Das Thema Datenschutz ist für Unternehmen, die soziale Netzwerke wie Facebook nutzen, von zentraler Bedeutung. Besonders Betreiber von Facebook-Fanpages müssen sicherstellen, dass sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhalten, um rechtliche Konsequenzen zu vermeiden. Ein wichtiger Meilenstein in diesem Kontext war das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“), das die Verantwortung von Fanpage-Betreibern für die Verarbeitung von Nutzerdaten klarstellte. Dieses Urteil hat die Anforderungen an die Datenschutzkonformität von Facebook-Seiten erheblich verschärft.
Entscheidung des EuGH zu Facebook-Fanpages
Das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 in der Rechtssache C-210/16 „Wirtschaftsakademie“ markiert eine bedeutende Entscheidung im Bereich Datenschutz und Verantwortlichkeit im Online-Marketing. Es stellt klar, dass Betreiber von Facebook-Seiten (Fanpages) gemeinsam mit Facebook (heute Meta Platforms) für die Verarbeitung personenbezogener Daten von Seitenbesuchern verantwortlich sind.
Der EuGH entschied, dass sowohl die Betreiber einer Fanpage als auch Facebook als „gemeinsame Verantwortliche“ nach der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung der Daten gelten. Diese Verantwortung wird aus der Tatsache abgeleitet, dass die Seiten-Betreiber indirekt durch die Nutzung der Plattform und durch die Gestaltung der Seite an der Erhebung und Analyse der Daten beteiligt sind, auch wenn sie keinen direkten Zugriff auf die Daten haben.
Das Urteil im Detail
- Gemeinsame Verantwortlichkeit: Auch wenn die Betreiber einer Seite auf Facebook keine Kontrolle über die eigentliche Datenverarbeitung haben, wird ihre Rolle als Auftraggeber, der das Tool nutzt und davon profitiert, als Mitverantwortung gewertet.
- Informationspflicht: Der Seitenbetreiber ist verpflichtet, seine Nutzer umfassend über die Datenverarbeitung aufzuklären, obwohl Facebook die technische Verarbeitung durchführt.
- Datenschutzrechtliche Auswirkungen: Betreiber müssen sicherstellen, dass ihre Nutzung solcher Plattformen den Vorgaben der DSGVO entspricht und eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit mit Facebook vorliegt.
Hintergrund des Gerichtsprozesses
Die Wirtschaftsakademie Schleswig-Holstein betrieb eine Facebook-Fanpage, über die Facebook mit Hilfe des Tools „Facebook Insights“ Daten der Seitenbesucher sammelte und analysierte, um anonymisierte Nutzungsstatistiken zu erstellen.
Die Wirtschaftsakademie hatte auf die Datensammlung durch Facebook keinen direkten Einfluss, wurde jedoch von einer deutschen Datenschutzbehörde für die Mitverantwortung zur Rechenschaft gezogen. Die Wirtschaftsakademie legte Einspruch ein und argumentierte, dass sie keine Kontrolle über die Datenverarbeitung habe und daher keine Verantwortung trage.
Konsequenzen für Fanpage-Betreiber auf Facebook
In der Praxis bedeutet dies, dass nicht nur Meta Platforms, sondern auch Unternehmen, die Fanpages betreiben, für die Rechtmässigkeit der Datenerfassung mitverantwortlich sind, was erhöhte Compliance-Anforderungen zur Folge hat.
Betreiber von Seiten auf Facebook müssen:
- die Nutzer transparent über die Datenverarbeitung informieren,
- gemeinsam mit der Plattform sicherstellen, dass alle Vorgaben der DSGVO eingehalten werden,
- eine entsprechende Vereinbarung zur gemeinsamen Verantwortlichkeit mit der Plattform vorweisen können.
