Eine zunächst weitgehend unbeachtete aber ganz wesentliche Änderung für die Online-Marketing-Branche, die sich aus der DSGVO ergab, ist die deutlich stärkere Bedeutung der gemeinsamen Verantwortlichkeit verschiedener Unternehmen für personenbezogene Daten.
EuGH zu Facebook-Pages wirbelt die Branche auf
Während man nach altem Recht mehr oder minder mit allen Dinestleistern Auftragsdatenverarbeitungsverträge geschlossen hat, setzt sich mehr und mehr durch, dass die Beteiligten im Zweifel gemeinsam für die Datenverarbeitung verantwortlich sind. Das hat der EuGH im vergangenen Jahr zum Beispiel für den Betrieb einer Facebookpage durch ein Unternehmen entschieden. Beide, der Seitenbetreiber und Facebook, seien für die erhobenen Daten gemeinsam verantwortlich, ungeachtet dessen, dass dem Unternehmern nur aggregierte Daten zur Verfügung gestellt werden und sie selbst keine wirkliche Einflussmöglichkeit auf die Datenverarbeitung durch Facebook haben.
In der Ausgabe 73 des Suchradar habe ich die Hintergründe des Urteils erläutert. Der Beitrag „Facebook-Fanpages: Gemeinsame Verantwortlichkeit von Facebook und Betreibern“ ist hier abrufbar.
In der Folgezeit gab es einigen Wirbel um Behördenäußerungen und die neue Vereinbarung, die Facebook den Unternehmen seit einiger Zeit anbietet. Dieser Beitrag von Daniel Schätzle klärt über die 8 Fragen des Beschlusses der Datenschutzkonferenz und Facebooks „Joint Controllership Vertrag“ auf.
Next in line: Facebook-Widgets auf der eigenen Website
Und schon steht die nächste EuGH-Entscheidung vor der Tür. Gerade sind nämlich die Anträge des Generalanwalts beim EuGH in der Sache Fashion ID veröffentlicht worden. Darin geht es um die Verantwortlichkeit für die Datenerhebung bei der EInbindung von Widgets und PlugIns von sozialen Netzwerken. Meine Kollegin Frederike Kollmar erklärt hier, was es damit auf sich hat.
Angesichts der derzeit unsicheren Rechtslage gibt sie folgende Handlungsempfehlungen:
- Website-Betreiber sollten Möglichkeiten datenschutzfreundlicher Einbindungen von Drittinhalten prüfen.
- Website-Betreiber sollten bereits jetzt– im Rahmen des Möglichen – in ihren Datenschutzerklärungen über sämtliche, in ihren Websites eingebundenen Drittinhalte und damit im Zusammenhang stehende Erhebungen und Übermittlungen informieren.
- Website-Betreiber sollten das zu erwartende Urteil, vor allem aber die allgemeine Diskussion zu Haftungsfragen und –risken bei gemeinsamer Verantwortlichkeit, im Auge behalten.
Mit der Abgrenzung von Auftragverarbeitung und gemeinsamer Verantwortlichkeit habe ich mich auch im Rahmen meines Vortrags bei der Marketing Evolution Experience in Berlin im vergangenen Herbst beschäftigt. Die Slides zu dem Vortrag „Von der Auftragsverarbeitung zur Joint Control“ können hier heruntergeladen werden.