zuletzt aktualisiert am: 7. Juni 2021
Seit der DSGVO stellen sich Unternehmen und Vereine die Frage, ob sie ihre Facebook-Fanpage DSGVO-konform nutzen können. Dabei geht um eigentlich alle Social-Media-Plattformen, nicht nur Facebook.
(zuletzt aktualisiert am 06.09.2020)
Worum genau geht es eigentlich?
Es geht um die Frage, ob die Verwendung von Social-Media-Plattformen zur Unternehmens-Präsentation und -Kommunikation, insbesondere die Facebook Fanpage DSGVO-konform ist.
Was ist eine „Fanpage“?
Firmen erstellen eine „Fan-Page“ zum Beispiel, um Veranstaltungen zu bewerben, zum Bewerber-Recruiting, als Kommunikationsplattform für Mitarbeiter oder um mit ihren „Fans“ zu kommunizieren. Aus Marketingsicht ist das ein großartiges Instrument zur Kundenbindung. Allerdings stehen sich in diesem Fall Marketing und Datenschutz entgegen.
Was ist das Problem?
Der Europäische Gerichtshof hat in seinem Urteil vom 5. Juni 2018 (C‑210/16) entschieden, dass Fanpage-Betreiber mitverantwortlich für die Datenverarbeitung der Besucherstatistik sind. Immerhin entscheiden sich die Unternehmen (und Vereine) ganz bewusst für eine Nutzung der Plattform.
Mitverantwortlich heißt hier im Übrigen ganz klar „mit-haftbar“, denn der Verantwortliche (der Vorstand/ der Geschäftsführer) entscheidet „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung“ (DSGVO) und ist somit nicht bloß „Nutzer“ wie eine Privatperson.
Kleiner Einschub: Private Profile sind von all dem hier unberührt, denn die DSGVO interessiert sich nicht für die private Verwendung von personenbezogenen Daten! Wer privat Facebook nutzt, darf das gern auch weiterhin tun. Ich persönlich empfehle, die Privacy-Einstellungsoptionen bestmöglich auszunutzen.
Zurück zum Thema „Facebook-Fanpage“
Ziel des Streites zwischen dem ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) und der Wirtschaftsakademie Schlesweig-Hostein war es unter anderem, „Verantwortungslücken“ (Landesbeauftragte für Datenschutz Schleswig-Holstein Marit Hansen auf datenschutz.de) zu schließen. Das hat das Urteil geschafft. Eigentlich ging es aber darum, Facebook zu zwingen, Daten rechtmäßig zu erheben. Und weil man damals an Facebook selbst nicht heran kam, mussten die Fanpage-Betreiber ran – immerhin ist es eine bewusste Entscheidung der Unternehmenskommunikation, diesen Kanal zu nutzen.
Gehen wir erst noch einmal einen Schritt zurück:
Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?
Es gilt bei der Verarbeitung personenbezogener Daten immer das „Verbot mit Erlaubnisvorbehalt“. Heißt: Die Verarbeitung ist grundsätzlich verboten, es sei denn sie ist erlaubt, zum Beispiel:
- durch eine rechtliche Verpflichtung (Artikel 6, Satz 1, lit c)
- weil sie zur Erfüllung des Vertrages notwendig ist (Artikel 6, Satz 1, lit b)
- durch eine informierte und freiwillige Einwilligung des Betroffenen (Artikel 6, Satz 1, lit a in Verbindung mit Artikel 7)
Was passiert bei Facebook?
