Shaping the Future with AI - 5 Fuck-ups aus über 50 Projekten und was wir daraus gelernt haben Anmelden und live dabei sein
Lernen Sie Stolpersteine auf dem Weg zur erfolgreichen Nutzung von KI aus der Praxis kennen und warum diese „Fuck-ups“ ein Sprungbrett sein können, um nachhaltige Erfolge zu erzielen.
Anmelden und live dabei sein
Wie B2B-Online-Plattformen den Erfolg von morgen sichern Anmelden und live dabei sein
Machen Sie ihren Online-Kanal erfolgreicher. Erfahren Sie anhand von Praxisbeispielen, wie Sie geschickt geschickt Marketing-, Sales- und Serviceprozesse verbinden.
Anmelden und live dabei sein
Datenschutz

Facebook-Fanpages: Tipps für den datenschutzkonformen Einsatz

29.12.2022 Der Betrieb von Facebook-Fanpages ist und bleibt aus Datenschutzsicht eine Herausforderung. IT-Rechtsanwältin Kathrin Schürmann erklärt, worauf es künftig bei einem datenschutzkonformen Einsatz ankommt.

 (Bild: TheDigitalArtist / Pixabay)
Bild: TheDigitalArtist / Pixabay
Viele Unternehmen, VIPs, Organisationen, aber auch Behörden betreiben Facebook-Fanpages. Für private Zwecke gibt es bei Facebook private Profile, für geschäftliche Zwecke ist eine Facebook-Fanpage eine Möglichkeit, sich in dem sozialen Netzwerk zu präsentieren. Die Verwendung einer Facebook-Page ist aus Datenschutzsicht nicht unproblematisch. Betreiber einer Facebook-Fanpage müssen nicht nur sicherstellen, dass die verantwortete Datenverarbeitung rechtskonform erfolgt. Unter Umständen haben sie dies auch gegenüber der zuständigen Datenschutzbehörde nachzuweisen. Unternehmen, die eine Facebook-Fanpage betreiben und eine Datenerhebung und -verarbeitung sicherstellen möchten, die im Einklang mit der Datenschutz-Grundverordnung (DSGVO) ist, sollten deshalb eine Reihe von Punkten beachten. Eine aktualisiertes Gutachten der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Homepage dieses Unternehmens Relation Browser vom 10. November 2022 gibt hier die strenge Behördenansicht zur Verwendung von Fanpages wieder und zeigt wesentliche datenschutzrechtliche Problemschwerpunkte auf.

Unklarer Umfang der Datenverarbeitung

Rechtsanwältin Kathrin Schürmann (Bild: SCHÜRMANN ROSENTHAL DREYER)
Bild: SCHÜRMANN ROSENTHAL DREYER
Rechtsanwältin Kathrin Schürmann

Der Betreiber von Facebook, der US-Internetkonzern Meta zur Homepage dieses Unternehmens Relation Browser , nutzt und verarbeitet anfallende personenbezogene Daten nicht nur zum Betrieb seines sozialen Netzwerks, sondern auch zu Werbezwecken. Auf diese Weise spielt Facebook individuell auf einzelne NutzerInnen zugeschnittene Werbung aus. Zu den Werbekunden von Facebook gehören nicht nur Unternehmen, sondern auch Lobbyorganisationen, Parteien, etc. Zudem werden personenbezogene Daten zum Zwecke der Bildung von NutzerInnen-Profilen genutzt. Facebook stellt Fanpage-Betreibern über die Funktion "Insights" auch eine Nutzeranalyse für ihre Facebook-Seiten bereit. Welche personenbezogenen Daten dabei verarbeitet werden, beschreibt Facebook in seiner Dokumentation zusammenfassend und mit Beispielen. Den Datenschutzbehörden zufolge sei jedoch unklar, was insgesamt ganz genau verarbeitet werde. Soweit der Fanpage-Betreiber seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen oder die datenschutzkonforme Verarbeitung nicht nachweisen kann, kommt als Maßnahme der Behörde im Zweifel eine vorübergehende Abschaltung einer Facebook-Fanpage in Betracht

EuGH: Betreiber ist mitverantwortlich für Fanpage

Laut einem Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 (Az. C-210/16) sind Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten. Diese Auffassung vertreten auch die für Datenschutz zuständigen Aufsichtsbehörden. Dem EuGH-Urteil nach besteht für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Fanpage-Betreiber und Facebook nach Art. 4 Nr. 7, Art. 26 DSGVO. Laut dem EuGH-Urteil trifft BetreiberInnen von Fanpages auch eine Verantwortlichkeit bei NutzerInnen, die gar kein Facebook-Nutzerkonto haben, da beim Aufruf einer Facebook-Fanpage unmittelbar auch personenbezogene Daten der Besuchenden erhoben werden. Dabei beseitige auch ein potentielles Abstellen der "Insights" die gemeinsame Verantwortlichkeit nicht, so das aktualisierte Gutachten der Datenschutzkonferenz.

Facebook-Zusatz unzureichend

Um eine Facebook-Fanpage DSGVO-konform zu betreiben, ist laut EuGH erforderlich, dass der Verantwortliche und Facebook eine Vereinbarung schließen, welche die Voraussetzungen von Art. 26 DSGVO erfüllt. Meta Platforms Ireland Ltd. zur Homepage dieses Unternehmens Relation Browser stellt aktuell einen online abrufbaren "Zusatz zur Datenverarbeitung" zur Verfügung, welcher dazu dienen soll, die Voraussetzungen des Art. 26 DSGVO zu erfüllen. Nach Auffassung der Datenschutzkonferenz erfülle dieser Zusatz jedoch nicht die Anforderungen des Art. 26 DSGVO.

DSGVO-Konformität muss nachgewiesen werden

Der Nachweis, dass eine Facebook-Fanpage DSGVO-konform ist, umfasse der Datenschutzkonferenz zufolge folgende Punkte: Erstens sei der Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook nötig. Zweitens müssten die Verantwortlichen gemäß Art. 13 DSGVO ausreichende Informationen über gemeinsame Datenverarbeitungen gegenüber den NutzerInnen von Facebook-Fanpages bereitstellen. Drittens müsse die Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 des Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zulässig sein.

Kann der Fanpage-Betreiber einen geforderten Nachweis nicht erbringen, ist die zuständige Aufsichtsbehörde befugt, Maßnahmen zu treffen, um den Datenschutz sicherzustellen. Im schlimmsten Fall kann dies die Abschaltung oder die Verhängung eines Bußgelds bedeuten. Betroffene können zudem nach Art. 82 DSGVO Schadenersatzansprüche geltend machen. Laut Datenschutzkonferenz gingen Aufsichtsbehörden im Juni 2022 im Wege von Gefahrenabwehr gegen Betreiber von Fanpages vor.

Neu geltende TTDSG-Regeln

Seit Inkrafttreten des TTDSG am 1. Dezember 2021 ist gemäß § 25 Abs. 1 TTDSG grundsätzlich für das Setzen von Cookies, wie von Facebook vorgenommen, sowie für das anschließende Auslesen von Cookies eine Einwilligung erforderlich. Eine solche Verarbeitung personenbezogener Daten stellt nämlich eine "Speicherung von Informationen in der Endeinrichtung des Endnutzers" bzw. einen "Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind" im Sinne von § 25 Abs. 1 TTDSG dar. Eine Einwilligung kann jedoch entfallen, wenn die Speicherungen oder Zugriffe für die Erbringung der Fanpage unbedingt erforderlich sind. Das Schleswig-Holsteinische Oberverwaltungsgericht hat diesbezüglich für die alte Rechtslage vor der DSGVO entschieden, dass die Verwendung personenbezogener Daten von registrierten und angemeldeten Facebook-NutzerInnen keine Gesetzesgrundlage gehabt habe und eine erforderliche Einwilligung nicht gegeben gewesen sei.

Besondere Regeln für öffentliche Stellen

Die Datenschutzkonferenz hat im März 2022 einen Beschluss zu ihrer Task Force Facebook-Fanpages gefasst. Darin wird auf die Vorbildfunktion öffentlicher Stellen Bezug genommen. Laut dem Beschluss werden die Mitglieder der Datenschutzkonferenz überprüfen, ob Bundes- und Landesbehörden Facebook-Fanpages betreiben. Auch werden sie darauf hinwirken, dass von Bundes- oder Landesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen keine datenschutzrechtliche Konformität nachweisen können. So ordnete etwa die schleswig-holsteinische Landesdatenschutzbeauftragte an, dass die Wirtschaftsakademie Schleswig-Holstein GmbH ihre Facebook-Fanpage deaktivieren muss. Die Entscheidung wurde anschließend durch ein Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts bestätigt.

Datenübermittlung an ausländische Behörden

Schließlich muss, sofern eine Übermittlung personenbezogener Daten in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums erfolgt, auch diese zulässig sein. Dafür muss eine solche Übermittlung den Vorgaben des Art. 44 DSGVO ("Allgemeine Grundsätze der Datenübermittlung") entsprechen. Danach ist eine Übermittlung personenbezogener Daten, die verarbeitet werden oder nach Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die im folgenden DSGVO-Kapitel festgehaltenen Regeln und die weiteren DSGVO-Bestimmungen einhalten. Diese Regel gilt auch für eine bloße Weiterübermittlung personenbezogener Daten. Dies soll sicherstellen, dass das durch die DSGVO garantierte Datenschutzniveau im Fall von natürlichen Personen nicht untergraben wird.

Problematik übertragbar auf andere Plattformen

Zwar hat sich die Datenschutzkonferenz bislang vor allem Facebook vorgenommen. Die Problemlage ist jedoch prinzipiell auch auf die Datenverarbeitung anderer Plattformen wie Instagram, Twitter, YouTube oder TikTok übertragbar. Zuletzt hatte sich der Baden-Württembergische Datenschutzbeauftragte zur gemeinsamen Verantwortlichkeit zum Betrieb eines YouTube-Kanals geäußert. Bei sozialen Netzwerken und Plattformen bestehen für Verantwortliche nach der DSGVO hinsichtlich der datenschutzkonformen Nutzung demnach besondere Herausforderungen und Risiken.

Über die Autorin: Kathrin Schürmann‘Kathrin Schürmann’ in Expertenprofilen nachschlagen ist Partnerin der Technologiekanzlei Schürmann Rosenthal Dreyer zur Homepage dieses Unternehmens Relation Browser und spezialisierte Rechtsanwältin für Datenschutz- und IT-Recht. Bei der ISiCO Datenschutz GmbH zur Homepage dieses Unternehmens Relation Browser , einem Beratungsunternehmen für Datenschutz, Compliance, Zertifizierung und Informationssicherheit, vereint sie internationale Datenschutzbestimmungen und digitale Transformation mit strategischer Beratung.
Neuer Kommentar  Kommentare:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.
alle Veranstaltungen Webcasts zu diesem Thema:
Dienstleister-Verzeichnis Agenturen/Dienstleister zu diesem Thema: