Viele Unternehmen, VIPs, Organisationen, aber auch Behörden betreiben Facebook-Fanpages. Für private Zwecke gibt es bei Facebook private Profile, für geschäftliche Zwecke ist eine Facebook-Fanpage, auch Facebook-Seite genannt, eine Möglichkeit, sich in dem sozialen Netzwerk zu präsentieren. Die Verwendung einer Facebook-Page ist aus Datenschutzsicht nicht unproblematisch. Betreiber einer Facebook-Fanpage müssen nicht nur sicherstellen, dass die verantwortete Datenverarbeitung rechtskonform erfolgt. Unter Umständen haben sie dies auch gegenüber der zuständigen Datenschutzbehörde nachzuweisen. Unternehmen, die eine Facebook-Fanpage betreiben und eine Datenerhebung und -verarbeitung sicherstellen möchten, die im Einklang mit der Datenschutz-Grundverordnung (DSGVO) ist, sollten deshalb eine Reihe von Punkten beachten. Eine aktualisiertes Gutachten der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
vom 10. November 2022 gibt hier die strenge Behördenansicht zur Verwendung von Fanpages wieder und zeigt wesentliche datenschutzrechtliche Problemschwerpunkte auf.
Unklarer Umfang der Datenverarbeitung
Der Betreiber von Facebook, der US-Internetkonzern
Meta
, nutzt und verarbeitet anfallende personenbezogene Daten nicht nur zum Betrieb seines sozialen Netzwerks, sondern auch zu Werbezwecken. Auf diese Weise spielt Facebook individuell auf einzelne NutzerInnen zugeschnittene Werbung aus. Zu den Werbekunden von Facebook gehören nicht nur Unternehmen, sondern auch Lobbyorganisationen, Parteien, etc. Zudem werden personenbezogene Daten zum Zwecke der Bildung von NutzerInnen-Profilen genutzt. Facebook stellt Fanpage-Betreibern über die Funktion "Insights" auch eine Nutzeranalyse für ihre Facebook-Seiten bereit. Welche personenbezogenen Daten dabei verarbeitet werden, beschreibt Facebook in seiner Dokumentation zusammenfassend und mit Beispielen. Den Datenschutzbehörden zufolge sei jedoch unklar, was insgesamt ganz genau verarbeitet werde. Soweit der Fanpage-Betreiber seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen oder die datenschutzkonforme Verarbeitung nicht nachweisen kann, kommt als Maßnahme der Behörde im Zweifel eine vorübergehende Abschaltung einer Facebook-Fanpage in Betracht
EuGH: Betreiber ist mitverantwortlich für Fanpage
Laut einem Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 (Az. C-210/16) sind Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten. Diese Auffassung vertreten auch die für Datenschutz zuständigen Aufsichtsbehörden. Dem EuGH-Urteil nach besteht für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Fanpage-Betreiber und Facebook nach Art. 4 Nr. 7, Art. 26 DSGVO. Laut dem EuGH-Urteil trifft BetreiberInnen von Fanpages auch eine Verantwortlichkeit bei NutzerInnen, die gar kein Facebook-Nutzerkonto haben, da beim Aufruf einer Facebook-Fanpage unmittelbar auch personenbezogene Daten der Besuchenden erhoben werden. Dabei beseitige auch ein potentielles Abstellen der "Insights" die gemeinsame Verantwortlichkeit nicht, so das aktualisierte Gutachten der Datenschutzkonferenz.
Facebook-Zusatz unzureichend
Um eine Facebook-Fanpage DSGVO-konform zu betreiben, ist laut EuGH erforderlich, dass der Verantwortliche und Facebook eine Vereinbarung schließen, welche die Voraussetzungen von Art. 26 DSGVO erfüllt.
Meta Platforms Ireland Ltd.
stellt aktuell einen online abrufbaren "Zusatz zur Datenverarbeitung" zur Verfügung, welcher dazu dienen soll, die Voraussetzungen des Art. 26 DSGVO zu erfüllen. Nach Auffassung der Datenschutzkonferenz erfülle dieser Zusatz jedoch nicht die Anforderungen des Art. 26 DSGVO.
DSGVO-Konformität muss nachgewiesen werden
Der Nachweis, dass eine Facebook-Fanpage DSGVO-konform ist, umfasse der Datenschutzkonferenz zufolge folgende Punkte: Erstens sei der Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook nötig. Zweitens müssten die Verantwortlichen gemäß Art. 13 DSGVO ausreichende Informationen über gemeinsame Datenverarbeitungen gegenüber den NutzerInnen von Facebook-Fanpages bereitstellen. Drittens müsse die Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zulässig sein.
