Datenschutzkonforme Facebook-Fanpage
Was Betreiber von Facebook-Fanpages jetzt tun sollten

Gute Nachrichten für Unternehmen, die eine Fanpage bei Facebook haben: Sie können die Seite jetzt datenschutzkonform betreiben – dafür sind nur zwei kleine Änderungen nötig.

, von

Daumen hoch! Endlich gibt es eine Möglichkeit, Facebook-Fanpages datenschutzkonform zu betreiben.
Daumen hoch! Endlich gibt es eine Möglichkeit, Facebook-Fanpages datenschutzkonform zu betreiben.
© estherm / photocase.de

Unternehmen mit eigener Facebook-Fanpage sind für den Datenschutz der Seite mitverantwortlich – das hat der Europäische Gerichtshof (EuGH) im Juni 2018 entschieden. Ein Urteil mit Folgen: Wer weiterhin eine Fanpage bei Facebook betreibt, riskiert Abmahnungen und Bußgelder wegen Datenschutzverstößen. Denn Facebook sammelt personenbezogene Daten von allen Nutzern, die eine Fanpage besuchen. Die deutschen Aufsichtsbehörden haben nach dem Urteil darauf hingewiesen, dass der Betrieb einer Fanpage unzulässig ist, solange Facebook keinen Vertrag zur gemeinsamen Verantwortung nach Artikel 26 DSGVO zur Verfügung stellt.

Um für mehr Rechtssicherheit zu sorgen, hat Facebook nun einen solchen Vertrag, das sogenannte „Page Controller Addendum“, veröffentlicht: Die Zusatzvereinbarung regelt die gemeinsame Verantwortung für die erhobenen Daten nach Artikel 26 DSGVO und wurde mit der Veröffentlichung Teil der AGB von Facebook. „Der Artikel-26-Vertrag mit Facebook („Seiten-Insights-Ergänzung“) kommt  aufgrund der Tatsache zustande, dass man dort eine Fanpage betreibt“, sagt Hans M. Wulf, Fachanwalt für IT-Recht und Datenschutzauditor.

Was regelt das Page Controller Addendum?

Im „Page Controller Addendum“ übernimmt Facebook die Verantwortung für die so genannten Insights-Daten, das sind die Nutzungsstatistiken der Fanpage.

Den Betreibern der Fanpages werden allerdings auch Pflichten auferlegt: „Sie müssen Artikel 13 DSGVO beachten. Das heißt, sie müssen darüber informieren, welche Daten sie von Facebook bekommen und was sie damit machen“, sagt Wulf. Zudem müsse man einen Verantwortlichen für die Seite und eine Rechtsgrundlage benennen.

Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten auf der Facebook-Fanpage komme nur das berechtigte Interesse nach Artikel 6 Absatz 1 f DSGVO in Frage, so der IT-Anwalt.

Außerdem verpflichten sich Fanpage-Betreiber in der Vereinbarung dazu, Anfragen von Nutzern oder Datenschutzbehörden innerhalb von sieben Tagen an Facebook weiterzuleiten. Dafür stellt Facebook Seitenadministratoren ein Kontaktformular zur Verfügung.

Was müssen Betreiber von Facebook-Fanpages jetzt tun? Eine Anleitung

1. Von der Facebook-Fanpage direkt auf die Datenschutzerklärung der eigenen Website verlinken.

Im Menü „Info“ links auf der Fanpage kann man unter „Datenrichtlinie“ einen Link zur Datenschutzerklärung auf der eigenen Website hinterlegen. Nachteil: Dieser Link ist auf mobilen Geräten nicht sofort sichtbar – das halten Juristen aber für erforderlich.

Zur Person
Hans M. Wulf ist Fachanwalt für IT-Recht und Datenschutzauditor (TÜV) nach EU-DSGVO und Salaried Partner der Kanzlei Heuking Kühn Lüer Wojtek.

Auf der Startseite der Fanpage ist bisher kein Feld für einen solchen Link vorgesehen. Wer auf Nummer sicher gehen will, nutzt das Feld für die Website-Adresse und gibt den Link zur Datenschutzerklärung dort an. Dieser muss dann allerdings den Begriff „Datenschutz“ oder „Datenschutzerklärung“ enthalten: also zum Beispiel impulse.de/datenschutz. Der Vorteil bei diesem Vorgehen: Der Link ist auch in der mobilen Facebook-App sofort sichtbar.

