Facebook Fanpage - Best Practice nach der DSGVO

Nach dem aktuellen EuGH-Urteil sind sowohl Facebook als auch der Fanpage-Betreiber gemeinsam für die Verarbeitung von sogenannten Insights-Daten verantwortlich. Facebook hat mit eine Ergänzungsvereinbarung zur Regelung der gemeinsamen Verantwortlichkeit reagiert. Aber was bedeutet das für Fanpage-Betreiber?

Seiten-Insights

Facebook sammelt Daten aller Nutzer. Abgesehen von veröffentlichten Fotos, Profilinformationen, Nachrichten, Veranstaltungen und Login-Daten, kann mithilfe von Cookies und einem Benutzercode genau nachverfolgt werden, wann eine Seite besucht wird. Über den Benutzercode und die Anmeldedaten kann Facebook zudem herausfinden, wer die Seite besucht, mit "Gefällt mir" markiert, teilt, kommentiert oder wer einem weiterführenden Link folgt. In Form von Statistiken erhält der Fanpage-Betreiber anonymisiert Informationen darüber, wie viele Nutzer, zu welchem Zeitpunkt die Fanpage besuchen und interagieren (Seiten-Insights).

Gemeinsame Verantwortlichkeit

Nach dem EuGH-Urteil vom 5. Juni 2018 (Az. C-210/16) sind Facebook und Fanpage-Betreiber gemeinsam für die Verarbeitung dieser Insights-Daten verantwortlich. Schließlich könne der Fanpage-Betreiber die personenbezogenen Daten in Kategorien einordnen und mithilfe von Filtern die Kriterien (Alter, Geschlecht, Beziehungsstatus, etc.) festlegen, nach denen die Statistiken erstellt werden sollen. Somit habe der Fanpage-Betreiber die Möglichkeit, Einfluss auf die Verarbeitung zu nehmen und seine Fanpage zielgerichtet einzusetzen.

Facebook Nachtrag zu Seiten-Insights

In einem Addendum erkennt Facebook die Verantwortung für die Insights-Datenverarbeitung an und kündigt an, ihren Pflichten nach der DSGVO nachzukommen (Umgang mit Betroffenenrechten, Informationspflichten, Meldepflichten und die Sicherheit der Verarbeitung). Facebook hält jedoch auch fest, dass der Seitenbetreiber selbst eine Rechtsgrundlage festlegen müsse. Allerdings dürfte die Einholung einer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) zur Verarbeitung von Insights-Daten kaum realisierbar zu sein. Die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO („zur Wahrung berechtigter Interessen“) dürfte an der mangelnden Opt-out-Möglichkeit der Facebook-Nutzer scheitern. Daher sprechen nach der aktuellen Rechtslage erhebliche Gründe dafür, dass die Verarbeitung von Insights-Daten auf Fanpages unzulässig ist.

Blick in die Zukunft

Derzeit gibt es für die Fanpage-Betreiber keine Möglichkeit die Insight-Datenerhebung zu deaktivieren. Trotz möglicher unrechtmäßiger Datenverarbeitung, scheint das Risiko von Bußgeldern und Schadensersatzansprüchen gegenüber dem Fanpage-Betreiber ebenso gering wie die Gefahr von Abmahnungen. Nach einer sich abzeichnenden herrschenden Meinung in Expertenkreisen wäre ein Vorgehen der Datenschutzbehörden gegen Fanpagebetreiber vor einem Vorgehen gegen Facebook selbst „unverhältnismäßig“. Mitbewerber scheinen Abmahnungen, so die praktische Erfahrung, derzeit jedenfalls noch zu scheuen. Ein Grund mag die Attraktivität der eigegen Präsenz mit einer Facebook-Fanpage sein.

Praxistipp

Eine Empfehlung für eine vollständig rechtssichere Fanpage kann nach der aktuellen Rechtslage nicht gegeben werden. Diese kann sich allenfalls auf eine "Best Practice" Lösung beschränken:

  • Betreiber sollten die gemeinsame Verantwortlichkeit für die die Datenverarbeitung bereits auf ihrer Webseite in der Datenschutzerklärung hervorheben (siehe hierzu unseren Beitrag vom 04.10.2018 „Datenschutzerklärung auf Webseiten“).
  • Auf der Facebook Fanpage sollte unter dem Menüpunkt „Info“, „Datenschutzrichtlinien“ auf eine eigene Datenschutzerklärung für die Verarbeitung von Insights-Daten verwiesen werden.

Inhaltlich sollte die Datenschutzerklärung dann selbstverständlich den Anforderungen der Art. 12 ff. DSGVO entsprechen und über die Datenverarbeitung transparent sowie über die Rechtsgrundlagfen und Rechte der Betroffenen vollständig informieren. Darüber hinaus sind wegen der gemeinsamen Verantwortlichkeit noch Verlinkungen auf die entsprechenden Datenschutzhinweise von Facebook selbst erforderlich, aktuell etwa:

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Datenschutzerklärung auf Webseiten
Seit mit der Entscheidung des LG Würzburg wohl erstmalig die Abmahnfähigkeit von Verstößen gegen die DSGVO gerichtlich entschieden wurde, gehen die Alarmglocken auch bei den letzten Unternehmen an. Aber welche Anforderungen muss eine Datenschutzerklärung auf Webseiten erfüllen?
Facebook-Like-Button
Der Facebook-Like-Button auf Firmenwebsites stellt nach einer aktuellen Entscheidung des LG Düsseldorf einen Verstoß gegen den Datenschutz dar.
Facebook verstößt gegen Datenschutz
Facebooks Voreinstellungen sowie Teile der Nutzungs- und Datenschutzbestimmungen sind rechtswidrig. Dies entschied das Landgericht Berlin mit seinem Urteil vom 16. Januar 2018 (Az. 16 O 341/15). Verbraucherschützer hatten gegen den Internetgiganten geklagt.