Datenschutzkonforme Facebook-Fanpages nach DSGVO

Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. Die deutschen Datenschutzbehörden sind nach jüngster Einschätzung weiterhin der Ansicht, dass das Betreiben einer Facebook-Fanpage zweifellos Datenschutzverstöße mit sich bringt.

Das Problem mit der gemeinsamen Verarbeitung

In seinem Urteil vom 5. Juni 2018 stellte der EuGH fest, dass Facebook-Fanpages in der bisherigen Gestaltung nicht datenschutzkonform sind. Wegen des Trackings von Fans mittels der Funktion „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook. Deshalb sind die Voraussetzungen des neuen Art. 26 DSGVO (EU-Datenschutz-Grundverordnung) von beiden Parteien zu erfüllen.

Ursprünglich scheiterte die Rechtskonformität an einer fehlenden vertraglichen Vereinbarung, um Fanpagebesucher über die gemeinsame Verarbeitung aufzuklären und die Pflichten zwischen Fanpagebetreiber und Facebook festzuhalten. Rund ein Vierteljahr nach Urteilsverkündung des EuGHs stellte Facebook diese Ergänzung seiner AGB zur Verfügung.

Problematisch ist dabei, dass sich Facebook vorbehält, das Addendum von Zeit zu Zeit zu aktualisieren. Selbstverständlich ist der Inhalt nicht verhandelbar, was Betreibern von Fanpages die Möglichkeit zur Intervention nimmt, wenn die Ergänzung einseitig von Facebook angepasst wird. Mit weiterer Nutzung des Dienstes gelten die neuen Bedingungen als akzeptiert. Der Wortlaut lässt leider nur hoffen, dass Betreiber über Änderungen wenigstens informiert werden und es gilt wie immer das Prinzip „take it or leave it“.

DSGVO-Konformität der Ergänzung

Art. 26 DSGVO fordert einer Vereinbarung zwischen gemeinsamen Verantwortlichen folgendes ab:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen)
  • Anlaufstelle für betroffene Personen
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene (Dazu verpflichtet sich Facebook in der Ergänzung. Es ist aber angeraten diese Information auf der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte).

Facebook hat zu allen oben genannten Pflichten Regelungen getroffen und eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Die DSK, das Gremium der deutschen Datenschutzaufsichtsbehörden, sieht dennoch in ihrer Stellungnahme vom 1. April 2019 weiterhin herbe Verstöße gegen Art. 26 DSGVO. Einige der Hauptkritikpunkte sind, dass Fanpagebetreibern keine Entscheidungsmacht über die Verarbeitung der Fanpagenutzerdaten von Facebook zugesprochen wird und zudem keine eigene Rechtsgrundlage zur Verarbeitung der Fanpagenutzerdaten haben. Die Pflichten, die Facebook in der Ergänzung einräumt, sind ein Schritt in die richtige Richtung und erfüllen in der aktuellen Fassung einige der Anforderungen des Art. 26 DSGVO. Dennoch besteht weiterhin das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 und 5 DSGVO fort.

Es hapert an Einflussmöglichkeiten für Fanpagebetreiber selbst. Die Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im September 2018 als Reaktion auf das EuGH-Urteil einen Beschluss verfasst, dessen Fragen 5 bis 7 auch nach den Änderungen durch Facebook weitestgehend ungelöst blieben.

Einerseits gibt es immer noch keine Möglichkeit, das Tracking der Fans auszuschalten. Dies ist insbesondere relevant, weil die DSK seit Einführung der DSGVO eine Einwilligung für das Tracking (und damit auch für Insights-Daten) fordert (siehe unsere Einschätzung zum Thema). Diese kann auch mit den besprochenen Änderungen nicht durch den Betreiber eingeholt werden. Im Ergebnis fehlt ihm demnach immer noch eine gültige Rechtsgrundlage gem. Art. 6 Abs. 1 S. 1 DSGVO und er ist möglichen Bußgeldern nach Art. 83 Abs. 5 DSGVO weiterhin ausgesetzt.

Andererseits erlaubt es die Ergänzung Fanpagebetreibern nicht, sich auf die Erfüllung der sich aus Art. 26 DSGVO ergebenden Pflichten durch Facebook dauerhaft zu verlassen, weil die Vereinbarung einseitig und stillschweigend durch die soziale Plattform geändert werden kann.

Maßnahmen zur Risikominimierung bei Facebook-Fanpages

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Implementieren Sie in den Datenschutzhinweisen Ihrer Website die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  5. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.

Fazit: Ein Lichtblick für weiterhin bestehende datenschutzrechtliche Hürden

Das Hauptrisiko der Facebook-Unternehmensseiten besteht durch Mangel an einer Rechtsgrundlage für den Betreiber und die damit verbundene Rechtsunsicherheit fort.

Ein Lichtblick besteht, obwohl keine weiteren mildernden Maßnahmen von Facebook zu erwarten sind: Die kommende ePrivacy-Verordnung wird vermutlich ab Ende 2019 regeln, unter welchen Voraussetzungen Tracking für Statistikzwecke über längere Zeiträume ohne ausdrückliche Einwilligung der Betroffenen zulässig ist. Damit wäre zumindest eine große  datenschutzrechtliche Hürde überwunden.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

4 Kommentare

  1. Jacob Profile Picture
    Jacob

    Hallo was würde es kosten eine Facebook Fanpage Rechtskonform zu gestalten?mfg

    1. Aaron Nourbakhsh Profile Picture
      Aaron Nourbakhsh

      Hallo,

      vielen herzlichen Dank für Ihr Interesse. Preisanfragen beantworten wir Ihnen gerne über unser Kontaktformular. Senden Sie uns dazu bitte eine genaue Beschreibung Ihres Anliegens.

      Beste Grüße
      Aaron Nourbakhsh

    2. Philipp Profile Picture
      Philipp

      Das funktioniert m.E. aktuell gar nicht. Lediglich das Nicht-Betreiben einer solchen Fanseite ins rechtskonform!

      1. Aaron Nourbakhsh Profile Picture
        Aaron Nourbakhsh

        Guten Tag,

        der Artikel gibt einige Hinweise an die Hand, um zumindest Maßnahmen zur Risikominimierung zu betreiben. Ihren Eindruck kann ich nur bestätigen. Facebook muss dort definitiv nachziehen. Auch die deutschen Datenschutzbehörden kamen zu diesem Fazit.

        Beste Grüße
        Aaron Nourbakhsh

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.