Facebook Fanpages und Datenschutz

Bereits seit einigen Jahren machen die Datenschutzaufsichtsbehörden immer wieder darauf aufmerksam, dass ein rechtskonformer Betrieb der Fanpages nicht möglich ist. Schon im letzten Jahr gab es erste Verbote. Im aktuellen Datenschutz-Infobrief nimmt unser Experte Claus Wissing das Thema in den Blick.

Worum geht es?

In diesem Beitrag geht es um das Thema: „Facebook Fanpages und Datenschutz: Was Betreiber beachten und tun sollten“. Im Mittelpunkt stehen dabei die Fragen, was eigentlich das Problem mit Facebook Fanpages ist, wie die Datenschutzaufsichtsbehörden reagieren und worauf Sie achten sollten, wenn Ihr Verein / Ihr Verband selbst eine Fanpage betreibt oder zukünftig betreiben möchte.

Hintergrund

Facebook Fanpages sind ein beliebtes Mittel der Öffentlichkeitsarbeit. Denn hier können Unternehmen, aber auch Organisationen und öffentliche Stellen gezielt ihre Zielgruppen erreichen und mehr Menschen als nur über die eigene Homepage ansprechen. Wäre da nicht der Datenschutz ... Bereits seit einigen Jahren machen die Datenschutzaufsichtsbehörden immer wieder darauf aufmerksam, dass ein rechtskonformer Betrieb der Fanpages nicht möglich ist. Schon im letzten Jahr gab es erste Verbote.

Das Problem mit Facebook Fanpages

Bei Facebook Fanpages kommen gleich mehrere Probleme zusammen. Zum einen setzt Facebook Cookies, deren Nutzung einer vorherigen Einwilligung bedürfen. Eine freiwillige und informierte Einwilligung ist allerdings nicht möglich, da Meta nicht transparent über die Zwecke und die weiteren Verarbeitungen der durch die Cookies erhobenen Daten informiert. Zudem können Benutzer*innen nicht feingranular Cookies zustimmen oder diese ablehnen und Facebook setzt mehr Cookies als tatsächlich zur Diensterbringung notwendig.

Das führt uns zum zweiten Problem mit Facebook Fanpages: Meta kommt seinen Informationspflichten (Art. 12 ff. DSGVO) nicht nach. Das gilt sowohl in Bezug auf die Nutzer*innen als auch die Betreiber*innen von Fanpages. Diese sind auf Grundlage der verfügbaren Informationen nicht in der Lage, die notwendigerweise vorzunehmende Prüfung der Rechtskonformität vor Aufnahme einer Verarbeitung durchzuführen.

Hinzu kommt, dass Betreiber*innen eine gemeinsame Verantwortung nach Art. 26 DSGVO mit dem Meta-Konzern eingehen. Das hat auch der Europäische Gerichtshof in einem Urteil bereits 2018 klargestellt. Das gilt selbst dann, wenn Betreiber*innen faktisch kaum Möglichkeiten haben, die Datenverarbeitungsprozesse mitzubestimmen.

Allerdings geben Fanpages Facebook die Möglichkeit, auf den Endgeräten der Besucher*innen Cookies zu platzieren und tragen somit maßgeblich zur Verarbeitung personenbezogener Daten bei. Gemeinsam Verantwortliche sind zudem verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht.

Außerdem kommt es im Rahmen von Facebook Fanpages zu umfassenden Drittlandübermittlungen. Dies gilt vor allem für die USA. Meta hat sich zwar für das US-EU Data Privacy Framework zertifiziert, dies gilt aber nicht für „HR-Data“, also Daten von Beschäftigten, sodass Aktivitäten zur Gewinnung von Mitarbeitenden gegen das Gesetz verstoßen. Die Informationen, die der Meta-Konzern zur Verfügung stellt, geben zudem keinen Aufschluss darauf, inwiefern der Konzern zusätzliche Maßnahmen ergreift, um die spezifischen Risiken des Zugriffs auf Betroffenendaten zu verhindern.

Schon alleine aufgrund der mangelnden Informationen über die Verarbeitung personenbezogener Daten können Fanpages nicht rechtskonform betrieben werden. Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen.

Reaktionen der Datenschutzaufsichtsbehörden

Die Bedenken bezüglich des Datenschutzes bei Facebook Fanpages sind schon vor langem bei den Behörden angekommen. So hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Kelber, in einem Bescheid gegen das Bundespresseamt im Februar 2023 angeordnet, dass die von der Bundesregierung betriebene Facebook-Fanpage innerhalb von vier Wochen einzustellen sei. Der Bundesbeauftragte stützt sich in seinem Bescheid u. a. auf das Gutachten einer Taskforce, die von der Konferenz der unabhängigen Datenschutzbehörde des Bundes und der Länder (DSK) eingesetzt wurde. Die Taskforce kam 2022 zu dem Ergebnis, dass ein datenschutzkonformer Betrieb von Facebook Fanpages nicht möglich sei.

Laut DSK bleibt den Verantwortlichen nur die Option, ihre Fanpages zu deaktivieren bis sie in der Lage sind, ihre Pflichten aus der DSGVO und dem TTDSG zu erfüllen. Dafür ist allerdings eine Mitwirkung auf Seiten von Meta notwendig. Ob und wann das geschieht, ist aktuell unklar.

Was jetzt zu tun ist

  • Prüfen Sie, in Kooperation mit den Verantwortlichen für die Öffentlichkeitsarbeit und evtl. beauftragten Agenturen, ob Sie eine oder mehrere Facebook-Fanpage(s) betreiben.
  • Erstellen Sie eine Auflistung aller genutzten Social-Media-Angebote und stellen Sie die Notwendigkeit des Einsatzes auf den Prüfstand. Ist die Fanpage wirklich zwingend notwendig und so wichtig, dass Sie dafür ggf. auch ein Bußgeld oder Schadenersatzforderungen in Kauf nehmen wollen?
  • Entscheiden Sie, ob Sie die Fanpage(s) in Betrieb halten wollen oder abschalten.
  • Dokumentieren Sie Ihre Entscheidung und informieren Sie Ihre Datenschutzbeauftragten über Ihre Entscheidung.
  • Falls Sie sich für einen Weiterbetrieb entscheiden, treffen Sie Maßnahmen, die den Betrieb der Fanpage - wenn schon nicht datenschutzkonform - so doch zumindest mit minimalem das Risiko für weitere Verstöße gestalten.

Falls Sie sich für einen Weiterbetrieb entscheiden, sollten Sie folgende Maßnahmen umsetzen:

  • Erstellen Sie eine Risikoanalyse für den weiteren Betrieb der Facebook-Fanpage. Beziehen Sie dabei ein, dass diese Daten ggf. auch zum Training von KI-Systemen genutzt werden könnten. Wägen Sie dabei sowohl Datenschutzrisiken der Betroffenen/Nutzer*innen als auch die Risiken für Ihre Organisation ab.
  • Verfassen Sie eine eigene Datenschutzerklärung für jede Facebook-Fanpage.
  • Nehmen Sie die Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten (VVT) auf.
  • Verzichten Sie auf das Einbetten von Facebook (Like-Button) auf Ihren Websites oder nutzen Sie ein Zwei-Klick-Verfahren mit Einwilligung.
  • Die Inhalte auf der Facebook-Fanpage sollten selbstverständlich auch datenschutzkonform sein. Hier sollte auf die Veröffentlichung von personenbezogenen Daten weitestgehend verzichtet werden. Fotos dürfen nur mit einer expliziten Einwilligung veröffentlicht werden.
  • Schalten Sie die Kommentarfunktion auf den Fanpages aus.
  • Erstellen Sie eine Exitstrategie, wie Sie bei einer evtl. Anordnung seitens der Datenschutz-Aufsichtsbehörde zur Abschaltung vorgehen werden und prüfen Sie schon jetzt Alternativen.
  • Wichtig: Verfassen Sie eine Begründung für den Einsatz von z. B. der Facebook-Fanpage und begründen Sie die Notwendigkeit des Einsatzes für Ihre Organisation und warum es keine datenschutzkonforme Alternative gibt!

Fazit mit Blick auf andere Social-Media-Plattformen

Vor dem Hintergrund der aktuellen Rechtslage sollten sich Organisationen genau überlegen, ob sie ihre Fanpages weiterhin betreiben wollen. Wenn Sie sich für eine weitere Nutzung entscheiden, sollten Sie in jedem Falle – wie oben angesprochen – die entsprechenden Maßnahmen zur Absicherung ergreifen.

Natürlich ist Facebook nicht die einzige Social-Media-Plattform mit Datenschutzproblemen. Vermutlich lassen sich die Erkenntnisse auch auf andere Plattformen übertragen, da die Umstände häufig sehr ähnlich sind. Explizit geklärt ist es allerdings bisher nur für den Betrieb von Facebook-Fanpages.

Ergänzende Hinweise

  • Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Task Force Facebook-Fanpages vom 23. März 2022
  • Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages. Version 1.1 vom 10. November 2022
  • DSK: FAQ zu Facebook-Fanpages (Stand: 22.06.2022)
  • FA-DATENSCHUTZPORTAl: In der Excel Datenbank: „DSP-Übersicht_3_DATENSCHUTZURTEILE_2013-2024_JUN_WEB“ haben wir eine Reihe von Urteilen zu Facebook dokumentiert