Kann der Fanpage-Betreiber einen geforderten Nachweis nicht erbringen, ist die zuständige Aufsichtsbehörde befugt, Maßnahmen zu treffen, um den Datenschutz sicherzustellen. Im schlimmsten Fall kann dies die Abschaltung oder die Verhängung eines Bußgelds bedeuten. Betroffene können zudem nach Art. 82 DSGVO Schadenersatzansprüche geltend machen. Laut Datenschutzkonferenz gingen Aufsichtsbehörden im Juni 2022 im Wege von Gefahrenabwehr gegen Betreiber von Fanpages vor.
Neu geltende TTDSG-Regeln
Seit Inkrafttreten des TTDSG am 1. Dezember 2021 ist gemäß § 25 Abs. 1 TTDSG grundsätzlich für das Setzen von Cookies, wie von Facebook vorgenommen, sowie für das anschließende Auslesen von Cookies eine Einwilligung erforderlich. Eine solche Verarbeitung personenbezogener Daten stellt nämlich eine "Speicherung von Informationen in der Endeinrichtung des Endnutzers" bzw. einen "Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind" im Sinne von § 25 Abs. 1 TTDSG dar. Eine Einwilligung kann jedoch entfallen, wenn die Speicherungen oder Zugriffe für die Erbringung der Fanpage unbedingt erforderlich sind. Das Schleswig-Holsteinische Oberverwaltungsgericht hat diesbezüglich für die alte Rechtslage vor der DSGVO entschieden, dass die Verwendung personenbezogener Daten von registrierten und angemeldeten Facebook-NutzerInnen keine Gesetzesgrundlage gehabt habe und eine erforderliche Einwilligung nicht gegeben gewesen sei.
Besondere Regeln für öffentliche Stellen
Die Datenschutzkonferenz hat im März 2022 einen Beschluss zu ihrer Task Force Facebook-Fanpages gefasst. Darin wird auf die Vorbildfunktion öffentlicher Stellen Bezug genommen. Laut dem Beschluss werden die Mitglieder der Datenschutzkonferenz überprüfen, ob Bundes- und Landesbehörden Facebook-Fanpages betreiben. Auch werden sie darauf hinwirken, dass von Bundes- oder Landesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen keine datenschutzrechtliche Konformität nachweisen können. So ordnete etwa die schleswig-holsteinische Landesdatenschutzbeauftragte an, dass die Wirtschaftsakademie Schleswig-Holstein GmbH ihre Facebook-Fanpage deaktivieren muss. Die Entscheidung wurde anschließend durch ein Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts bestätigt.
Datenübermittlung an ausländische Behörden
Schließlich muss, sofern eine Übermittlung personenbezogener Daten in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums erfolgt, auch diese zulässig sein. Dafür muss eine solche Übermittlung den Vorgaben des Art. 44 DSGVO ("Allgemeine Grundsätze der Datenübermittlung") entsprechen. Danach ist eine Übermittlung personenbezogener Daten, die verarbeitet werden oder nach Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die im folgenden DSGVO-Kapitel festgehaltenen Regeln und die weiteren DSGVO-Bestimmungen einhalten. Diese Regel gilt auch für eine bloße Weiterübermittlung personenbezogener Daten. Dies soll sicherstellen, dass das durch die DSGVO garantierte Datenschutzniveau im Fall von natürlichen Personen nicht untergraben wird.
Problematik übertragbar auf andere Plattformen
Zwar hat sich die Datenschutzkonferenz bislang vor allem Facebook vorgenommen. Die Problemlage ist jedoch prinzipiell auch auf die Datenverarbeitung anderer Plattformen wie Instagram, Twitter, YouTube oder TikTok übertragbar. Zuletzt hatte sich der Baden-Württembergische Datenschutzbeauftragte zur gemeinsamen Verantwortlichkeit zum Betrieb eines YouTube-Kanals geäußert. Bei sozialen Netzwerken und Plattformen bestehen für Verantwortliche nach der DSGVO hinsichtlich der datenschutzkonformen Nutzung demnach besondere Herausforderungen und Risiken.
Kathrin Schürmann
Bild: SCHÜRMANN ROSENTHAL DREYER
ONEtoONE-Autorin Kathrin Schürmann ist Partnerin der Technologiekanzlei Schürmann Rosenthal Dreyer
und spezialisierte Rechtsanwältin für Datenschutz- und IT-Recht. Ein Fokus ihrer beratenden Tätigkeit liegt in den Bereichen Digital Business, Technologie und Medien. Bei der ISiCO Datenschutz GmbH
, einem Beratungsunternehmen für Datenschutz, Compliance, Zertifizierung und Informationssicherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung.