Wagen 0
Soziale Netzwerke, wie Facebook, Instagram, TikTok, Snapchat und viele mehr, erfreuen sich seit Jahren einer großen, stetig zunehmenden Beliebtheit in unserer Gesellschaft. Gerade diejenigen, die seit 1995 geboren wurden und mit den Medien aufgewachsen sind, haben eine große Affinität in Sachen Digitalisierung.
Dieser Artikel befasst sich mit der datenschutzrechtlichen Bewertung von Facebook-Fanpages, die auf anderen Social-Media-Plattformen übertragbar ist. Neben dem Anlegen privater Profile bietet Facebook die Möglichkeit, sogenannte Fanpages zu erstellen. Über diese Seiten können Unternehmen, ähnlich einer Mini-Webseite, Produkt-, Marken- und/oder Kundeninformationen bereitstellen und somit ohne großen Aufwand eine breite Masse möglicher Kunden ansprechen.
„Aber Vorsicht! Die datenschutzrechtlichen Anforderungen der DS-GVO sind immer zu beachten.“
Beim Besuch der Fanpage eines Unternehmens erfasst Facebook personenbezogene Daten des Nutzers, die zum Teil auch für die Fanpage-Betreiber ausgewertet werden.
Seit mehreren Jahren befassen sich die datenschutzrechtlichen Aufsichtsbehörden mit diesem Thema. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat die „Taskforce Facebook-Fanpages“ geschaffen. In einem am 18. März 2022 veröffentlichten Kurzgutachten wurde festgestellt, dass zwischen der Meta-Plattform „Facebook“ und dem Betreibenden eine gemeinsame Verantwortlichkeit gesehen wird, was sich damit begründet, dass Facebook auch für Werbezwecke eingesetzt wird. Denn anhand der Nutzerprofile kann Facebook, im Auftrag der Unternehmen, Behörden usw., adressatengenaue Werbung platzieren. Aus Marketingsicht höchst spannend, aber bedauerlicherweise ist weitestgehend unklar, welche personenbezogene Daten in welcher Art und Weise durch Facebook verarbeitet werden. Darüber hinaus sind weitere Anforderungen, die aus der Datenschutzgrundverordnung (DS-GVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) resultieren, seitens der Betreibenden zu erfüllen. In der Praxis ist dies nahezu unmöglich.
Höchstes europäisches Gericht sieht gemeinsame Verantwortlichkeit
Mit Urteil vom 5. Juni 2018 (C-210/16, Wirtschaftsakademie) hat der Europäische Gerichtshof (EuGH) folgendes entschieden: Unternehmen und Behörden, welche eine Facebook-Fanpage betreiben, sind (mit-)verantwortlich für die Verarbeitung der Nutzerdaten. Durch die Funktion „Insights“ erhalten die entsprechenden Unternehmen/ Behörden eine Nutzeranalyse für ihre jeweilige Fanpage.
Das Bundesverwaltungsgericht hat das obige EuGH-Urteil bei seiner Bewertung (BVerwG-Urteil vom 11. September 2019, 6 C 15.18) übernommen und letztlich ebenfalls eine (mit-)verantwortliche Stellung von Fanpage-Betreibern festgestellt. Insbesondere folgender Leitsatz ist interessant:
„Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.“[2]
Die Bundesrichter stuften die Fanpage-Betreiber als „Türöffner“ für die Datensammelei von Facebook ein. Nach Ansicht des Vorsitzenden Richters des 6. Senats sei es ausreichend, dass ein Beitrag zum Zwecke der Datenerhebung und -verarbeitung geleistet würde. Auch wenn Facebook selbst auch als Adressat für die Beschwerden in Betracht komme, hätten die Datenschützer sich aus Gründen der Effektivität völlig zurecht an die Seitenbetreiber wenden dürfen. Dieser Ansicht folgt ebenfalls die Task Force Facebook-Fanpages der DSK.
Welche Auswirkungen hat dies für Unternehmen/ Behörden, die eine Fanpage betreiben?
Betreibende müssen sicherstellen, dass die Fanpages den einschlägigen datenschutzrechtlichen Anforderungen genügen und diese auf Verlangen der zuständigen Aufsichtsbehörde nachweisen können. Hierzu zählen:
- der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit (sog. Joint Control Agreement) mit Facebook nach Art. 26 DS-GVO,
- die Erfüllung der Informationspflichten zur Verarbeitung der personenbezogenen Daten der die Fanpage Nutzenden nach Art. 13, 14 DS-GVO,
- die Zulässigkeit zur Speicherung von Informationen in den Endeinrichtungen der Nutzenden und der Zugriff auf diese Informationen und
- die Zulässigkeit der Übermittlung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.
Aus Sicht der betroffenen Unternehmen/ Behörden ist es sehr ärgerlich, dass bei all diesen Fragen eine gewisse Abhängigkeit von Facebook besteht. Die seitens Facebook verfügbaren Information genügen den aufsichtsbehördlichen Anforderungen leider nicht. So wissen die Unternehmen/ Behörden nicht lückenlos, wie seitens Facebook die Datenverarbeitung – insbesondere hinsichtlich Art, Umfang und Übermittlung in unsichere Drittstaaten – erfolgt. Darüber hinaus müssen Facebook und die Unternehmen/ Behörden entsprechende Informationen bereitstellen und einen Vertrag zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO abschließen. Derzeit ist dies kaum bis gar nicht möglich, weshalb wegen fehlender Datenschutzkonformität Bußgelder seitens der Aufsichtsbehörden und Schadensersatzforderungen von Nutzern drohen können. Zwar liegt derzeit der Fokus der Aufsichtsbehörden auf den Landes- und Bundesbehörden, die ebenfalls Fanpages betreiben. Jedoch ist davon auszugehen, dass zu einem späteren Zeitpunkt die Fanpages der Unternehmen geprüft werden, welche dann die Einhaltung der datenschutzrechtlichen Anforderungen nachweisen müssen.
Deutlich muss darauf hingewiesen werden, dass die Aufsichtsbehörden derzeit einen rechtskonformen Betrieb von Fanpages verneinen.
Was können wir empfehlen?
Unternehmen, die Fanpages auf einer Social-Media-Plattform betreiben, sollten die weitere Entwicklung aufmerksam verfolgen. Insbesondere ob seitens einer Aufsichtsbehörde, aufgrund fehlender Nachweise für die Datenschutzkonformität, die Abschaltung der jeweiligen Fanpage angeordnet wird. Bis dahin sollte Unternehmen/ Behörden die Zeit nutzen und gemeinsam mit ihrem Datenschutzbeauftragten prüfen, ob durch Veränderungen bei Facebook die Nachweisführung gewährleistet werden kann. Eins muss jedoch klar sein: genügt die Verarbeitung von Nutzerdaten nicht der DS-GVO, ist der Betrieb der Fanpage rechtswidrig. Denn die DS-GVO kennt keine Übergangsfristen. Als sicherster Weg bleibt somit nur noch die Deaktivierung der Fanpage.
[1] (Quellen: Mit Inhalten aus dem DSK-Beschluss zur Task Force Facebook-Fanpages vom 23. März 2022, dem DSK-Kurzgutachten der Task Force Facebook-Fanpages und dem DSK-FAQ zu Facebook-Fanpages vom 22. Juni 2022)
[2] BVerwG-Urteil vom 11. September 2019, 6 C 15.18.