Ermittlungen von Datenschutzbehörde wegen Facebook-Fanpages
Der Betrieb von Facebook- Fanpages und anderen Social Media-Kanälen von Nicht-EU-Anbietern ist ein datenschutzrechtlicher Drahtseilakt – ohne Netz und doppelten Boden. Dies zeigen nicht zuletzt die Ermittlungen des Bundesdatenschutzbeauftragten gegen das Bundespresseamt, um die Datenschutzkonformität der Facebook-Fanpage der Bundesregierung zu untersuchen. Auch für andere Betreiber von Social Media-Kanälen insbesondere US-amerikanischer Anbieter sollte dies eine Warnung sein. Wir erläutern die Hintergründe und Risiken - und was Händler tun können, um die Risiken zu verringern.
Inhaltsverzeichnis
- I. Wieso geht der Bundesdatenschutzbeauftragte gegen das Bundespresseamt vor?
- II. Worin sieht der Bundesdatenschutzbeauftragte das Datenschutzproblem beim Betrieb von Facebook Fanpages?
- III. Verstoßen Facebook Fanpages also gegen die DSGVO?
- IV. Dürfen Facebook Fanpages nun überhaupt weiter betrieben werden?
- V. Was können Betreiber von Facebook Fanpages und anderen Social Media-Seiten von Nicht-EU-Anbietern tun, um ihre datenschutzrechtlichen Risiken zu verringern?
I. Wieso geht der Bundesdatenschutzbeauftragte gegen das Bundespresseamt vor?
Das Bundespresseamt betreibt für die Bundesregierung im Rahmen ihrer Öffentlichkeitsarbeit eine Facebook Fanpage. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, ist u.a. für die Überwachung der Einhaltung des Datenschutzrechts durch die Bundesbehörden zuständig.
Bereits 2021 wurden seitens des Bundesdatenschutzbeauftragten in einem Schreiben alle Bundesministerien und obersten Bundesbehörden zur Deaktivierung ihrer Facebook Fanpages bis Ende des Jahres 2021 aufgefordert und darüber informiert, dass ab 2022 diesbezüglich ansonsten datenschutzrechtliche Prüfungen stattfinden werden.
Als Grund für diese Maßnahmen verwies der Bundesdatenschutzbeauftragte darauf, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage gegenwärtig nicht möglich sei. Insbesondere liege keine hinreichende Vereinbarung zwischen öffentlichen Stellen und Meta, dem Betreiber von Facebook, über die gemeinsame Verantwortlichkeit des Betreibers der Fanpage und Meta nach Art. 26 DSGVO vor. Auch fehlten Datenschutzinformationen für die Nutzer, die den rechtlichen Vorgaben aus Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) genügen. Schließlich betonte der Bundesdatenschutzbeauftragte auch die Vorbildfunktion der Behörden bei der Einhaltung des Datenschutzrechts.
II. Worin sieht der Bundesdatenschutzbeauftragte das Datenschutzproblem beim Betrieb von Facebook Fanpages?
Zweifel an der Datenschutzkonformität von Facebook Fanpages gibt es schon lange.
Zum Teil lässt sich das Problem auf die datenschutzrechtlich problematischen Cookies zurückführen. Bei Besuchen von Facebook Fanpages werden Cookies von Facebook auf den Endgeräten der Fanpage-Besucher gespeichert. Durch einen solchen Cookie kann das Surfverhalten des Nutzers getrackt werden, auch wenn die Nutzer keinen Facebook-Account haben. Im Ergebnis werden dadurch personenbezogene Daten auch ohne Kenntnis und teils ohne wirksame Einwilligung der Nutzer oder sonstige Rechtsgrundlage verarbeitet.
Die Maßnahmen des Bundesdatenschutzbeauftragten gehen zudem auch auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH) zurück. Im Jahr 2018 hob der EuGH in einem Urteil hervor, dass die Hürden für eine DSGVO-konforme Nutzung von Facebook für öffentliche Stellen hoch seien, da sie gemeinsam mit Facebook datenschutzrechtlich als sog. „gemeinsame Verantwortliche“ einzustufen seien.