So betreiben Sie Ihre Facebook Fanpage DSGVO-konform
Um eine Facebook-Seite DSGVO-konform zu betreiben, müssen Sie als Betreiber verschiedene Anforderungen beachten, die sowohl die Datenverarbeitung als auch die Kommunikation mit Ihren Nutzern betreffen. Dies umfasst nicht nur das Verständnis für die Rolle von Facebook als Plattformbetreiber, sondern auch die Verantwortung, die Sie als Seitenbetreiber für die Verarbeitung von Nutzerdaten übernehmen.
Gemeinsame Verantwortlichkeit
Das Urteil des Europäischen Gerichtshofs (EuGH) hat klargestellt, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich ist. Facebook erhebt Daten durch die Interaktionen der Nutzer mit Ihrer Seite (z. B. Likes, Kommentare, Besuche), während Sie als Seitenbetreiber durch die Gestaltung und Nutzung der Seite ebenfalls Einfluss auf diese Verarbeitung nehmen.
Gemäss Artikel 26 der DSGVO müssen Sie sicherstellen, dass Sie eine Vereinbarung zur gemeinsamen Verantwortlichkeit mit Facebook haben. Diese Vereinbarung regelt, wer für welche Datenverarbeitung verantwortlich ist. Facebook stellt eine Standardvereinbarung zur Verfügung, die Sie akzeptieren müssen, um sicherzustellen, dass die Datenverarbeitung gemäss den Anforderungen der DSGVO erfolgt.
Datenschutzerklärung
Als Seitenbetreiber sind Sie verpflichtet, Ihre Nutzer darüber zu informieren, wie deren Daten verarbeitet werden. Das bedeutet, dass Sie eine umfassende Datenschutzerklärung auf Ihrer Facebook-Seite benötigen, die transparent aufzeigt, welche Daten durch Ihre Seite gesammelt werden (z.B. Interaktionen), welchen Zweck die Datenverarbeitung verfolgt (z.B. Analyse der Nutzerinteraktion oder Marketing), wer Zugriff auf diese Daten hat und welche Rechte die Nutzer in Bezug auf ihre Daten haben (z.B. Auskunftsrecht, Korrektur, Löschung).
Diese Datenschutzerklärung muss auf Ihrer Facebook-Seite zugänglich sein. Sie können den Link zur Datenschutzerklärung beispielsweise in den „Über uns“-Einstellungen hinterlegen oder einen Beitrag erstellen, der auf die Datenschutzerklärung hinweist und diesen anpinnen, damit er dauerhaft sichtbar bleibt.
Wenn Sie Tracking-Tools wie Facebook Insights verwenden, müssen Sie auch auf die Verwendung von Cookies hinweisen und den Nutzern eine Möglichkeit zur Ablehnung der Cookies bieten. Darüber hinaus sollten Sie auf Facebooks eigene Datenschutzrichtlinie verweisen, da Facebook als Plattformbetreiber ebenfalls für einen Teil der Datenverarbeitung verantwortlich ist. Stellen Sie ausserdem sicher, dass Ihre Datenschutzerklärung die gemeinsame Verantwortlichkeit mit Facebook erwähnt.
Tipp: Neben der Datenschutzerklärung können Sie auch in den Datenschutzeinstellungen Ihrer Facebook-Seite angeben, wie Sie Nutzerdaten verarbeiten und speichern. Diese Einstellungen sind jedoch nicht dasselbe wie eine vollständige Datenschutzerklärung und sollten nur ergänzend zu einer klaren und verständlichen Erklärung auf Ihrer Seite verwendet werden.
Verwendung von Facebook Insights und Cookies
Wenn Sie Facebook Insights verwenden, die Nutzerdaten sammeln, sind Sie verpflichtet, in Ihrer Datenschutzerklärung auf diese Praktiken hinzuweisen. Die Datenschutzerklärung muss auch erklären, dass durch die Nutzung der Seite Cookies gesetzt werden können und wie Nutzer diese ablehnen können.
Als Fanpage-Betreiber haben Sie keinen direkten Einfluss auf die Cookies, die Facebook auf den Geräten der Nutzer setzt. Facebook verwendet auf seiner Plattform verschiedene Cookies, die für unterschiedliche Zwecke wie Personalisierung, Werbung, Analyse von Interaktionen und Verhaltenstracking verantwortlich sind. Diese Cookies werden durch Facebook selbst gesetzt und verwaltet, nicht durch den Seitenbetreiber.
Obwohl Sie die Cookies nicht direkt kontrollieren können, müssen Sie als Fanpage-Betreiber dennoch in Ihrer Datenschutzerklärung darauf hinweisen, dass auf Ihrer Seite Cookies verwendet werden.
In Ihrer Datenschutzerklärung sollten Sie deshalb auch auf die Cookie-Richtlinie von Facebook hinweisen, da Facebook als Plattformbetreiber die Verantwortung für die Verwendung von Cookies trägt. Die Nutzer können über ihre Facebook-Einstellungen steuern, welche Cookies sie zulassen und welche nicht, was insbesondere für die Werbung relevant ist.
Kontaktfunktionen und andere Formate
Wenn Ihre Facebook-Seite Kontaktformulare oder andere interaktive Funktionen bietet (z. B. Newsletter-Abonnements), müssen Sie sicherstellen, dass alle Daten, die über diese Formulare gesammelt werden, gemäss der DSGVO verarbeitet werden. Dies bedeutet, dass Sie explizit die Zustimmung der Nutzer einholen müssen, bevor Sie deren Daten verwenden.
Erklären Sie klar und transparent, welche Daten gesammelt werden, wozu sie verwendet werden und wie lange sie gespeichert werden. Auch hier müssen Sie die Möglichkeit zur Widerrufung der Einwilligung bieten, die gemäss der DSGVO jederzeit erfolgen kann.
Nutzerrechte sicherstellen
Während Sie als Betreiber der Fanpage nicht die Plattformrichtlinien von Facebook ändern können, haben Sie dennoch die Verantwortung sicherzustellen, dass die Nutzerrechte im Rahmen der DSGVO auch durch die Nutzung von Facebook berücksichtigt werden. Facebook selbst stellt den Nutzern die Möglichkeit zur Verfügung, ihre Daten über die Einstellungen des Facebook-Profils einzusehen, zu ändern und löschen zu lassen.
In Ihrer Datenschutzerklärung sollten Sie darauf hinweisen, dass Nutzer ihre Rechte direkt über ihre Facebook-Kontoeinstellungen ausüben können, und Sie sollten Facebooks Prozesse zur Datenverwaltung und Datenlöschung erklären, die Facebook für Nutzer zur Verfügung stellt.
Es ist also nicht Ihre Aufgabe, diese Rechte umzusetzen, aber Sie müssen die Nutzer darüber informieren, wie sie diese Rechte auf Facebook ausüben können, und darauf hinweisen, dass Facebook als Plattformbetreiber die entsprechende Infrastruktur bietet.
Erforderliche Sicherheitsvorkehrungen treffen
Die DSGVO verlangt, dass personenbezogene Daten sicher verarbeitet werden. Als Seitenbetreiber sollten Sie sicherstellen, dass Sie geeignete technische und organisatorische Maßnahmen ergreifen, um die Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.
Dazu gehören etwa die Nutzung sicherer Passwörter für den Zugang zu Ihrer Facebook-Seite sowie eine regelmässige Überprüfung der Sicherheitsrichtlinien von Facebook.
Fazit
Das Betreiben einer DSGVO-konformen Facebook-Seite erfordert eine sorgfältige Planung und Umsetzung. Als Betreiber sind Sie gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich.
Um dieser Verantwortung gerecht zu werden, müssen Sie eine klare und transparente Datenschutzerklärung bieten, die Einwilligung der Nutzer einholen und die entsprechenden Rechte der Nutzer wahren.
Indem Sie diese Schritte umsetzen, stellen Sie sicher, dass Ihre Fanpage den Anforderungen der DSGVO entspricht und gleichzeitig das Vertrauen Ihrer Nutzer gestärkt wird.