Facebook-Fanpages - Antworten auf häufig gestellte Fragen

Die Datenschutzkonferenz gibt Antworten auf häufig gestellte Fragen zu Facebook Fanpages.

Beantwortet werden unter anderem die Fragen, warum der Betrieb von Facebook Fanpages datenschutzrechtlich problematisch ist und warum Verantwortliche in der aktuellen Situation den datenschutzkonformen Betrieb einer Facebook Fanpage nicht gewährleisten können. Ähnliche Probleme bestehen auch für andere soziale Netzwerke und Plattformen . Urteile gibt es bisher allerdings nur zu Facebook Fanpages.

Die Datenschutzkonferenz betont, dass es den Aufsichtsbehörden nicht um ein generelles Verbot von Facebook Fanpages geht, sondern um den rechtskonformen Betrieb. Ein solcher kann jedoch ohne Änderungen der Datenverarbeitung durch Facebook und dessen Mutterkonzern Meta nicht gewährleistet werden.

FAQ zu Facebook-Fanpages Stand: 22. Juni 2022

Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens verwenden Facebook-Fanpages – auch Facebook-Seiten genannt – für die eigene Präsentation auf der Plattform Facebook.

Davon abzugrenzen sind die reinen Facebook-Profile der registrierten Nutzenden, die Privatpersonen zugeordnet sind.
Während ein Profil weitestgehend zu privaten Zwecken eingerichtet wird, werden Facebook-Fanpages im geschäftlichen / nicht-privaten Kontext betrieben.

Facebook-Fanpages ersetzen, gerade bei Kleinstunternehmungen, in nicht wenigen Fällen die klassische Unternehmenswebseite oder ergänzen diese.

Meta Platforms als Betreiber des Dienstes Facebook verarbeitet die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks, sondern auch zu Werbezwecken, die auf feingranularen Profilen der Nutzenden aufsetzen, um für sie „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden, Parteien etc. schalten zu können. Welche personenbezogenen Daten in welcher Art und Weise konkret verarbeitet werden, bleibt allerdings weitestgehend unklar.

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) die Auffassung der Aufsichtsbehörden bestätigt, dass Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind. Über die Funktion „Insights“ wird Fanpage-Betreibern eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt. Unter anderem aufgrund dieser Funktion hat der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Fanpage- und Plattformbetreiber besteht.

Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiber die Vorgaben der DSGVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte
Addendum erfüllt diese Anforderungen nicht. Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben der Art. 44 ff. Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einem Kurzgutachten dargestellt.

Fanpage-Betreiber müssen die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können. Dies ist ihnen für den Betrieb von Facebook-Fanpages zurzeit nicht möglich. Verantwortliche können in dieser Situation nur eine Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DSGVO zu erfüllen. Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta Platforms notwendig. Betreiber von Facebook-Fanpages und Meta Platforms müssen gemeinsam sicherstellen, dass die Nutzenden von Facebook über die Verarbeitung ihrer Daten beim Aufruf von Facebook-Fanpages informiert sind und die Verarbeitung auf Basis einer wirksamen Rechtsgrundlage stattfindet. Die gemeinsam Verantwortlichen müssen gemäß Art. 26 DSGVO in einer Vereinbarung intern festlegen, wie die Einhaltung der DSGVO gewährleistet wird.

Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen
kennt die DSGVO nicht.

In der Tat dürften viele der Erkenntnisse auch auf andere Social-Media-Auftritte übertragbar sein. Die Umstände sind häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.

Das jüngste und abschließende Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts hat eine Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein gegenüber einer nichtöffentlichen Stelle bestätigt. Sowohl für öffentliche als auch für nichtöffentliche Stellen gilt: Facebook-Fanpages dürfen nur dann betrieben werden, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Öffentliche Stellen sind in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion nehmen die Datenschutzaufsichtsbehörden diese nun vorrangig in die Pflicht.

Natürlich dürfen und sollen öffentliche Stellen im Rahmen ihrer Aufgaben auch Öffentlichkeitsarbeit leisten. Dies darf allerdings nicht unter Verwendung rechtswidriger Mittel geschehen.

Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das TTDSG und die DSGVO dar. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, können sie auch nicht durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite gelöst werden. Sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, könnte eine Facebook-Fanpage dann wieder in Betrieb genommen werden.

Die Aufsichtsbehörden haben die Aufgabe, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen.

Dafür können sie sich verschiedener Maßnahmen bedienen, beispielsweise anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat. Auch können sie gegenüber nichtöffentlichen Stellen Bußgelder verhängen. Öffentliche Stellen können derzeit nach geltenden deutschen Recht nicht mit Bußgeldern belegt werden. Sie müssen sich aber selbstverständlich an Recht und Gesetz halten.

Darüber hinaus besteht nach Art. 82 DSGVO für jede betroffene Person die Möglichkeit, wegen etwaig entstandener Schäden Schadensersatzansprüche gegen die Verantwortlichen geltend zu machen.

Nach der Datenschutz-Grundverordnung ist in Europa die irische Datenschutzaufsichtsbehörde zuständig für die Aufsicht über Meta Platforms und deren Dienste, wie u. a. Facebook. Für die Betreiber von Fanpages sind jedoch die jeweiligen Aufsichtsbehörden am Sitz der Fanpage-Betreiber zuständig.

Die deutschen Aufsichtsbehörden arbeiten im Europäischen Datenschutzausschuss mit der irischen Aufsichtsbehörde bei grenzüberschreitenden Fällen zusammen. Sie sind über das sogenannte Kooperationsverfahren der DSGVO unter bestimmten Umständen an Entscheidungen der irischen Aufsichtsbehörde zu Facebook und anderen Diensten von Meta Platforms zu beteiligen.