22. Februar 2019

Facebook-Seiten von Unternehmen & Datenschutz

Mainz, den 22.02.2019 – Was ist aus Sicht des Datenschutzes zu beachten, wenn mein Unternehmen eine Facebook-Seite betreibt? Wir geben Ihnen nachfolgend einen kurzen Überblick zum Stand der Dinge.

 

1. Das EuGH Urteil

Auf eine Anfrage des Bundesverwaltungsgerichts hatte der Europäische Gerichtshof mit Urteil vom 5. Juni 2018 entschieden, dass nicht nur Facebook selbst, sondern auch der Seitenbetreiber ein für die Verarbeitung „Verantwortlicher“ im Sinne des Datenschutzes ist.

Der EuGH sieht die gemeinsame Verantwortung für die Wahrung des Datenschutzes der betroffenen Nutzer der Facebook-Seiten bei Facebook und dem Unternehmen, dass die Seite verwaltet.  Der Grad der Verantwortlichkeit sei unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen. Es geht in dem Urteil vornehmlich um die Möglichkeiten des Seitenbetreibers, demografische Daten über seine Besucher abzufragen sowie verhaltens- und interessenbasierte Werbung zu schalten.

 

2. Die Einschätzung der „Datenschutzkonferenz“ (DSK)

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sah in Ihrer ersten Entschließung vom 6. Juni 2018 dabei drei wesentliche Punkte, die erfüllt werden müssten:
– Transparente Information über die Datenverarbeitung durch den Seitenbetreiber und durch Facebook.
– Einwilligung des Nutzers in personenbezogenes Tracking.
– Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit, Art. 26 DSGVO.

Die DSK hat in der Folge am 05. September 2018 einen Beschluss zu Fan Pages veröffentlicht. Im Ergebnis werden darin die Anforderungen des Datenschutzes bei Facebook-Seiten als nicht erfüllt angesehen. Am 11. September 2018 kündigte Facebook an, alle Seitenbetreiber über kommende Änderungen an den Nutzungsbedingungen zu informieren. Im Nachgang hierzu veröffentlichte Facebook diese Informationen als „Seiten-Insights-Ergänzung“. Die DSK stellte hierzu in Ihrem Protokoll vom 14. Januar 2019 unter TOP 9 fest, „dass auch mit dieser Seiten-Insights-Ergänzung u.a. weiterhin noch ausreichend detaillierte und verbindliche Informationen über die Verarbeitung durch Facebook fehlen.“

 

3. Was tun?

Die Facebook-Seiten von Unternehmen existieren daher leider derzeit noch in einer rechtlichen Grauzone. Grund hierfür ist aus Sicht der Datenschützer vor allem die fehlende Abfrage einer Einwilligung bzgl. des Trackings der Nutzer und die Frage, ob die Angaben von Facebook dem Transparenzprinzip aus Art. 12 DSGVO und der Informationspflicht aus Art. 13 DSGVO gerecht werden.  Die Möglichkeiten der Betreiber von Facebook-Seiten, in diesen Punkten für Abhilfe zu sorgen, sind derzeit begrenzt:

  • Ein Vertragsschluss mit Facebook gemäß Art. 26 DSGVO scheint praktisch nicht möglich.
  • Der Seitenbetreiber kann jedoch seinen Informationspflichten bestmöglich nachkommen. Hier kann der Seitenbetreiber sich an den Datenschutzhinweisen seiner unternehmenseigenen Homepage orientieren.
  • Diese könnte  wiederum um die Hinweise von Facebook ergänzt werden: „Seiten-Insights-Ergänzung“.

Vor der letztendlichen Entscheidung des BVerwG besteht jedoch derzeit wohl noch kein Grund, in Aktionismus zu verfallen und die Seiten zu löschen. So sieht es offenbar unter anderem auch das Bundesministerium der Justiz und für Verbraucherschutz, das auf Facebook weiterhin zu finden ist (zuletzt abgerufen am 22.02.2019).