Facebook bietet seit kurzem für bestimmte Dienstleistungen einen Vertrag zur Auftragsverarbeitung (kurz: AV-Vertrag) an. Der Vertrag gilt für Unternehmen mit Sitz in der EU und der Schweiz und soll insbesondere bei der Verwendung von Custom Audiences und bestimmten Analysediensten einbezogen werden. Wir haben den Vertrag datenschutzrechtlich geprüft und zeigen im folgenden Beitrag, wo die Schwachstellen der AV-Vereinbarung aus unserer Sicht liegen.
Wozu ist ein AV-Vertrag mit Facebook erforderlich?
Eine wirksame Einbeziehung von Facebook als Auftragsverarbeiter kann eine Voraussetzung sein, die angesprochenen Facebook-Dienste zukünftig datenschutzkonform zu nutzen. Denn so beliebt beispielsweise Facebook Custom Audiences in vielen Marketingabteilungen ist, so eindeutig waren bisher die datenschutzrechtlichen Bewertungen der Aufsichtsbehörden und Gerichte: Die Übermittlung der gehashten E-Mail-Adressen an Facebook ist ohne Einwilligung der betroffenen Personen datenschutzrechtlich nämlich unzulässig. Ein wirksames Auftragsverarbeitungsverhältnis könnte jedenfalls diese Problematik auflösen, da für eine Weitergabe der Daten an Facebook dann keine Einwilligung mehr erforderlich wäre.
Was steht im Vertrag? Unsere Bewertung.
Die DSGVO stellt bestimmte inhaltliche Anforderungen an einen AV-Vertrag. Im Folgenden haben wir untersucht, ob der AV-Vertrag von Facebook den gesetzlichen Anforderungen gerecht wird. Dabei haben wir uns an den konkreten Vorgaben des Art. 28 Abs. 3 DSGVO orientiert und der Reihe nach einmal durchgeprüft:
Ist geregelt, dass die Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen erfolgt (Art. 28 Abs. 3 Buchst. a) DSGVO)?
Dieser für eine Auftragsverarbeitung charakteristische Regelungstatbestand fehlt im Vertrag von Facebook gänzlich. Vielmehr verweist Facebook darauf, dass die Daten „nur im Einklang mit den geltenden Produkt-Nutzungsbedingungen verarbeitet“ werden (Ziffer 1.1.1.). Dies lässt sich mitunter als abschließende Weisung verstehen, ist mangels ausdrücklicher Regelung aber wenig belastbar. Problematisch könnte in diesem Zusammenhang außerdem sein, dass sich Facebook in den Custom Audiences Bedingungen beispielsweise das Recht vorbehält, das Feature „jederzeit zu ändern“.
Ist vertraglich gewährleistet, dass die mit der Verarbeitung vertrauten Personen zur Vertraulichkeit verpflichtet worden sind (Art. 28 Abs. 3 Buchst. b) DSGVO)?
Nein, eine Regelung hierzu existiert im AV-Vertrag von Facebook nicht.
Hat Facebook erforderliche Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung getroffen (Art. 28 Abs. 3 Buchst. c) DSGVO)?
Facebook sichert im AV-Vertrag zu, geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten zu treffen. Zwar ist insoweit gerade in Deutschland eine Anlage zum AV-Vertrag in Form von TOMs üblich, dass es sich hierbei um eine zwingende Voraussetzung eines AV-Vertrags handelt, ergibt sich aus der DSGVO hingegen nicht. Facebook verpflichtet sich weiterhin jährlich zu einer SOC 2 Typ II (oder einer anderen branchenüblichen) Prüfung (Ziffer 1.1.7.). Bei erfolgreicher Zertifizierung dürfte die Sicherheit der Verarbeitung regelmäßig gewährleistet sein.
Erfüllt der Vertrag die Voraussetzungen an die Einschaltung von Subunternehmern (Art. 28 Abs. 3 Buchst. d) DSGVO)?
