Logo der activeMind AG
  • ,
  • Geschätzte Lesezeit: 14 Minuten

Datenschutz bei Facebook-Fanpages

Inhalt

Eine im März 2022 veröffentlichte Stellungnahme der Datenschutzkonferenz (DSK) greift die Problematik der Fanpages unter der Berücksichtigung des im Dezember 2021 eingeführten Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) nochmals auf, um mehr Klarheit über die aktuelle Rechtskonformität zu schaffen.

Die BfDI legt Berufung gegen das Urteil des Verwaltungsgerichts ein. Somit wird das Verfahren dem Oberverwaltungsgericht vorgelegt.

Der Ausgang des Berufungsverfahrens ist offen. Die folgend zusammengefasste Handreichung der BfDI bietet öffentlichen Stellen jedoch eine Orientierung für eine datenschutzkonforme Nutzung von Fanpages. Behörden müssen ihre Auftritte auf sozialen Medien kritisch prüfen, technische und organisatorische Schutzmaßnahmen konsequent umsetzen und ihre Öffentlichkeitsarbeit durch klare Leitfäden steuern. Sollte das Gericht eine gemeinsame Verantwortlichkeit feststellen, wird sich der Pflichtenkatalog um die Anforderungen aus Art. 26 DSGVO erweitern.

Achtung: Die Handlungsanweisung betrifft nur die Pflichten öffentlicher Stellen als eigenverantwortlicher Betreiber einer Fanpage:

Voraussetzungen für die rechtskonforme Nutzung von Fanpages auf Grundlage der Handlungsanweisung

Rechtsgrundlage

Für die Verarbeitung von Daten auf der Fanpage ist eine Rechtsgrundlage notwendig. Dies kann entweder eine gesetzliche Verpflichtung nach Art. 6 Abs. 1 lit. c) DSGVO sein oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse. In beiden Fällen ergibt sich die Grundlage aus dem Informationsauftrag gegenüber der Öffentlichkeit.

Eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO kommt aufgrund des Machtungleichgewichts zwischen Behörde und Bürger: innen nicht in Betracht (ErwG. 43 DSGVO).

Transparenz

Ein transparenter Umgang mit personenbezogenen Daten ist auch von öffentlichen Stellen verpflichtend. Somit ist beim Einsatz von Fanpages dem Betroffenen zum Zeitpunkt der Erhebung seiner Daten gemäß Art. 13 DSGVO umfassend darüber zu informieren.

Datenschutz-Folgenabschätzung

Sollte bei der Nutzung eines sozialen Netzwerkes ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben und somit die Voraussetzungen für eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO vorliegen, ist diese durch die öffentliche Stelle durchzuführen. Dies bedeutet die Öffentlichen Stellen müssen sich bei Inbetriebnahme einer Fanpage mit den Umständen der Verarbeitung auseinandersetzen. Insbesondere im Hinblick auf die Verarbeitung sensibler Daten und Datenübermittlungen in Drittstaaten.

Privacy by Default

Beim Betrieb einer Fanpage sind angemessen technische und organisatorische Maßnahmen erforderlich, um den Nutzern eine datenschutzkonforme Nutzung zu ermöglichen. Dazu kann etwa das Deaktivieren der Statistik-Funktion (Insights), das Unterbinden der Verarbeitung sensibler Daten wie Standortinformationen oder für KI-Trainingszwecke gehören. Auch Zusatzfunktionen wie Gewinnspiele, Direktwerbung sollten deaktiviert werden.

Keine Exklusivität

Das Nutzen von sozialen Netzwerken darf von öffentlichen Stellen nur ergänzend genutzt werden. Bürger müssen Informationen auch auf anderen Wegen erhalten können.

Nutzungsleitfaden

Um die Einhaltung ihrer Anforderungen zu gewährleisten, sollen öffentliche Stellen die Art ihrer Nutzung und ihrer Inhalte in sozialen Medien in einem Leitfaden für ihre Öffentlichkeitsarbeit festlegen. Als vorgegangenes Beispiel gilt das Nutzungskonzept bei der Nutzung eines Mastadon-Kanals.

