Datenschutz und Facebook-Fanpages in der Zeit der DSGVO

TdW_KW35_920

Facebook, Google und Co. geraten zunehmend in die Schusslinie der europäischen Datenschutzregelungen. Ein kürzlich vom EuGH entschiedener Fall zu Facebook-Fanpages ist ein weiterer Schritt eines langen Entwicklungs- und Anpassungsprozesses des europäischen Datenschutzes. Vorliegend ging es um die datenschutzrechtliche Zuständigkeit bei Facebook-Fanpages. Besonders brisant ist die Entscheidung deshalb, weil die Betreiber von Facebook-Fanseiten nun für den Datenschutz mitverantwortlich sind. Was gilt es jetzt als Betreiber einer solchen Fanpage zu beachten und muss diese Seite sogar geschlossen werden? In diesem Beitrag werden wir diesen und weiteren Fragen nachgehen.

 

Was sind Facebook-Fanpages?

Facebook wird längst nicht mehr nur zur Kommunikation unter Privatpersonen verwendet, sondern ist mittlerweile ein sehr beliebtes Marketing-Tool in der Business Welt geworden. Eine beliebte Möglichkeit Facebook zu Marketing Zwecken einzusetzen, bietet das Betreiben sog. Facebook-Fanpages (Fanseiten), welche von Händlern, Personen des öffentlichen Lebens, Firmen usw. erstellt werden, um ihrer Marke bzw. ihrem Geschäft zu noch mehr Sichtbarkeit zu verhelfen. Im Unterschied zu einem klassischen Privatprofil, kann eine Fanseite stärker nach den eigenen Bedürfnissen betrieben und gestaltet werden: es können beispielsweise Öffnungszeiten, die Anschrift, Fotos von neuen Waren oder von einer Speisekarte angeben und natürlich Follower generiert werden.

 

Wieso sind Online-Händler von der Entscheidung nun konkret betroffen?

Facebook erhebt bei den Besuchern der Fanpages personenbezogene Daten und wertet diese zu statistischen und marketingbezogenen Zwecken aus. Die Ergebnisse dieser Auswertung werden sodann dem Seitenbetreiber zur Verfügung gestellt, damit er seine Online-Präsenz entsprechend anpassen kann. Von der Datenerhebung und -verarbeitung sind zudem nicht nur diejenigen betroffen, die der Seite folgen, sondern auch Personen, die gelegentlich auf die Seite gelangt sind und sogar solche, die nicht einmal ein Facebook-Profil haben, da Fanpages auch ohne Profil bei Facebook frei zugänglich sind. Im Endeffekt veranlasst der Seitenbetreiber die Datenerhebung und –verarbeitung mit und ist somit gemeinsam Verantwortlicher neben Facebook mit allen daraus resultierenden Pflichten i. S. d. DSGVO.

 

Der Online-Händler hat doch keine Auswirkung darauf, ob und wie Facebook personenbezogene Daten erhebt und verarbeitet – wie kann er dafür verantwortlich sein?

Dies ist gerade der springende Punkt, der lange umstritten war und am 5. Juni 2018 nun vom EuGH entschieden wurde. Der EuGH entschied, dass die Betreiber von Facebook-Fanpages ebenfalls Verantwortliche im datenschutzrechtlichen Sinne sind, weil sie Facebook durch die Errichtung der Fanpage überhaupt erst die Möglichkeit einräumen, personenbezogene Daten zu erheben und zu verarbeiten. Obwohl der Betreiber nicht auf den genauen Prozess der Erhebung und Verarbeitung der Daten durch Facebook einwirken kann, trifft er bei der Erstellung der Fanpage schon gewisse Vorauswahlen bezüglich des gewünschten Zielpublikums und der von ihm mit der Fanpage verfolgten Zwecke. An diesen Angaben orientiert sich Facebook bei der Auswertung der Daten. Der Seitenbetreiber leistet also einen erheblichen Beitrag zur Datenverarbeitung, der laut dem EuGH ausreicht, um den Betreiber ebenfalls als Verantwortlichen, gemeinsam mit Facebook, einzustufen.

Wichtig: Der Sachverhalt, der Gegenstand des EuGH-Urteils war, hat sich vor dem Inkrafttreten der DSGVO abgespielt und wurde somit nach der alten Rechtslage entschieden, also unter Heranziehung der alten Datenschutzrichtlinie (RL 95/46 des Europäischen Parlaments) und des deutschen BDSG. Gleichwohl hat die Entscheidung ebenfalls Relevanz für die neue Rechtslage unter der DSGVO. Zum einen unterscheidet sich die aktuelle Definition des Verantwortlichen nach Art. 4 Nr. 7 DSGVO nur unerheblich von der alten Definition in Art. 2 lit. d der RL 95/46 und zum anderen bleibt das Kriterium der Entscheidungsmacht über die Mittel und Zwecke der Verarbeitung weiterhin relevant. Art. 4 Nr. 2 DSGVO bestimmt zudem, dass eine Datenverarbeitung u.a. auch in der „Offenlegung durch Übermittlung […] oder eine andere Form der Bereitstellung” der Daten liegt. Somit bleibt der Betreiber der Seite auch nach der aktuellen Rechtslage für die Datenverarbeitung mitverantwortlich.

 

Gilt das nur für Facebook?

Auch wenn das Urteil des EuGH eine Facebook-Fanpage zum Gegenstand hatte, lassen sich die die Entscheidung tragenden Argumente auch auf andere sozialen Netzwerke wie z.B. WhatsApp, YouTube usw. übertragen, sofern diese auch eigenständig durch den Unternehmer zwecks Marketing und Werbung eingesetzt werden und durch die Tools personenbezogene Daten erhoben und verarbeitet werden.

