- Was besagt die neue Fanpage-Richtlinie zu Facebook?
- Warum sind Fanpages aus Sicht des Datenschutzes problematisch?
- Gilt die Einschätzung zu Fanpages und Datenschutz in ganz Deutschland?
- Für wen gilt die Datenschutz-Regelung zu Fanpages?
- Hat Facebook etwas unternommen, um den Datenschützern entgegenzukommen?
- Warum wenden sich Datenschützer an kleine Unternehmen, statt an Facebook?
- Welche Risiken birgt ein „Weiter so“ auf Facebook?
- Sollten Unternehmen ihre Fanpage auf Facebook abschalten?
- Wie kann man sich absichern, wenn man seine Facebook-Seite weiter betreiben möchte?
- Welche Alternativen gibt es zu Facebook-Fanpages?
- Fazit
Facebook und Datenschutz: Schon lange schien das soziale Netzwerk auf Kollisionskurs mit den in der EU verankerten Grundrechten zu sein. In der Praxis aber wuchsen Facebooks Nutzerzahlen viele Jahre weiter, und eine Fanpage gehört heute praktisch zum Standard in der Geschäftswelt. Die Einstufung bayerischer Datenschützer, dass Fanpages grundsätzlich nicht datenschutzkonform zu betreiben seien, schreckt daher viele Unternehmer auf.
Was besagt die neue Fanpage-Richtlinie zu Facebook?
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat
eine Einschätzung zu der Frage veröffentlicht, ob Facebook-Fanpages zulässig
sind. Die eindeutige Antwort der Datenschützer: Nein, Fanpages auf Facebook
können zumindest nach derzeitigem Stand nicht rechtmäßig betrieben werden.
Warum sind Fanpages aus Sicht des Datenschutzes
problematisch?
Das BayLDA führt als Grund für seine Ablehnung von
Facebook-Fanpages unter anderem an, dass Betreiber ihren Rechenschaftspflichten
unmöglich nachkommen könnten. Hierzu muss man das Konzept der gemeinsamen
Verantwortlichkeit kennen: Der Europäische Gerichtshof (EuGH) hat 2018
entschieden, dass sowohl Fanpage-Betreiber als auch Facebook gemeinsam
verantwortlich sind, Besucher einer Seite über die Verarbeitung ihrer Daten zu
informieren.
Nun ist Facebook bekannt für seine oftmals intransparente
Informationspolitik. Das soziale Netzwerk legt die Verarbeitung
personenbezogener Daten nicht in der Weise offen, wie sie deutsches und
europäisches Recht, insbesondere die DSGVO, verlangt. Daraus folgt für
Datenschützer: Ein Unternehmen, das eine Fanpage auf Facebook betreibt, kann seine
eigenen Rechenschaftspflichten ebenfalls nicht erfüllen, weil Facebook ihm erst
gar nicht die Möglichkeit dazu bietet.
Gilt die Einschätzung zu Fanpages und Datenschutz in ganz
Deutschland?
In Deutschland hat jedes Bundesland eigene
Datenschutzbehörden. Neben dem BayLDA vertreten auch die Aufsichtsbehörden von
Berlin und Schleswig-Holstein die Ansicht, dass Facebook-Fanpages aktuell nicht
DSGVO-konform einsetzbar seien. Vermutlich werden sich andere Länderbehörden
der Einschätzung aus Bayern anschließen. Zudem gab es auch andernorts bereits
Einzelfälle, in denen Behörden gegen Facebook-Fanpages vorgegangen sind.
Für wen gilt die Datenschutz-Regelung zu Fanpages?
Die Bedenken des BayLDA beziehen sich auf Unternehmensseiten
auf Facebook. Diese sind allgemein auch als „Fanpages“ bekannt, obwohl Facebook
sie offiziell als „Seiten“ bezeichnet. Seiten unterscheiden sich von Profilen
privater Nutzer, die nicht von der Datenschutz-Regelung betroffen sind.
Allerdings sind Profile Voraussetzung, um eine Unternehmensseite bzw. Fanpage
erstellen zu können.
Umgekehrt ist es allerdings auch kein Ausweg, die
Unternehmensseite einfach in ein privates Profil umzuwandeln. Dies verbieten
die Nutzungsbedingungen von Facebook, die Profile nur für Privatpersonen
vorsehen.
Hat Facebook etwas unternommen, um den Datenschützern entgegenzukommen?
Tatsächlich hat
Facebook auf das EuGH-Urteil von 2018 reagiert und Nutzungsbedingungen für
Seitenbetreiber angepasst. Darin wird nun die gemeinsame Verantwortlichkeit
stärker thematisiert. Offensichtlich stehen die Datenschutzbehörden aber weiter
auf dem Standpunkt, dass der Kern der Kritik an Facebook hierdurch nicht berührt
wird. Vermutlich erhoffen sich die Datenschützer mit ihrem Vorgehen
substanziellere Transparenzanstrengungen von Facebook.