Vor zwei Jahren hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dem Bundespresseamt (BPA) per Beschluss untersagt, eine Facebook-Fanpage zu betreiben (siehe Update unten).

Der BfDI vertritt die Auffassung, dass der Betrieb einer solchen Seite nicht datenschutzkonform möglich sei.

Noch im selben Jahr legten sowohl das BPA als auch Meta (Facebook) Klage gegen den Bescheid ein. Nun verhandelte das Verwaltungsgericht Köln in einer mündlichen Sitzung über die Rechtmäßigkeit des Fanpage-Betriebs – mit einem Teilerfolg für das Bundespresseamt: Die Richter gaben der Klage des BPA statt und hoben den Bescheid aus dem Jahr 2023 auf. Da eine gemeinsame Verantwortlichkeit laut dem Gericht nach Abschalten der Statistikfunktion (sog. Insights) nicht gegeben ist. Damit darf das BPA seine Facebook-Fanpage weiterhin betreiben.

Die Klage von Meta blieb hingegen in drei von vier Punkten erfolglos. Die schriftliche Urteilsbegründung steht noch aus – und dürfte entscheiden dafür sein, welche Signalwirkung das Urteil für den künftigen Betrieb von Fanpages haben wird. 

Der Bundesbeauftragte für den Datenschutz und Informationssicherheit (BfDI) untersagt der Bundesregierung das Betreiben ihrer Facebook-Fanpage.

Die Gründe für seine Entscheidung erklärt der BfDI in seinem Bescheid vom 17. Februar 2023 an das Bundespresseamt (BPA) als Betreiber der Facebook-Fanpage der Bundesregierung mit Verweis auf das Kurzgutachten der DSK vom März 2022. Aufgrund des durch Meta zur Verfügung gestellten Vertrages zur gemeinsamen Verantwortlichkeit sei kein datenschutzkonformer Betrieb einer Facebook-Fanpage möglich. Das BPA könne demnach seiner Pflicht als Verantwortlicher, die DSGVO-Grundsätze einzuhalten, nicht entsprechend nachkommen und im Rahmen seiner Rechenschaftspflicht nicht nachweisen. Der BfDI bemängelt insbesondere die fehlende Rechtsgrundlage für die Datenverarbeitung, wie dies bereits von der Task-Force im Kurzgutachten kritisierte wurde. Des Weiteren wird nach Prüfung der Aufsichtsbehörde keine Einwilligung für die Verwendung technisch nicht notwendiger Cookies und ähnlicher Trackingtechnologien, wie es nach § 25 TDDDG verpflichtend ist, eingeholt.

Nach der Einschätzung des BfDI ist das Betreiben einer Facebook-Fanpage nicht datenschutzkonform möglich. Das BPA habe als öffentliche Stelle des Bundes eine Vorbildfunktion inne und stehe nun in der Pflicht, die Fanpage der Bundesregierung einzustellen. Dem Bundespresseamt bleibt jedoch noch die Möglichkeit, gegen den Bescheid des BfDI innerhalb eines Monats Klage einzureichen.

Fanpages und die Problematik der gemeinsamen Verantwortlichkeit

Fanpages bzw. Unternehmensprofile bei Facebook sind ein beliebter Kommunikationskanal. Es gibt dabei allerdings nach wie vor einige Datenschutzprobleme. In einem Urteil vom 5. Juni 2018 knüpft der Europäische Gerichtshof das Betreiben einer Facebook-Fanpage an strenge Anforderungen, die ein datenschutzkonformes Betreiben de facto unmöglich machen.

Für eine datenschutzkonforme Ausgestaltung der Fanpages ist laut EuGH insbesondere das Verwenden der von Facebook bereitgestellten Tracking-Funktion problematisch. Denn durch die Funktion von „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook an.

Sowohl Facebook als auch die Unternehmen, die solche eine Fanpage betreiben, haben ein großes Interesse daran, diese Seitenstatistiken auswerten zu können, um einerseits höhere Umsätze zu erzielen und andererseits gezielte Werbung zu schalten.

