Facebook-Fanpages sind bei Unternehmen sehr beliebt. Sie ermöglichen Unternehmen eine hohe Reichweite bei vergleichsweise geringen oder gar keinen Kosten. Das Thema Datenschutz wird in diesem Zusammenhang zwar häufig beachtet, genau hinsehen tuen die Wenigsten. Die „Taskforce Facebook‐Fanpages“ der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat genau hingesehen und kommt zu einem vernichtenden Ergebnis: Facebook-Fanpages sind datenschutzrechtlich unzulässig.
Was sind Facebook-Fanpages?
Eine Facebook-Fanpage ist eine Art „Mini-Website“ innerhalb des Facebook-Netzwerks. Auf dieser „Mini-Website“ können Unternehmer sich und ihre Produkte und/oder Dienstleistungen vorstellen.
Unter Marketinggesichtspunkten ist eine Facebook-Fanpage für viele Unternehmen interessant und für einige sicherlich auch unabdingbar.
Warum muss bei einer Facebook-Fanpage das Datenschutzrecht beachtet werden?
Bei der Nutzung von Facebook und Facebook-Fanpages werden unweigerlich Cookies gesetzt (sog. c_user-, datr- und fr-Cookies), die sowohl nach dem Erwägungsgrund 36 der DSGVO und nach der Rechtsprechung des EuGH als personenbezogene Daten einzuordnen sind.
Insbesondere aber werden beim Besuch der Facebook-Fanpage Besucherstatistiken erstellt, bei registrierten Besuchern auch nicht-anonymisierte Besucherstatistiken. Sowohl Facebook (genauer: das Unternehmen Meta) und auch der Betreiber der Facebook-Fanpage können auf diese Besucherstatistiken zugreifen. Der Verarbeitungszweck dieser Besucherstatistiken ist häufig unklar. Es ist davon auszugehen, dass die Besucherstatistiken seitens Meta zu Werbezwecken verarbeitet werden.
Warum ist der Betreiber einer Facebook-Fanpage datenschutzrechtlich verantwortlich?
Viele Betreiber von Facebook-Fanpages fragen sich vermutlich, wieso sie für eventuelle Datenverarbeitungsvorgänge auf „Facebook“ überhaupt verantwortlich sind.
Zu dieser Frage hat der EuGH bereits im Jahr 2018 entschieden, dass der Betreiber einer Facebook-Fanpage mit der Einrichtung einer solchen Facebook-Fanpage Meta ermöglicht, auf dem Computer oder jedem anderen Gerät der Person, die seine Facebook-Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook‐Konto verfügt. Damit leiste der Betreiber der Facebook-Fanpage einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Facebook-Fanpage und sei daher datenschutzrechtlich (mit-) verantwortlich. Aus dieser Überlegung heraus ergibt sich eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Meta und dem Betreiber der Facebook-Fanpage nach Art. 26 DSGVO.
Warum ist eine Facebook-Fanpage datenschutzrechtlich unzulässig?
Nach der DSK sind Facebook-Fanpages aus folgenden Gründen datenschutzrechtswidrig:
- Die Einwilligung, die Facebook von den Besuchern einholt, genügt nicht den Voraussetzungen von § 25 Abs. 1 TTDSG i.V.m. Art. 7 DSGVO und ist damit unwirksam. Eine Einwilligung ist auch erforderlich. Die Verarbeitung der personenbezogenen Daten der Besucher einer Facebook-Fanpage sind für deren Betrieb technisch nicht notwendig.
- Die Beschreibung der Datenverarbeitung im „Einwilligungs-Banner“ von Facebook ist oberflächlich und lückenhaft, und genügt damit nicht den Anforderungen nach Art. 13 Abs. 1 DSGVO.
- Betreiber von Facebook-Fanpages können nach Art. 5 Abs. 2 DSGVO nicht belegen, dass eine wirksame Vereinbarung mit Meta über die gemeinsame datenschutzrechtliche Verantwortlichkeit nach Art. 26 DSGVO existiert. Die von Meta über diverse Links angeführten Dokumente genügen den Voraussetzungen nach Art. 26 DSGVO nicht.
- Schließlich zweifelt die DSK daran, ob die Voraussetzungen an eine Drittlandübermittlung nach Art. 44 ff. DSGVO vorliegen. Unzweifelhaft werden personenbezogene Daten in ein Drittland übermittelt. Diesbezüglich enthält das Gutachten der DSK jedoch keine konkreten Feststellungen.
Was sagen die Gerichte zu den Facebook-Fanpages?
Nach einer Entscheidung des OVG Schleswig-Holstein vom 04.09.2014 (Az. 4 LB 20/13) ist der Betrieb einer Facebook-Fanpage datenschutzrechtlich unzulässig. Eine entsprechende Untersagungsverfügung der zuständigen Aufsichtsbehörde war rechtmäßig. Nach Vorlage an den EuGH und anschließender revisionsrechtlicher Prüfung durch das Bundesverwaltungsgericht hat das OVG Schleswig-Holstein am 25.11.2021 erneut entschieden, dass die Untersagungsverfügung der zuständigen Aufsichtsbehörde rechtmäßig war. Zur Begründung führe das OVG Schleswig-Holstein an, dass die Einwilligung zur Verarbeitung der personenbezogenen Daten bei Nutzung der Facebook-Fanpage unwirksam war, die Beschreibung der Datenverarbeitung den Anforderungen nach Art. 13 Abs. 1 DSGVO nicht genügte und die Voraussetzungen für eine gemeinsame datenschutzrechtliche Verantwortlichkeit nach Art. 26 DSGVO nicht eingehalten wurden.
Was Sie tun müssen?
Das Thema Facebook-Fanpages ist für Sie brandgefährlich:
- Es ist zu befürchten, dass sich alle deutschen Aufsichtsbehörden an dem Kurzgutachten der DSK orientieren und schrittweise Untersagungsverfügungen erlassen könnten.
- Es liegt eine ober- und höchstrichterliche Rechtsprechung zum Thema Facebook-Fanpages vor. Auch hier ist zu befürchten, dass sich andere Gerichte an der Entscheidung orientieren.
- Seit der Entscheidung des EuGH vom 28.04.2022 (Az. C-319/20) dürfen nunmehr auch Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten vorgehen und notfalls auch Klage erheben.
Sie können daher auch in das Visier von Verbraucherschutzverbänden gelangen, die zum Teil mit erheblichen finanziellen und personellen Mitteln ausgestattet sind. Es ist auch zu vermuten, dass einige Verbraucherschutzverbände versuchen, sich im Bereich Datenschutz neue Einnahmequellen zu erschließen.
Verstöße gegen die datenschutzrechtlichen Vorschriften durch Facebook-Fanpages können Abmahnungen, Klagen und/oder Bußgelder von bis zum 20 Mio. Euro nach sich ziehen!
Wenn Sie den datenschutzrechtlich sichersten Weg gehen wollen, müssen Sie Ihre Facebook-Fanpage abschalten!
Möglicherweise arbeitet auch die Zeit für Sie. Meta wird die Entwicklungen des Datenschutzrechts in Europa sicherlich aufmerksam verfolgen und idealerweise an Lösungen arbeiten. Gerade die Facebook-Fanpages haben für Meta eine hohe Bedeutung, weil dadurch der sogenannte Netzwerkeffekt verstärkt wird, der maßgeblich die Geschäftsinteressen von Meta (Werbung) fördert. Meta dürfte somit ein starkes Interesse an vielen Facebook-Fanpages haben. Dieses Ziel würde unterlaufen, wenn Unternehmen ihre Facebook-Fanpages wegen datenschutzrechtlicher Unsicherheit abschalten.
Gerne unterstützen wir Sie bei datenschutzrechtlichen Fragestellungen rund um Facebook-Fanpages und vertreten Sie bei Abmahnungen oder in Verfahren vor der Aufsichtsbehörde oder vor Gerichten.
GoldbergUllrich Rechtsanwälte 2022
Julius Oberste-Dommes LL.M. (Informationsrecht)
Rechtsanwalt und
Fachanwalt für Informationstechnologierecht