 

Was soll ich nun als Händler tun, um meine Facebook-Fanpage DSGVO-konform zu betreiben?

Diese Frage bleibt zunächst bedauerlicherweise ungeklärt. Bei Facebook-Fanpages gibt es inzwischen die Möglichkeit, die Datenschutzerklärung von Facebook zu verlinken, bzw. von dort aus auch die eigene Webseite des Händlers mit einer entsprechenden Datenschutzerklärung. Die bloße Offenlegung von Informationen zur Datenerhebung und  - verarbeitung innerhalb der Facebook-Datenschutzerklärung kann allerdings nicht als Einwilligung des Seitenbesuchers in die selbige fungieren. Also reicht der alleinige Verweis auf die Datenschutzerklärung von Facebook nicht aus, um als Seitenbetreiber den datenschutzrechtlichen Anforderungen nachzukommen.

Vor diesem Hintergrund hat Facebook bereits angekündigt, die notwendigen Schritte zu unternehmen, um Seitenbetreibern eine Möglichkeit zu bieten, ihren rechtlichen Verpflichtungen nachzukommen. Dafür ist eine Anpassung der Nutzungsbedingungen Seitens Facebook notwendig, um klarzustellen, welche Verantwortlichkeiten bei den Seitenbetreibern liegen und welche bei Facebook selbst. Als großer Konzern wird sich Facebook allerdings nicht auf einzelne Vereinbarungen einlassen, sondern sehr wahrscheinlich Fanpage-Betreibern künftig ein universelles Vereinbarungsformular und vielleicht sogar ein eigenständiges, DSGVO-konformes Nutzungsmodell gegen Entgelt anbieten.

Bis dahin bleibt die Nutzung von Facebook-Fanpages in der aktuellen Form also vorerst DSGVO-widrig, sodass die einzige hundertprozentig rechtssichere Lösung nur in der vorübergehenden Deaktivierung der Fanpage liegt.

 

Ich möchte meine Facebook-Fanpage nicht auf unbestimmte Zeit einfach deaktivieren. Was passiert, wenn ich sie weiterhin betreibe?

Auf diese Frage lässt sich keine eindeutige Antwort geben. In seinem Urteil hat der EuGH zusätzlich befunden, dass die zuständigen nationalen Datenschutzbehörden ggf. befugt sein können, Fanpages zu schließen. Unter welchen Umständen dies der Fall ist, bleibt allerdings Gegenstand des nationalen Rechts bzw. der nationalen Rechtsprechung. Weil der EuGH in dem konkreten Fall mit einer Anfrage seitens des deutschen BVerwG angerufen wurde, muss man also die Entscheidung des BVerwG in der Sache abwarten und die sich daraus ergebenden Entwicklungen beobachten.

Ob datenschutzrechtliche Verstöße auf Fanpages lediglich von den zuständigen Datenschutzbehörden geahndet werden können oder auch Wettbewerber diese kostenpflichtig abmahnen können, ist ebenfalls noch unklar. Nicht jeder Verstoß gegen Datenschutzbestimmungen stellt auch einen abmahnfähigen Verstoß gegen Wettbewerbsrecht dar.

 

Fazit

Das Betreiben von Facebook-Fanpages in der aktuellen Form ist mit der Verarbeitung personenbezogener Daten verbunden, für die der jeweilige Betreiber nach der DSGVO gemeinsam mit Facebook verantwortlich ist. Aktuell kann der Betreiber aufgrund der Ausgestaltung der Fanpages von Facebook und seines begrenzten Einflusses auf die internen Datenerhebungs- und Verarbeitungsprozesse von Facebook seinen Pflichten als Verantwortlicher gemäß der DSGVO nicht nachkommen. Dies kann nur dadurch geändert werden, indem Facebook entsprechende Vorkehrungen trifft, wie die Datenschutzkonferenz und der LfDI NRW bereits klargestellt haben.

Welche Folgen dieser Verstoß haben kann, ist bisweilen unklar. Erst die kommende Entscheidung des BVerwG wird zeigen, ob, wann und wie Datenschutzbehörden gegen DSGVO-verstoßende Fanpages vorgehen können. Genauso bleibt anzuwarten, ob diese Verstöße auch von Wettbewerbern abgemahnt werden können oder nicht. Bis dahin bleibt die Deaktivierung der Fanpage der einzige völlig rechtssicherer Weg.

 

Unser Tipp:

Beobachten Sie genau die aktuellen Entwicklungen zu diesem Thema und nehmen Sie nicht ohne nähere Sachprüfung und ohne rechtlichen Rat Abmahnungen in Bezug auf Ihre Facebook-Fanpage hin.

 

Über die Autorin


Sabrina Brosch

Sabrina Brosch
Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Jurastudium an der Universität zu Köln und der Université Paris 1 Panthéon-Sorbonne mit LL.M Abschlüssen beider Universitäten. Seit 2015 im Team von Trusted Shops war sie zunächst für die Prüfung von Online-Shops der Märkte D, AT, CH und FR zuständig und verantwortete das Operational Management der Key Account Kunden in diesem Bereich. Sie betreut die Trusted Shops Abmahnschutzpakete und beschäftigt sich intensiv mit den rechtlichen Fragestellungen des E-Commerce.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Beitrag teilen

Blogsuche

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat

Passende Artikel

  • Datenschutz 360
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €