Facebook-Fanpage vs. DSGVO – konform oder nicht?

Worum es geht

Kann man eine Facebook-Fanpage datenschutzkonform betreiben?
Bereits 2018 hat der EuGH mit seinem Urteil vom 05. Juni 2018 (Az-C-210/16) festgestellt, dass der Betrieb von Facebook-Fanpages nicht datenschutzkonform ist[1]. Also ein alter Hut?

Fakt ist, die Bedeutung von Social Media ist in den letzten Jahren immer weiter gewachsen. Mittlerweile nutzen mehr als die Hälfte der Weltbevölkerung Social Media und dieser Trend wurde durch die  Corona Pandemie nochmals befeuert, wie dem Magazin UPLOAD zu entnehmen ist. Themen wie z. B. Messenger-Kommunikation werden im Rahmen des Dialog-Marketing an Bedeutung gewinnen. Mit „echten Problemlösern“ wie z. B. „How-To-Listen“ oder „Listen-Beiträgen“ sollen neue Kunden gewonnen werden[2].

Um als Plattform-Anbieter Social Media erfolgreich betreiben zu können, werden personenbezogene Daten gesammelt und ausgewertet. Auch wenn man für soziale Netzwerke meist nicht bezahlen muss, kostenlos sind sie deswegen nicht. Man bezahlt die Leistung mit seinen Daten. Wer am Ende alles Empfänger dieser Daten ist und wie diese genutzt werden, ist für den Nutzer oft nicht mehr nachvollziehbar[3]. Und es gibt weitere Hürden. Das Portal „Datenschutz und Datensicherheit“ der Mensch und Medien GmbH informiert zum Beispiel: Die Lesedauer der Datenschutzrichtlinien auf TikTok benötigen durchschnittlich 104,8 Minuten, bei WeChat sind es 74,4 Minuten und bei LinkedIn immerhin noch 48,2 Minuten[4]. Ich frage mich: Wer liest das überhaupt?

Auch wenn durch das Urteil von 2018 feststeht, dass z. B. eine Facebook-Fanpage nicht datenschutzkonform betrieben werden kann, hat Social Media für viele Firmen eine enorm hohe wirtschaftliche Bedeutung. In diesem Artikel werde ich ein paar Hinweise geben, mit welchen Maßnahmen Sie Ihr Risiko etwas reduzieren können. Aber Achtung: Eine 100%-ige Rechtskonformität wird aktuell dadurch nicht erreicht!

Das eigentliche Problem

Aber was ist das eigentliche Problem? Darüber wurde bereits viel geschrieben. Daher folgt hier zur Wiederholung eine kurze Beschreibung:

Aufgrund der Art und Weise des Trackings von Fans mit Hilfe der Funktion „Insights“ erkannte das Gericht eine „gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook“[5]. Somit gilt der Artikel 26 (Gemeinsam Verantwortliche) der DSGVO[6].

Der Artikel 26 legt bestimmte Pflichten für beide Vertragspartner fest. Eine dafür vertragliche Vereinbarung stellte Facebook erst nach Monaten des Urteils zur Verfügung[7].

Die Datenschutzkonferenz der Länder (DSK) betrachtet in ihrem Positionspapier vom 01.04.2019 dieses Addendum immer noch als problematisch[8].

Kurz zusammengefasst stellt die DSK folgende Punkte fest:

  • „Jeder Verantwortliche benötigt für Verarbeitungstätigkeiten, die in seiner Verantwortung liegen, eine Rechtsgrundlage (…) auch in den Fällen, in denen die Verantwortlichen die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen (…)“
  • „Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage zu bewerten, ob die
    Verarbeitungstätigkeiten rechtskonform durchgeführt werden (...)“.
  • Ebenso werden die Ausführungen zur „Hauptniederlassung“ sowie zur federführenden Aufsichtsbehörde kritisiert, da Facebook den Fanpage-Betreibern die irische Datenschutzkommission als die federführende Aufsichtsbehörde vorschreibt.

Facebook verlangt von den Fanpage-Betreibern, dass sie eine Rechtsgrundlage benennen können müssen. Da der Fanpage-Betreiber keine hinreichende Kenntnis über die Verarbeitungstätigkeiten hat, kann er hierzu keine benennen. Es wäre nur eine Einwilligung nach Art. 6 Abs. 1 lit. a möglich. Diese kann aber nur über die Webseite eingebunden werden. Da eine Facebook-Fanpage öffentlich zugänglich ist, besteht die Möglichkeit, dass User die Fanpage aufrufen, ohne über die Webseite zu gehen, welche die Möglichkeit einer
Einwilligung anbietet.

Darüber hinaus verlangt Facebook, dass Anfragen von Betroffenen direkt an Facebook weitergeleitet werden und untersagt den Fanpage-Betreibern, selbst Auskunft zu geben, was den Regelungen des Art. 26 DSGVO widerspricht[9]. Dass Facebook ebenso die irische Datenschutzkommission als federführende Aufsichtsbehörde vorschreibt, widerspricht schließlich Art. 77 Abs. 1 DSGVO[10].

Die DSK stellt fest, dass sowohl Facebook als auch die Fanpage-Betreiber ihren Rechenschaftspflichten nachkommen müssen.

Wie können Verantwortliche das Problem lösen?

Wie bereits festgestellt, ist ein rechtssicherer Betrieb einer Facebook-Fanpage nicht möglich. Zumindest lassen sich die Risiken reduzieren. Hierzu werden folgende Maßnahmen empfohlen:

  • Passen Sie das Consent-Banner auf Ihrer Webseite an und fügen Sie Informationen über das Tracking der Facebook-Fanpage sowie eine Einwilligungs-Checkbox ein.
  • Informieren Sie in der Datenschutzerklärung Ihrer Webseite über das Facebook-Tracking.
  • Integrieren Sie auf der Facebook-Fanpage an prominenter Stelle eine Verlinkung zur Datenschutzerklärung Ihrer Webseite. Diese sollte folgende Punkte enthalten[11]:

 Betroffenenrechte können sowohl bei Ihnen wie auch bei Facebook Ireland geltend gemacht werden.

 Die primäre Verantwortung der Verarbeitung der Insights-Daten gemäß DSGVO liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO bezüglich der Verarbeitung der Insights-Daten.

 Bezüglich der Verarbeitung von Insights-Daten treffen Sie als Fanpage-Betreiber keine Entscheidungen, auch nicht für daraus ergebende weitere Informationen nach Art. 13 DSGVO. Hierunter fallen Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzungsgeräten.

  • Fügen Sie auf Ihrer Facebook-Fanpage zusätzlich einen Link auf die Facebook-Informationen zur Insights-Funktion ein (Link: https://www.facebook.com/legal/terms/information_about_page_insights_data)
  • Wenn Sie Anfragen von Betroffenen oder Aufsichtsbehörden erhalten, leiten Sie diese vereinbarungsgemäß an Facebook weiter. Nutzen Sie hierzu folgenden Link: https://www.facebook.com/help/contact/308592359910928
  • Es wird auch empfohlen, Facebook Ireland anzuschreiben und aufzufordern, eine rechtskonforme Art. 26-Vereinbarung zur Verfügung zu stellen. Es ist zu erwarten, dass Facebook darauf nicht reagieren wird. Jedoch kann man gegenüber einer Aufsichtsbehörde zumindest den Nachweis erbringen, alles versucht zu haben, um datenschutzrechtliche Mängel zu beseitigen.
  • Prüfen Sie auch weitere Social-Media-Auftritte bezüglich dieser Problematik.

Fazit

Social-Media-Auftritte wie die Facebook-Fanpage sind heute immer noch problematisch, da die Regelungen der DSGVO nicht zu hundert Prozent konform eingehalten werden können.

Zwar hat Facebook im Oktober 2019 seine Bedingungen für die Seiten-Insights aktualisiert und verspricht darin, dass keine personenbezogenen Daten von Personen verarbeitet werden, die über keinen Facebook-Account verfügen[12].
Ob dies allerdings für die Aufsichtsbehörden ausreichend ist, darf man bezweifeln.

Die letzte Gerichtsentscheidung zu diesem Thema erfolgte im September 2019 vom Bundesverwaltungsgericht. Kurz zusammengefasst kann die Aufsichtsbehörde den Betrieb einer Facebook-Fanpage untersagen, wenn die von Facebook „zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist“[13].

Seitenbetreiber können lediglich versuchen, durch die beschriebenen Maßnahmen ihr Risiko zu reduzieren. Abzuwarten bleibt, wie das Thema künftig bewertet und neu geregelt wird. Daher empfehle ich, diesen Sachverhalt weiterhin genau zu beobachten.


Quellen

[1]     „CURIA - Recueil général – Cour de justice“, https://curia.europa.eu/juris/liste.jsf?num=C-210/16&language=DE.

[2]     „Social-Media-Trends 2021“, https://upload-magazin.de/47618-social-media-trends-2021/.

[3]     „Social Media: Datenschutz in den sozialen Medien - Finanztip“, https://www.finanztip.de/social-media-datenschutz/.

[4]     „Welcher Teenager liest denn sowas? Die Datenschutzrichtlinien von TikTok erfordern 104 Minuten Lesedauer. - DSB Ratgeber“, https://www.dsb-ratgeber.de/artikel/datenschutz-bestimmungen-tiktok.html.

[5]     „Datenschutzkonforme Facebook-Fanpages nach DSGVO“, https://www.activemind.de/magazin/facebook-fanpages-dsgvo/.

[6]     „Art. 26 DSGVO – Gemeinsam Verantwortliche“, https://dsgvo-gesetz.de/art-26-dsgvo/.

[10]   „Art. 77 DSGVO – Gemeinsam Verantwortliche“, https://dsgvo-gesetz.de/art-77-dsgvo/.

[11]   „Datenschutzkonforme Facebook-Fanpages nach DSGVO“, https://www.activemind.de/magazin/facebook-fanpages-dsgvo/.

[12]   „Facebook veröffentlicht aktualisierte ‚Seiten-Insights-Ergänzung‘“, https://www.troeber.de/news/datenschutzrecht/facebook-veroffentlicht-aktualisierte-seiten-insight-erganzung/.