Die meisten Hotel und Gastronomieunternehmen betreiben neben ihrer eigenen Website auch Kooperationen mit Dritten um für ihr Angebot zu werben. Große Portale bieten Einträge des Angebots an, die Facebook-Fanpage und andere social media Aktivitäten gehören zum Alltag im Tourismus-Marketingmix. Speziell im Zusammenhang mit den sogenannten Facebook-Fanpages sind die datenschutzrechtlichen Pflichten öffentlich bekannt geworden. Das Urteil des Europäischen Gerichtshofes (EuGH) vom 5.6.2018 zur Gemeinsamen Verantwortung von Facebook und Fanpagebetreiber sowie die darauf folgende Beschlussfassung der Datenschutzkonferenz des Bundes und der Länder hat die datenschutzrechtlichen Rechte der Betroffenen gestärkt.
Art. 26 DS-GVO: Gemeinsam Verantwortliche
Unternehmen, die wie der Fanpagebetreiber und Facebook, Datenverarbeitung in gemeinsamer Verantwortlichkeit betreiben, müssen einen Vertrag nach Art. 26 DS-GVO abschließen und die Rechte der Betroffenen wahren. Mit dem sogenannten “Page Controller Addendum” hat Facebook einen solchen Vertrag vorgelegt. Ob die darin enthaltenen Regelungen schon ausreichen, prüfen derzeit die Behörden. Zudem steht das Urteil des BGH, der den EuGH angerufen hatte, noch aus.
Auch andere Kooperationen dürften von Art. 26 DS-GVO betroffen sein. Entscheidendes Kriterium und Abgrenzung zur Auftragsverarbeitung nach Art. 28 ist, dass beide Seiten einen eigenständigen Entscheidungsspielraum in Bezug auf die Datenverarbeitung haben, wobei wie im Falle der Fanpages, die primäre Verantwortlichkeit bei einem der beiden Vertragspartner liegen kann. Es gehört zu den Kernaufgaben des Datenschutzbeauftragten, den Verantwortlichen sachkundig in Bezug auf diese Vertragsfragen zu beraten.