Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. Immerhin gibt es einen Lichtblick!

Das Problem mit der gemeinsamen Verarbeitung

In seinem Urteil vom 5. Juni 2018 stellte der EuGH fest, dass Facebook-Fanpages in der bisherigen Gestaltung nicht datenschutzkonform sind. Wegen des Trackings von Fans mittels der Funktion „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook. Deshalb sind die Voraussetzungen des neuen Art. 26 DSGVO (EU-Datenschutz-Grundverordnung) von beiden Parteien zu erfüllen.

Bisher scheiterte die Rechtskonformität an einer fehlenden vertraglichen Vereinbarung, um Fanpagebesucher über die gemeinsame Verarbeitung aufzuklären und die Pflichten zwischen Fanpagebetreiber und Facebook festzuhalten. Rund ein Vierteljahr nach Urteilsverkündung des EuGHs stellt Facebook diese Ergänzung seiner AGB nun zur Verfügung.

Problematisch ist dabei, dass sich Facebook vorbehält, das Addendum von Zeit zu Zeit zu aktualisieren. Selbstverständlich ist der Inhalt nicht verhandelbar, was Betreibern von Fanpages die Möglichkeit zur Intervention nimmt, wenn die Ergänzung einseitig von Facebook angepasst wird. Mit weiterer Nutzung des Dienstes gelten die neuen Bedingungen als akzeptiert. Der Wortlaut lässt leider nur hoffen, dass Betreiber über Änderungen wenigstens informiert werden und es gilt wie immer das Prinzip „take it or leave it“.

DSGVO-Konformität der Ergänzung

Art. 26 DSGVO fordert einer Vereinbarung zwischen gemeinsamen Verantwortlichen folgendes ab:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen)
  • Anlaufstelle für betroffene Personen
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene (Dazu verpflichtet sich Facebook in der Ergänzung. Es ist aber angeraten diese Information auf der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte).

Facebook hat zu allen oben genannten Pflichten Regelungen getroffen und eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Die Pflichten, die Facebook in der Ergänzung einräumt, sind ein Schritt in die richtige Richtung und erfüllen in der aktuellen Fassung den Großteil der Anforderungen des Art. 26 DSGVO. Demnach ist zumindest das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 DSGVO bekämpft worden.

Allerdings hapert es insbesondere noch an Einflussmöglichkeiten für Fanpagebetreiber selbst. Die Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte als Reaktion auf das EuGH-Urteil einen Beschluss verfasst, dessen Fragen 5 bis 7 auch nach den Änderungen durch Facebook weitestgehend ungelöst bleiben.

Einerseits gibt es immer noch keine Möglichkeit, das Tracking der Fans auszuschalten. Dies ist insbesondere relevant, weil die DSK seit Einführung der DSGVO eine Einwilligung für das Tracking (und damit auf für Insights-Daten) fordert (siehe unsere Einschätzung zum Thema). Diese kann auch mit den besprochenen Änderungen nicht durch den Betreiber eingeholt werden. Im Ergebnis fehlt ihm demnach immer noch eine gültige Rechtsgrundlage gem. Art. 6 Abs. 1 S. 1 DSGVO und er ist möglichen Bußgeldern nach Art. 83 Abs. 5 DSGVO weiterhin ausgesetzt.

Andererseits erlaubt es die Ergänzung Fanpagebetreibern nicht, sich auf die Erfüllung der sich aus Art. 26 DSGVO ergebenden Pflichten durch Facebook dauerhaft zu verlassen, weil die Vereinbarung einseitig und stillschweigend durch die soziale Plattform geändert werden kann.

Maßnahmen zur Risikominimierung bei Facebook-Fanpages

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Implementieren Sie in den Datenschutzhinweisen Ihrer Website die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  5. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.

Fazit: Ein Lichtblick für weiterhin bestehende datenschutzrechtliche Hürden

Das Hauptproblem der Facebook-Unternehmensseiten besteht durch Mangel an einer Rechtsgrundlage für den Betreiber und die damit verbundene Rechtsunsicherheit fort.

Ein Lichtblick besteht, obwohl keine weiteren mildernden Maßnahmen von Facebook zu erwarten sind: Die kommende ePrivacy-Verordnung wird vermutlich ab Ende 2019 regeln, unter welchen Voraussetzungen Tracking für Statistikzwecke über längere Zeiträume ohne ausdrückliche Einwilligung der Betroffenen zulässig ist. Damit wäre auch die vorliegende datenschutzrechtliche Hürde überwunden.

Bitte bewerten Sie diese Inhalte!
[59 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2018 veröffentlicht.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.