Anzeige
Anzeige

Facebook-Fanpages: Was Unternehmen künftig beachten müssen

13.12.2022 - Der Betrieb von Facebook-Fanpages ist und bleibt aus Datenschutzsicht nicht unproblematisch. Bei Verstößen drohen die Abschaltung oder Bußgelder. Dieser Beitrag zeigt auf, worauf es bei einem datenschutzkonformen Einsatz ankommt und was Unternehmen dabei beachten müssen.

von Kathrin Schürmann

Viele Unternehmen, VIPs, Organisationen, aber auch Behörden betreiben Facebook-Fanpages. Für private Zwecke gibt es bei Facebook private Profile, für geschäftliche Zwecke ist eine Facebook-Fanpage, auch Facebook-Seite genannt, eine Möglichkeit, sich in dem sozialen Netzwerk zu präsentieren. Die Verwendung einer Facebook-Page ist aus Datenschutzsicht nicht unproblematisch. Betreiber einer Facebook-Fanpage müssen nicht nur sicherstellen, dass die verantwortete Datenverarbeitung rechtskonform erfolgt. Unter Umständen haben sie dies auch gegenüber der zuständigen Datenschutzbehörde nachzuweisen. Unternehmen, die eine Facebook-Fanpage betreiben und eine Datenerhebung und -verarbeitung sicherstellen möchten, die im Einklang mit der Datenschutz-Grundverordnung (DSGVO) ist, sollten deshalb eine Reihe von Punkten beachten. Eine aktualisiertes Gutachten der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder   vom 10. November 2022 gibt hier die strenge Behördenansicht zur Verwendung von Fanpages wieder und zeigt wesentliche datenschutzrechtliche Problemschwerpunkte auf.

Unklarer Umfang der Datenverarbeitung

Der Betreiber von Facebook, der US-Internetkonzern Meta   , nutzt und verarbeitet anfallende personenbezogene Daten nicht nur zum Betrieb seines sozialen Netzwerks, sondern auch zu Werbezwecken. Auf diese Weise spielt Facebook individuell auf einzelne NutzerInnen zugeschnittene Werbung aus. Zu den Werbekunden von Facebook gehören nicht nur Unternehmen, sondern auch Lobbyorganisationen, Parteien, etc. Zudem werden personenbezogene Daten zum Zwecke der Bildung von NutzerInnen-Profilen genutzt. Facebook stellt Fanpage-Betreibern über die Funktion "Insights" auch eine Nutzeranalyse für ihre Facebook-Seiten bereit. Welche personenbezogenen Daten dabei verarbeitet werden, beschreibt Facebook in seiner Dokumentation zusammenfassend und mit Beispielen. Den Datenschutzbehörden zufolge sei jedoch unklar, was insgesamt ganz genau verarbeitet werde. Soweit der Fanpage-Betreiber seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen oder die datenschutzkonforme Verarbeitung nicht nachweisen kann, kommt als Maßnahme der Behörde im Zweifel eine vorübergehende Abschaltung einer Facebook-Fanpage in Betracht

EuGH: Betreiber ist mitverantwortlich für Fanpage

Laut einem Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 (Az. C-210/16) sind Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten. Diese Auffassung vertreten auch die für Datenschutz zuständigen Aufsichtsbehörden. Dem EuGH-Urteil nach besteht für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Fanpage-Betreiber und Facebook nach Art. 4 Nr. 7, Art. 26 DSGVO. Laut dem EuGH-Urteil trifft BetreiberInnen von Fanpages auch eine Verantwortlichkeit bei NutzerInnen, die gar kein Facebook-Nutzerkonto haben, da beim Aufruf einer Facebook-Fanpage unmittelbar auch personenbezogene Daten der Besuchenden erhoben werden. Dabei beseitige auch ein potentielles Abstellen der "Insights" die gemeinsame Verantwortlichkeit nicht, so das aktualisierte Gutachten der Datenschutzkonferenz.

Facebook-Zusatz unzureichend

Um eine Facebook-Fanpage DSGVO-konform zu betreiben, ist laut EuGH erforderlich, dass der Verantwortliche und Facebook eine Vereinbarung schließen, welche die Voraussetzungen von Art. 26 DSGVO erfüllt. Meta Platforms Ireland Ltd.   stellt aktuell einen online abrufbaren "Zusatz zur Datenverarbeitung" zur Verfügung, welcher dazu dienen soll, die Voraussetzungen des Art. 26 DSGVO zu erfüllen. Nach Auffassung der Datenschutzkonferenz erfülle dieser Zusatz jedoch nicht die Anforderungen des Art. 26 DSGVO.

DSGVO-Konformität muss nachgewiesen werden

Der Nachweis, dass eine Facebook-Fanpage DSGVO-konform ist, umfasse der Datenschutzkonferenz zufolge folgende Punkte: Erstens sei der Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook nötig. Zweitens müssten die Verantwortlichen gemäß Art. 13 DSGVO ausreichende Informationen über gemeinsame Datenverarbeitungen gegenüber den NutzerInnen von Facebook-Fanpages bereitstellen. Drittens müsse die Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zulässig sein.

Kann der Fanpage-Betreiber einen geforderten Nachweis nicht erbringen, ist die zuständige Aufsichtsbehörde befugt, Maßnahmen zu treffen, um den Datenschutz sicherzustellen. Im schlimmsten Fall kann dies die Abschaltung oder die Verhängung eines Bußgelds bedeuten. Betroffene können zudem nach Art. 82 DSGVO Schadenersatzansprüche geltend machen. Laut Datenschutzkonferenz gingen Aufsichtsbehörden im Juni 2022 im Wege von Gefahrenabwehr gegen Betreiber von Fanpages vor.

Neu geltende TTDSG-Regeln

Seit Inkrafttreten des TTDSG am 1. Dezember 2021 ist gemäß § 25 Abs. 1 TTDSG grundsätzlich für das Setzen von Cookies, wie von Facebook vorgenommen, sowie für das anschließende Auslesen von Cookies eine Einwilligung erforderlich. Eine solche Verarbeitung personenbezogener Daten stellt nämlich eine "Speicherung von Informationen in der Endeinrichtung des Endnutzers" bzw. einen "Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind" im Sinne von § 25 Abs. 1 TTDSG dar. Eine Einwilligung kann jedoch entfallen, wenn die Speicherungen oder Zugriffe für die Erbringung der Fanpage unbedingt erforderlich sind. Das Schleswig-Holsteinische Oberverwaltungsgericht hat diesbezüglich für die alte Rechtslage vor der DSGVO entschieden, dass die Verwendung personenbezogener Daten von registrierten und angemeldeten Facebook-NutzerInnen keine Gesetzesgrundlage gehabt habe und eine erforderliche Einwilligung nicht gegeben gewesen sei.

Besondere Regeln für öffentliche Stellen

Die Datenschutzkonferenz hat im März 2022 einen Beschluss zu ihrer Task Force Facebook-Fanpages gefasst. Darin wird auf die Vorbildfunktion öffentlicher Stellen Bezug genommen. Laut dem Beschluss werden die Mitglieder der Datenschutzkonferenz überprüfen, ob Bundes- und Landesbehörden Facebook-Fanpages betreiben. Auch werden sie darauf hinwirken, dass von Bundes- oder Landesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen keine datenschutzrechtliche Konformität nachweisen können. So ordnete etwa die schleswig-holsteinische Landesdatenschutzbeauftragte an, dass die Wirtschaftsakademie Schleswig-Holstein GmbH ihre Facebook-Fanpage deaktivieren muss. Die Entscheidung wurde anschließend durch ein Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts bestätigt.

Datenübermittlung an ausländische Behörden

Schließlich muss, sofern eine Übermittlung personenbezogener Daten in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums erfolgt, auch diese zulässig sein. Dafür muss eine solche Übermittlung den Vorgaben des Art. 44 DSGVO ("Allgemeine Grundsätze der Datenübermittlung") entsprechen. Danach ist eine Übermittlung personenbezogener Daten, die verarbeitet werden oder nach Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die im folgenden DSGVO-Kapitel festgehaltenen Regeln und die weiteren DSGVO-Bestimmungen einhalten. Diese Regel gilt auch für eine bloße Weiterübermittlung personenbezogener Daten. Dies soll sicherstellen, dass das durch die DSGVO garantierte Datenschutzniveau im Fall von natürlichen Personen nicht untergraben wird.

Problematik übertragbar auf andere Plattformen

Zwar hat sich die Datenschutzkonferenz bislang vor allem Facebook vorgenommen. Die Problemlage ist jedoch prinzipiell auch auf die Datenverarbeitung anderer Plattformen wie Instagram, Twitter, YouTube oder TikTok übertragbar. Zuletzt hatte sich der Baden-Württembergische Datenschutzbeauftragte zur gemeinsamen Verantwortlichkeit zum Betrieb eines YouTube-Kanals geäußert. Bei sozialen Netzwerken und Plattformen bestehen für Verantwortliche nach der DSGVO hinsichtlich der datenschutzkonformen Nutzung demnach besondere Herausforderungen und Risiken.

Kathrin Schürmann (Bild: SCHÜRMANN ROSENTHAL DREYER)
Kathrin Schürmann

ONEtoONE-Autorin Kathrin Schürmann ist Partnerin der Technologiekanzlei Schürmann Rosenthal Dreyer   und spezialisierte Rechtsanwältin für Datenschutz- und IT-Recht. Ein Fokus ihrer beratenden Tätigkeit liegt in den Bereichen Digital Business, Technologie und Medien. Bei der ISiCO Datenschutz GmbH   , einem Beratungsunternehmen für Datenschutz, Compliance, Zertifizierung und Informationssicherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung.

Zahlen Sie doch, was Sie wollen!

Holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Schon ab einem Euro im Monat: Einfach den Schieberegler auf den gewünschten Betrag schieben und abschicken. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Als Dankeschön schicken wir Ihnen regelmässig die aktuelle Ausgabe zu.

Mein Beitrag: €/Monat ( €/Jahr)
Mehr zum Thema:
Diskussion:
Anzeige
Anzeige
www.hightext.de

HighText Verlag

Schäufeleinstr. 5
80687 München

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.versandhausberater.de

Diese Website ist klimaneutral durch CO2-Ausgleich.

Wir unterstützen in Virunga in der D.R. Kongo das Projekt eines Wasser­kraft­werks, das den dortigen Bewohnern saubere Energie liefert und die Abholzung im Virunga Nationalpark reduziert. Das Projekt ist nach Verified Carbon Standard (VCS) zertifiziert. Mehr dazu

Nachweis: www.climatepartner.com/16516-2105-1001