Darf ich seit der DSGVO als Verein weiter eine Facebook-Fanpage nutzen?

Seit der DSGVO stellen sich Unternehmen und Vereine die Frage, ob sie ihre Facebook-Fanpage weiterhin nutzen können.

Dabei geht um eigentlich alle Social-Media-Plattformen, nicht nur Facebook. Es betrifft auch Instagram, Youtube, LinkedIn, Whatsapp und wie sie alle heißen.

***zuletzt aktualisiert am 20. November 2018***

Worum genau geht es eigentlich?

Es geht um die Frage, ob die Verwendung von Social-Media-Plattformen zur Unternehmens-Präsentation und -Kommunikation DSGVO-konform ist. Es betrifft konkret die sogenannten „Fanpages“ von Facebook.

Was ist eine „Fanpage“?

Firmen erstellen eine „Fan-Page“ zum Beispiel, um Veranstaltungen zu bewerben, zum Bewerber-Recruiting, als Kommunikationsplattform für Mitarbeiter oder um mit ihren „Fans“ zu kommunizieren. Aus Marketingsicht ist das ein großartiges Instrument zur Kundenbindung. Allerdings stehen sich in diesem Fall Marketing und Datenschutz entgegen.

Was ist das Problem?

Der Europäische Gerichtshof hat in seinem Urteil vom 5. Juni 2018 (C‑210/16) entschieden, dass Fanpage-Betreiber mitverantwortlich für die Datenverarbeitung der Besucherstatistik sind. Immerhin entscheiden sich die Unternehmen (und Vereine) ganz bewusst für eine Nutzung der Plattform.

Mitverantwortlich heißt hier im Übrigen ganz klar „mit-haftbar“, denn der Verantwortliche (der Vorstand/ der Geschäftsführer) entscheidet „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung“ (DSGVO) und ist somit nicht bloß „Nutzer“ wie eine Privatperson.

Kleiner Einschub: Private Profile sind von all dem hier unberührt, denn die DSGVO interessiert sich nicht für die private Verwendung von personenbezogenen Daten! Wer privat Facebook nutzt, darf das gern auch weiterhin tun.

Zurück zum Thema „Facebook-Fanpage“

Ziel des Streites zwischen dem ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) und der Wirtschaftsakademie Schlesweig-Hostein war es unter anderem, „Verantwortungslücken“ (Landesbeauftragte für Datenschutz Schleswig-Holstein Marit Hansen auf datenschutz.de) zu schließen. Das hat das Urteil geschafft. Eigentlich ging es aber darum, Facebook zu zwingen, Daten rechtmäßig zu erheben. Und weil man damals an Facebook selbst nicht heran kam, mussten die Fanpage-Betreiber ran – immerhin ist es eine bewusste Entscheidung der Unternehmenskommunikation, diesen Kanal zu nutzen.

Gehen wir erst noch einmal einen Schritt zurück:

Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?

Es gilt bei der Verarbeitung personenbezogener Daten immer das „Verbot mit Erlaubnisvorbehalt“. Heißt: Die Verarbeitung ist grundsätzlich verboten, es sei denn sie ist erlaubt, zum Beispiel:

  1.  durch eine rechtliche Verpflichtung (Artikel 6, Satz 1, lit c)
  2. weil sie zur Erfüllung des Vertrages notwendig ist (Artikel 6, Satz 1, lit b)
  3. durch eine informierte und freiwillige Einwilligung des Betroffenen (Artikel 6, Satz 1, lit a in Verbindung mit Artikel 7)

Was passiert bei Facebook?

Der Nutzer wird in seinem Verhalten überwacht („User Tracking“ mit Cookies). Facebook setzt bei Besuchern der Seite (egal, ob sie Nutzer sind oder nicht!), Cookies auf deren Computern, die zwei Jahre lang gültig sind und verfolgt deren Nutzerverhalten. Der Fanpage-Betreiber hat Einblick in die gesammelten Daten über das Tool „Insight“ (allerdings nur in anonymisierter Form, während Facebook die Klardaten hat). Der Nutzer kann diesem Tracking nicht explizit zustimmen. (Das segnet er allgemein über die Nutzungsbedingungen ab, wenn er Mitglied ist. Falls nicht, kann er nirgends zustimmen.) Er kann diesem Tracking noch nicht einmal für einzelne Fanpages widersprechen. (Eine freiwillige Einwilligung muss jederzeit widerrufbar sein können!) Der Fanpage-Betreiber hat im Übrigen auch keine Wahl, ob er die Insights nutzen möchte oder nicht…

