Logo der activeMind AG

Datenschutz bei Facebook-Fanpages

Inhalt

Eine im März 2022 veröffentlichte Stellungnahme der Datenschutzkonferenz (DSK) greift die Problematik der Fanpages unter der Berücksichtigung des im Dezember 2021 eingeführten Telekommunikations-Telemedien Datenschutz Gesetz (TTDSG) nochmals auf, um mehr Klarheit über die aktuelle Rechtskonformität zu schaffen.

Fanpages bzw. Unternehmensprofile bei Facebook sind ein beliebter Kommunikationskanal. Es gibt dabei allerdings nach wie vor einige Datenschutzprobleme. In einem Urteil vom 5. Juni 2018 knüpft der Europäische Gerichtshof das Betreiben einer Facebook-Fanpage an strenge Anforderungen, die ein datenschutzkonformes Betreiben de facto unmöglich machen.

Update Februar 2023: Der Bundesbeauftragte für den Datenschutz und Informationssicherheit (BfDI) untersagt der Bundesregierung das Betreiben ihrer Facebook-Fanpage.

Die Gründe für seine Entscheidung erklärt der BfDI in seinem Bescheid vom 17. Februar 2023 an das Bundespresseamt (BPA) als Betreiber der Facebook-Fanpage der Bundesregierung mit Verweis auf das Kurzgutachten der DSK vom März 2022. Aufgrund des durch Meta zur Verfügung gestellten Vertrages zur gemeinsamen Verantwortlichkeit sei kein datenschutzkonformer Betrieb einer Facebook-Fanpage möglich. Das BPA könne demnach seiner Pflicht als Verantwortlicher, die DSGVO-Grundsätze einzuhalten, nicht entsprechend nachkommen und im Rahmen seiner Rechenschaftspflicht nicht nachweisen. Der BfDI bemängelt insbesondere die fehlende Rechtsgrundlage für die Datenverarbeitung, wie dies bereits von der Task-Force im Kurzgutachten kritisierte wurde. Des Weiteren wird nach Prüfung der Aufsichtsbehörde keine Einwilligung für die Verwendung technisch nicht notwendiger Cookies und ähnlicher Trackingtechnologien, wie es nach § 25 TTDSG verpflichtend ist, eingeholt.

Nach der Einschätzung des BfDI ist das Betreiben einer Facebook-Fanpage nicht datenschutzkonform möglich. Das BPA habe als öffentliche Stelle des Bundes eine Vorbildfunktion inne und stehe nun in der Pflicht, die Fanpage der Bundesregierung einzustellen. Dem Bundespresseamt bleibt jedoch noch die Möglichkeit, gegen den Bescheid des BfDI innerhalb eines Monats Klage einzureichen.

Fanpages und die Problematik der gemeinsamen Verantwortlichkeit

Für eine datenschutzkonforme Ausgestaltung der Fanpages ist laut EuGH insbesondere das Verwenden der von Facebook bereitgestellten Tracking-Funktion problematisch. Denn durch die Funktion von „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook an.

Sowohl Facebook als auch die Unternehmen, die solche eine Fanpage betreiben, haben ein großes Interesse daran, diese Seitenstatistiken auswerten zu können, um einerseits höhere Umsätze zu erzielen und andererseits gezielte Werbung zu schalten.

Da sowohl die Betreiber als auch Facebook die Daten im jeweils eigenen Interesse verarbeiten und gemeinsam die Mittel und Zwecke der Verarbeitung festlegen, sind die Voraussetzungen des Art. 26 Datenschutz-Grundverordnung (DSGVO) erfüllt.

Anforderungen an Datenverarbeitungen bei einer gemeinsamen Verantwortlichkeit

Somit müssen sich Unternehmen und Facebook bei dem Betreiben von Fanpages an die Regelungen des Art. 26 DSGVO halten. Zunächst muss zwischen den beiden Verantwortlichen eine Vereinbarung geschlossen werden, die folgendes festlegt:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen);
  • Festlegung einer Anlaufstelle für betroffene Personen und
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene Facebook verpflichtet sich in der Seiten-Insights-Ergänzung, den wesentlichen Inhalt der Verarbeitung den Betroffenen zur Verfügung zu stellen. Es ist aber angeraten, diese Information in der Datenschutzerklärung der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte und es die datenschutzrechtlichen Anforderungen grundsätzlich nicht erfüllt.

Tipp: Lesen Sie unseren Ratgeber zur Datenverarbeitung in gemeinsamer Verantwortung für mehr Informationen.