Auch die diesbezügliche Regelung im Facebook-Vertrag ist aus Datenschutzsicht kritisch zu beurteilen. Facebook lässt sich zunächst uneingeschränkt das Recht einräumen, Unterauftragnehmer einzuschalten. Die DSGVO sieht in diesem Fall aber vor, dass einem Verantwortlichen zumindest ein Widerspruchsrecht eingeräumt werden muss. Doch dieses Widerspruchsrecht besteht nur dergestalt, dass die Nutzung des betreffenden Dienstes eingestellt werden kann (Ziffer. 1.2.).
Verpflichtet sich Facebook zur Unterstützung bei der Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen (Art. 28 Abs. 3 Buchst. e) DSGVO)?
Ja, eine solche Verpflichtung ist im AV-Vertrag enthalten (Ziffer 1.1.3.).
Verpflichtet sich Facebook zur Unterstützung bei der Einhaltung der Pflichten der Artikel 32 bis 36 DSGVO, z.B. bei Erstellung einer Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 Buchst. f) DSGVO)?
Ja, auch eine solche Verpflichtung sieht der Facebook-Vertrag vor (Ziffer 1.1.4.)
Verpflichtet sich Facebook, die Daten nach Erfüllung des Auftrags zu löschen bzw. zurückzugeben (Art. 28 Abs. 3 Buchst. g) DSGVO)?
Facebook verpflichtet sich zumindest, die Daten grundsätzlich nach 180 Tagen zu löschen (Ziffer 1.1.5.).
Verpflichtet sich Facebook, dem Verantwortlichen alle Nachweise zur Einhaltung der Pflichten des Art. 28 zu erbringen (Art. 28 Abs. 3 Buchst. h) DSGVO)?
Facebook wird alle Informationen bereitstellen, welche die Pflichten von Facebook als Auftragsverarbeiter betreffen (Ziffer 1.1.6.).
Verpflichtet sich Facebook, dem Verantwortlichen Prüfungen zu erlauben (Art. 28 Abs. 3 Buchst. h) DSGVO)?
Im AV-Vertrag ist lediglich geregelt, dass Facebook die bereits angesprochene SOC 2 Typ II-Prüfung durch einen externen Prüfer durchführen lässt und das jeweils aktuelle Zertifikat auf Anfrage zur Verfügung stellt. Gleichwohl ist nach dem Wortlaut der Vorschrift auch dem Verantwortlichen selbst ein Inspektionsrecht einzuräumen. Wenngleich Facebook zuzugestehen ist, dass bei Nachweis einer branchenüblichen Zertifizierung keine Vor-Ort-Kontrolle mehr notwendig sein dürfe.
Und die Form des Vertrages?
Die DSGVO erlaubt es, einen AV-Vertrag auch in einem elektronischen Format abzuschließen (Art. 28 Abs. 9 DSGVO), sodass gegen den Online-Abschluss grundsätzlich keine Bedenken bestehen. Allerdings ist nach unserer Auffassung sicherzustellen, dass dem Verantwortlichen der Vertrag in einem dauerhaften Format übermittelt wird und dieser nicht bloß über eine HTML-Seite abrufbar ist, siehe hierzu auch unseren Beitrag zum elektronischen Vertragsschluss der Auftragsverarbeitung.
Unser Fazit
Wie aus dieser Analyse deutlich wird, bestehen erhebliche Zweifel, ob der von Facebook zur Verfügung gestellte Vertrag überhaupt ein geeignetes Instrument zur Begründung einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO darstellt. Einige inhaltlich erforderliche Regelungen sind gar nicht enthalten, andere nur in abgeschwächter Ausgestaltung.
Neben diesen vertraglichen Voraussetzungen ist zu beachten, dass auch in tatsächlicher Hinsicht ein Auftragsverarbeitungsverhältnis im Sinne des Art. 28 DSGVO vorliegen muss. Jedenfalls nach alter Rechtslage wurde z.B. Custom Audiences nicht als Auftragsverhältnis angesehen, da Facebook einen gewissen Handlungs- und Entscheidungsspielraum bei der Ausspielung von Werbung hatte.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.
Dr. Malte Kröger