Datenschutzrechtliche Konformität von Facebook-Unternehmensseiten - Fanpages-Fanpages

Datenschutzrecht-Blog

Facebook-Fanpage DatenschutzSeit Jahren steht das Betreiben einer Facebook-Unternehmensseite, einer sog. Facebook-Fanapage datenschutzrechtlich in der Kritik. Für öffentliche Stellen wurde es auch bislang schon von den zuständigen Aufsichtsbehörden als gänzlich unzulässig angesehen. 

Betreibern von Facebook-Fanpages ist es nach Ansicht der Deutschen Datenschutzkonferenz (DSK), dem inoffiziellen Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, nicht möglich, ihre Facebook-Seite datenschutzrechtlich konform zu betreiben. Ein Kurzgutachten der Taskforce Facebook-Fanpages der Datenschutzkonferenz zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpage vom Herbst 2022 kommt zu dem Ergebnis, dass für die Speicherung und Verarbeitung personenbezogener Daten in Zusammenhang mit dem Betrieb einer Facebook-Fanpage keine wirksamen Rechtsgrundlagen bestehen. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.

Vorgeschichte

Im Jahr 2018 entschied der Europäische Gerichtshof (EuGH), dass Betreiber von Facebook-Fanpages gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind (EuGH-Urteil v. 5. Juni 2018 – C-210/16 – „Wirtschaftsakademie“). Angeschlossen zu diesem Thema haben sich auch das Bundesverwaltungsgericht mit BVerwG-Urteil vom 11. September 2019 – 6 C 15.18 und das Oberverwaltungsgericht Schleswig mit Urteil vom 25. November 2021 – 4 LB 20/13.

Die Datenschutzkonferenz richtete daraufhin eine sog. Taskforce ein, die sich auf Grundlage des Urteils des EuGH mit der Problematik rund um die Rechtskonformität des Betriebs einer Facebook-Fanpage beschäftigte. Die Taskforce veröffentlichte bereits in den Jahren 2018 und 2019 ihre Ergebnisse .

Aufgrund eines neuen Urteils des OVG Schleswig und der nach wie vor dringenden Thematik hat die Taskforce nun ein Kurzgutachten herausgegeben.

Ziel des Kurzgutachtens ist die Erstellung eines Überblicks und einer aktuellen rechtlichen Bewertung des Betriebs von Facebook-Fanpages.

Thema des Kurzgutachtens

Das Kurzgutachten konzentriert sich vor allem auf die Speicherung von Informationen in den Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind. Das OVG Schleswig ging in seiner Entscheidung insbesondere auf zwei Cookies ein: „datr-Cookies“ und „c_user-Cookies“.

Nutzer können Fanpages auch ohne vorherige Anmeldung aufrufen und die dort verfügbaren Inhalte lesen. Je nachdem, ob Nutzer eine Seite aufrufen und lesen, nachdem sie sich mit ihrem Account eingeloggt haben oder sich zuvor nicht einloggen, kommen unterschiedliche Cookies zum Einsatz.

Das datr-Cookie verfolgt das Surfverhalten des Nutzers und speichert zum Beispiel die Seiteninformationen aller vom Nutzer besuchten Internetseite, die einen Facebook-Button (Like oder Share-Button) beinhalten.

„C_user-Cookies“ speichern eine eindeutige User ID des aktuell eingeloggten Nutzers und wird somit nur bei zuvor registrierten und eingeloggten Nutzern gesetzt und ausgelesen. Während bei nicht registrierten Nutzern oder nicht eingeloggten Nutzern das „datr-Cookie“ eingesetzt wird.

Die Prozesse und Verarbeitungen von personenbezogenen Daten, die im Rahmen dieses Gutachtens maßgeblich berücksichtigt wurden, waren:

  • Speichern und Auslesen eines Cookies und nachfolgendes Verarbeiten personenbezogener Daten in Form der Verknüpfung der Nutzungsdaten mit den Facebook-Insights, d.h. mit den zuvor von den registrierten Facebook-Nutzern im Rahmen des Registrierungsprozesses und der Nutzung von Facebook gewonnen Nutzungs-Informationen, Profildaten, Statistiken (sog. Insights) mittels des „c_user‐Cookies“
  • Setzen und Auslesen eines Cookies und nachfolgende Verarbeitungen personenbezogener Daten u. a. in Form der Verknüpfung der Nutzungsdaten zu Statistiken (sog. Insights) mittels des „datr‐Cookies“
  • Setzen und Auslesen eines Cookies und nachfolgende Verarbeitungen personenbezogener Daten in Form der Verknüpfung der Nutzungsdaten zu Zwecken der Profilerstellung und Werbung mittels des „fr‐Cookies“ u. a.

Ergebnis des Kurzgutachtens

Die Taskforce kam zu dem folgenden Ergebnis:

„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzern und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Das bedeutet, dass sich Facebook-Fanpages - nach Auffassung der DSK - aktuell nicht datenschutzkonform betreiben lassen!

Bereits im Juli 2021 berichteten wir über den Bundesdatenschutzbeauftragten Prof. Ulrich Kelber, der allen obersten Bundesbehördenmitteilte, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage (bereits zum damaligen Zeitpunkt) seiner Einschätzung nach nicht möglich war.

Aus diesem Grund gab er den Behörden vor, behördliche Facebook-Fanpages –und Seiten umgehend zu deaktivieren (vgl. https://www.dury.de/datenschutzrecht-blog/behoerden-sollen-ihre-facebook-seite-abschalten).

Fazit

Der datenschutzrechtlich konforme Betrieb einer Facebook-Fanpage ist momentan nach Ansicht der DSK nicht möglich und kann aufsichtsbehördliche Maßnahmen nach sich ziehen.

Unternehmen, die eine Facebook-Fanpage betreiben sollten den Nutzen der Fanpage gegen das Risiko einer aufsichtsbehördlichen Maßnahme abwägen und in Kenntnis der bestehenden Risiken entscheiden, ob der Betrieb einer Facebook-Fanpage noch Sinn macht, oder ob die Facebook-Fanpage angesichts der datenschutzrechtlichen Einschätzung der DSK nicht doch besser abgeschaltet werden sollte.

Ob die Datenschutzbehörden dem Betrieb von Facebook-Fanpages aktiv nachgehen, bleibt abzuwarten. Es ist allerdings nicht auszuschließen.

Unser Tip: Wenn Ihr Unternehmen selbst eine Facebook-Seite betreibt sollten Sie zumindest eine rechtskonforme Social-Media Datenschutzerklärung nutzen. Damit erfüllen Sie zumindest Ihre Informationspflichten gem. Art. 15 DSGVO. Wenn Sie möchten können Sie diese bei DURY LEGAL gegen Zahlung einer Fixed-Fee erhalten. Melden Sie sich einfach bei uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! :)

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz

Bildquelle: Bild von Firmbee auf Pixabay 

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.