Alternativ kann man den Link zur Datenschutzerklärung auch in seiner „Story“ (oben rechts auf der Seite) einbinden. Er wird allerdings als nicht klickbar angezeigt – und ob das ausreicht, ist juristisch noch nicht entschieden.

2. In die Datenschutzerklärung auf der eigenen Website einen Abschnitt zur Facebook-Fanpage aufnehmen.

Seitenbetreiber sollten in die Datenschutzerklärung ihrer Website einen Abschnitt zu ihrer Facebook-Fanpage einfügen. Als rechtliche Grundlage für die Verarbeitung von Facebooks-Insights-Daten sollten sie Artikel 6 Absatz 1 f) DSGVO angeben.

Seitenbetreiber müssen erläutern, welche Daten sie von Facebook erhalten und wie sie diese nutzen. Sie sollten schreiben, dass sie von Facebook statistische Daten unterschiedlicher Kategorien abrufen können wie Gesamtzahl von Seitenaufrufen, „Gefällt mir“-Angaben, Seitenaktivitäten, Beitragsinteraktionen, Videoansichten, Beitragsreichweite, Kommentare, Geteilte Inhalte, Antworten, Anteil Männer und Frauen, Herkunft bezogen auf Land und Stadt, Sprache, Aufrufe und Klicks im Shop, Klicks auf Routenplaner sowie Klicks auf Telefonnummern.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Außerdem sollten sie beschreiben, wofür sie diese Daten nutzen, also beispielsweise dafür, die Beiträge auf der Seite attraktiver zu machen oder den richtigen Zeitpunkt für die Veröffentlichung zu finden. Sie sollten für Details einen Link zur Datenrichtlinie von Facebook setzen und erklären, wie Betroffene ihre Rechte wahrnehmen können. Dazu sollten sie auf folgende Facebook-Seite mit Informationen zu Seiten-Insights-Daten verlinken.

Außerdem müssen Seitenbetreiber darauf verweisen, dass eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO zwischen Facebook und ihnen besteht, und das Page Controller Addendum verlinken.  „Bei gemeinsamer Verantwortlichkeit haften beide Seiten als Gesamtschuldner. Durch den Vertrag nach Artikel 26 DSGVO kann sich der nichtverantwortliche Teil beim anderen schadlos halten. Dies muss allerdings transparent gegenüber den Betroffenen offengelegt werden“, erklärt Wulf. „Deshalb ist es wichtig, dass man auf den Vertrag hinweist.“

Welche rechtlichen Risiken bleiben?

Der EuGH hat den Fall, über den er entschieden hat, zurück an das Bundesverwaltungsgericht verwiesen. Ein Urteil steht noch aus. Es ist daher noch immer offen, ob man Fanpages rechtswirksam betreiben kann. Zudem haben die Aufsichtsbehörden noch nicht bestätigt, dass das Page Controller Abbendum den formellen Anforderungen genügt, sagt Wulf. Allerdings ist die Gefahr, dass die Aufsichtsbehörden gegen Unternehmen mit Fanpage vorgehen, seiner Ansicht nach deutlich reduziert, wenn man wie oben beschrieben vorgeht.

Die DSGVO fordert Datenminimierung; nach Ansicht der DSK ist es deshalb nicht mehr möglich, so genannte Tracking-Tools einzusetzen, die das Nutzerverhalten überwachen, und das mit einem berechtigten Interesse zu begründen. Die deutschen Aufsichtsbehörden sind der Meinung, dafür brauche man eine Einwilligung (ein so genanntes Opt-in), obwohl das noch gültige Telemediengesetz nur ein Opt-out fordert. Eine solche Einwilligung können Fanpage-Betreiber aber ohne Facebook nicht umsetzen. Sie können sich nur auf die Interessenabwägung (Art. 6, Abs.1 f)) als Rechtsgrundlage berufen. Auch hier besteht weiter Unsicherheit.

Wie hoch ist das Risiko eines Bußgeldes oder einer Abmahnung?

Anwalt Wulf geht nicht davon aus, dass die Aufsichtsbehörden Bußgelder verhängen, solange die E-Privacy-Verordnung der EU, in der es unter anderem um die europaweit einheitliche Regelung zu Tracking-Cookies geht, noch nicht verabschiedet ist. „Das wird wahrscheinlich Mitte 2019 soweit sein“, so Wulf.

Auch die Abmahnkanzleien hielten sich derzeit noch zurück, so Wulf. Er führt das darauf zurück, dass es noch so viele ungeklärte Fragen gebe.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Unternehmen mit eigener Facebook-Fanpage sind für den Datenschutz der Seite mitverantwortlich – das hat der Europäische Gerichtshof (EuGH) im Juni 2018 entschieden. Ein Urteil mit Folgen: Wer weiterhin eine Fanpage bei Facebook betreibt, riskiert Abmahnungen und Bußgelder wegen Datenschutzverstößen. Denn Facebook sammelt personenbezogene Daten von allen Nutzern, die eine Fanpage besuchen. Die deutschen Aufsichtsbehörden haben nach dem Urteil darauf hingewiesen, dass der Betrieb einer Fanpage unzulässig ist, solange Facebook keinen Vertrag zur gemeinsamen Verantwortung nach Artikel 26 DSGVO zur Verfügung stellt. Um für mehr Rechtssicherheit zu sorgen, hat Facebook nun einen solchen Vertrag, das sogenannte „Page Controller Addendum“, veröffentlicht: Die Zusatzvereinbarung regelt die gemeinsame Verantwortung für die erhobenen Daten nach Artikel 26 DSGVO und wurde mit der Veröffentlichung Teil der AGB von Facebook. „Der Artikel-26-Vertrag mit Facebook („Seiten-Insights-Ergänzung“) kommt  aufgrund der Tatsache zustande, dass man dort eine Fanpage betreibt“, sagt Hans M. Wulf, Fachanwalt für IT-Recht und Datenschutzauditor. Was regelt das Page Controller Addendum? Im „Page Controller Addendum“ übernimmt Facebook die Verantwortung für die so genannten Insights-Daten, das sind die Nutzungsstatistiken der Fanpage. Den Betreibern der Fanpages werden allerdings auch Pflichten auferlegt: „Sie müssen Artikel 13 DSGVO beachten. Das heißt, sie müssen darüber informieren, welche Daten sie von Facebook bekommen und was sie damit machen“, sagt Wulf. Zudem müsse man einen Verantwortlichen für die Seite und eine Rechtsgrundlage benennen. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten auf der Facebook-Fanpage komme nur das berechtigte Interesse nach Artikel 6 Absatz 1 f DSGVO in Frage, so der IT-Anwalt. Außerdem verpflichten sich Fanpage-Betreiber in der Vereinbarung dazu, Anfragen von Nutzern oder Datenschutzbehörden innerhalb von sieben Tagen an Facebook weiterzuleiten. Dafür stellt Facebook Seitenadministratoren ein Kontaktformular zur Verfügung. Was müssen Betreiber von Facebook-Fanpages jetzt tun? Eine Anleitung 1. Von der Facebook-Fanpage direkt auf die Datenschutzerklärung der eigenen Website verlinken. Im Menü „Info“ links auf der Fanpage kann man unter „Datenrichtlinie“ einen Link zur Datenschutzerklärung auf der eigenen Website hinterlegen. Nachteil: Dieser Link ist auf mobilen Geräten nicht sofort sichtbar – das halten Juristen aber für erforderlich. Auf der Startseite der Fanpage ist bisher kein Feld für einen solchen Link vorgesehen. Wer auf Nummer sicher gehen will, nutzt das Feld für die Website-Adresse und gibt den Link zur Datenschutzerklärung dort an. Dieser muss dann allerdings den Begriff „Datenschutz“ oder „Datenschutzerklärung“ enthalten: also zum Beispiel impulse.de/datenschutz. Der Vorteil bei diesem Vorgehen: Der Link ist auch in der mobilen Facebook-App sofort sichtbar. Alternativ kann man den Link zur Datenschutzerklärung auch in seiner „Story“ (oben rechts auf der Seite) einbinden. Er wird allerdings als nicht klickbar angezeigt - und ob das ausreicht, ist juristisch noch nicht entschieden. 2. In die Datenschutzerklärung auf der eigenen Website einen Abschnitt zur Facebook-Fanpage aufnehmen. Seitenbetreiber sollten in die Datenschutzerklärung ihrer Website einen Abschnitt zu ihrer Facebook-Fanpage einfügen. Als rechtliche Grundlage für die Verarbeitung von Facebooks-Insights-Daten sollten sie Artikel 6 Absatz 1 f) DSGVO angeben. Seitenbetreiber müssen erläutern, welche Daten sie von Facebook erhalten und wie sie diese nutzen. Sie sollten schreiben, dass sie von Facebook statistische Daten unterschiedlicher Kategorien abrufen können wie Gesamtzahl von Seitenaufrufen, „Gefällt mir“-Angaben, Seitenaktivitäten, Beitragsinteraktionen, Videoansichten, Beitragsreichweite, Kommentare, Geteilte Inhalte, Antworten, Anteil Männer und Frauen, Herkunft bezogen auf Land und Stadt, Sprache, Aufrufe und Klicks im Shop, Klicks auf Routenplaner sowie Klicks auf Telefonnummern. Außerdem sollten sie beschreiben, wofür sie diese Daten nutzen, also beispielsweise dafür, die Beiträge auf der Seite attraktiver zu machen oder den richtigen Zeitpunkt für die Veröffentlichung zu finden. Sie sollten für Details einen Link zur Datenrichtlinie von Facebook setzen und erklären, wie Betroffene ihre Rechte wahrnehmen können. Dazu sollten sie auf folgende Facebook-Seite mit Informationen zu Seiten-Insights-Daten verlinken. Außerdem müssen Seitenbetreiber darauf verweisen, dass eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO zwischen Facebook und ihnen besteht, und das Page Controller Addendum verlinken.  „Bei gemeinsamer Verantwortlichkeit haften beide Seiten als Gesamtschuldner. Durch den Vertrag nach Artikel 26 DSGVO kann sich der nichtverantwortliche Teil beim anderen schadlos halten. Dies muss allerdings transparent gegenüber den Betroffenen offengelegt werden“, erklärt Wulf. „Deshalb ist es wichtig, dass man auf den Vertrag hinweist.“ Welche rechtlichen Risiken bleiben? Der EuGH hat den Fall, über den er entschieden hat, zurück an das Bundesverwaltungsgericht verwiesen. Ein Urteil steht noch aus. Es ist daher noch immer offen, ob man Fanpages rechtswirksam betreiben kann. Zudem haben die Aufsichtsbehörden noch nicht bestätigt, dass das Page Controller Abbendum den formellen Anforderungen genügt, sagt Wulf. Allerdings ist die Gefahr, dass die Aufsichtsbehörden gegen Unternehmen mit Fanpage vorgehen, seiner Ansicht nach deutlich reduziert, wenn man wie oben beschrieben vorgeht. Die DSGVO fordert Datenminimierung; nach Ansicht der DSK ist es deshalb nicht mehr möglich, so genannte Tracking-Tools einzusetzen, die das Nutzerverhalten überwachen, und das mit einem berechtigten Interesse zu begründen. Die deutschen Aufsichtsbehörden sind der Meinung, dafür brauche man eine Einwilligung (ein so genanntes Opt-in), obwohl das noch gültige Telemediengesetz nur ein Opt-out fordert. Eine solche Einwilligung können Fanpage-Betreiber aber ohne Facebook nicht umsetzen. Sie können sich nur auf die Interessenabwägung (Art. 6, Abs.1 f)) als Rechtsgrundlage berufen. Auch hier besteht weiter Unsicherheit. Wie hoch ist das Risiko eines Bußgeldes oder einer Abmahnung? Anwalt Wulf geht nicht davon aus, dass die Aufsichtsbehörden Bußgelder verhängen, solange die E-Privacy-Verordnung der EU, in der es unter anderem um die europaweit einheitliche Regelung zu Tracking-Cookies geht, noch nicht verabschiedet ist. „Das wird wahrscheinlich Mitte 2019 soweit sein“, so Wulf. Auch die Abmahnkanzleien hielten sich derzeit noch zurück, so Wulf. Er führt das darauf zurück, dass es noch so viele ungeklärte Fragen gebe.