EuGH-Urteil: Eigentlich müssten wir die Facebook-Fanpage abschalten, aber …

fb-insightBereits im Juni hatte der Europäische Gerichsthof in einem Urteil festgestellt: „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich,” so die Pressemitteilung des Gerichtes.

Bis dahin durfte – und konnte – man davon ausgehen, dass die Verarbeitung personenbezogener Daten durch Facebook und nicht durch den Betreiber der Fanpage stattfindet. Dies war auch die intern vorgetragene Argumentation vor dem Start der Fanpage der rheinischen Kirche 2012.

Damals ließ sich die Position gut begründen, denn Facebook bot noch nicht Insights an. Die Annahme der gemeinsamen Verantwortung – also von Facebook und Fanpage-Betreiber – bei der der Datenverarbeitung bezieht sich aber hauptsächlich laut EuGH auf Insights. Heute wird man daher nicht mehr wie wir 2012 argumentieren können.

Aufgrund dieser Rechtsprechung des EuGH muss man deshalb von einer gemeinsamen Verantwortlichkeit von Facebook und Fanpage-Seitenbetreiber ausgehen. Um einen rechtskonformen Betrieb einer Facebook-Fabpage zu ermöglichen, bietet Facebook seit heute  einen Zusatzvertrag nach Art. 26 DSGVO an.

Natürlich auf Englisch, heißt Addendum und es bezieht sich auf Datenverarbeitung nach DSGVO (bzw. auf Englisch GDPR):

„to the extent this personal data is processed under your influence and control (or any other third party’s for whom you are creating or administering the Page) within the scope of the General Data Protection Regulation (Regulation (EU) 2016/679, “GDPR”)”

Damit sollte für den Geltungsbereich der DSVGO eine Facebook-Fanpage rechtlich einwandfrei zu betreiben nun wieder möglich sein, sofern man das Addendum unterzeichnet.

Für den kirchlichen Bereich scheint mir das allerdings schwierig. Denn wenn wir als evangelische Kirche Datenverarbeitung durchführen, muss dies nach EKD-Datenschutzgesetz  geschehen und sie ist nur im Ausnahmefall nach DSGVO statthaft, wenn sich der Vertragspartner der EKD-Datenschutzaufsicht unterwirft. Da Facebook weder EKD-Recht zugrundelegt noch eine Unterwerfungserklärung unterzeichnen wird bzw. unterzeichnet hat, kann man als kirchliche Stelle dieses Addendum nicht unterzeichnen. Ohne dieses Addendum ist aber aufgrund der gemeinsamen Verantwortlichkeit kein Betrieb einer Facebook-Fanpage möglich.
§29 DSG-EKD (2018) entspricht Art 26 DSGVO, theoretisch wäre daher auch eine Vereinbarung nach §29 DSG-EKD möglich, aber Facebook wird für kirchliche Fanpages keinen eigenen Zusatzvertrag anbieten. Das wäre nicht nur unpraktikabel für Facebook, sondern würde auch das Zugeständnis bedeuten, dass man „im Rahmen dieses Kirchengesetzes bei und gegenüber jeder einzelnen verantwortlichen Stelle [seine Rechte] geltend machen,” so Paragraf 29 des EKD-Gesetzes. Unter Berufung auf das EKD-Datenschutzgesetz wäre es dann möglich, bei Facebook Auskunft und Einsicht verlangen. Das wird Facebook auf keinen Fall wollen.

Was bedeutet dies für kirchliche Facebook-Fanpages? Hier wird man wohl eine pragmatische Lösung finden müssen – die Alternative wäre eine strikte Auslegung des EKD-Datenschutzgesetzes mit der Folge, dass man kirchliche Facebookseiten offline nehmen müsste.

Eine solche pragmatische Lösung könnte sein, dass die kirchliche Datenschutzaufsicht Facebooks Zusatzvertrag (Addendum) nach DSGVO akzeptiert.

Wenn wir aber Verträge nach DSGVO abschließen können, stellt sich die Frage, warum die Kirche im Datenschutz eigenes Recht geschaffen hat, anstelle staatliches Recht zu übernehmen und ggfs. zu ergänzen, wenn es um spezielle kirchliche Materien geht.

Ich kann mir nicht vorstellen, dass kirchliche Facebook-Seiten nur deswegen abgeschaltet werden müssen, weil Facebooks Standardzusatzvertrag  Art 26 DSGVO  zugrunde legt anstatt des im kirchlichen Datenschutz analogen Paragrafen 29 des DSG-EKD. Solche Abschaltung wäre nicht inhaltlich, sondern nur rechtsphilosophisch bzw. formalistisch zu begründen.

Jedenfalls: Datenschutz ist schon kompliziert – und ein eigenes kirchliches Datenschutzrecht verkompliziert die Sachlage weiter, ohne effektiv den Datenschutz zu erhöhen.

Was tun? Zunächst am besten abwarten, wie die kirchliche Datenschutzaufsicht reagiert.

 

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: