English version of the Notice on Data Protection Requirements for Facebook pages below.
Hintergrund zu datenschutzrechtlichen Anforderungen an den Betrieb von Facebook-Seiten (sog. „Fanpages“).

Der Europäische Gerichtshof hat im Juni 2018 entschieden, dass Anbieter von Facebook-Seiten nach dem Recht der Europäischen Union bzw. des Europäischen Wirtschaftsraums datenschutzrechtlich gemeinsam mit Facebook verantwortlich für die damit verbundene Verarbeitung personenbezogener Daten der Besucher dieser Seiten sind. Dies gilt jedenfalls für die sog. Seiten-Insights-Funktion. Diese gemeinsame Verantwortlichkeit eröffnet datenschutzrechtlich bestimmte Risiken für Facebook-Seiten-Betreiber, da diese Betreiber nun – neben Facebook – direkt von Aufsichtsbehörden und Betroffenen in Anspruch genommen werden können.

Daneben erfordert diese gemeinsame Verantwortlichkeit, dass die beiden Parteien diese Verantwortlichkeit untereinander aufteilen und diese Aufteilung schriftlich dokumentieren; Facebook hat zwischenzeitlich eine Standardvereinbarung zumindest für Seiten-Insights-Daten bereitgestellt `{`1`}`.

Die Datenschutzaufsichtsbehörden stellen außerdem weitere Anforderungen an die Facebook-Seiten-Betreiber. So muss der Facebook-Seiten-Betreiber in der Lage sein, bestimmte Fragen zur Datenverarbeitung zu beantworten. Eine Beantwortung eines Teils dieser Anfragen ist derzeit nicht vollständig möglich, da Facebook nicht alle der dafür erforderlichen Informationen bereitstellt.

Ebenfalls bestehen auch im Bereich der vom Facebook-Seiten-Betreiber anzugebenden Rechtsgrundlage weiterhin Unklarheiten. Dies führt damit weiterhin zu einem gewissen Risiko, dass der Betrieb von Facebook-Seiten von den Aufsichtsbehörden als nicht vollständig datenschutzkonform eingestuft werden könnte.

Dieser Hinweis und die nachfolgenden Maßnahmen gelten für Facebook-Seiten von Daimler-Konzernunternehmen, die der EU-Datenschutzgrundverordnung (DSGVO) unterliegen, also insbesondere Daimler-Konzernunternehmen, die in der EU bzw. dem EWR ansässig sind, und Facebook-Seiten von Daimler-Konzernunternehmen, die sich an Nutzer in der EU bzw. dem EWR richten.

Für den weiteren Betrieb von Facebook-Seiten sind folgende Maßnahmen seitens der Fachbereiche, die relevante Facebook-Seiten betreiben, zwingend erforderlich:

1. Inkrafttreten und Einhaltung der Vereinbarung gem. Art. 26 DSGVO mit Facebook

Es ist davon auszugehen, dass die Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit für die Seiten-Insights mit Facebook durch den weiteren Betrieb der Facebook-Seite durch den verantwortlichen Daimler-Fachbereich nach der bereits erfolgten Bekanntmachung durch Facebook `{`2`}` bereits in Kraft getreten ist. Für neue Facebook-Seiten soll diese Vereinbarung Bestandteil der Regelungen sein, deren Bestätigung Facebook im Rahmen der Neuanlage verlangt.

Bitte machen Sie sich mit dem Inhalt der Vereinbarung, insbesondere den sich daraus für Ihren Fachbereich ergebenden Pflichten, vertraut und halten Sie diese ein.

2. Einbindung einer spezifischen Datenschutzerklärung auf Facebook-Seiten

a. Als Facebook-spezifische Datenschutzerklärung verwenden Sie bitte das Muster, das auf den Intranetseiten des Konzerndatenschutzes verfügbar ist. Bitte ergänzen Sie die erforderlichen Angaben an den markierten Stellen. Wenn über Facebook erhobene personenbezogene Daten in Ihrem Fachbereich zu anderen oder weiteren Zwecken als in der Datenschutzerklärung dargestellt verarbeitet werden, muss dies in der Datenschutzerklärung angepasst werden. Nehmen Sie hierzu bitte Kontakt mit Ihrem Datenschutzkoordinator auf.

b. Bitte veröffentlichen Sie diese Facebook-spezifische Datenschutzerklärung in der Sprache Ihrer Facebook-Seite auf einer Webseite Ihres Fachbereichs. Sollte die von Ihnen benötigte Sprachfassung (noch) nicht auf den Intranetseiten des Konzerndatenschutzes verfügbar sein, veranlassen Sie bitte eigenständig eine geeignete Übersetzung.

c. Nehmen Sie einen neuen Punkt „Datenrichtlinie/Privacy Policy“ unter den „Seiteninformationen“ Ihrer Facebook-Seite auf und fügen dort den Hyperlink der Datenschutzerklärung (s. vorstehend b.) ein.

d. Falls vorhanden, entfernen Sie bitte aus Ihrer Facebook-Seite (z. B. im „Info“-Bereich) den Link auf die Datenschutzhinweise für Ihre Webseiten.

3. Datenschutzanfragen von Betroffenen (Facebook-Nutzer)

Wenn Betroffene ihre Rechte auf Auskunft, Berichtigung, Löschung bzw. Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO) bezogen auf Facebook-Daten geltend machen, so ist dieses von Ihrem Fachbereich innerhalb von 7 Tagen über ein dafür bereitgestelltes Formular `{`3`}` an Facebook zu melden (gem. Vorgabe von Facebook; s. Ziffer 1). Bitte sorgen Sie ggf. dafür, dass diese Anforderung in Ihrem Bereich und ggf. bei der Stelle, die Betroffenenanfragen für Ihren Fachbereich bearbeitet, bekannt ist und umgesetzt wird.

Facebook hat sich verpflichtet, Betroffenenanfragen zu beantworten. Sollte Facebook diese Pflicht nicht erfüllen, ist jedoch auch Daimler gegenüber Betroffenen und Datenschutzbehörden dafür verantwortlich. Bitte erfassen und dokumentieren Sie solche Anfragen daher in Ihrem Fachbereich, um bei Bedarf die Handhabung entsprechend der Vereinbarung mit Facebook belegen zu können.

4. Anfragen von Datenschutzbehörden oder Medien

Bei ggf. erfolgenden Anfragen von Datenschutzbehörden oder Medien in Bezug auf die Datenverarbeitung im Zusammenhang mit Facebook-Seiten des Daimler-Konzerns stimmen sie deren Beantwortung oder Weiterleitung bitte auch mit dem Konzerndatenschutz ab.

Bei relevanten Änderungen werden wir diesen Hinweis aktualisieren.

Ihr Team Konzerndatenschutz

IL/CDC

`{`1`}` https://www.facebook.com/legal/terms/page_controller_addendum

`{`2`}` https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea

`{`3`}` Derzeit erreichbar unter der URL https://www.facebook.com/help/contact/308592359910928; nur nach Log-in bei Facebook durch einen Seiten-Administrator aufrufbar.
Notice on Data Protection Requirements for Facebook pages.

Version 1.0, October 2018

Corporate Data Protection, IL/CDC
Background on data protection requirements for the operation of Facebook pages (so-called “fan pages”).

In June 2018, the European Court of Justice ruled that providers of Facebook pages are jointly responsible with Facebook for the associated processing of personal data of visitors to these pages under the laws of the European Union and the European Economic Area. This applies at least to the so-called Page Insights function. This shared responsibility opens up certain data protection risks for Facebook page operators, since these operators – in addition to Facebook – can now be claimed directly by supervisory authorities and affected parties.

In addition, this shared responsibility requires that the two parties share this responsibility among themselves and document this sharing in writing; Facebook has provided a standard agreement for Page Insights data in the meantime `{`1`}`.

Data protection regulators are also making additional demands on Facebook page operators. So the Facebook page operator must be able to answer certain questions about data processing. It is currently not possible to answer some of these questions in full, as Facebook does not provide all the information required to do so.

There are also still uncertainties regarding the legal basis to be provided by the Facebook page operator. This therefore continues to lead to a certain risk that the operation of Facebook pages could be classified by the supervisory authorities as not completely data protection-compliant.

This notice and the following measures apply to Facebook pages of Daimler Group companies that are subject to the EU Data Protection Basic Regulation (GDPR), i.e. in particular Daimler Group companies that are based in the EU or the EEA, and Facebook pages of Daimler Group companies that are addressed to users in the EU or the EEA.

For the further operation of Facebook pages, the following measures are mandatory on the part of the departments that operate relevant Facebook pages:

1. Effectiveness of and compliance with the agreement pursuant to Art. 26 GDPR with Facebook

Please assume that the agreement on joint data protection responsibility for Page Insights with Facebook came into effect through the continued use of its Facebook page by the responsible business department following Facebook’s announcement `{`2`}`. For new Facebook pages, the agreement should be part of the policies confirmation which Facebook requires during setup.

Please familiarise yourself with the content of the agreement, in particular, the obligations of your business department resulting therefrom, and comply with it.

2. Inclusion of a specific privacy statement on Facebook pages

a. As a Facebook-specific privacy statement, please use the template available from the Corporate Data Protection Intranet site. Please complete missing information as marked in the document. If personal data collected via Facebook is processed in your area of expertise for purposes other than those described in the Privacy Policy, this must be adjusted in the Privacy Policy. Please contact your data protection coordinator.

b. Please publish this Facebook-specific privacy statement in the language of your Facebook page on a web page in your subject area. If the language version you require is not (yet) available on the Intranet site of Corporate Data Protection, please arrange for a suitable translation to be carried out yourself.

c. Add a new item “Data Policy/Privacy Policy” in the “Page Information” and insert a hyperlink to the published privacy statement (see item b. above) there.

d. Please remove from your Facebook page (e.g., in the “Info” section) the link to the privacy statement of your website (if any).

3. Privacy requests from affected individuals (Facebook users)

If data subjects assert their rights to information, correction, deletion or restriction of processing, data transferability and objection (Art. 15–21 GDPR) in relation to Facebook data, this must be reported to Facebook by your department within 7 days using a form `{`3`}` provided for this purpose (as per requirement by Facebook; see item 1 above). If necessary, please make sure that relevant staff in your business department and any service providers commissioned for handling data subject requests know, and comply with, this requirement.

Facebook has committed itself to fulfil such data subject requests. Please note that, if Facebook fails to fulfil such requests, Daimler may be held responsible by data subjects and data protection authorities. Therefore, please record and document this request in your department to be able to demonstrate handling in compliance with the Facebook agreement if necessary.

4. Inquiries from data protection authorities or media organisations

If data protection authorities or the media make inquiries regarding data processing in connection with Facebook pages of the Daimler Group, please also coordinate your response with Corporate Data Protection.

We will update this information in the event of relevant changes.

Your Corporate Data Protection Team

IL/CDC

`{`1`}` https://www.facebook.com/legal/terms/page_controller_addendum

`{`2`}` https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea

`{`3`}` Currently available at the URL https://www.facebook.com/help/contact/308592359910928; can only be accessed after logging in to Facebook as a Facebook page administrator.