Facebook…datenschutzkonform möglich?

Jeder will Facebook.... Jeder nutzt Facebook....

…aber ist eine datenschutzkonforme Nutzung überhaupt möglich?

Sehr häufig fallen Sätze wie:

„Facebook nutzen doch alle…!“ oder „Aber wenn ich Facebook nicht nutze, dann bricht mir Umsatz weg.“

Wir analysieren die Frage, ob Facebook nach europäischem Recht überhaupt datenschutzkonform einsetzbar ist und was Unternehmer beim Betreiben eine Facebook-Fanpage beachten müssen.

Bildquelle: pixabay.com

Weshalb muss der Einsatz einer Facebook-Fanpage datenschutzrechtlich hinterfragt werden?

Wenn ein Unternehmer eine Fanpage bei Facebook einrichtet, werden beim Besuch dieser Seite von Facebook Daten erhoben. Wofür Facebook diese Daten nutzt, können wir nur erahnen. Er unterstützt also Facebook bei was auch immer…

2018 hat der Europäische Gerichtshof (EuGH) hierzu ein Urteil gesprochen. Zu diesem Urteil hat der EuGH eine Presseerklärung herausgegeben. 

In Kürze zusammengefasst, stellt der EuGH klar, dass sowohl Facebook, wie auch die Fanpage-Betreiber für die (Zitat) „fragliche Datenverarbeitung“ verantwortlich sind. Der EuGH findet, dass der Umstand, dass der Fanpage-Betreiber die Facebook-Plattform nutzt um die Dienstleistungen von Facebook in Anspruch zu nehmen, ihn nicht von der Einhaltung von nationalen und EU-Gesetzen und -Verordnungen befreit. Zumal der Fanpage-Betreiber dies ja nicht aus Langeweile betreibt. Sie ist ein Mittel um Sichtbarkeit zu erreichen, Zielgruppen anzusprechen und Werbung zu platzieren. Somit unterliegt das Betreiben der Fanpage ebenso den Grundsätzen der DSGVO wie beispielsweise der Einsatz einer anderen Unternehmenssoftware.

 

Was bedeutet das nun konkret?

Für das datenschutzkonforme Betreiben einer Facebook-Fanpage müssen Unternehmen mit Facebook einen Vertrag gemäß Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit abschließen.

Um dieser Anforderung gerecht zu werden, hat Facebook im Oktober 2019 ein „Addendum“ veröffentlicht.

Da Mitte 2020 das Privacy Shiel für ungültig erklärt wurde, hat Facebook im Rahmen der Überarbeitung der „Facebook Business Tools Terms“ Mitte 2020 auch das relevante Controller-Addendum aktualisiert, welches ab 31.08.2020 Gültigkeit besitzt.

Das „Addendum“ ist jedoch aus Sicht der Datenschutzbehörden von Bund und Ländern weiterhin unzureichend. In einem Schreiben vom 16.06.2021 weist Prof. Kelber (Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) öffentliche Stellen an – die eine Fanpage betreiben – diese bis Ende 2021 abzuschalten. Er beabsichtigt ab Januar 2022 schrittweise von den ihm zur Verfügung stehenden Abhilfemaßnahmen Gebrauch zu machen.

Da auch die für die nicht-öffentlichen Stellen zuständigen Landesdatenschutzbeauftragten die Meinung des Prof. Kelbers vertreten, ist zu erwarten, dass diese seinem Beispiel folgen werden und ebenso in Prüfungen einsteigen werden, die unweigerlich Sanktionen nach sich ziehen werden.

Diese Prüfungen werden unweigerlich – neben der Erfüllung der Anforderungen an Verträge gemäß Artikel 26 DSGVO – auch Inhalte zum internationalen Datentransfer beinhalten.

 

Was muss beim Betreiben einer Facebook-Fanpage beachtet werden?

Jeder Fanpage-Betreiber sollte mindestens folgende Checkliste abarbeiten:

  • Detaillierte Beschreibung der Verarbeitungstätigkeit gem. Art. 30 DSGVO, die u.a. Folgendes enthält:
    • Welcher Zweck wird mit der Datenverarbeitung verfolgt.
    • Welche Datenkategorien und Personengruppen sind involviert sind.
    • An wen die Daten weitergegeben werden.

Auf Anfrage der Aufsichtsbehörde hat der Fanpage-Betreiber (also der Verantwortliche) das Verzeichnis der Verarbeitungstätigkeiten, dieser zur Verfügung zu stellen.

  • Definition einer geeigneten Rechtsgrundlage
    • Hier kommt vermutlich nur Art. 6 I 1 f DSGVO – also das berechtigte Interesse des Fanpage-Betreibers – in Betracht.
    • Durchführung einer Interessensabwägung.
  • Bereitstellung einer Datenschutzinformation gemäß Artikel 13, 14 und 26 DSGVO – speziell für das Betreiben der Facebook-Fanpage
  • Bereithalten des Medeformulars für Betroffenen-Anfragen
  • Beantwortung des Fragebogens der Datenschutzkonferenz , der im Rahmen einer Stellungnahme am 05.09.2021 aufgelegt wurde. Dieser soll als datenschutzorientierte Dokumentation von Fanpage-Betreibern beantwortet werden.

 

Fazit

Unter der Berücksichtigung aktueller Stellungnahmen des Bundesbeauftragten und Aussagen unterschiedlicher Landesdatenschutzbeauftragten liegt folgende Einschätzung nahe:

  • Ein datenschutzkonformes Betreiben einer Facebook-Fanpage ist zum momentanen Zeitpunkt nicht möglich!
  • Sowohl der Bundesdatenschutzbeauftragte wie auch die Landesdatenschutzbeauftragten empfehlen einheitlich die Abschaltung von Facebook-Fanpage.
  • Beim Betreiben einer Facebook-Fanpage muss mit aufsichtsbehördlichen Prüfungen und Sanktionen gerechnet werden.

 

Möchten Sie mehr zu diesem Thema wissen oder benötigen Sie Unterstützung bei der Erstellung der Dokumentation oder den Verträgen?

Sprechen Sie uns an!