Da sowohl die Betreiber als auch Facebook die Daten im jeweils eigenen Interesse verarbeiten und gemeinsam die Mittel und Zwecke der Verarbeitung festlegen, sind die Voraussetzungen des Art. 26 Datenschutz-Grundverordnung (DSGVO) erfüllt.

Anforderungen an Datenverarbeitungen bei einer gemeinsamen Verantwortlichkeit

Somit müssen sich Unternehmen und Facebook bei dem Betreiben von Fanpages an die Regelungen des Art. 26 DSGVO halten. Zunächst muss zwischen den beiden Verantwortlichen eine Vereinbarung geschlossen werden, die folgendes festlegt:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen);
  • Festlegung einer Anlaufstelle für betroffene Personen und
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene Facebook verpflichtet sich in der Seiten-Insights-Ergänzung, den wesentlichen Inhalt der Verarbeitung den Betroffenen zur Verfügung zu stellen. Es ist aber angeraten, diese Information in der Datenschutzerklärung der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte und es die datenschutzrechtlichen Anforderungen grundsätzlich nicht erfüllt.

Tipp: Lesen Sie unseren Ratgeber zur Datenverarbeitung in gemeinsamer Verantwortung für mehr Informationen.

Facebook hat zwar zu allen oben genannten Pflichten Regelungen getroffen und seiner Meinung eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Doch bereits in der Stellungnahme der DSK vom 1. April 2019 ergaben sich weiterhin herbe Verstöße gegen Art. 26 DSGVO. Einige der Hauptkritikpunkte waren unter anderem, dass Fanpagebetreibern keine Entscheidungsmacht über die Verarbeitung der Fanpagenutzerdaten von Facebook zugesprochen wurde und sie zudem als Verantwortliche keine eigene Rechtsgrundlage zur Verarbeitung der Fanpagenutzerdaten hatten. Die Pflichten, die Facebook in der Ergänzung einräumt, waren zwar ein Schritt in die richtige Richtung und erfüllen einige der Anforderungen des Art. 26 DSGVO, dennoch besteht weiterhin das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 und 5 DSGVO .

Kurzgutachten der DSK-Task Force

Um sich insbesondere mit der Thematik der Facebook-Fanpages auseinanderzusetzen und diese ausführlicher zu prüfen, wurde seitens der DSK eine Taskforce eingerichtet. Diese Taskforce beschäftigte sich in einem weiteren Gutachten vom 18. März 2022 nochmals mit der Problematik des rechtskonformen Betreibens von Facebook-Fanpages.

Das Gutachten nimmt insbesondere auf die Speicherung der Informationen in den Endgeräten der Nutzer und auf den Zugriff auf solche Informationen, die bereits in den Endgeräten gespeichert sind, Bezug. Ebenfalls geht das Gutachten explizit auf Fanpages von öffentlichen Stellen ein. Aufgrund der gemeinsamen Verantwortlichkeit müssen die Betreiber einer Fanpage eine entsprechende Rechtsgrundlage nachweisen können.

Nach Meinung der DSK kommt gerade bei öffentlichen Stellen im Rahmen ihrer Öffentlichkeitsarbeit weder eine rechtmäßige Verarbeitung durch Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO noch durch berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO in Betracht, angesichts des unklaren Verarbeitungsumfangs und fehlender Informationen. Auch eine Verarbeitung für eine Aufgabe im öffentlichen Interesse gem. Art. 6 Abs. 1 lit. e) DSGVO scheidet hier aus, da diese Rechtsgrundlage nur soweit angewendet werden kann, wie die Daten tatsächlich zu Zwecken der Öffentlichkeitsarbeit verarbeitet werden.

Da allerdings Insights zur Erstellung von Werbeprofilen gedacht sind, fällt das nicht unter die Kategorie Öffentlichkeitsarbeit. Art. 6 Abs. 1 lit. e) DSGVO ist somit keine geeignete Rechtsgrundlage.