Warum wenden sich
Datenschützer an kleine Unternehmen, statt an Facebook?
Kleine Unternehmen können sich mit Recht fragen, warum Datenschutzbehörden sie in die Haftung nehmen, wo doch vor allem Facebook in seinem Teil der gemeinsamen Verantwortlichkeit Pflichten nicht erfüllt. Aus Sicht der Behörden in den Bundesländern ist dies ein Stück Prozessökonomie: Der große Fisch Facebook ist für sie direkt schlicht schwer erreichbar. Daher wenden sie sich an die Fanpage-Betreiber direkt, um Facebook zu Zugeständnissen zu bewegen.
Welche Risiken
birgt ein „Weiter so“ auf Facebook?
Die Einschätzung des BayLDA ist eindeutig: Facebook-Fanpages von Unternehmen sind aus Datenschutzgründen nicht zulässig. Es gibt in anderen Bundesländern Präzedenzfälle, in denen Behörden Unternehmen zur Schließung ihrer Facebook-Fanpage verpflichtet haben. Insofern muss dieses Risiko jedem Unternehmen in Deutschland bewusst sein. Gleichzeitig gilt: Behörden können
auch Bußgelder verhängen. Vermutlich werden diese aber erst verhängt, wenn auf eine Beanstandung nicht reagiert wird.
Sollten Unternehmen ihre Fanpage auf Facebook abschalten?
Unternehmer müssen sich klar darüber werden, wie wichtig die Facebook-Fanpage für sie ist. Wenn sie verzichtbar erscheint, lautet die Empfehlung angesichts der Rechtslage eindeutig: Deaktivieren Sie Ihre Unternehmensseite auf Facebook! Komplizierter ist es, wenn eine sofortige Abschaltung wirtschaftlich nicht vertretbar scheint. Wenn Sie sich in einer Risikoabwägung für den Weiterbetrieb entscheiden, bietet der folgende Abschnitt Tipps für die Praxis.
Wie kann man sich absichern, wenn man seine Facebook-Seite weiterbetreiben möchte?
Vollständige rechtliche Sicherheit kann es für Fanpages auf Facebook nicht geben, wie wir oben gesehen haben. Wer seine Seite dennoch bewusst weiterbetreiben möchte, sollte nachweisen können, den eigenen Teil der gemeinsamen Verantwortung für den Datenschutz sehr ernst zu nehmen. Dienstleister wie DataGuard haben Datenschutzerklärungen entwickelt, die diese gemeinsame Verantwortlichkeit hervorheben.
Wenn ein Unternehmen alles in seiner eigenen Macht stehende tut, um die Datenverarbeitung auf Facebook transparent darzustellen, wird dies bei einer möglichen Prüfung durch Behörden sicher wohlwollend berücksichtigt. Wir empfehlen daher auch ausdrücklich, die eigene Datenschutzerklärung mit einer Bitte um Stellungnahme an Facebook zu senden – das spielt sozusagen den Ball zurück zum sozialen Netzwerk.
Um es aber noch einmal zu betonen: Kein Mensch und kein Unternehmen wird gezwungen, eine Facebook-Fanpage zu betreiben. Dass die Fanpage wirtschaftlich unverzichtbar sei, werden Behörden nicht als Ausrede gelten lassen. Absolut auf der sicheren Seite kann daher nur sein, wer die Fanpage komplett vom Netz nimmt.
Welche Alternativen gibt es zu Facebook-Fanpages?
Das Urteil des Europäischen Gerichtshofs von 2018 zur gemeinsamen
Verantwortlichkeit bezieht sich nur auf Facebook. Daher können andere soziale
Netzwerke oder Plattformen wie Pinterest, Instagram, LinkedIn, Xing oder
YouTube derzeit durchaus eine Alternative sein. Grundsätzlich sind aber auch die
Datenschutzstandards bei anderen großen Playern ähnlich intransparent. Auch
diese Kanäle können also ins Visier der Datenschützer geraten.
Fazit
Das Betreiben von Facebook-Fanpages ist rechtlich heikel, da
die vorgegebenen Datenschutzstandards nicht erfüllt werden können. Wer auf
Nummer sicher gehen will, sollte seine Seite abschalten und kann möglicherweise
auf alternative Kanäle setzen. Wer das Risiko eines Weiterbetriebs eingeht,
sollte zumindest seine eigenen Transparenzbemühungen erhöhen und gut
dokumentieren. Dabei können Datenschutz-Experten beratend zur Seite stehen.