Im Jahr 2020 folgte dann das „Schrems II“-Urteil des EuGH, gemäß dem die Übermittlung von personenbezogenen Daten von EU-Bürgern an Drittländer ausschließlich dann stattfinden darf, wenn diese Daten in dem jeweiligen Drittland einen grundsätzlich gleichwertigen datenschutzrechtlichen Schutz genießen wie in der EU. Ein solches angemessenes Schutzniveau ist aber nach Ansicht des EuGH bei Datenverarbeitungen in den USA, wie sie zusammen mit der Nutzung von Facebook und anderen sozialen Netzwerken von US-Anbietern aber zwingend verbunden ist, nicht gegeben.
III. Verstoßen Facebook Fanpages also gegen die DSGVO?
Zwar haben wohl Gespräche zwischen dem Bundespresseamt und Facebook/Meta stattgefunden. Diese führten allerdings nach Ansicht des Bundesdatenschutzbeauftragten im Ergebnis zu keiner Lösung der datenschutzrechtlichen Probleme.
Die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland, hat zudem ein Gutachten zur Bewertung der datenschutzrechtlichen Konformität des Betriebs von Facebook Fanpages vorgestellt, welches ebenso zu dem Ergebnis kommt, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage derzeit nicht möglich sei.
Sowohl nach Ansicht des Bundesdatenschutzbeauftragten als auch der sonstigen Datenschutzbehörden in Deutschland ist ein datenschutzkonformer Betrieb von Facebook Fanpages gegenwärtig nicht möglich, sondern verstößt gegen das Datenschutzrecht. Tatsächlich lassen sich die von den Datenschutzbehörden angemerkten Punkte auch nicht von der Hand weisen.
Selbst wenn man es datenschutzrechtlich anders bewerten sollte, müssen die Betreiber von Facebook Fanpages & Co in jedem Fall mit unangenehmen Diskussionen mit Datenschutzbehörden und zudem auch aufsichtsrechtlichen Audits und Maßnahmen rechnen.
IV. Dürfen Facebook Fanpages nun überhaupt weiter betrieben werden?
Trotz aller Kritik der Datenschutzbehörden hat das Bundespresseamt die Facebook Fanpage der Bundesregierung bislang nicht abgeschaltet. Mit Spannung wird beobachtet, wie es nun weitergeht, welche Maßnahmen der Bundesdatenschutzbeauftragte in der Sache ergreifen wird.
Dabei spielt schon eine Rolle, wie auch der Bundesdatenschutzbeauftragte betont, dass öffentliche Stellen des Bundes und der Länder ihrer Vorbildfunktion nachkommen müssen und daher mit gutem Beispiel bezüglich einer DSGVO-konformen Social-Media-Nutzung vorangehen sollen. Dasselbe gilt sicherlich auch für große Unternehmen, die deshalb ebenso im besonderen Fokus der Aufsichtsbehörden stehen dürften.
Denselben Druck haben kleinere Online-Händler derzeit wohl (noch) nicht, zumal das Abschalten eines solch verbreiteten Marketingtools naturgemäß schwerfällt. Risikolos ist der Betrieb von Facebook Fanpages & Co aber auch für diese nicht.
V. Was können Betreiber von Facebook Fanpages und anderen Social Media-Seiten von Nicht-EU-Anbietern tun, um ihre datenschutzrechtlichen Risiken zu verringern?
Der Betrieb von kommerziellen Social Media Websites bzw. Kanälen von US-Anbietern, die dabei Zugriff auf personenbezogene Daten von EU-Bürgern erhalten, wie z.B. Facebook, ist gegenwärtig nicht ohne datenschutzrechtliche Risiken möglich.
Damit Online-Händler ihre Websites und Social-Media-Kanäle wenigstens so datenschutzkonform wie möglich betreiben können, sollten sie im Übrigen die Vorgaben des Datenschutzrechts beachten, wie z.B. den Besuchern ihrer Websites und Kanäle DSGVO-konforme Datenschutzerklärungen zur Verfügung stellen.
Hierfür bietet die IT-Recht Kanzlei Schutzpakete zum Datenschutz an und stellt ihren Mandanten dabei auch weitere Informationen wie Leitfäden und Muster zur Verfügung.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
ArmadilloPhotograp / Shutterstock.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare