ANRUF: +49228 25904 - 0
ANSCHRIFT: fms GmbH Unternehmensberatung | Heilsbachstraße 32 | 53123 Bonn
E-MAIL: info@fmsgmbh.de

Facebook Page Controller Addendum

Informationen zu Seiten-Insights

Wenn Personen die Facebook-Produkte wie u. a. Seiten nutzen, erhebt Facebook (auch „wir“ oder „uns“) Informationen wie in der Facebook-Datenrichtlinie unter „Welche Arten von Informationen erfassen wir?“ beschrieben (Informationen dazu, wie wir Cookies und ähnliche Technologien verwenden, erhältst du in unserer Cookie-Richtlinie).

Dies umfasst auch Informationen darüber, wie Personen die Facebook-Produkte nutzen, wie zum Beispiel die Arten von Inhalten, die sie sich ansehen oder mit denen sie interagieren, oder die von ihnen vorgenommenen Handlungen (siehe unter „Von dir und anderen getätigte und bereitgestellte Dinge“ in der Facebook-Datenrichtlinie), sowie Informationen über die von ihnen genutzten Geräte (z. B. IP-Adressen, Betriebssystem, Browsertyp, Spracheinstellungen, Cookie-Daten; siehe unter „Geräteinformationen“ in der Facebook-Datenrichtlinie). Welche Informationen Facebook tatsächlich erfasst, hängt davon ab, ob und wie Personen die Facebook-Produkte nutzen.

Wie in der Facebook-Datenrichtlinie unter „Wie verwenden wir diese Informationen?“ erläutert, erhebt und verwendet Facebook Informationen auch, um Analysedienste, so genannte Seiten-Insights, für Seitenbetreiber bereitzustellen, damit diese Erkenntnisse darüber erhalten, wie Personen mit ihren Seiten und mit den mit ihnen verbundenen Inhalten interagieren. Die Verarbeitung personenbezogener Daten für Seiten-Insights unterliegt möglicherweise der nachfolgenden Vereinbarung über die gemeinsame Verantwortlichkeit (Seiten-Insights-Ergänzung bezüglich des Verantwortlichen).

Datenverarbeitung für Seiten-Insights

Bei Seiten-Insights handelt es sich um zusammengefasste Statistiken, die anhand bestimmter Events erstellt werden, die von den Facebook-Servern protokolliert werden, wenn Personen mit Seiten und den mit ihnen verbundenen Inhalten interagieren.

Solche Events bestehen aus unterschiedlichen Datenpunkten, zu denen, abhängig von dem jeweiligen Event, zum Beispiel die folgenden zählen:

  • Eine Handlung. Dies umfasst beispielsweise folgende Handlungen (du kannst die für deine Seite verfügbaren Handlungen im Insights-Bereich deiner Seite sehen):
    • Eine Seite, einen Beitrag, ein Video, eine Story oder sonstige mit einer Seite verbundene Inhalte ansehen
    • Mit einer Story interagieren
    • Eine Seite abonnieren bzw. nicht mehr abonnieren
    • Eine Seite oder einen Beitrag mit „Gefällt mir“ oder „Gefällt mir nicht mehr“ markieren
    • Eine Seite in einem Beitrag oder Kommentar empfehlen
    • Einen Seitenbeitrag kommentieren, teilen oder auf ihn reagieren (einschließlich der Art der Reaktion)
    • Einen Seitenbeitrag verbergen oder als Spam melden
    • Die Maus über einen Link zu einer Seite oder den Namen oder das Profilbild einer Seite bewegen, um eine Vorschau der Seiteninhalte zu sehen
    • Auf den Website-, Telefonnummer-, „Route planen“-Button oder einen anderen Button auf einer Seite klicken
    • Die Veranstaltung einer Seite sehen, auf eine Veranstaltung reagieren (einschließlich der Art der Reaktion), auf einen Link für Veranstaltungstickets klicken
    • Eine Messenger-Unterhaltung mit der Seite beginnen
    • Artikel in einem Seiten-Shop ansehen oder anklicken
  • Informationen zur Handlung, zur Person, die die Handlung vorgenommen hat, und zu dem/der dafür verwendeten Browser/App. Dies sind zum Beispiel:
    • Datum und Zeit der Handlung
    • Land/Stadt (geschätzt anhand der IP-Adresse oder bei eingeloggten Nutzern aus dem Nutzerprofil importiert)
    • Sprachencode (aus dem HTTP-Header des Browsers und/oder der Spracheinstellung)
    • Alters-/Geschlechtergruppe (aus dem Nutzerprofil, nur bei eingeloggten Nutzern)
    • Zuvor besuchte Websites (aus dem HTTP-Header des Browsers)
    • Ob die Handlung auf einem Computer oder auf einem Mobilgerät vorgenommen wurde (aus dem Browser User Agent oder aus App-Attributen)
    • Facebook-Nutzer-ID (nur für eingeloggte Nutzer)

Ob es sich bei den Personen um eingeloggte Nutzer von Facebook handelt, ermitteln wir mithilfe von Cookies, die wir gemäß unserer Cookie-Richtlinie einsetzen. Nur wenige Events können von Personen ausgelöst werden, die nicht bei Facebook eingeloggt sind. Dazu gehören u. a. das Besuchen einer Seite oder das Klicken auf ein Foto oder Video in einem Beitrag, um es anzusehen.

Seitenbetreiber haben keinen Zugriff auf die personenbezogenen Daten, die im Rahmen von Events verarbeitet werden, sondern nur auf die zusammengefassten Seiten-Insights. Events, die zum Erstellen von Seiten-Insights verwendet werden, speichern außer einer Facebook-Nutzer-ID für bei Facebook eingeloggte Personen keine IP-Adressen, Cookie-IDs oder irgendwelche anderen Kennungen, die Personen oder ihren Geräten zugeordnet sind.

Die Events, die Facebook protokolliert, um Seiten-Insights zu erstellen, werden ausschließlich von Facebook festgelegt und können von Seitenbetreibern nicht eingerichtet, geändert oder auf sonstige Weise beeinflusst werden.

Seiten-Insights-Ergänzung bezüglich des Verantwortlichen

Wenn eine Interaktion von Personen mit deiner Seite und den mit ihr verbundenen Inhalten die Erstellung eines Events für Seiten-Insights auslöst, das personenbezogene Daten enthält, für deren Verarbeitung du (und/oder jeglicher Dritter, für den du die Seite erstellst oder verwaltest) die Mittel und Zwecke der Verarbeitung gemeinsam mit Facebook Ireland Limited festlegst, erkennst du in deinem eigenen Namen (und als Vertreter für jeden solchen Dritten und in dessen Namen) an und stimmst zu, dass diese Seiten-Insights-Ergänzung bezüglich des Verantwortlichen („Seiten-Insights-Ergänzung“) gilt:

  • Du und Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Facebook Ireland“, „wir“ oder „uns“; zusammen die „Parteien“) erkennen an und stimmen zu, gemeinsam Verantwortliche gemäß Artikel 26 DSGVO für die Verarbeitung dieser personenbezogenen Daten in Events für Seiten-Insights („Insights-Daten“) zu sein. Die gemeinsame Verantwortlichkeit umfasst die Erstellung dieser Events und ihre Zusammenführung in Seiten-Insights, die dann den Seitenbetreibern zur Verfügung gestellt werden. Die Parteien stimmen überein, dass Facebook Ireland und ggf. du für jegliche andere Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Seite und/oder den mit ihr verbundenen Inhalten, für die keine gemeinsame Entscheidung über die Zwecke und Mittel erfolgt, eigenständige und unabhängige Verantwortliche bleiben.
  • Die Verarbeitung der Insights-Daten unterliegt den Bestimmungen dieser Seiten-Insights-Ergänzung. Diese gelten für sämtliche Aktivitäten, in deren Verlauf Facebook Ireland, ihre Mitarbeiter oder ihr(e) Auftragsverarbeiter Insights-Daten verarbeiten.
  • Hinsichtlich der Erfüllung der Verpflichtungen aus der DSGVO durch Facebook Ireland und dich hinsichtlich der Verarbeitung von Insights-Daten wird Folgendes festgelegt:
    • Facebook Ireland: Facebook Ireland stellt sicher, dass sie eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hat, die in der Datenrichtlinie von Facebook Ireland dargelegt ist (siehe unter „Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“). Sofern in dieser Seiten-Insights-Ergänzung nichts anderes angegeben wird, übernimmt Facebook Ireland die Erfüllung der Verpflichtungen aus der DSGVO für die Verarbeitung von Insights-Daten (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 21 DSGVO, Artikel 33 und 34 DSGVO). Facebook Ireland trifft im Einklang mit Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst die Maßnahmen, die im Anhang unten aufgeführt sind (dieser wird von Zeit zu Zeit aktualisiert, um beispielsweise technologischen Entwicklungen Rechnung zu tragen). Alle an der Verarbeitung der Insights-Daten beteiligten Mitarbeiter von Facebook Ireland sind durch geeignete Vereinbarungen zur Wahrung der Vertraulichkeit der Insights-Daten verpflichtet.
    • Seitenbetreiber: Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hast. Zusätzlich zu den Informationen, die betroffenen Personen von Facebook Ireland über die Informationen zu Seiten-Insights bereitgestellt werden, solltest du deine eigene Rechtsgrundlage angeben, ggf. einschließlich der von dir verfolgten berechtigten Interessen, den/die zuständigen Verantwortlichen auf deiner Seite, einschließlich seiner/ihrer Kontaktdaten, sowie der Kontaktdaten des/der Datenschutzbeauftragten (Artikel 13 Abs. 1 lit. a – d DSGVO), falls einschlägig.
  • Facebook Ireland stellt den betroffenen Personen das Wesentliche dieser Seiten-Insights-Ergänzung zur Verfügung (Artikel 26 Abs. 2 DSGVO). Dies erfolgt zurzeit über die Informationen zu Seiten-Insights-Daten, auf die von allen Seiten zugegriffen werden kann.
  • Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt. Du erkennst an und stimmst zu, dass nur Facebook Ireland befugt ist, Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten umzusetzen. Zudem erkennst du an und stimmst zu, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde für die gemeinsame Verarbeitung ist (dies gilt nicht im Anwendungsbereich des Artikels 55 Abs. 2 DSGVO).
  • Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen. Dies gilt insbesondere auch im Hinblick auf die Seiten-Insights, die wir dir bereitstellen.
  • Die Parteien legen die in den Informationen zu Seiten-Insights-Daten bzw. einem diesen nachfolgenden Dokument angegebenen Kontaktmöglichkeiten als Anlaufstelle für betroffene Personen fest.
  • Wenn betroffene Personen ihre ihnen gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten zustehenden Rechte dir gegenüber geltend machen (Artikel 26 Abs. 3 DSGVO) oder eine Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von sieben Kalendertagen, sämtliche relevanten Informationen zu solchen Anfragen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland verpflichtet sich, Anfragen von betroffenen Personen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten zu beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.
  • Wenn du eine Seite nutzt, stimmst du zu, dass jedweder Anspruch, Klagegenstand oder Streitfall, den du uns gegenüber hast und der sich aus dieser Seiten-Insights-Ergänzung ergibt oder damit in Verbindung steht, ausschließlich von den Gerichten in Irland zu klären ist, dass du dich für Prozesse hinsichtlich jedwedes derartigen Anspruchs unwiderruflich der Rechtsprechung der irischen Gerichte unterwirfst und dass diese Seiten-Insights-Ergänzung irischem Recht unterliegt, ohne Berücksichtigung kollisionsrechtlicher Bestimmungen. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur Abschnitt 4.4 unserer Nutzungsbedingungen.
  • Wir können diese Seiten-Insights-Ergänzung von Zeit zu Zeit aktualisieren. Durch deine weitere Nutzung von Seiten nach irgendeiner Benachrichtigung über eine Aktualisierung dieser Seiten-Insights-Ergänzung stimmst du zu, an sie gebunden zu sein. Solltest du der aktualisierten Seiten-Insights-Ergänzung nicht zustimmen, beende bitte jegliche Nutzung von Seiten. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur Abschnitt 4.1 unserer Nutzungsbedingungen.
  • Sollte irgendein Teil dieser Seiten-Insights-Ergänzung für nicht durchsetzbar erachtet werden, so bleiben die übrigen Bestimmungen in vollem Umfang wirksam und in Kraft. Ein Versäumnis unsererseits, irgendeinen Teil dieser Seiten-Insights-Ergänzung durchzusetzen, stellt keinen Rechtsverzicht dar. Jegliche/r von dir beantragte Änderung dieser Nutzungsbedingungen bzw. Verzicht auf diese muss in schriftlicher Form erfolgen und von uns unterzeichnet werden.
  • Diese Seiten-Insights-Ergänzung gilt nur für die Verarbeitung von personenbezogenen Daten im Anwendungsbereich der Verordnung (EU) 2016/679 („DSGVO“). „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Aufsichtsbehörde“ und „betroffene Person“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.

Anhang: Sicherheit

„Umfasste Produkte“ umfasst Facebook-Seiten und Seiten-Insights.

  1. Organisation der Informationssicherheit
    Facebook hat einen speziellen Sicherheitsbeauftragten, der die Gesamtverantwortung für die Sicherheit in der Organisation trägt. Facebook verfügt über Personal, das für die Überwachung der Sicherheit der umfassten Produkte verantwortlich ist.
  2. Physische und Umgebungssicherheit
    Die Sicherheitsmaßnahmen von Facebook umfassen Kontrollen, mit denen auf angemessene Weise sichergestellt werden soll, dass der physische Zugang zu den Datenverarbeitungseinrichtungen nur autorisierten Personen vorbehalten ist und dass Umgebungskontrollen eingerichtet werden, um Zerstörungen aufgrund von umgebungsbedingten Gefahren zu erkennen, zu verhindern und zu kontrollieren. Die Kontrollen umfassen:

    1. Protokollierung und Prüfung des physischen Zugangs zur Datenverarbeitungseinrichtung durch Mitarbeiter und Dienstleister;
    2. Kameraüberwachungssysteme an der jeweiligen Datenverarbeitungseinrichtung;
    3. Systeme, die die Temperatur und Luftfeuchtigkeit für die Computeranlagen in der Datenverarbeitungseinrichtung überwachen und steuern;
    4. Stromversorgung und Notstromgeneratoren in der Datenverarbeitungseinrichtung;
    5. Verfahren für die sichere Löschung und Vernichtung von Daten, entsprechend der Nutzungsbedingungen für die umfassten Produkte; und
    6. Verfahren, die ID-Karten für das Betreten sämtlicher Räumlichkeiten von Facebook für alle Personen erforderlich machen, die an den umfassten Produkten arbeiten.
  3. Personal
    1. Schulung. Facebook stellt sicher, dass sämtliches Personal mit Zugriff auf Insights-Daten eine Sicherheitsschulung absolviert.
    2. Screening und Hintergrundüberprüfungen. Facebook hält ein Verfahren vor zur
      1. Verifizierung der Identität der Personen, die Zugriff auf Insight-Daten haben, und
      2. soweit dies rechtlich zulässig ist, zur Durchführung von Hintergrundüberprüfungen gemäß Facebook-Standards für Personal, das an Aspekten der umfassten Produkte arbeitet oder sie unterstützt.
    3. Verletzung der Sicherheit durch Mitarbeiter. Facebook ergreift im Falle eines unberechtigten Zugriffs auf Insights-Daten durch Facebook-Personal Disziplinarmaßnahmen, angefangen bei Sanktionen bis hin zur Kündigung, soweit dies rechtlich zulässig ist.
  4. Sicherheitstests
    Facebook führt regelmäßig Sicherheits- und Schwachstellentests durch, um zu bewerten, ob die wichtigsten Kontrollen ordnungsgemäß implementiert und wirksam sind.
  5. Zugriffskontrollen
    1. Passwort-Management. Facebook hat für sein Personal Verfahren für das Passwort-Management entwickelt, um sicherzustellen, dass Passwörter an die jeweilige Person gebunden und für nicht autorisierte Personen unzugänglich sind. Diese Verfahren umfassen mindestens Folgendes:
      1. Bereitstellung von Passwörtern, einschließlich Verfahren zur Verifizierung der Identität des Nutzers, bevor ein neues, ein Ersatz- oder temporäres Passwort vergeben wird;
      2. kryptografischer Schutz von Passwörtern beim Speichern auf Computersystemen oder während der Übermittlung über das Netzwerk;
      3. Änderung aller Standardpasswörter von Drittanbietern;
      4. starke Passwörter im Verhältnis zu ihrer beabsichtigten Verwendung; und
      5. Schulungen zu bewährten Praktiken in Bezug auf Passwörter.
    2. Zugriffsmanagement. Außerdem setzt Facebook folgende Maßnahmen ein, um den Zugriff auf seine Systeme seitens seines Personals zu kontrollieren und zu überwachen:
      1. Verfahren zum unverzüglichen Ändern und Widerrufen von Zugriffsrechten und Nutzer-IDs;
      2. Verfahren zum Melden und Widerrufen von kompromittierten Zugangsdaten (Passwörter, Zugriffs-Tokens usw.);
      3. Führen geeigneter Sicherheitsprotokolle, gegebenenfalls mit Nutzer-ID und Zeitstempel;
      4. Synchronisierung der Uhren mithilfe von NTP; und
      5. Protokollierung mindestens folgender Ereignisse im Nutzer-Zugriffsmanagement:
        • Änderungen der Autorisierung;
        • Fehlgeschlagene und erfolgreiche Authentifizierungs- und Zugriffsversuche; und
        • Lese- und Schreibvorgänge.
  6. Kommunikationssicherheit
    1. Netzwerksicherheit
      1. Facebook setzt Technologien ein, die den Branchenstandards für die Trennung von Netzwerken entsprechen.
      2. Der Netzwerk-Fernzugriff auf Facebook-Systeme setzt die Nutzung verschlüsselter Kommunikation über sichere Protokolle und Nutzung einer mehrstufigen Authentifizierung voraus.
    2. Schutz der Daten bei der Übermittlung. Facebook setzt die Nutzung geeigneter Protokolle zum Schutz der Vertraulichkeit der Daten bei der Übermittlung über öffentliche Netzwerke durch.
  7. Schwachstellenmanagement
    Facebook hat ein Programm zum Schwachstellenmanagement, das auch die umfassten Produkte einschließt. Dies umfasst auch die Festlegung von Rollen und Verantwortlichkeiten für die Überwachung von Schwachstellen, die Risikobewertung von Schwachstellen und die Bereitstellung von Patches.
  8. Sicherheitsvorfallmanagement
    1. Facebook unterhält einen Reaktionsplan für Sicherheitsvorfälle, mit dem es mögliche Sicherheitsvorfälle, die Insights-Daten betreffen, überwacht, erkennt und bearbeitet. Der Reaktionsplan für Sicherheitsvorfälle umfasst mindestens die Festlegung von Rollen und Verantwortlichkeiten, die Kommunikation sowie Post-Mortem-Überprüfungen, einschließlich Ursachenanalysen und Behebungsplänen.
    2. Facebook überwacht seine Systeme bezüglich möglicher Sicherheitsverstöße und böswilligen Aktivitäten, die Insights-Daten betreffen.