Facebook hat zwar zu allen oben genannten Pflichten Regelungen getroffen und seiner Meinung eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Doch bereits in der Stellungnahme der DSK vom 1. April 2019 ergaben sich weiterhin herbe Verstöße gegen Art. 26 DSGVO. Einige der Hauptkritikpunkte waren unter anderem, dass Fanpagebetreibern keine Entscheidungsmacht über die Verarbeitung der Fanpagenutzerdaten von Facebook zugesprochen wurde und sie zudem als Verantwortliche keine eigene Rechtsgrundlage zur Verarbeitung der Fanpagenutzerdaten hatten. Die Pflichten, die Facebook in der Ergänzung einräumt, waren zwar ein Schritt in die richtige Richtung und erfüllen einige der Anforderungen des Art. 26 DSGVO, dennoch besteht weiterhin das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 und 5 DSGVO .

Kurzgutachten der DSK-Task Force

Um sich insbesondere mit der Thematik der Facebook-Fanpages auseinanderzusetzen und diese ausführlicher zu prüfen, wurde seitens der DSK eine Taskforce eingerichtet. Diese Taskforce beschäftigte sich in einem weiteren Gutachten vom 18. März 2022 nochmals mit der Problematik des rechtskonformen Betreibens von Facebook-Fanpages.

Das Gutachten nimmt insbesondere auf die Speicherung der Informationen in den Endgeräten der Nutzer und auf den Zugriff auf solche Informationen, die bereits in den Endgeräten gespeichert sind, Bezug. Ebenfalls geht das Gutachten explizit auf Fanpages von öffentlichen Stellen ein. Aufgrund der gemeinsamen Verantwortlichkeit müssen die Betreiber einer Fanpage eine entsprechende Rechtsgrundlage nachweisen können.

Nach Meinung der DSK kommt gerade bei öffentlichen Stellen im Rahmen ihrer Öffentlichkeitsarbeit weder eine rechtmäßige Verarbeitung durch Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO noch durch berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO in Betracht, angesichts des unklaren Verarbeitungsumfangs und fehlender Informationen. Auch eine Verarbeitung für eine Aufgabe im öffentlichen Interesse gem. Art. 6 Abs. 1 lit. e) DSGVO scheidet hier aus, da diese Rechtsgrundlage nur soweit angewendet werden kann, wie die Daten tatsächlich zu Zwecken der Öffentlichkeitsarbeit verarbeitet werden.

Da allerdings Insights zur Erstellung von Werbeprofilen gedacht sind, fällt das nicht unter die Kategorie Öffentlichkeitsarbeit. Art. 6 Abs. 1 lit. e) DSGVO ist somit keine geeignete Rechtsgrundlage.

Des Weiteren ist es nach Einschätzung der DSK für das Erfüllen der Informationspflicht gegenüber Betroffenen bzgl. der Vereinbarung über eine gemeinsame Verantwortlichkeit mit Facebook nicht ausreichend, auf die Informationen zum Insight-Tool von Facebook verweisen.

Infolge mangelnder Informationen über die Verarbeitung personenbezogener Daten in Zusammenhang mit der Verwendung von Insights, kann eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO als wirksame Rechtsgrundlage nicht standhalten.

Datenschutzrechtliche Einschätzung und Risikominimierung bei Facebook-Fanpages

Aufgrund dieser oben diskutierten Punkte ist das Betreiben von Facebook-Fanpages sowohl von öffentlichen als auch von privaten Stellen nicht im Einklang mit der DSGVO. Hinsichtlich der Vorbildfunktion von öffentlichen Stellen, sollten gerade diese ihre Fanpages deaktivieren, wenn sie der Transparenzpflicht gem. Art. 26 Abs. 2 DSGVO nicht nachkommen können.

Private Unternehmen, die solche Fanpages verwenden und darauf nicht verzichten wollen, sollten zumindest folgende Punkte beachten, um ihr Risiko zu minimieren:

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage und den Zugriff auf Informationen, die bereits im Endgerät der Nutzer gespeichert sind, einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Informieren Sie in den Datenschutzhinweisen Ihrer Website über die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Kommen Sie im Rahmen Ihrer Facebook-Fanpage Ihrer Impressumspflicht gem. § 5 TMG nach.
  5. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  6. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.
  7. Holen Sie sich die Einwilligung gem. § 25 TTDSG, um eine geeignete Rechtsgrundlage für einen datenschutzkonformen Zugriff auf das Endgerät des Besuchers der Fanpage zu erhalten.

Fazit: Facebook-Fanpages sind nicht DSGVO-konform

Das Hauptproblem der Facebook-Unternehmensprofile besteht weiterhin darin, dass es an einer geeigneten Rechtsgrundlage für die Datenverarbeitung mangelt. Daher sollten Unternehmen wenn möglich auf solch eine Fanpage verzichten, andernfalls besteht unter anderem die Gefahr einer Abmahnung durch die Aufsichtsbehörden. Dies kann zu enormen Geldbußen führen.

Auch zukünftig sind datenschutzrechtliche Herausforderungen in Bezug auf Facebook-Fanpages zu erwarten. Facebook genießt bei Datenschutzbehörden und Gerichten ein besonderes Maß an Aufmerksamkeit. Daher sollten Sie die Entwicklungen der Rechtslage im Auge behalten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.