Dürfen Bundesbehörden und Unternehmen Facebook-Fanpages betreiben?

343

>> Dieser Artikel enthält auch für privatwirtschaftliche Unternehmen wichtige Hinweise zur Problematik beim Betrieb von Facebook-Fanseiten.

Viele private Firmen und Unternehmen betreiben auf Facebook Fanpages, um zum Beispiel neue Produkte vorzustellen oder für sich zu werben. Dabei scheint Facebook für die Verantwortlichen das geeignete Medium zu sein, um ganz gezielt ein jüngeres Publikum zu erreichen und interaktiv mit den Nutzern in Verbindung zu treten. Diese neuen Möglichkeiten werden auch zunehmend von den Bundesbehörden entdeckt, die entweder bereits eigene Fanpages betreiben oder dies planen.

Bei einer Fanpage handelt es sich um eine Art Homepage, die durch Facebook publiziert (gehostet) wird. Für deren Inhalt ist nicht Facebook verantwortlich, sondern deren Betreiber, also die jeweilige Behörde. Um eine Fanpage zu erstellen, muss sich die Behörde zunächst bei Facebook als Nutzer registrieren. Erst dann kann die Seite eingerichtet und auch betreut werden. Somit ist die bei Facebook registrierte Person beziehungsweise Stelle einerseits Nutzer von Facebook und durch den Betrieb der Fanpage andererseits Diensteanbieter im Sinne des Telemediengesetzes.

Aufsichtsbehörde empfiehlt Buch: DSGVO und ePrivacy-VO auf Websites umsetzen

Jeder Betreiber einer Fanpage, also auch die Bundesbehörde, kann kostenfrei, anonymisierte statistische Daten über die Nutzer der Fanpage erhalten. Diese Daten werden mit Hilfe von Cookies erhoben, um Besucherstatistiken zu erstellen. Diese Statistiken stellt das soziale Netzwerk den Seitenbetreibern kostenlos zur Verfügung. Abbestellen können Fanpage-Betreiber den Service nicht. Sie können jedoch Daten über den Lebensstil und die Interessen der jeweiligen Nutzer, über das Online-Kaufverhalten und geografische Daten erhalten. Wird die Fanpage von Nutzern aufgerufen, die nicht bei Facebook angemeldet sind, werden deren Daten auch ausgewertet.

Bei allem Verständnis dafür, über Fanpages ein spezielles Zielpublikum erreichen zu wollen, muss natürlich der Datenschutz beachtet werden.  In diesem Rahmen hat bereits in 2011 das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in einem konkreten Fall festgestellt, dass weder der Fanpagebetreiber noch Facebook, darüber informiert, dass Facebook mittels Cookies personenbezogene Daten der Nutzer erhebt und diese Daten danach verarbeitet. In Folge hat bereits am 3.11.2011 das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein gegenüber diesem Fanpagebetreiber angeordnet, die Fanpage zu deaktivieren.

Der Fanpage-Betreiber hatte gegen diesen Bescheid beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage erhoben und geltend gemacht, dass ihm die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und er Facebook auch nicht mit einer von ihm kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete der Fanpagebetreiber ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen ihn hätte vorgehen müssen. Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof der Europäischen Union um Auslegung der Richtlinie 95/46.

In seinem Urteil vom 5. Juni 2018 entschied der Gerichtshof, dass die Betreiber sogenannter Facebook-Fanpages gemeinsam mit Facebook für die gesammelten Daten der Fanpage-Besucher verantwortlich sind. Die Betreiber der Fanpages sind laut Gericht durch die Konfigurationsangaben an der Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten beteiligt. Siehe hierzu auch die Pressemitteilung  unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2018/05_EuGHNimmtFacebookFanpagesInVerantwortung.html. Die Fanpage-Betreiber müssen Nutzer nicht nur auf die Verarbeitung der Daten durch Facebook hinweisen, sondern die Daten zum Beispiel auch löschen, wenn das jemand verlangt – beziehungsweise durch Facebook löschen lassen. Da Facebook bisher seine Vorgehensweise nicht offengelegt hat, wird ein Fanpagebetreiber in der Praxis bereits vor dem Problem stehen, seine Nutzer zu informieren. Kann er das nicht, muss er nach der Datenschutzgrundverordnung sogar mit Bußgeldern rechnen.

Die vom EuGH vorgenommene weite Auslegung des Begriffs des „für die Verarbeitung Verantwortlichen“ im Sinne von Artikel 2 Buchstabe d der EU-Richtlinie 95/46 ist über den entschiedenen Fall hinaus von großer Bedeutung und wird auch unter der Geltung der Datenschutz-Grundverordnung (EU-Verordnung Nr. 2016/679) eine zentrale Rolle spielen.

Die Auswirkungen des Urteils sind offen, werden Behörden und Unternehmen auf Fanpages verzichten, weil sie den Anforderungen des Datenschutzes die Nutzer umfassend zu informieren, nicht nachkommen können oder wird Facebook seine Verarbeitung offen legen oder werden sich andere, datenschutz-konforme soziale Netzwerke entwickeln? Auf jeden Fall sollte die direkte Kommunikation von Behörden mit dem Bürger über sichere Kanäle abgewickelt werden, etwa über SSL-verschlüsselte Formulare oder über De-Mail. Persönliche Mitteilungen über ein technisch außerhalb Europas abgewickeltes System sollten vermieden werden.

Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Sie möchten sich besser vorbereiten um Wettbewerbsverstöße im Online-Marketing zu vermeiden? Dann möchten wir Ihnen auch dieses Buch von Rechtsanwalt Christian Solmecke „Recht im Online-Marketing: So schützen Sie sich vor Fallstricken und Abmahnungen. Aktuell zur DSGVO“ (Amazon) empfehlen.