß gegen die DSGVO
zu befassen:
54 „Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auf-tragsverarbeiters“, Art 29 Gruppe, Working Paper 244, 5.4.2017, S. 8-9, https://www.baden-wuerttem-berg.datenschutz.de/wp-content/uploads/2018/06/wp244rev01_de_Federf%C3%BChrende-Aufsichts-beh%C3%B6rde.pdf.
Seite 49 von 74
Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer
bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verord-
nung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mit-
gliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats er-
heblich beeinträchtigt.
Im vorliegendem Fall ist es jedoch mehr als zweifelhaft, ob diese Voraussetzungen er-
füllt sind. Dazu müsste die Fanpage der Senatskanzlei als Gegenstand einer aufsichts-
behördlichen Maßnahme nur mit einer inländischen Niederlassung zusammenhängen.
Dies könnte man z. B. annehmen, wenn es um potentielle Datenschutzverstöße ging,
die mindestens primär der Senatskanzlei zuzurechnen wären.55 Vorstellbar wäre z. B.
die unerlaubte Veröffentlichung von Daten der Bürger auf der Fanpage. Allerdings ist
dieser separate Inlandsbezug nicht gegeben, wenn es um die Verarbeitung von In-
sights-Daten geht. In diesem Fall ist ganz im Gegenteil Facebook Irland primär zustän-
dig, so dass zumindest ausgeschlossen werden kann, dass ein Zusammenhang „nur“
mit einer Niederlassung im Zuständigkeitsbereich der Berliner BfDI vorliegt.
Ferner erscheint es ebenfalls als zweifelhaft, ob die vorliegend zur Debatte stehende
Erhebung und Speicherung der Insights-Daten der betroffenen Fanpagebesucher die
Schwelle der Erheblichkeit erreicht.
Folglich wäre die Berliner BfDI vorliegen nicht nach Art 56 Abs. 2 zuständig, könnte je-
doch im Rahmen der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
und anderen betroffenen Aufsichtsbehörden gem. Art. 60 DSGVO an einem Verfahren
der irischen Datenschutzkommission beteiligt werden.
Diese Feststellung zur fehlenden (primären) Zuständigkeit steht unter dem Vorbehalt,
dass die Ansicht der Art. 29 Gruppe von dieser weiterhin vertreten wird, wogegen der-
zeit jedoch keine Anhaltspunkte sprechen.
55 Art 29 Gruppe, Working Paper 244, a.a.O., S. 11.
Seite 50 von 74
(f) Geltendes Recht, Aktualisierungen und salvatorische Klausel
Im vorletzten Abschnitt der Seiten-Insights-Ergänzung wird im Fall von geschäftlichen
oder gewerblichen Zwecken der Gerichtsstand für Streitigkeiten innerhalb bzw. aus der
Beziehung zwischen Facebook und den Betreibern von Fanpages in Irland verortet und
es wird die Geltung des irischen Rechts festgelegt.
Der vorletzte Abschnitt enthält einen Hinweis auf mögliche Aktualisierungen der Sei-
ten-Insights-Richtlinie und deren automatische Geltung sowie die Beendigung des Be-
triebs der Fanpage als einzige Alternative
Dieser Abschnitt der Seiten-Insights-Ergänzung enthält ferner enthält eine Klausel zur
Aufrechterhaltung der Vereinbarung, sofern einzelne Teile unwirksam sein sollten. Fer-
ner erklärt Facebook, dass die Nichtausübung eigener Rechte keinen Verzicht auf diese
darstellt.
Diese Regelungen sind durch den Art. 26 DSGVO nicht direkt vorgegeben, jedoch inso-
weit förderlich, als die Rechtsklarheit im Hinblick auf das geltende Recht und den Ge-
richtsstandort und Beständigkeit der Vereinbarung zumindest dem Wortlaut nach si-
cher gestellt werden sollen. Ob die Formulierungen tatsächlich nach deutschem Recht
zulässig sind, ist dagegen nicht Gegenstand dieser Prüfung. Da die Klauseln nach der
hier vertretenen Ansicht nicht erforderlich sind, wäre die Prüfung zudem ohnehin von
geringer Relevanz für das Gutachten.
3. Inhaltliche Vollständigkeit der Seiten-Insights-Ergänzung
Die Inhaltliche Prüfung hat ergeben, dass die wirksam in den Vertrag zwischen Face-
book Irland und der Senatskanzlei einbezogene Seiten-Insights-Vereinbarung die An-
forderungen des Art 26 Abs. 1 DSGVO erfüllt. Insbesondere wird vertraglich sicherge-
stellt, dass die Rechte der Betroffenen gewahrt werden.
Die Beschränkung der Vereinbarung auf die Insights-Daten erfolgt im Einklang mit der
Rechtsprechung des EuGH in Sachen „Wirtschaftsakademie“ und der Ansicht des Ge-
neralanwalts in Sachen „Fashion ID“ und ist daher ebenfalls nicht zu beanstanden.
Seite 51 von 74
Aber auch sonst übernimmt Facebook Irland als der tatsächlich und primär agierende
Verantwortliche die Verantwortung für die Wahrnehmung der sich aus der Verarbei-
tung von personenbezogenen Daten der Fanpagebesucher ergebenden Pflichten.56
Aufgrund der faktisch nur durch Facebook durchgeführten Verarbeitung ist auch die
Festlegung der irischen Datenschutzkommission als federführende Aufsichtsbehörde
formell nicht zu beanstanden. Etwaige Kritik im Hinblick auf eine nachlässige Tätigkeit
der irischen Behörde kann, insbesondere unter der Geltung der DSGVO, ohne deutli-
che und zumindest behördlich festgestellte Anhaltspunkte, nicht berücksichtigt wer-
den.
Neben der Wirksamkeit der vertraglicher Verpflichtung ist jedoch auch zu prüfen, ob
Facebook ihr tatsächlich nachkommt.
VII. Tatsächliche Erfüllung der gesetzlichen Verpflichtungen
Damit die Fanpage der Senatskanzlei rechtmäßig betrieben wird, ist die Erfüllung der
formellen Pflichten des Art. 26 DSGVO allein nicht ausreichend. Es muss sichergestellt
sein, dass die datenschutzrechtlichen Verpflichtungen auch tatsächlich erfüllt werden.
1. Erfüllung von Informationspflichten
Facebook stellt zunächst die Angaben zur Erfüllung der Informationspflichten gem. Art.
13 und 14 DSGVO sowie Art. 26 Abs. 2 DSGVO bereit. Mit der Veröffentlichung der Sei-
ten-Insights-Ergänzung ging auch die Veröffentlichung der Informationen zu Seiten-In-
sights-Daten, die neben anderen Informationen, z. B. dem Impressum, unter der rechten
Seitenspalte einer jeden Fanpage verlinkt ist, einher.
(a) Informationen zu Seiten-Insights-Daten
In den Informationen zu Seiten-Insights-Daten, werden insbesondere die Insights-Da-
ten selbst aufgeführt.57 Ferner werden die Fanpagebesucher auf die Möglichkeit der ge-
meinsamen Verantwortlichkeit hingewiesen:
56 Zur faktischen Verantwortlichkeit, vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 30 57 S. C.II.1(d).
Seite 52 von 74
Für eine Seite bereitgestellte Seiten-Insights erfordern möglicherweise die Verarbei-
tung personenbezogener Daten, die unter den Schutz der Europäischen Daten-
schutz-Grundverordnung (oder „DSGVO“) fallen. Die DSGVO gilt fur die Verarbei-
tung dieser Daten, wenn du beispielsweise in einem Gebiet wohnst, in dem Face-
book Ireland die Facebook-Produkte bereitstellt. Dann sind Facebook Ireland und
der Seitenadministrator möglicherweise gemeinsam für deine Daten verantwort-
lich, die im Zusammenhang mit einem Besuch oder einer Interaktion mit einer Seite
(einschließlich ihrer Inhalte) erfasst werden, sofern die Daten für Seiten-Insights
verarbeitet werden. In diesem Fall gilt Folgendes für die Verarbeitung unter ge-
meinsamer Verantwortung:
Anschließend werden die Fanpagebesucher auf die Seiten-Insights-Ergänzung hingewie-
sen, die primäre Verantwortung von Facebook im Hinblick auf die einzeln aufgeführten
Betroffenenrechte als auch die Festlegung der irischen Datenschutzkommission als fe-
derführende Aufsichtsbehörde.
Diese Hinweise sind ausreichend, um die Pflicht, den Betroffenen das Wesentliche der
Vereinbarung gem. Art. 26 Abs. 2 DSGVO zugänglich zu machen, zu erfüllen. Das gilt erst
recht wegen der direkten Verlinkung der Seiten-Insights-Ergänzung in den Informatio-
nen zu Seiten-Insights-Daten.
Dabei ist es unschädlich, dass Facebook von einer möglicherweise vorliegenden gemein-
samen Verantwortlichkeit spricht. Insoweit muss Rücksicht auf den Umstand genom-
men werden, dass es Fälle geben kann, in denen die Nutzer sich zwar auf einer Fanpage
befinden, aber eine nur von Facebook zu verantwortende Verarbeitung stattfindet. Zum
Beispiel könnte ein Chat-Fenster des Facebook-Messenger-Dienstes (über den Nutzer
sich private Nachrichten zusenden können) eingeblendet sein. Dabei handelt sich jedoch
nicht um die eigentliche Fanpage, sondern lediglich um eine im Browser zur Erhöhung
des Bedienkomforts eingeblendete Kommunikationsmöglichkeit, auf deren Grundlage
keine Insights-Daten für die Fanpagebetreiber gewonnen werden. Umgekehrt wäre die
Detaildarstellung derartiger Ausnahmen sehr umfangreich und könnte die Anforderun-
gen an die Transparenz einer Datenschutzerklärung verfehlen (Art. 12 Abs. 1 S. 1
DSGVO).
Seite 53 von 74
Daher ist angesichts des Umstands, dass die Rechte der Nutzer in jedem Fall gewahrt
werden sollen, die Formulierung „möglicherweise gemeinsam für deine Daten verant-
wortlich“ für die Information der Nutzer hinreichend.
Ferner werden die Nutzer, bereits am Anfang der Informationen zu Seiten-Insights-Da-
ten, auf die allgemeine Datenrichtlinie sowie die Cookie-Richtlinie von Facebook hinge-
wiesen.
Soweit ein nicht hinreichender Detailgrad der Beschreibung der Funktionen der Daten-
verarbeitung oder der Zusammenarbeit beanstandet werden sollte (z.B., Darstellung der
Verarbeitungsprozesse im Hinblick auf die Erhebung oder Unterscheide der Verarbei-
tung der Daten von Mitglieder und Nichtmitgliedern: oder gar eine Übertragung der Vor-
gaben des Art. 28 DSGVO), ist anzumerken, dass diese Detailvorgabe sich nicht im Wort-
laut des Gesetzes widerspiegelt. Art. 26 Abs. 2 verlangt eine gebührende Darstellung der
„jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortli-
chen gegenüber betroffenen Personen.“58 Indem die Nutzer darüber unterrichtet wer-
den, dass Facebook deren Daten in Eigenregie als primär Verantwortlicher verarbeitet
und für die Erfüllung der Nutzerrechte zuständig ist, sind die Besucher hinreichend über
die Funktionen und Beziehungen zwischen Facebook und Fanpagebetreiber im Hinblick
auf deren Verarbeitung von Daten informiert. Was die einzelnen Verarbeitungsvorgänge
angeht, können sich die Fanpagebesucher in der Datenschutzrichtlinie von Facebook in-
formieren oder direkt an Facebook wenden.
(b) Hinreichende Aufklärung der Nutzer durch Facebook
Es kann durchaus kritisiert werden, dass die Verarbeitung der Daten durch Facebook
einen Umfang erreicht, der von Laien schwer bis kaum zu überblicken ist. Eine so weit-
reichende Prüfung würde zum einen den Rahmen des Gutachtens bei weitem sprengen,
ist aber auch nicht erforderlich.
Denn wie oben festgestellt, bezieht sich die gemeinsame Verantwortlichkeit nur auf die
Insights-Daten und die Verarbeitungsphase ihrer Erhebung, Speicherung und sonstiger
58 Vgl. Piltz, in: Gola, 2018, DSGVO, Art. 26, Rn. 19 ff.
Seite 54 von 74
Verarbeitung zur Darstellung der Fanpage, der Erstellung der Insights-Statistiken sowie
der zielgerichteten Anzeige der Beiträge, aber nicht auf die vorhergehende und die
nachfolgende Verarbeitung der Daten durch Facebook, wie die Entscheidung im Fall
„Fashion ID“ zeigt.59
Was die Insights-Daten angeht, so liegen keine Anhaltspunkte dafür vor, dass die Fan-
pagebesucher nicht hinreichend über die Arten und den Umfang der verarbeiteten Da-
ten und die Verarbeitungszwecke informiert werden. Dabei muss erneut betont werden,
dass die Informationspflicht für Fanpagebetreiber nur den beschränkten Bereich derer
Verarbeitung im Rahmen der gemeinsamen Verantwortlichkeit und nicht die weitere
Nutzung dieser Daten durch Facebook betrifft.
Allerdings könnte das Argument vorgebracht werden, dass die Bezeichnung „Informati-
onen zu Seiten-Insights-Daten“ nicht den Vorgaben einer Übermittlung von Daten-
schutzhinweisen in „präziser, transparenter, verständlicher und leicht zugänglicher
Form“ entspricht (Art. 12 Abs. 1 S. 1 DSGVO). Dazu könnte bemängelt werden, dass Nut-
zer hinter dieser Formulierung keine Datenschutzhinweise erwarten. Allerdings enthält
dieser Hinweis den Begriff „Daten“. Ferner steht der Begriff an erster Stelle des rechtli-
chen Hinweisblocks und direkt vor dem Begriff „Datenschutz“, sodass ein kontextualer
Zusammenhang der Hinweise erkennbar wird. Dennoch empfiehlt sich ein eigener Da-
tenschutzhinweis der Senatskanzlei zur Klärung dieses Risikos.
Im Hinblick auf die Cookies werden die Betroffenen in der Cookie-Richtlinie auf die Funk-
tionsweise hingewiesen, wo sie über deren Funktion, Speicherdauer und die Wider-
spruchsmöglichkeiten informiert werden.
Ferner erfolgt ein Verweis auf die Datenrichtlinie von Facebook, die weitere Erläuterun-
gen zu der Wahrnehmung von Nutzerrechten, Kontaktmöglichkeiten, Rechtsgrundlagen
der Verarbeitung etc., enthält.
59 S. C.V.1(b).
Seite 55 von 74
Die Angaben zu den beiden gemeinsam Verantwortlichen finden sich ferner im Impres-
sum von Facebook sowie in dem auf der ersten Seite der Fanpage verlinkten Impressum
des Fanpagebetreibers, hier der Senatskanzlei.
(c) Erforderlichkeit eigener Datenschutzhinweise der Senatskanzlei
Im Hinblick auf die Insights-Daten gelten die Informationen zu Seiten-Insights-Daten
gleichermaßen für Facebook Irland wie auch für die Senatskanzlei und sind auch inso-
weit ausreichend.
Allerdings ist zu bedenken, dass die Senatskanzlei die Daten der Fanpagebesucher auch
in eigener Verantwortung verarbeitet. Dazu gehört z. B. etwaige Aufzeichnung von Kom-
munikationsvorgängen mit Nutzern, etwa im Hinblick auf deren Namen oder die Inhalte.
Bereits aus diesem Grund ist es zu empfehlen, dass die eigene Datenschutzerklärung der
Senatskanzlei per Link in die Facebook-Seite eingebunden wird.60
Ein weiterer Grund ist, dass die Senatskanzlei entsprechend den gesetzlichen Pflichten
im Art. 13 Abs. 1 lit. a) 2. HS DSGVO und der Seiten-Insights-Ergänzung über die Rechts-
grundlage der von ihr im Rahmen der Bereitstellung der Fanpage verarbeiteten Daten
benennen muss. Denn die gemeinsame Verantwortlichkeit bedeutet nicht, dass die bei
einem der Verantwortlichen vorliegende Rechtsgrundlage auch automatisch für den an-
deren Verantwortlichen gilt. So könnte z. B. einer der Verantwortlichen auf Grundlage
einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO handeln und der andere zur Erfüllung
berechtigter Interessen gem. Art. 6 Abs. 1 lit. DSGVO.
Auch die vom LfDI BW vorgeschlagenen Hinweise auf die Alternativangebote sowie Ri-
siken der Verarbeitung und das Verarbeitungskonzept können nur in der eigenen Daten-
schutzerklärung platziert werden.61
Die Datenschutzhinweise auf der Website der Senatskanzlei werden im Zeitpunkt der
Erstellung dieses Gutachtens in der Unterseite „Info“ der Fanpage der Senatskanzlei in
dem dort von Facebook vorgegebenem Feld „Datenrichtlinie“ verlinkt. Ob ein Verweis
60 Richtlinie SoMe, LfDI BW, a.a.O., S. 5 f. 61 Richtlinie SoMe, LfDI BW, a.a.O., S. 3 ff.
Seite 56 von 74
in der „Info“-Unterseite ausreichend ist, kann derzeit nicht abschließend beantwortet
werden. Zumindest im Hinblick auf das Impressum erklärten die bisherigen Gerichtsent-
scheidungen, dass der Begriff „Info“ für einen Ort, an dem das Impressum zu finden ist,
nicht als leicht erkennbar im Sinne des § 5 Abs. 1 TMG gilt.62
Da auch laut Art. 12 Abs. 1 S. 1 DSGVO die Datenschutzhinweise in „präziser, transpa-
renter, verständlicher und leicht zugänglicher Form“ übermittelt werden müssen, ist in-
diziell davon auszugehen, dass auch in diesem Fall ein Link zur Datenschutzerklärung
allein in der Rubrik „Info“ nicht den gesetzlichen Vorgaben einer leichten Zugänglichkeit
entsprechen wird. Daher ist es zu empfehlen, einen Hinweis auf die Datenschutzerklä-
rung schon auf der Hauptseite der Fanpage der Senatskanzlei aufzunehmen (z. B. statt
eines Links zur Website oder als einen fixierten Beitrag) und generell auf Facebook ein-
zuwirken, dass ein Link zu den eigenen Datenschutzhinweisen, ebenso wie der Link zum
Impressum, von Facebook auf der Hauptseite der Fanpage platziert wird.
2. Wahrung der Betroffenenrechte und Beachtung von Auskunftspflich-
ten
Im Hinblick auf die Erfüllung der geltend gemachten Betroffenenrechte, insbesondere
Beantwortung von Auskunfts- und Löschungsanfragen sowie der Beauskunftung von be-
hördlichen Anfragen, liegen zum Zeitpunkt der Erstellung des Gutachtens zumindest
keine verbindlichen Feststellungen vor, dass diese Pflichten seitens von Facebook nicht
erfüllt werden. Im Hinblick auf die an Facebook entsprechend der Seiten-Insights-Ergän-
zung weitergeleiteten Anfragen der Berliner BfDI (s. Punkt B.IV.4 dieses Gutachtens)
wurden die zu Beantwortung erforderlichen Auskünfte innerhalb weniger Tage seitens
von Facebook Irland erfüllt. Ferner ist auch an dieser Stelle zu beachten, dass die Pflicht-
erfüllung sich nur auf die gemeinsame Verantwortlichkeit für die Erhebung und Speiche-
rung der Insights-Daten bezieht.
Soweit vorgebracht werden sollte, dass die Senatskanzlei die Betroffenenrechte man-
gels Zugriffs auf die einzelnen Daten der Fanpagebesucher nicht erfüllen kann, ist dem
62 LG Aschaffenburg, Urt v. 19.08.2011, 2 HK O 54/11 (K&R 2011, 80); OLG Düsseldorf, Beschluss v. 13.8.2013, I-20 U 75/13 (MMR 2014, 393).
Seite 57 von 74
entgegen zu halten, dass der EuGH im Fall „Wirtschaftsakademie“ eine gemeinsame Ver-
antwortlichkeit trotz dieses fehlenden Datenzugriffs für begründet ansah.63 Würde man
aber gerade in diese Fall den Art. 26 Abs. 3 DSVO als nicht erfüllbar ansehen, müsste
man dem EuGH unterstellen, dass das Gericht sich widerspräche.
Des Weiteren wird im Hinblick auf den Maßstab der Mitwirkung der Fanpagebetreiber
bei der Erfüllung der Betroffenenrechte, zum Teil sogar eine teleologische Ausnahme
für objektiv erkennbar untergeordnete Mitverantwortliche verlangt oder alternativ die
Vergewisserung für ausreichend gehalten, dass der übergeordnete Verarbeiter die Be-
troffenenrechte befolgt und z.B. entsprechende Auskünfte gibt oder den Löschverlan-
gen der Fanpage nachkommt.64 Ein solches Unterordnungsverhältnis der Senatskanzlei
liegt im Hinblick auf die Fanpage für Nutzer erkennbar vor. Es ist nicht davon auszuge-
hen, dass die Nutzer davon ausgehen, Facebook erlaube den Fanpagebetreibern Zu-
griff auf personenbezogene Daten. Ganz im Gegenteil dürfte eine solche Vorstellung
bei Nutzern eher zu negativen Reaktionen führen.
3. Widerspruchsrechte bei Cookies
Es können jedoch die Widerspruchsmöglichkeiten gegen die von Facebook in den
Browsern der Nutzer gesetzten Cookies bemängelt werden.65 Diese können nur über
eine externe regionale Sammel-Widerspruchsseite für diverse Anbieter abgemeldet
werden.66 Alternativ hierzu wäre eine Löschung der Cookies von Facebook in den Sei-
teneinstellungen möglich. Trotz der Mängel ist es bisher gerichtlich nicht festgestellt,
dass diese Hinweise für eine Widerspruchsmöglichkeit unzureichend sind. Ferner wer-
den die Nutzer auch in den Informationen zu Seiten-Insights-Daten über deren Wider-
spruchsrechte belehrt, die sie z. B. direkt an die Senatskanzlei antragen und diese sie
an Facebook weiterleiten könnte.
63 S. B.IV.1. 64 Hacker, MMR 279, 779, 780; vgl. auch Kartheuser/Nabulsi, MMR 2018. 717, 720. 65 „Facebook Custom Audience bei bayerischen Unternehmen“, BayLDA, 04.10.2017, https://www.lda.bay-ern.de/media/pm2017_07.pdf. 66 http://www.youronlinechoices.eu/.
Seite 58 von 74
Daher sind die Widerspruchsmöglichkeiten zu bemängeln, jedoch nicht zwangsläufig
als unzureichend zu betrachten.