Der Nutzer wird in seinem Verhalten überwacht („User Tracking“ mit Cookies). Facebook setzt bei Besuchern der Seite (egal, ob sie Facebook-Nutzer sind oder nicht!), Cookies auf deren Computern, die zwei Jahre lang gültig sind und verfolgt websiteübergreifend deren Nutzerverhalten. (Vergleiche auch test.de: Facebook zeigt, wie es Nutzer im Internet verfolgt) Der Fanpage-Betreiber hat teilweise Einblick in die gesammelten Daten über das Tool „Insight“ (allerdings nur in anonymisierter Form, während Facebook die Klardaten hat). Der Nutzer kann diesem Tracking nicht explizit zustimmen. (Das segnet er allgemein über die Nutzungsbedingungen ab, wenn er Mitglied ist.) Er kann diesem Tracking noch nicht einmal für einzelne Fanpages widersprechen. (Eine freiwillige Einwilligung muss jederzeit widerrufbar sein können!) Der Fanpage-Betreiber hat im Übrigen auch keine Wahl, ob er die Insights nutzen möchte oder nicht…
Genau diese Cookies sind das Problem: Um als Verein eine Facebook-Fanpage DSGVO-konform verwenden zu können, müsste der Fanpage-Betreiber
- die Einwilligung der Nutzer zum „Tracking“ einholen können.
- sich mit Facebook konkret einigen können, wer welche Datenschutzpflichten übernimmt, v.a. Informationspflichten
(heißt: Vereinbarung zur gemeinsamen Verantwortlichkeit) - den Betroffenen Einsicht in die Verarbeitung der Daten gewähren.
Was sagen die Behörden?
Am 05. September 2018 veröffentlichte die Datenschutzkonferenz DSK einen Beschluss zu Facebook Fanpages. Darin betonen die Datenschutzbeauftragten der Länder noch einmal ganz deutlich:
„Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig“
Anschließend führen sie eine Liste mit acht Fragen, die sowohl Facebook als auch Fanpagebetreiber beantworten müssen.
Die Datenschutzbeauftragte von Berlin hat am 16. November 2018 in einer Pressemitteilung folgende Aussage getroffen:
Am 11. September 2018 veröffentlichte Facebook eine Ergänzungsvereinbarung, die sich auf eine gemeinsame Verantwortlichkeit bezieht.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.
Maja Smoltczyk:
„Das höchste Europäische Gericht hat klargestellt, dass die Nutzung der von Facebook eingerichteten Plattform die Betreiberinnen und Betreiber von Fanpages nicht von ihren Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien kann. Wer von diesen Dienstleistungen profitiert und gleichzeitig personenbezogene Datenverarbeitung auslöst, muss sich seiner datenschutzrechtlichen Verantwortung stellen.“
Zudem stellt sie in ihrem Pressebereich einen „Fragenkatalog im Anhörungsverfahren“ zur Verfügung. Darin stellt sie 15 Fragen, die Fanpage-Betreiber beantworten können sollten. Doch damit war das letzt Wort noch nicht gesprochen, denn der Vorgang (ULD gegen Wirtschaftsakademie) wurde noch einmal final vor dem Bundesverwaltungsgericht entschieden.
Und was sagen die Gerichte?
Der Rechtsexperte der IHK Schleswig-Holstein, Marcus Schween, sieht es als „unverhältnismäßig und rechtswidrig“ gegen einzelne Fanpagebetreiber vorzugehen. „Lägen tatsächlich Datenschutzverstöße vor, so kann allein Facebook diese abstellen – und das europaweit mit Wirkung für alle Nutzer und Fanpagebetreiber.“
Ein Jahr nach dem Facebook die Ergänzungsvereinbarung einführte, und zwar genau am 11.09.2019 urteilte das Bundesverwaltungsgericht jedoch
dass eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann.“ (Quelle)
Insbesondere im Hinblick auf eine schnelle und wirkungsvolle Gefahrenabwehr, ist es legitim, sich an denjenigen Verantwortlichen zu wenden, der schneller reagiert.
Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann. […]“ (Quelle)
Auch der Bundesverband der Verbraucherzentralen (vzbv) zog gegen Facebook vor Gericht und gewann (teilweise).
Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen gegen Verbraucher- und Datenschutzrecht. Dazu gehören eine Klausel zur Nutzung des Profilbilds für kommerzielle Zwecke sowie die voreingestellte Aktivierung eines Ortungsdienstes, der Chat-Partnern den Aufenthaltsort verrät. Das hat das Kammergericht in Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. (…) Der Werbeslogan „Facebook ist und bleibt kostenlos“ ist hingegen laut Kammergericht nicht irreführend.“ (Quelle)
Nicht zuletzt sorgte das Urteil des Europäische Gerichtshofes vom 16. Juli 2020 (Schremms II) für Aufsehen, bei dem die Übermittlung der personenbezogenen Daten in die USA auf Grundlage des Privacy Shields für illegal erklärte. Mehr dazu in meinem Artikel: EU-US-Privacy Shield gekippt: Welche Programme betroffen sind
Was also tun? Ist meine Facebook-Seite weiterhin nutzbar?
Die rechtlich sicherste Variante ist es, die Fan-Seite – zumindest vorübergehend – vom Netz zu nehmen. (Man kann eine Fanpage offline schalten ohne sie gleich zu löschen.) Selbst, wenn Sie den Datenschutzpassus Ihrer Website ergänzen und zusätzlich auf Ihrer Fanpage zur Datenverwendung informieren wollten, fehlt Ihnen schlicht das Wissen, wie Facebook Daten verarbeitet. Ich weiß es nicht. Marc Zuckerberg vielleicht auch nicht?
Wer es ganz genau wissen möchte, was die Datenschutzkonferenz denkt und welche Forderungen an Fanpagebetreiber sie daraus ableitet: Hier ist die Stellungnahme der DSK
Nach dem Urteil des Bundesverwaltungsgerichts von 2019 erwartet die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen:
dass nun Behörden und Unternehmen nicht nur bei Facebook, sondern auch bei anderen Dienstleistern Rechtskonformität einfordern werden. Niemand kann sich seiner Verantwortung entziehen.“ (Quelle)
„Ja, aber die Tagesschau hat doch auch immer noch eine Facebook-Fanpage“
Stimmt. Das liegt zum Teil sicher auch daran, dass facebook eine enorme Reichweite hat und Verantwortliche Ihre Botschaften kostenlos einer breiten Masse an Bürgern zur Verfügung stellen können.
Erfreulich ist die Tatsache, dass sich facebook (zumindest oberflächlich ein wenig) bewegt.
Das Bundesverwaltungsgericht hatte nicht die Aufgabe, über die Rechtskonformität der konkreten Anordnung aus dem Jahr 2011 zu entscheiden. Dies obliegt nunmehr dem Oberverwaltungsgericht Schleswig. Die Bundesverwaltungsrichter betonen allerdings die Konsequenz, sollte die Rechtskonformität der Anordnung des ULD bestätigt werden: „Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können.“ (Quelle)
In seinem Urteil stellte der EuGH fest, dass in erster Linie Facebook verantwortlich für die Datenverarbeitung ist. In ihrem Beschluss vom 05. September 2018 kündigt die DSK an:
Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin.“
Die einen sagen so – die anderen sagen so…
Wenn Sie als Unternehmen oder Verein ihre Facebook-Fanpage als Hauptvertriebsweg nutzen, ist es nicht so leicht, diese mal eben offline zu setzen. Man spricht in diesem Zusammenhang gern von „Bauernopfern“, denn Sie als Fanpage-Betreiber haben keine echte Handhabe gegen Facebook – außer sich zurückzuziehen. Wobei ich an dieser Stelle ein Gedankenspiel wage: Wenn sich alle europäischen Fanpage-Betreiber geschlossen aus Facebook zurückziehen würden (und somit die Werbegelder entziehen!), würde Facebook reagieren müssen…?
Das hilft Ihnen aber nicht weiter. Klar ist: Die rechtlich sichere Variante ist die „Nicht-Nutzung“. (Ich persönlich habe genau diesen Weg für mich gewählt: Ein Leben ohne Whatsapp).
Der baden-württembergische Landesdatenschutzbeauftragte hat sich ebenfalls mit seiner Behörde von Twitter verabschiedet und löschte den Account zum 31. Januar 2020. Er empfiehlt diese Vorgehen sämtlichen Behörden, da eine rechtskonforme Nutzung als Mitverantwortliche nicht möglich ist.
Laut geltender Rechtslage seien Nutzer mitverantwortlich für die Datenverarbeitung in sozialen Netzwerken. Prinzipiell gelte das „nicht nur für eine Aufsichtsbehörde, sondern für alle Behörden und auch Privatunternehmen, die soziale Medien nutzen“.
Behörden ziehen sich aus sozialen Medien zurück (Tagessspiegel)
Im Bericht Schluss mit Facebook und Twitter? (Behörden-Spiegel) wird auf die Entscheidung fes BVerG eingegangen, die nahelegt, dass künftig weitere Fanpages durch die Landesdatenschutzbehörde geschlossen werden könnten:
In der Folge hat nun kürzlich das Bundesverwaltungsgericht entschieden, dass eine Datenschutzbehörde im Sinne der Gefahrenabwehr die Deaktivierung einer Facebook-Fanpage anordnen darf.
Interessant finde ich das Gegenargument:
Dass nun der Rückzug von Behörden aus den sozialen Netzwerken diskutiert werde, verfehle das Ziel der DSGVO: „Ursprünglich sollten damit ‚Datenkraken‘ wie Facebook und Twitter in den Griff bekommen werden – doch sich aus einem Netzwerk zurückzuziehen, weil das Internet nun mal zwangsläufig Daten verarbeitet, stärkt nicht den Datenschutz. Es schwächt nur die Bürgerkommunikation. Und schadet der Akzeptanz der Datenschützer.“ Behörden ziehen sich aus sozialen Medien zurück (Tagessspiegel)
Und nun noch einmal die Eingangsfrage umformuliert:
Kann ich als Unternehmen oder Verein eine Facebook-Fanpage DSGVO-konform nutzen?
Antwort: Leider nein. Ohne die datenschutzrechtlich nötigen Voraussetzungen zu erfüllen, können Sie Fanpages nicht DSGVO-konform nutzen.
Wenn Sie Ihre Facebook-Fanpage trotz allem weiter nutzen, achten Sie darauf, dass Sie
- mit Facebook einen Vertrag zur gemeinsamen Datenverarbeitung (Jount Controllership) abschließen: https://de-de.facebook.com/legal/terms/page_controller_addendum
- bei Facebook selbst ein Impressum anlegen. Hier können Sie Dienste wie den Impressumsgenerator von e-Recht24 nutzen.
- bei Facebook selbst eine Datenschutzerklärung anlegen, in der Sie die Betroffenen nach Art. 12 ff DSGVO informieren, wer wofür verantwortlich ist und an wen sie sich wenden müssen, um ihre Rechte geltend zu machen.
Vergessen Sie außerdem nicht, diesen Punkt in Ihrem Verfahrensverzeichnis aufzuführen. Die Rechtsgrundlage „berechtigte Interessen“ sieht eine Risikoabwägung vor. Führen Sie diese also wirklich durch – und denken Sie beim Risiko bitte nicht an Ihr wirtschaftliches Risiko, sondern an die Risiken für die Rechte und Freiheiten der Betroffenenen.
Mein Tipp: Teilen Sie Ihre Infos – besonders als Verein – nicht ausschließlich auf facebook, damit auch Menschen, die bewusst kein Facebook nutzen möchten, eine Chance haben, an Ihre Infos zu gelangen. So können Sie bei Ihrer Risikobewertung zumindest davon ausgehen, dass nur angemeldete Nutzer, also Menschen, die gegenüber Facebook generell schon eine Einwilligung zur Datenverarbeitung erteilt haben, diese Inhalte bekommen.
Zu Themen wie Gewinnspiele, Like-Buttons, Fotos und Mitarbeiterbeiträgen etc. empfehle ich den Artikel meines Partners eRecht24: Facebook-Marketing: So nutzen Sie Facebook-Pages rechtssicher für Ihr Unternehmen
Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.
Vielleicht auch interessant:
TikTok – Marketing-Segen oder Datenschutz-Fluch?
Auftragsverarbeitung im Verein (und der Unterschied zur Gemeinsamen Verantwortung nach Art. 26 DSGVO)
Bildquellen
- Schulung Vorstand: Pixabay - Manfred Steger
- social-media: Pixabay - 200Degrees