7: FAQ - Häufig gestellte Fragen
FAQ zu Facebook-Fanpages
- Was genau ist eine Facebook-Seite bzw. eine Fanpage?
- Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?
- Was wäre für einen datenschutzkonformen Einsatz von Facebook-Fanpages erforderlich? Was können die Verantwortlichen tun?
- Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?
- Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten (z. B. Instagram, Twitter, TikTok usw.)?
- Gilt der Hinweis der DSK nur für öffentliche Stellen und dürfen Unternehmen ihre Facebook-Fanpages weiter betreiben?
- Dürfen öffentliche Stellen nun keine Öffentlichkeitsarbeit im Internet mehr betreiben?
- Darf eine Facebook-Seite weiterbetrieben werden, wenn bestimmte Grenzen eingehalten werden (z. B. Publikation aller dort veröffentlichter Informationen auch über einen anderen Kommunikationskanal, Verzicht auf neue Postings / Kommentare)?
- Müssen Verantwortliche nun mit Bußgeldern oder Maßnahmen der Aufsichtsbehörden rechnen?
- Warum gehen die Aufsichtsbehörden nicht direkt gegen Meta Platforms vor?
1. Was genau ist eine Facebook-Seite bzw. eine Fanpage?
Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens verwenden Facebook-Fanpages – auch Facebook-Seiten genannt – für die eigene Präsentation auf der Plattform Facebook.
Davon abzugrenzen sind die reinen Facebook-Profile der registrierten Nutzenden, die Privatpersonen zugeordnet sind.
Während ein Profil weitestgehend zu privaten Zwecken eingerichtet wird, werden Facebook-Fanpages im geschäftlichen / nicht-privaten Kontext betrieben. Facebook-Fanpages ersetzen, gerade bei Kleinstunternehmungen, in nicht wenigen Fällen die klassische Unternehmenswebseite oder ergänzen diese.
2. Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?
Meta Platforms als Betreiber des Dienstes Facebook verarbeitet die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks, sondern auch zu Werbezwecken, die auf feingranularen Profilen der Nutzenden aufsetzen, um für sie „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden, Parteien etc. schalten zu können. Welche personenbezogenen Daten in welcher Art und Weise konkret verarbeitet werden, bleibt allerdings weitestgehend unklar.
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) die Auffassung der Aufsichtsbehörden bestätigt, dass Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind. Über die Funktion „Insights“ wird Fanpage-Betreibern eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt. Unter anderem aufgrund dieser Funktion hat der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Fanpage- und Plattformbetreiber besteht.
Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiber die Vorgaben der DSGVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht.
Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben der Art. 44 ff. Datenschutz-Grundverordnung (DSGVO) eingehalten werden (s. dazu auch die Pressemitteilung der der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2021 [Extern]).
Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einem Kurzgutachten [Extern] dargestellt.
3. Was wäre für einen datenschutzkonformen Einsatz von Facebook-Fanpages erforderlich? Was können die Verantwortlichen tun?
Fanpage-Betreiber müssen die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können (s. dazu auch den Beschluss der DSK [Extern]). Dies ist ihnen für den Betrieb von Facebook-Fanpages zurzeit nicht möglich. Verantwortliche können in dieser Situation nur eine Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DSGVO zu erfüllen. Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta Platforms notwendig. Betreiber von Facebook-Fanpages und Meta Platforms müssen gemeinsam sicherstellen, dass die Nutzenden von Facebook über die Verarbeitung ihrer Daten beim Aufruf von Facebook-Fanpages informiert sind und die Verarbeitung auf Basis einer wirksamen Rechtsgrundlage stattfindet. Die gemeinsam Verantwortlichen müssen gemäß Art. 26 DSGVO in einer Vereinbarung intern festlegen, wie die Einhaltung der DSGVO gewährleistet wird.
4. Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?
Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.
5. Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten (z. B. Instagram, Twitter, TikTok usw.)?
In der Tat dürften viele der Erkenntnisse auch auf andere Social-Media-Auftritte übertragbar sein. Die Umstände sind häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.
6. Gilt der Hinweis der DSK nur für öffentliche Stellen und dürfen Unternehmen ihre Facebook-Fanpages weiter betreiben?
Das jüngste und abschließende Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts hat eine Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein gegenüber einer nichtöffentlichen Stelle bestätigt. Sowohl für öffentliche als auch für nichtöffentliche Stellen gilt:
Facebook-Fanpages dürfen nur dann betrieben werden, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Öffentliche Stellen sind in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion nehmen die Datenschutzaufsichtsbehörden diese nun vorrangig in die Pflicht.
7. Dürfen öffentliche Stellen nun keine Öffentlichkeitsarbeit im Internet mehr betreiben?
Natürlich dürfen und sollen öffentliche Stellen im Rahmen ihrer Aufgaben auch Öffentlichkeitsarbeit leisten. Dies darf allerdings nicht unter Verwendung rechtswidriger Mittel geschehen.
8. Darf eine Facebook-Seite weiterbetrieben werden, wenn bestimmte Grenzen eingehalten werden (z. B. Publikation aller dort veröffentlichter Informationen auch über einen anderen Kommunikationskanal, Verzicht auf neue Postings / Kommentare)?
Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das TTDSG und die DSGVO dar. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, können sie auch nicht durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite gelöst werden. Sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, könnte eine Facebook-Fanpage dann wieder in Betrieb genommen werden.
9. Müssen Verantwortliche nun mit Bußgeldern oder Maßnahmen der Aufsichtsbehörden rechnen?
Die Aufsichtsbehörden haben die Aufgabe, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen. Dafür können sie sich verschiedener Maßnahmen bedienen, beispielsweise anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat. Auch können sie gegenüber nichtöffentlichen Stellen Bußgelder verhängen.
Öffentliche Stellen können derzeit nach geltenden deutschen Recht nicht mit Bußgeldern belegt werden. Sie müssen sich aber selbstverständlich an Recht und Gesetz halten.
Darüber hinaus besteht nach Art. 82 DSGVO für jede betroffene Person die Möglichkeit, wegen etwaig entstandener Schäden Schadensersatzansprüche gegen die Verantwortlichen geltend zu machen.
10. Warum gehen die Aufsichtsbehörden nicht direkt gegen Meta Platforms vor?
Nach der Datenschutz-Grundverordnung ist in Europa die irische Datenschutzaufsichtsbehörde zuständig für die Aufsicht über Meta Platforms und deren Dienste, wie u. a. Facebook. Für die Betreiber von Fanpages sind jedoch die jeweiligen Aufsichtsbehörden am Sitz der Fanpage-Betreiber zuständig. Die deutschen Aufsichtsbehörden arbeiten im Europäischen Datenschutzausschuss mit der irischen Aufsichtsbehörde bei grenzüberschreitenden Fällen zusammen. Sie sind über das sogenannte Kooperationsverfahren der DSGVO unter bestimmten Umständen an Entscheidungen der irischen Aufsichtsbehörde zu Facebook und anderen Diensten von Meta Platforms zu beteiligen.
Als unmittelbar zuständige Aufsichtsbehörden über die Betreiber von Fanpages gehen die deutschen Aufsichtsbehörden – im Einklang mit dem Gebot der Effektivität der Gefahrenabwehr – gegen die hiesigen Betreiber von Fanpages vor.