4. Übrige datenschutzrechtliche Verpflichtungen
Auch im Hinblick auf übrige, die Insights-Daten betreffenden Pflichten, z. B. die Meldung
der Verletzung der Datensicherheit gem. Art. 33 und 34 DSGVO oder die Sicherheit der
Verarbeitung gem. Art. 32 DSGVO, liegen keine Anhaltspunkte für deren Nichtbeachtung
vor.
Die aufgrund der möglichen Übermittlung der Insights-Daten in die USA – und damit ein
Drittland – gem. Art. 44 DSGVO erforderliche Garantie eines Schutzniveaus, wird durch
die Zertifizierung Facebooks unter dem „Privacy Shield“-Abkommen gem. Art. 45 Abs. 1
S. 1 DSGVO gewahrt. Dieses Abkommen stet zwar in der Kritik,67 hat im Zeitpunkt der
Erstellung dieses Gutachtens jedoch Bestand und wird daher der Prüfung zugrunde ge-
legt.68
VIII. Rechtsgrundlage
Die Verarbeitung der Insights-Daten bedarf einer Rechtsgrundlage, um rechtmäßig zu
sein (Art. 5 Abs. 1, 6 Abs. 1 S. 1 DSGVO). Vorliegend kommen eine Einwilligung als auch
berechtigte Interessen der Senatskanzlei an der Verfolgung ihrer gesetzlichen Aufga-
ben in Betracht.
1. Einwilligung
Eine Einwilligung der Fanpagebesucher in die Erhebung und Speicherung ihrer Ver-
tragsdaten würde eine auf informierter Grundlage ausdrücklich erklärte Einwilligung
der Fanpagebesucher erfordern (Art. 4 Nr. 11 DSGVO).
Die Senatskanzlei selbst holt keine derartige Einwilligung der Nutzer gem. Art. 6 Abs. 1
lit a. DSGVO ein. Allerdings wäre es vorstellbar, dass Facebook eine Einwilligung
67 S. zuletzt, "EU-Parlament: LIBE-Ausschuss fordert Aussetzung von Privacy Shield", MMR 2018, 779. 68 “EU-U.S. Privacy Shield: Second review shows improvements but a permanent Ombudsperson should be nominated”, European Commission, 19.12.2018, http://europa.eu/rapid/press-release_IP-18-6818_en.htm.
Seite 59 von 74
einholt und diese ebenfalls die Verarbeitung der Insights-Daten durch die Senatskanz-
lei mitumfassen würde.
Hierzu müsste Facebook jedoch überhaupt eine Einwilligung einholen. Im Zeitpunkt
der Erstellung dieses Gutachtens wird von Facebook zumindest eine aus der Sicht der
Nutzer als solche erkennbare Einwilligung in die Verarbeitung der Insights-Daten nicht
eingeholt. Das sog. „Cookie-Banner“, welches als erstes Element im Kopfbereich der
Facebook-Plattform eingeblendet wird, weist lediglich darauf hin, dass Cookies gesetzt
werden und dem widersprochen werden kann. Es handelt sich also um eine Wider-
spruchs- und nicht um eine Einwilligungslösung.
Auch im Rahmen der Registrierung neuer Mitglieder werden diese lediglich darauf hin-
gewiesen, dass sie den Nutzungsbedingungen und der Datenschutzrichtlinie zustim-
men. Diese beiden Vertragsgrundlagen enthalten jedoch keine eigenen Einwilligungs-
formulierungen. Ganz im Gegenteil verweist die Datenschutzrichtlinie im Abschnitt
„Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“ auf Facebooks
Rechtsgrundlagen.
Wiederum von Facebooks Rechtsgrundlagen ausgehend, werden die Insights-Daten
nicht auf der Grundlage einer Einwilligung verarbeitet. Die dort genannten Fälle der
Einwilligung betreffen besondere Kategorien von Daten oder bestimmte Fälle externen
Datenaustauschs.
Die Insights-Daten werden, zumindest von Facebook entsprechend den Vertragsgrund-
lagen zur Bereitstellung der Fanpage, als Erfüllung vertraglicher Verpflichtungen gem.
Art. 6 Abs. 1 lit. b. DSGVO und zu Marketing- und Werbezwecken auf Grundlage be-
rechtigter Interessen zu betriebswirtschaftlichen Zwecken gem. Art. 6 Abs. 1 lit. f.
DSGVO verarbeitet:
Die anderen Rechtsgrundlagen, auf die wir uns in bestimmten Fällen bei der Verar-
beitung deiner Daten auch noch stützen, sind: […] Unsere berechtigten Interessen
bzw. die berechtigten Interessen eines Dritten, sofern nicht deine Interessen oder
Grundrechte und Grundfreiheiten uberwiegen: […] Zur Bereitstellung von
Seite 60 von 74
Messungen, Analysen und sonstigen Unternehmens-Services, wenn wir die Daten
als Datenverantwortlicher verarbeiten.
Folglich holt Facebook im Hinblick auf die Insights-Daten keine Einwilligung ein, auf die
sich die Senatskanzlei berufen könnte.
2. § 3 Abs. 1 BlnDSG i.V.m. GV Sen DSGVO
Im Hinblick auf die Bereitstellung der Fanpage kann sich die Senatskanzlei, anders als
Facebook Irland, nicht auf die Erfüllung vertraglicher Pflichten berufen, da sie nicht
Partei des Vertrages zwischen den Mitgliedern und Facebook ist. Auch die vertragliche
Beziehung zu Facebook begründet lediglich das Recht der Senatskanzlei eine Fanpage
zu betreiben, aber keine Pflicht hierzu.
Doch auch wenn nicht auf vertraglicher Grundlage, so handelt auch die Senatskanzlei
doch zur Erfüllung ihr auferlegter und im Sinne von Art. 6 Abs. 2 DSGVO im öffentli-
chen Interesse liegender Aufgaben. Die Rechtsgrundlage für die Öffentlichkeitsarbeit
liegt in der jeweiligen Zuweisung bestimmter Aufgaben an die Regierung bzw. Verwal-
tung.69 Die Öffentlichkeitsarbeit ist mit anderen Worten eine Annexaufgabe zu den je-
weiligen staatlichen Aufgaben.70 Daneben enthält § 40d Abstimmungsgesetz für einen
speziellen Bereich eine klarstellende Regelung. Im Binnenorganisationsrecht des Se-
nats (Geschäftsverteilung des Senats von Berlin - GV Sen) wird der Senatskanzlei in ver-
schiedenen Bestimmungen eine Befugnis zur Öffentlichkeitsarbeit zugewiesen, na-
mentlich in:
▪ Allgemeines, Nr. 6 (Jedes Senatsmitglied ist zuständig für Einsatz der Informa-
tions- und Kommunikationstechnik (IKT) für Aufgaben seines Geschäftsbereichs,
soweit nicht die Senatsverwaltung für Inneres und Sport zuständig ist)
▪ I. Nr. 7 (Zum Geschäftsbereich des Regierenden Bürgermeisters gehören Presse-
angelegenheiten; Informations- und Öffentlichkeitsarbeit)
69 BVerfG, NJW 2002, 2621, 2623. 70 Gusy, NVwZ 2015, 700, 701.
Seite 61 von 74
▪ I. Nr. 27 (Zum Geschäftsbereich des Regierenden Bürgermeisters gehö-
ren Grundsatzangelegenheiten der Öffentlichkeitsarbeit, des Standortmarke-
tings; Koordinierung dieser Angelegenheiten des Senats)
Da die Senatskanzlei ihre Fanpage zur Erfüllung der ihr vorgenannten, im öffentlichen
Interesse liegender Aufgaben betreibt, kommt als Rechtsgrundlage für die Verarbei-
tung der Daten der Fanpagebesucher zunächst § 3 Abs. 1 BlnDSG in Frage. Nach dieser
Vorschrift ist die Verarbeitung personenbezogener Daten zulässig,
wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Auf-
gabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen
wurde, erforderlich ist.
§ 3 Abs. 1 BlnDSG wurde entsprechend der Öffnungsklausel gem. Art. 6 Abs. 2 DSGVO
erlassen und der Regelungsinhalt entspricht im Hinblick auf dieses Gutachten der
Rechtsgrundlage des Art. 6 Abs. 1 lit. e. DSGVO:71
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffent-
lichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verant-
wortlichen übertragen wurde;
Die Senatskanzlei betreibt die Fanpage zu Zwecken der Imagepflege, Kommunikation
und Information der Bürger sowie interessierter Stadtbesucher oder Unternehmen
und nimmt damit zulässige und im Interesse der Öffentlichkeit stehende Aufgaben
wahr.72
Der Betrieb der Fanpage müsste zu diesen Zwecken jedoch erforderlich sein. Die Prü-
fung der Erforderlichkeit entspricht dabei der verwaltungsimmanenten Verhältnismä-
ßigkeitsprüfung, in deren Rahmen die Geeignetheit einer Maßnahme für den ange-
strebten Zweck, das Fehlen weniger eingriffsintensiver, aber gleich geeigneter
71 Entsprechend ist § 3 BDSG formuliert, der jedoch gegenüber dem in Selbstverwaltungsaufgaben spezielle-ren § 3 Abs. 1 BlnDSG zurücktritt; vgl. Frenzel, a.a.O, Art. 6 Rn. 33, vgl. Schulz, in: Gola, 2018, DSGVO, Art. 6, Rn. 197 ff. 72 S. C.IV.2(b).
Seite 62 von 74
Maßnahmen und darüber hinaus die Angemessenheit der Maßnahme angesichts ihrer
Eingriffswirkung zu prüfen sind.73
Dieses allgemeine Prinzip muss zusätzlich aufgrund der speziell geregelten Grundsätze
der Verarbeitung personenbezogener Daten beachtet werden. So muss die Verarbei-
tung gem. Art. 5 Abs. 1 lit b. DSVO „dem Zweck angemessen und erheblich sowie auf
das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimie-
rung‘)“.74
Auch das Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutz-
freundliche Voreinstellungen gem. Art. 25 DSGVO verpflichtet Fanpagebetreiber so-
wohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeit-
punkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maß-
nahmen zu treffen und Voreinstellungen vorzunehmen, die dafür ausgelegt sind und
sicherstellen, dass Datenschutzgrundsätze wie die Datenminimierung wirksam umge-
setzt werden und nur Daten verarbeitet werden, die für den jeweiligen bestimmten
Verarbeitungszweck erforderlich sind.
(a) Geeignetheit
Eine Maßnahme ist zur Verfolgung des maßgeblichen Zweckes geeignet, wenn sie taug-
lich ist, diesen Zweck zu fördern.75
Bei der Prüfung der Eignung muss der konkrete Zweck des Fanpagebetriebs zugrunde
gelegt werden. Der Zweck ergibt sich wiederum aus dem Social-Media-Konzept und um-
fasst neben dem Zweck der effizienten Information und Kommunikation mit Bürgern,
interessierten Besuchern oder Unternehmen auch die Absicht der Transparenz und Er-
reichung der vorgenannten Zielgruppen innerhalb der von ihnen im großen Umfang fre-
quentierten sozialen Medien (s. Punkt B.III.1 dieses Gutachtens).
73 Frenzel, in: Paal/Pauly, 2018, DS-GVO Art. 6 Rn. 20; Schulz, a.a.O., Art. 6, Rn. 20. 74 Schulz, a.a.O., Art. 6, Rn. 20. 75 Schulz, a.a.O., Art. 6, Rn. 20.
Seite 63 von 74
Da Facebook zu dem sozialen Netzwerk mit den bei weitem meisten Mitgliedern gehört,
ist die Wahl einer Fanpage als Kommunikationsmittel in den sozialen Medien zumindest
förderlich und damit eine geeignete Maßnahme um das vorgenannte Ziel zu erreichen.
(b) Keine milderen Maßnahmen
Bevor die zur Verfügung stehenden Maßnahmen gegeneinander im Hinblick auf den
Betroffenenschutz abgewogen werden können, muss deren gleiche Eignung für den
verfolgten Zweck festgestellt werden.76
Traditionelle Informations- und Kommunikationsmedien, wie z. B. Bürgerberatung vor
Ort, in Radio oder Zeitschriften sowie postalische Kommunikation scheiden dabei von
vorneherein aus. Denn der Zweck der Fanpage ist gerade die Zielgruppen anzuspre-
chen, welche von diesen Medien nicht erreicht werden.
Auch der Betrieb der Homepage, d. h. der Website der Senatskanzlei, ist keine gleich
geeignete Maßnahme. Das Wesen von Social Media ist die Interaktion, eine Unmittel-
barkeit, die auf der Einfachheit und Nähe zwischen den Akteuren basiert. Nutzer, die
sich innerhalb der Plattform Facebook bewegen, können mit einem Klick die Beiträge
der Fanpage der Senatskanzlei abonnieren und sie nach deren Veröffentlichung direkt
innerhalb des ihnen angezeigten Newsfeeds angezeigt erhalten und auf die Beiträge
mit Stimmungsbekundungen oder Kommentaren reagieren. Eine statische Website
setzt im Gegensatz dazu voraus, dass Nutzer sie von sich aus ansteuern. Ebenfalls ist
die Stellungnahme mittels eines Kontaktformulars im Hinblick auf die Unmittelbarkeit,
Bequemlichkeit und überhaupt die Möglichkeit eines Dialogaufbaus nicht mit einer
Kommentarfunktion der Fanpage zu vergleichen.
Auch die Möglichkeit, Nachrichten der Website der Senatskanzlei mittels Zugriffs auf
einen RSS-Feed zu abonnieren, ist nicht gleichwertig, da es sich nicht um eine profane
Aufgabe handelt und eine gewisse technische Vorkenntnis erforderlich ist.77
76 Frenzel, a.a.O, Art. 6 Rn. 20; Schulz, a.a.O., Art. 6, Rn. 20. 77 RSS (Web-Feed), https://de.wikipedia.org/wiki/RSS_(Web-Feed).
Seite 64 von 74
Ebenso kann der Empfang eines Newsletters nicht als gleichwertig betrachtet werden.
Dies liegt bereits an dem Mittel einer E-Mail, die eine höhere Aufmerksamkeit der Nut-
zer erfordert, als ein in einem Newsstream erscheinende Nachricht. Wird der Newslet-
ter zudem in größeren zeitlichen Abständen versendet, fehlt es an der Unmittelbarkeit
und wie im Fall der Website an einer direkten Diskussionsmöglichkeit.
Auch bei einer horizontalen Betrachtung mit anderen Social-Media-Netzwerken ist da-
von auszugehen, dass diese nicht die gleiche Eignung wie eine Fanpage bei Facebook
besitzen. Dies liegt an der im Vergleich überragenden Quantität der Nutzer bei einer
gleichzeigen niederschwelligen Zugangsmöglichkeit und Ausrichtung auf die Allgemein-
heit.78 Dagegen sprechen Spartennetzwerke, wie z. B. die Berufsnetzwerke LinkedIn o-
der Xing, nur bestimmte Personenkreise oder Branchen an.
Ergänzend ist anzumerken, dass die anderen Netzwerke weniger eingriffsintensiv sein
müssten, was einer gesonderten Prüfung bedürfte. Dabei wäre insbesondere zu prü-
fen, ob im Fall der im Hinblick auf die Verarbeitung von Nutzerdaten zu betriebswirt-
schaftlichen Zwecken und Bereitstellung von Statistiken oder anderen Vorteilen mit Fa-
cebook häufig vergleichbar agierenden Anbieter auch ein Fall einer gemeinsamen Ver-
antwortlichkeit vorläge. So bietet nach dem Stand im Zeitpunkt der Erstellung dieses
Gutachtens nur Facebook eine Vereinbarung gem. Art. 26 DSGVO an. Daher wäre ne-
ben der gleichen Eignung auch die Frage zu prüfen, ob der Einsatz dieser Netzwerke
überhaupt eine geringere Belastung für die Besucher der dort geführten Profile, Seiten
oder Konten bietet.
In jedem Fall ist als Zwischenergebnis festzustellen, dass der Betrieb der Fanpage der
Senatskanzlei insoweit erforderlich ist, als ihr zu Erreichung ihrer Zwecke keine gleich
geeigneten, aber weniger eingriffsintensiven Informations- und Kommunikationsplatt-
formen zur Verfügung stehen.
78 S. B.III.1.
Seite 65 von 74
(c) Angemessenheit des Fanpagebetriebs
Im Rahmen der Angemessenheitsprüfung sind das Interesse der Senatskanzlei an der
Verfolgung ihrer Zwecke des Fanpagebetriebs einerseits und die Interesse der Fan-
pagebesucher – insbesondere ihr Interesse am Schutz ihrer Daten – andererseits abzu-
wägen. Der Betrieb der Fanpage wäre einzustellen, wenn die Interessen der Besucher
überwiegen würden.
Die Prüfung erinnert damit an die Abwägung der berechtigten Interessen des Verant-
wortlichen mit den Interessen oder Grundrechten und Grundfreiheiten der betroffe-
nen Person, die den Schutz personenbezogener Daten erfordern im Rahmen des Art. 6
Abs. 1 lit. f. DSGVO. Diese, für diese kodifizierte Abwägung verwendeten, Kriterien, ins-
besondere wie sie im Erwägungsgrund 47 DSGVO dargelegt werden, können als Orien-
tierungspunkte für die Prüfung der Angemessenheit entsprechend dem Grundgedan-
ken der inneren Kohärenz eines Gesetzes zugrunde gelegt werden.79
i. Interessen der Social-Media-Nutzer und der Allgemeinheit
Im Rahmen der Abwägung sind nicht nur die Interessen der Senatskanzlei selbst, son-
dern auch Interessen der von der Senatskanzlei informierten Bürger und Stadtinteres-
senten zu berücksichtigen. Diese Interessen sind dabei nicht lediglich subjektiver Na-
tur, wie z. B. das Interesse der ansässigen Unternehmen an der Pflege des Images der
Stadt sowie Mehrung des den Bürgern zu Gute kommenden Steueraufkommens. Die
Information der Bürger, und damit die Gewährleistung ihrer Mündigkeit durch Kennt-
nis politischer Vorgänge, stellt ein objektives Interesse dar (bei entsprechender Orien-
tierung am Art. 6 Abs. 1 lit f. DSGVO, lt. dem auch die berechtigten Interessen Dritter,
hier der Allgemeinheit, berücksichtigt werden müssen). Mündige Bürger sind wiede-
rum die Grundlage einer auf freiheitlich-demokratischen Werten basierenden
79 Mit Verweis auf das auch im Art. 6 Abs. 1 lit. f. Erforderlichkeitsprinzip, Schulz, a.a.O., Art. 6, Rn. 66, 20.
Seite 66 von 74
Gesellschaft. Damit umfasst der öffentlich-rechtliche Auftrag der Senatskanzlei auch
die Ansprache von Personen und Unternehmen mittels einer Fanpage.
ii. Reichweite und Gewichtung der Abwägungsfaktoren
Auch bei der Angemessenheitsprüfung muss berücksichtigt werden, dass die gemein-
same Verantwortlichkeit der Senatskanzlei sich nur auf die Phasen der Erhebung, Spei-
cherung und Verarbeitung zur Bereitstellung der Fanpage, Erstellung der Insights-Sta-
tistiken und Platzierung von Beiträgen im Newsstream der Facebook-Mitglieder be-
schränkt, jedoch nicht die vorhergehende und anschließende Verarbeitung der Daten
durch Facebook mitumfasst.80
Ferner sollten zudem die Ausführungen des Generalanwalts im Fall „Fashion ID“ zur
Ablehnung einer Störerhaftung beachtet werden,81 als auch seine Aussprache für ein
insgesamt angemessenes Verhältnis zwischen Macht, Einfluss und Verantwortlich-
keit.82
iii. Vernünftige Erwartungen der Fanpagebesucher
Laut Erwägungsgrund 47 DSGVO sind für eine Angemessenheitsabwägung „die ver-
nünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Ver-
antwortlichen beruhen, zu berücksichtigen“. Dabei ist auch zu prüfen, „ob eine be-
troffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und ange-
sichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass
möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Insbesondere
dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen
eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung
80 S. C.V.1(b). 81 S. C.V.2. 82 S. C.V.1(b).
Seite 67 von 74
rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das
Interesse des Verantwortlichen überwiegen.“
Beschränkt auf die Insights-Daten und deren Erhebung, Speicherung und Verarbeitung
zu Zwecken des Angebotes der Fanpage, darf man bei einem durchschnittlichen Inter-
netnutzer erwarten, dass er mit dieser Verarbeitung seiner Daten rechnet.
Ob er mit der Bereitstellung der Insights-Statistiken und der Speicherung seiner perso-
nenbezogenen Daten rechnen muss, ist bisher gerichtlich nicht geklärt. Deren Verar-
beitung zur Darstellung der Beiträge der Senatskanzlei in den „Newsfeed“ der Nutzer
dürfte als ein den sozialen Netzwerken zugrunde liegender Prozess ebenfalls als be-
kannt unterstellt werden.
Auch dürfte zumindest den meisten Facebook-Nutzern bekannt sein, dass die ihnen
angezeigten Beiträge auf Grundlage einer interessensbasierten Vorauswahl durch Fa-
cebook erfolgt. Die Mitglieder der Facebook-Plattform werden bereits bei der Regist-
rierung auf die Datenschutzhinweise und die Cookie-Richtlinie hingewiesen. Ferner
dürften sie als Nutzer der Facebook-Funktionen eher das Bewusstsein haben, dass de-
ren personenbezogene Daten für die Zwecke der Darstellung von Fanpages, aber auch
einer Interessens verarbeitet werden.
Allerdings können auch Nicht-Mitglieder die Fanpage besuchen, die mit der interes-
sens-und-verhaltensbezogenen News-Feed-Sortierung nicht vertraut sind. Aus eben-
diesem Grund sind die Nicht-Mitglieder von Facebook besonders schutzbedürftig. 83
Allerdings werden nach der Auskunft von Facebook gegenüber der Senatskanzlei, zu-
mindest derzeit die personenbezogenen Daten der Nichtmitglieder von Facebook nicht
für die Erstellung der Insights-Statistiken verarbeitet.84 Zwar können deren Daten von
Facebook selbst für Werbe- und Marketingzwecke verarbeitet werden. Diese
83 Vgl. EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 42. 84 S. auch, „Cookies also help us recognize which visitors are Facebook users so we can provide aggregated demographic information, like age and gender, about the people using the app“, in https://news-room.fb.com/news/2018/04/data-off-facebook/; ferner wird in der Darstellung der Insightsstatistiken zwi-schen angemeldeten und abgemeldeten Nutzern unterschieden, Nichtnutzer werden in der Darstellung nicht gelistet.
Seite 68 von 74
Verarbeitung liegt jedoch außerhalb der Mitverantwortlichkeit der Senatskanzlei für
den Betrieb der Fanpage und Generierung der Insights-Statistiken.
Da die Nichterfassung der Nichtnutzer auf Angaben von Facebook resultiert und nicht
ganz deutlich ist, ist der Senatskanzlei zu empfehlen, für eine noch deutlichere Beleh-
rung der Fanpagebesucher und damit auch der Nicht-Mitglieder zu sorgen. Diese Be-
lehrung könnte in der eigenen Datenschutzerklärung erfolgen, womit ein weiterer
Grund für deren Aufnahme auf die Fanpage vorliegt.85 Dazu empfiehlt sich eine spezi-
elle Unterseite, die entsprechende Erläuterungen zu den möglichen Risiken und zum
Nutzungskonzept der Fanpage enthält.86 Diese besonders hervorgehobene Belehrung
der Nutzer sieht auch der LfDI BW als ein Mittel des Ausgleichs von Datenschutzdefizi-
ten bei sozialen Netzwerken.87
iv. Zwangswirkung und Alternativangebot
Vom LfDI BW wird auch ein Hinweis auf Alternativangebote zu der Fanpage vorge-
schlagen, was zur Minderung verbleibender Risiken auch umgesetzt werden sollte. Je
deutlicher der Hinweis ist, desto weniger kann insbesondere bei den Nicht-Mitgliedern
von Facebook der Eindruck entstehen, dass sie die Fanpage nutzen müssen.
Dabei müssten die Alternativangebote zumindest derart mit dem Fanpage-Angebot
vergleichbar sein, dass sie zumindest bei Nicht-Mitgliedern von Facebook zu keiner in-
neren Zwangswirkung, die Fanpage zu nutzen, führen.
Bei der Fanpage handelt es sich um ein Alternativangebot der Senatskanzlei, das nicht
mit dem Ziel eingeführt wurde, die traditionellen Informations- und Kommunikations-
möglichkeiten zu verdrängen.88 Die Fanpage wurde allein errichtet, um Bürger, Perso-
nen und Unternehmen zu erreichen, welche die traditionellen Medien nicht mehr kon-
sumieren. D. h. Bürger sind nicht gezwungen, die Fanpage zu nutzen und können
85 S. C.VII.1(c). 86 Richtlinie SoMe, LfDI BW, a.a.O, S. 3. 87 Richtlinie SoMe, LfDI BW, a.a.O, S. 3. 88 S. B.III.1.
Seite 69 von 74
trotzdem die benötigten Informationen erreichen und in Kontakt mit der Verwaltung
treten.
Hierbei ist es unschädlich, dass die anderen Angebote im Hinblick auf Unmittelbarkeit
und Diskussionsmöglichkeiten nicht dieselben Vorteile wie Facebook bieten. Ansons-
ten würde der Rückschluss bedeuten, dass eine Fanpage nur dann nutzbar wäre, wenn
z. B. eine Website dieselben Funktionen bieten würde, was im Hinblick auf die Zweck-
Mittel-Relation den Bereich unzumutbarer Aufwendungen erreichen würde.89
Besonders zu berücksichtigen ist zudem, dass der eigentliche konkrete Bürgerservice,
nicht über die Fanpage erbracht wird.
Da sonst keine Anhaltspunkte dafür vorliegen, dass das Inhaltsangebot auf der Fan-
page derart exklusiv ist und Bürger oder Interessenten dessen Nutzung als erforderlich
ansehen, kann von einem echten Alternativangebot zur Fanpage der Senatskanzlei
ausgegangen werden.
v. Pseudonyme und anonyme Verarbeitung
Bei der Abwägung ist ebenfalls zu beachten, dass die Senatskanzlei lediglich Zugang zu
den anonymen Daten der Nutzer hat und auch die Speicherung der Daten in dem Coo-
kie von Facebook pseudonym erfolgt (im Cookie wird ein Benutzercode der Nutzer und
keine Klardaten gespeichert).90 Insoweit wird dem Grundsatz der Minimierung der Da-
tenverarbeitung auf quantitativer und qualitativer Ebene gefolgt.
vi. Einwilligung in die Cookie-Speicherung
Bisher gerichtlich nicht geklärt ist zudem die Pflicht zur Einholung einer generellen Ein-
willigung in die Speicherung von personenbezogenen Daten in einem Cookie. Hier ver-
tritt die DSK die Position (explizit für nicht-öffentliche Stellen, aber hier übertragbar),
dass unter Fortgeltung der Richtlinie 95/46/EG („ePrivacy-Richtlinie“) eine Einwilligung
für die Verarbeitung von technisch nicht notwendigen Cookies erforderlich ist.91 Dieser
89 Vgl. Schlussanträge „Fashion ID“, a.a.O., Rn. 93. 90 EuGH, „Wirtschaftsakademie“, a.a.O., Rn. 15. 91 Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder - Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018, DSK, 26.4.2018,
Seite 70 von 74
Ansicht schließt sich auch der Generalanwalt in der Sache „Fashion ID“ zumindest auf
den Einsatz von Social Plugins an.92
Umgekehrt wird in der vertreten, dass die Richtlinie nicht fort gilt.93 Ferner kann die Er-
forderlichkeit einer Einwilligung dann abgelehnt werden, wenn die Verarbeitung von
Cookies, entsprechend der hier vertretenen Rechtsansicht, z. B. die berechtigten Inte-
ressen oder vertragliche Grundlagen eine Cookie-Nutzung rechtfertigen. Es wäre zu
weitgehend, diese bereits umfangreich diskutierte Problematik im Rahmen des Gut-
achtens zu vertiefen. Vielmehr muss hierzu eine höchstrichterliche Rechtsprechung ab-
gewartet werden. Zuvor muss sich die Senatskanzlei nicht zwangsläufig der Rechtsan-
sicht der DSK anschließen. Eine gesetzliche Bindungswirkung liegt diesbezüglich nicht
vor.
Sollte jedoch eine Einwilligung notwendig werden, müsste Facebook ein entsprechen-
des Einwilligungs-Verfahren, welches die Insights-Daten mitumfasst, einführen.
Der Umstand, dass Facebook z. B. auch die Seiten-Insights-Ergänzung in Folge des
EuGH-Urteils zur Mitverantwortung eingeführt hat, indiziert zumindest, dass Facebook
höchstrichterliche Urteile beachtet. D. h,. es gibt keinen Anlass, bereits prophylaktisch
zu unterstellen, dass Facebook sich den gerichtlichen Vorgaben nicht fügen wird.
vii. Evaluation und fachgemäße Betreuung
Die vorstehenden rechtlichen Bewertungen sind nicht unveränderlich und müssen so-
wohl in Hinblick auf die ihnen zugrunde liegenden tatsächlichen als auch rechtlichen
Annahmen durch das entsprechend fachkundige Personal des Social-Media-Referats
regelmäßig evaluiert werden.94
Diese Pflicht ergibt sich bereits aus der Natur eines Verarbeitungsprozesses innerhalb
einer sich schnell ändernden Lebenswirklichkeit als auch der Definition des
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/In-halt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf. 92 Schlussanträge „Fashion ID“, a.a.O., Rn. 113. 93 Ettig, K&R, 2018, 669, 670 f. 94 Richtlinie SoMe, LfDI BW, a.a.O, S. 3-6.
Seite 71 von 74
Datenschutzrechts durch die Rechtsprechung. So könnte z. B. die Attraktivität von Fa-
cebook abnehmen, sodass ggf. andere Mittel für die Ansprache in sozialen Medien ge-
eigneter werden. Auch die Annahme einer gemeinsamen Verantwortlichkeit und die
Schwierigkeiten ihrer Eingrenzung in den Sachen „Wirtschaftsakdemie“ und „Fashion
ID“ zeigen, dass die rechtlichen Rahmenbedingungen sich schnell verändern können.
Vorliegend ist vor allem zu beobachten, ob der EuGH in der Sache „Fashion ID“ den
Empfehlungen des Generalanwalts folgt und die in der Sache „Wirtschaftsakademie“
vorgeschlagene und auf Grundlage der Empfehlung des Generalanwalts hier zugrunde
gelegte Eingrenzung der gemeinsamen Verantwortung übernimmt. Ebenso ist zu be-
achten, ob die Einwilligung in die Verarbeitung von Cookies mit Insights-Daten auf-
grund der Rechtsprechung oder gesetzlicher Änderungen (hier insbesondere auf
Grundlage der sich im Gesetzgebungsprozess befindlichen Privacy-VO) notwendig
wird.
viii. Einwirkung auf Facebook
Als Vertragspartnerin mit repräsentativer Wirkung ist es der Senatskanzlei zu empfeh-
len, allein oder gemeinsam mit anderen öffentlich-rechtlichen Stellen auf Facebook
einzuwirken und zu fordern, dass Facebook den von Datenschutzbehörden vorge-
brachten Bedenken Rechnung trägt. Dazu gehören vor allem ein Einwilligungsprozess
für Fanpagebesucher, die keine Facebook-Mitglieder sind, ein einfacheres Wider-
spruchsverfahren und die Aufnahme eines Links zu den Datenschutzhinweisen der Se-
natskanzlei auf der Frontseite der Fanpage.
ix. Angemessenheit des Fanpagebetriebs
Unter Betrachtung aller Umstände des Einzelfalls ist der Betrieb der Fanpage angemes-
sen. Zwar bestehen erhebliche Bedenken gegen die Nutzung der personenbezogenen
Daten der Nutzer der Facebook-Plattform, jedoch können diese nicht der Senatskanzlei
zugerechnet werden.
Im Einklang mit der derzeitigen und erwarteten Rechtsprechung des EuGH ist die Se-
natskanzlei nur für die Phase der Erhebung und Speicherung personenbezogener
Seite 72 von 74
Insights-Daten durch Facebook zu Zwecken der Darstellung der Fanpage und Erstellung
der Insights-Statistiken sowie deren Nutzung für die Anzeige von Beiträgen im News-
feed von Facebook, jedoch nicht für die nachfolgende Verarbeitung der Insights-Daten
mitverantwortlich. Insoweit ist die Mitverantwortung als von den Fanpagebesuchern
vernünftigerweise erwartbar zu betrachten.
Zwar besteht die Wahrscheinlichkeit, dass künftig eine Einwilligung in die Verarbeitung
der Insights-Daten der Nicht-Mitglieder der Fanpage in Cookies gerichtlich oder gesetz-
lich als notwendig erachtet wird. Allerdings sorgt die ständige Evaluation der Fanpage
durch Fachpersonal dafür, dass seitens der Senatskanzlei faktische oder rechtliche Än-
derungen umgesetzt werden. Ferner ist zu beachten, dass die Senatskanzlei den Bür-
gern und Stadtinteressenten ein alternatives Angebot für Informations- und Kommuni-
kationszwecke bietet. Empfohlen wird, auf das Alternativangebot innerhalb einer deut-
lich erkennbaren Datenschutzerklärung hinzuweisen.
Zudem darf vor allem nicht außer Acht gelassen werden, dass, soweit gegenüber Face-
book Vorwürfe einer fehlenden Einhaltung der Datenschutzvorgaben erhoben werden,
zuständige Aufsichtsbehörden Maßnahmen direkt an Facebook adressieren können.
(d) Der Fanpagebetrieb ist erforderlich
Die Fanpage ist derzeit das geeignetste Mittel, um das Konzept einer transparenten
und nachhaltigen Ansprache von Bürgern und anderen Interessenten in sozialen Me-
dien zu erreichen. Der Betrieb ist auch angemessen und soweit ein Ermessensspiel-
raum aufgrund der Unklarheit der Rechtslage besteht, darf die Senatskanzlei diesen
aufgrund der ihr zustehenden Einschätzungsprärogative wahrnehmen.
Hierbei wird der Senatskanzlei jedoch empfohlen, die Fanpagebesucher über das Kon-
zept des Fanpagebetriebs, die Risiken der Verarbeitung von Daten durch Facebook so-
wie im Hinblick auf die übrigen Angaben gem. Art. 13 und 14 DSGVO auf einer separa-
ten Unterseite zu unterrichten, die auf der Fanpage verlinkt wird.
Im Ergebnis ist der Betrieb der Fanpage der Senatskanzlei ist zur Erbringung ihrer öf-
fentlichen Aufgaben der Information sowie Kommunikation mit Bürgern sowie
Seite 73 von 74
Imagepflege und Ansprache an der Stadt Berlin interessierter Personen und Unterneh-
men in sozialen Medien gem. § 3 Abs. 1 BlnDSG erforderlich.
3. Verarbeitung zu Sicherheits- und Optimierungszwecken
Neben dem eigentlichen Fanpagebetrieb werden die von den Fanpagebesuchern erho-
benen Insights-Daten auch für Zwecke der Sicherheit des Fanpagebetriebs und der Op-
timierung der Fanpage verarbeitet.
Es ist durchaus diskutabel, ob dieser Zweck ebenfalls von der gemeinsamen Verant-
wortlichkeit miterfasst ist und falls ja, ob er noch für den Gesamtzweck der Ansprache
der Bürger und Interessenten via Social Media erforderlich ist. Diese Abgrenzung muss
jedoch an dieser Stelle nicht vorgenommen werden. Denn die für Zwecke der Sicher-
heit und einer Verbesserung eines Dienstes und dessen zeitgemäße Funktionsfähigkeit
erforderliche Verarbeitung der Nutzerdaten wird ein berechtigtes Interesse im Sinne
des Art. 6 Abs. 1 lit. f. DSGVO darstellen. Da die obige Prüfung zum § 3 Abs. 1 BlnDSG
sich bereits an den Kriterien dieser Rechtsgrundlage orientiert hat, ist davon auszuge-
hen, dass auch vorliegend die Interessen der Betroffenen nicht überwiegen werden.
Folglich ist die Verarbeitung der Insights-Daten zu Sicherheits- und Optimierungszwe-
cken entweder nach § 3 Abs. 1 BlnDSG oder Art. 6 Abs. 1 lit. f. DSGVO zulässig.
IX. Der Fanpagebetrieb ist zulässig
Im Ergebnis führt die Entscheidung des EuGH in der Sache „Wirtschaftsakademie“ so-
wie die erwarteten Entscheidung in der Sache „Fashion ID“ nicht dazu, dass die Senats-
kanzlei die Verantwortung für jedwede Verarbeitung der personenbezogenen Daten
der Fanpagebesucher durch Facebook zu tragen hat.
Soweit die Senatskanzlei für ihre Fanpage mitverantwortlich ist, beachtet die Senats-
kanzlei hierbei die Anforderungen des Datenschutzrechts. Der Fanpagebetrieb erfolgt,
insbesondere auf Grundlage einer gesetzlichen Erlaubnis, unter Beachtung der beson-
deren Anforderungen einer gemeinsamen Verantwortlichkeit sowie der Information
und Wahrung der Rechte der Fanpagebesucher.
Seite 74 von 74
Dieses Ergebnis jedoch muss aufgrund der sich häufig verändernden Tatsachen und
Rechtslage evaluiert werden, wofür das Social Media-Referat der Senatskanzlei sorgt.
Im Zeitpunkt der Erstellung dieses Gutachtens liegen jedoch keine Anhaltspunkte dafür
vor, dass das Ergebnis in naher Zukunft anzupassen sein wird.
