Die DSGVO und die Facebook Fanpages – ein Status Quo!

by connecting media Dezember 05, 2018

Für viele Unternehmen ist eine Facebook-Seite/Fanpage ein wichtiges Mittel zur Werbung. Allerdings ist dies kein unproblematisches Mittel zur Werbung. Insbesondere da auch personenbezogene Daten von Besuchern der Fanpages, die überhaupt kein Facebook haben, verarbeitet werden können. Facebook setzt nämlich Cookies mit in die vielen Indikatoren und trägt im Rahmen der Insights-Funktion die Nutzer der Fan Pages, wenn mehr als nur die Startseite einer Fanpage aufgerufen wird. Diese personenbezogenen Daten werden für den Betreiber ausgewertet, ihm jedoch nur teilweise zur Verfügung gestellt. Problematisch an der ganzen Sache ist, dass für Tracking laut BSK eine Einwilligung der Betroffenen notwendig ist.

Problematik des unsicheren Drittlands

Daten dürfen gemäß Art. 45 ff. DSGVO nur in Drittländer übermittelt werden, wenn das Datenschutzniveau dem aufgrund der DSGVO vergleichbar ist. Die Facebook-Server stehen alle samt in den USA. Die USA gelten Datenschutztechnisch nicht als sicheres Drittland. Es gibt dennoch die Möglichkeit personenbezogene Daten an Unternehmen in Drittländer zu übermitteln. Diese Unternehmen können beispielsweise die EU-Standarddatenschutzklauseln verwenden, wonach sie sich zu Einhaltung eines vergleichbaren Schutzniveaus verpflichten (was im Übrigen auch einfach vertraglich geht). Allerdings bieten die Standarddatenschutzklauseln keinen Schutz vor dem Zugriff der US-Behörden, weshalb sie von einigen Strömungen wie das Safe-Habour-Abkommen für unwirksam gehalten werden. Die Standarddatenschutzklauseln stehen derzeit beim EuGH zur Prüfung an.

Fazit:Es ist also nicht klar, ob die Übermittlung personenbezogener Daten an Facebook überhaupt datenschutzkonform ist. Dieses Risiko muss man sich bewusst machen.

 

Frage der Rechtmäßigkeit der Weitergabe

Zudem stellt sich die Frage der Rechtmäßigkeit der Datenweitergabe an Facebook, wenn man keine Einwilligung eingeholt hat. Und auch bei einer Einwilligung ergibt sich die Problematik der wohl nicht bestehenden Löschbarkeit der Daten. Ob nach Art. 6 I 1 lit. b oder f DSGVO tatsächlich eine Weitergabe der Daten an Facebook rechtmäßig  ist, ist höchst fraglich.

Insbesondere der Zweck der Weitergabe von Kontaktdaten über den Facebook-Messenger oder Daten aus dem Tracking durch Facebook beim Besuch der Fanpage ist bezüglich der nicht an den Betreiber der Fanpage gelieferten Daten höchst fragwürdig.

III. (Mit-)Verantwortlicher

Mit Urteil vom 5.6.2018 Az. C-210/16 hat der EuGH entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreibern und Facebook besteht. Dieses Urteil erging zwar noch zur alten Rechtslage, ist jedoch auch für die DSGVO maßgeblich. Das bedeutet, dass auch nach derzeitiger Rechtslage der Betreiber einer Facebook-Fanpage Verantwortlicher im Sinne der DSGVO ist und daher auch gegenüber den Betroffenen haftet sowie potentiellen Sanktionen der Datenschutzbehörden ausgesetzt ist.

Herunter gebrochen auf das Wesentliche bedeutet dies nach der EuGH Rechtsprechung, dass der Betreiber einer Facebook-Fanpage für Datenschutzverstöße von Facebook (mit)haftet. Dies sogar unabhängig davon, ob die konkrete, unrechtmäßige Verarbeitung durch Facebook in seiner Kenntnis erfolgte oder er einen Vorteil daraus hat. Ob allerdings tatsächlich ein Mitverschulden des Mitverantwortlichen vorliegt und daher der Facebook-Fanpage-Betreiber der Haftung für Datenschutzverstöße verursacht durch Facebook gegenüber Betroffenen unterliegt, muss durch deutsche Gerichte geklärt werden. Das dem Urteil des EuGHs zu Grunde liegende Verfahren beim Bundesverwaltungsgericht ist noch nicht beendet. Hier steht noch ein Urteil aus.

Zu beachten ist, dass zwischen Facebook und den Fanpage-Betreibern einen Vertrag unter mitverantwortlichen gemäß Art. 26 DSGVO zu schließen ist. Eine individuelle Vereinbarung ist mit Facebook jedoch definitiv nicht möglich. Aufgrund des Urteils hat Facebook jedoch einige Vorkehrungen getroffen und verpflichtet sich auch die Benutzer über die Verarbeitung zu informieren. Da diese jedoch nicht zu 100 % wirksam sind und Facebook diese Vereinbarung einseitig ändern kann, ist dringend zu empfehlen die Nutzer seines Fanpage selbst aufzuklären.

Das Risiko, Schadensersatz an Betroffene aufgrund einer von Facebook verursachten Datenpanne zahlen zu müssen, bleibt jedoch bestehen. Ob dies jedoch tatsächlich so groß ist, muss jeder selbst entscheiden. Allerdings ist diesseits darauf hinzuweisen, dass die Betroffenen einen Verstoß gegen Datenschutzvorschriften lediglich behaupten müssen und auch ein immaterieller Schaden zu ersetzen ist. Das Trekking ohne Einwilligung ist zudem nach der herrschenden Meinung nicht rechtmäßig und daher kann ein Verstoß gegen Datenschutzvorschriften ohnehin kaum widerlegt werden.

Empfehlungen: 

  • Opt-In-Banner auf eigener Homepage bezüglich Cookies (damit besteht zumindest eine Rechtsgrundlage für das Tracking, obwohl dies nur eingeschränkt der Fall ist, da die Einblendung nicht bei Facebook erfolgt)
  • auf der Facebook Fan Page ist dringend einen Hinweis gemäß Art. 13 DS GVO zu implementieren (Datenschutz Erklärungen verlinken sowie Essenz der Ergänzungsvereinbarung mit Facebook)
  • die eigene Datenschutzerklärung auf den aktuellsten Stand bringen
  • bereitgestellte Formular von Facebook für Anfragen von Betroffenen verwenden

 

Gerne unterstützen wir Sie bei der Umsetzung. Sie erreichen uns jederzeit unter 07243 3542 6970 oder unter info@connectingmedia.de