Des Weiteren ist es nach Einschätzung der DSK für das Erfüllen der Informationspflicht gegenüber Betroffenen bzgl. der Vereinbarung über eine gemeinsame Verantwortlichkeit mit Facebook nicht ausreichend, auf die Informationen zum Insight-Tool von Facebook verweisen.

Infolge mangelnder Informationen über die Verarbeitung personenbezogener Daten in Zusammenhang mit der Verwendung von Insights, kann eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO als wirksame Rechtsgrundlage nicht standhalten.

Datenschutzrechtliche Einschätzung und Risikominimierung bei Facebook-Fanpages

Aufgrund dieser oben diskutierten Punkte ist das Betreiben von Facebook-Fanpages sowohl von öffentlichen als auch von privaten Stellen nicht im Einklang mit der DSGVO. Hinsichtlich der Vorbildfunktion von öffentlichen Stellen, sollten gerade diese ihre Fanpages deaktivieren, wenn sie der Transparenzpflicht gem. Art. 26 Abs. 2 DSGVO nicht nachkommen können.

Private Unternehmen, die solche Fanpages verwenden und darauf nicht verzichten wollen, sollten zumindest folgende Punkte beachten, um ihr Risiko zu minimieren:

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage und den Zugriff auf Informationen, die bereits im Endgerät der Nutzer gespeichert sind, einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Informieren Sie in den Datenschutzhinweisen Ihrer Website über die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Kommen Sie im Rahmen Ihrer Facebook-Fanpage Ihrer Impressumspflicht gem. § 5 TMG nach.
  5. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  6. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.
  7. Holen Sie sich die Einwilligung gem. § 25 TDDDG, um eine geeignete Rechtsgrundlage für einen datenschutzkonformen Zugriff auf das Endgerät des Besuchers der Fanpage zu erhalten.

Fazit: Facebook-Fanpages sind nicht DSGVO-konform

Das Hauptproblem der Facebook-Unternehmensprofile besteht weiterhin darin, dass es an einer geeigneten Rechtsgrundlage für die Datenverarbeitung mangelt. Daher sollten Unternehmen wenn möglich auf solch eine Fanpage verzichten, andernfalls besteht unter anderem die Gefahr einer Abmahnung durch die Aufsichtsbehörden. Dies kann zu enormen Geldbußen führen.

Auch zukünftig sind datenschutzrechtliche Herausforderungen in Bezug auf Facebook-Fanpages zu erwarten. Facebook genießt bei Datenschutzbehörden und Gerichten ein besonderes Maß an Aufmerksamkeit. Daher sollten Sie die Entwicklungen der Rechtslage im Auge behalten.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Beschäftigtendatenschutz, Betroffenenrechte, Marketing

Smartphones, Profiling und Datenschutzrisiken

Wie Smartphones als Datensammler funktionieren, wann das problematisch wird und was Sie dann tun können.
  • Marketing

Rechtskonforme E-Mail-Signaturen

Pflichtangaben verschiedener Unternehmens-Rechtsformen, Werbung und die Rolle von Disclaimern in E-Mail-Signaturen.
  • Betroffenenrechte, Marketing

EDSA-Leitlinien zum berechtigten Interesse

Wichtige Konkretisierungen zur Verarbeitung personenbezogener Daten basierend auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO.
  • Marketing

Weihnachtsgrüße in 2024 DSGVO-konform versenden

Bevor Sie im Jahr 2024 an Kunden Weihnachtsgrüße verschicken – sei es per E-Mail oder postalisch – sollten Sie diese wichtigen Regeln zum Datenschutz und Wettbewerbsrecht lesen.
  • Betroffenenrechte, Marketing

Datenschutzkonforme Zufriedenheitsbefragung per Telefon

Unter welchen Bedingungen dürfen Unternehmen ihre Kunden nach Abschluss eines Auftrags telefonisch befragen?
  • Betroffenenrechte, Marketing

Einwilligungserklärung gemäß DSGVO (Anleitung)

Die ultimative Anleitung für eine rechtskonforme Einwilligungserklärung zur Verarbeitung personenbezogener Daten nach DSGVO.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.