Genau diese Cookies sind das Problem: Um als Verein eine Facebook-Fanpage DSGVO-konform verwenden zu können, müsste der Fanpage-Betreiber

  1. die Einwilligung der Nutzer zum „Tracking“ einholen können
  2. sich mit Facebook konkret einigen können, wer welche Datenschutzpflichten übernimmt, v.a. Informationspflichten
    (heißt: Vereinbarung zur gemeinsamen Verantwortlichkeit)
  3. den Betroffenen Einsicht in die Verarbeitung der Daten gewähren.

Das geht im Moment nicht (und ich bezweifle an dieser Stelle offen, dass Facebook v.a. Punkt 3 jemals möglich machen wird).

Somit ist eine rechtssichere Verwendung einer Facebook-Fanpage aktuell nicht möglich.

***Update vom 19.10.2018:***

Am 05. September 2018 veröffentlichte die Datenschutzkonferenz DSK einen Beschluss zu Facebook Fanpages. Darin betonen die Datenschutzbeauftragten der Länder noch einmal ganz deutlich:

„Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig“

Anschließend führen sie eine Liste mit acht Fragen, die sowohl Facebook als auch Fanpagebetreiber beantworten müssen.

*** Update vom 20.11.2018:***

Die Datenschutzbeauftragte von Berlin hat am 16. November 2018 in einer Pressemitteilung folgende Aussage getroffen:

Am 11. September 2018 veröffentlichte Facebook eine Ergänzungsvereinbarung, die sich auf eine gemeinsame Verantwortlichkeit bezieht.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.

Maja Smoltczyk:
„Das höchste Europäische Gericht hat klargestellt, dass die Nutzung der von Facebook eingerichteten Plattform die Betreiberinnen und Betreiber von Fanpages nicht von ihren Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien kann. Wer von diesen Dienstleistungen profitiert und gleichzeitig personenbezogene Datenverarbeitung auslöst, muss sich seiner datenschutzrechtlichen Verantwortung stellen.“

Zudem stellt sie in ihrem Pressebereich einen „Fragenkatalog im Anhörungsverfahren“ zur Verfügung. Darin stellt sie 15 Fragen, die Fanpage-Betreiber beantworten können sollten.

Was also tun?

Die sicherste Variante ist es, die Seite – zumindest vorübergehend – vom Netz zu nehmen. (Man kann eine Fanpage offline schalten ohne sie gleich zu löschen.) Selbst, wenn Sie den Datenschutzpassus Ihrer Website ergänzen und zusätzlich auf Ihrer Fanpage zur Datenverwendung informieren wollten, fehlt Ihnen schlicht das Wissen, wie Facebook Daten verarbeitet. Ich weiß es nicht. Marc Zuckerberg vermutlich auch nicht.

Wer es ganz genau wissen möchte, was die Datenschutzkonferenz denkt und welche Forderungen an Fanpagebetreiber sie daraus ableitet: Hier ist die Stellungnahme der DSK

Interessant finde ich an dieser Stelle die Gedanken der Landesbeauftragten für Datenschutz Schleswig-Holstein, Marit Hansen (auf Datenschutz.de):

(Sie) „weist darauf hin, dass Facebook anscheinend bislang nicht auf das EuGH-Urteil reagiert hat und den Fanpage-Betreibern auch noch nicht den Abschluss der rechtlich zwingend notwen­digen Vereinbarung nach Artikel 26 der Datenschutz-Grundverordnung anbietet – ein klarer Rechtsverstoß in Bezug auf alle Beteiligten einer gemeinsamen Verantwortlichkeit, also für die Fanpage-Betreiber und Facebook. Gleiches gilt für die Einholung ordnungsgemäßer Einwilligungserklärungen für Datenverarbeitungen beim Einsatz von Mechanismen für die Verfolgung von Nutzenden. Einige Fanpage-Betreiber hingegen wenden sich an die Landes­beauftragte für Datenschutz Schleswig-Holstein, weil sie sich bemühen, mit Facebook Kontakt aufzunehmen, um ihre datenschutzrechtliche Verantwortung wahrnehmen zu können.“

Hansen stellt klar: „Nichtstun ist keine Option! Es geht nicht darum, dass jeder einzelne Fanpage-Betreiber direkt mit Facebook eigene Bedingungen verhandelt. Fanpage-Betreiber haben jedoch eine eigene Verantwortung, nur datenschutzkonforme Webauftritte zu unterhalten. Facebook behauptet hingegen von sich selbst, das Angebot sei datenschutzkonform. Dann sollte es doch ein Leichtes sein, dass unverzüglich die nötigen Maßnahmen getroffen werden, damit sowohl Facebook als auch die Facebook-Fanpage-Betreiber ihrer Verantwortung nachkommen. Facebook muss endlich Butter bei die Fische tun.“

„Ja, aber die Tagesschau hat doch auch immer noch eine Facebook-Fanpage“

Stimmt. Das liegt daran, dass das letzte Wort noch nicht gesprochen wurde. Der konkrete Fall (ULD gegen die Wirtschaftsakademie Schleswig-Holstein) liegt jetzt erst einmal beim Bundesverwaltungsgericht.

In seinem Urteil stellt der EuGH fest, dass in erster Linie Facebook verantwortlich für die Datenverarbeitung ist. Darauf stützt sich die IHK Schleswig-Holstein.

Der Rechtsexperte der IHK Schleswig-Holstein, Marcus Schween, sieht es als „unverhältnismäßig und rechtswidrig“ gegen einzelne Fanpagebetreiber vorzugehen. „Lägen tatsächlich Datenschutzverstöße vor, so kann allein Facebook diese abstellen – und das europaweit mit Wirkung für alle Nutzer und Fanpagebetreiber.“

Es ist unwahrscheinlich, dass öffentliche Stellen von sich aus tätig werden und Bußgelder verhängen. Die Behörden würden sich zunächst an die Facebook Deutschland GmbH wenden müssen. Zudem werden die Behörden erst das Urteil vom Verwaltungsgericht abwarten. Auch für Abmahner ist die Rechtslage derzeit noch zu unsicher, analysiert Rechtsanwalt Dr. Schwenke auf heise online.

***Update vom 19.10.2018: In ihrem Beschluss vom 05. September 2018 kündigt die DSK an: 

„Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin.“ ***

*** Update vom 20.11.2018: Die Verbraucherzentrale von Sachsen verklagt Facebook ***

Die einen sagen so – die anderen sagen so…

Wenn Sie als Unternehmen oder Verein ihre Facebook-Fanpage als Hauptvertriebsweg nutzen, ist es nicht so leicht, diese mal eben offline zu setzen. Man spricht in diesem Zusammenhang gern von „Bauernopfern“, denn Sie als Fanpage-Betreiber haben keine Handhabe gegen Facebook – außer sich zurückzuziehen. Wobei ich an dieser Stelle ein Gedankenspiel wage: Wenn sich alle europäischen Fanpage-Betreiber geschlossen aus Facebook zurückziehen würden (und somit die Werbegelder entziehen!), würde Facebook reagieren müssen…
Die Zukunft wird zeigen, wie es hier weitergeht.

Und nun noch einmal die Eingangsfrage umformuliert:

Kann ich als Unternehmen oder Verein weiterhin eine Facebook-Fanpage nutzen und trotzdem DSGVO-konform sein?

Antwort: Nein. Ohne die datenschutzrechtlich nötigen Voraussetzungen zu erfüllen, können Sie Fanpages nicht DSGVO-konform nutzen. Die Verarbeitung der Daten erfolgt nicht rechtmäßig. (Allerdings wird es momentan wohl keine Verfolgung geben.)

Letztlich gilt bei allem: Datenschutz ist Chefsache. Die Entscheidung muss also jeder Unternehmer oder Verantwortliche für sich selbst treffen.

Wenn Sie Ihre Facebook-Fanpage trotz DSGVO weiter nutzen, achten Sie darauf, dass Sie bei Facebook selbst ein Impressum und eine Datenschutzerklärung anlegen.

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Darf ich seit der DSGVO als Verein weiter eine Facebook-Fanpage nutzen?