Facebook & Datenschutz – Das müssen Sie wissen

Facebook gehört zu den beliebtesten Social-Media-Netzwerken weltweit. Dabei wird Facebook schon lange nicht mehr lediglich als klassisches Medium für die Vernetzung von privaten und geschäftlichen Profilen verwendet. Viele verschiedene Tools von Facebook, wie z.B. Facebook Pixel, Custom Audiences oder Lead Ad, erweitern das Portfolio von Facebook. Diese Tools dienen in der Regel ausschließlich Marketingzwecken und können insbesondere von Unternehmen für die Optimierung der eigenen Angebote eingesetzt werden.

Aus datenschutzrechtlicher Sicht ergeben sich allerdings einige Anforderungen für den Einsatz dieser Tools: Immer dann, wenn personenbezogene Daten i.S.d. Art. 6 Nr. 1 DSGVO verarbeitet werden und der Anwendungsbereich der Art. 2 und Art. 3 DSGVO eröffnet ist, sind die gesetzlichen Vorgaben der neuen EU-Datenschutz-Grundverordnung (DSGVO) zu beachten.

Für die Tools Facebook Pixel, Custom Audiences und Lead Ads von Facebook ist dies der Fall, weshalb die gesetzlichen Regelungen der DSGVO und des BDSG-neu zu beachten sind. Wie das Verhältnis zwischen DSGVO und BDSG-neu zu verstehen ist, erfahren Sie hier.

Aufgrund der unmittelbaren Anwendbarkeit der datenschutzrechtlichen Bestimmungen aus der DSGVO und dem BDSG-neu ergeben sich für Verwender dieser Tools und weiterer Services von Facebook besondere Vorgaben.

Inhalt

• Facebook-Fanpages und Datenschutz
• Gemeinsame Verantwortlichkeit mit Facebook
• Facebook Pixel und die DSGVO
• Custom Audiences und Datenschutz
• Lead Ads und Datenschutz

Facebook-Fanpages und Datenschutz

Sogenannte Facebook-Fanpages werden nicht nur von privaten Personen verwendet, sondern insbesondere von Unternehmen, Vereinen, Verbänden oder Behörden, um beispielsweise eine Werbe- und Kommunikationsplattform mit Kunden zu kreieren.

Die datenschutzrechtliche Tragweite der Facebook-Fanpages wurde erst durch ein Urteil des EuGH vom 5. Juni 2018 manifestiert. Dieses Urteil sorgt für große Aufmerksamkeit. Warum? Das können Sie dem folgendem Abschnitt entnehmen.

Gemeinsame Verantwortlichkeit mit Facebook

Laut EuGH (Rechtssache C-210/16) ist Facebook nämlich nicht alleine für die Datenverarbeitung auf Facebook-Fanpages verantwortlich. Alle verantwortliche Stellen, also beispielsweise Unternehmen, Verbände, Vereine oder Behörden, die eine Facebook-Fanpages betreiben, sind mitverantwortlich für die Datenverarbeitung auf Fanpages von Facebook. Das bedeutet, dass diese verantwortlichen Stellen die datenschutzrechtlichen Vorgaben gegenüber betroffenen Personen, also z.B. Besuchern dieser Fanpages, erfüllen müssen.

Dies inkludiert die Pflicht, die Informations- und Transparenzpflichten gem. Art. 12 ff. DSGVO gegenüber den betroffenen Personen zu erfüllen. Darüber hinaus muss eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO mit Facebook abgeschlossen werden. Als Reaktion auf diese Anforderungen hat Facebook eine “Seiten-Insights-Ergänzung” veröffentlicht, welche unmittelbar die Datenverarbeitung zwischen Fanpage-Betreiber und Facebook regeln soll. Doch reicht das aus?

Stellungnahme der Datenschutzaufsichtsbehörden bezüglich der “Seiten-Insights-Ergänzung”

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 1. April 2019 erneut zu dieser Thematik geäußert und festgelegt, dass Betreiber einer Fanpage bei Facebook die Rechtmäßigkeit der (gemeinsamen) Datenverarbeitung gewährleisten und darüber hinaus auch die Einhaltung der Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO nachweisen müssen. Hierzu gehören auch die Verpflichtungen nach Art. 24, 25 und 32 DSGVO (insbesondere technisch-organisatorische Maßnahmen).

Aufgrund der gemeinsamen Verantwortlichkeit ist ein Vertrag, der genau diese Verantwortlichkeit regelt, nach den Vorgaben des Art. 26 Abs. 1 S.2 DSGVO mit Facebook abzuschließen. In diesem Zusammenhang hat die DSK klargestellt, dass die von Facebook veröffentlichten Schreiben, sog. “Seiten-Insights-Ergänzung bezüglich des Verantwortlichen” und “Informationen zu Seiten-Insights”, nicht die Anforderungen an eine Vereinbarung i.S.d. Art. 26 Abs. 1 S.2 DSGVO erfüllen.

Begründet wird dies damit, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will. Ferner wird bemängelt, dass die nach Art. 12 und Art. 13 DSGVO erforderlichen Informationen in Bezug auf Fanpages und Seiten-Insights nicht transparent und konkret dargestellt werden. Auf diese Weise sei es Fanpage-Betreibern nicht möglich, die Rechtmäßigkeitsprüfung der Verarbeitung von personenbezogenen Daten der Besucher von Facebook-Fanpages vorzunehmen.

Sind Facebook-Fanpages nun erlaubt?

Zusammenfassend stellt die DSK klar, dass auch in den Fällen, in denen die Verarbeitungen nicht unmittelbar durch die verantwortliche Stelle selbst sondern durch eine andere mitverantwortliche Stelle durchgeführt wird, eine Rechtsgrundlage nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO erforderlich ist. Hier erfahren Sie mehr über die verschiedenen Rechtsgrundlagen. Ohne die Kenntnis der stattfindenden Verarbeitungstätigkeit sind Betreiber von Facebook-Fanpages laut DSK allerdings nicht in der Position, die Rechtmäßigkeit der Verarbeitungen zu bewerten. Zweifel in diesem Zusammenhang gehen laut der DSK zu Lasten der verantwortlichen Stellen.

Auch die Regelungen in der Insights-Ergänzung von Facebook bezüglich der zuständigen “federführenden” Aufsichtsbehörde und der Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche werden von der DSK kritisiert: In diesem Zusammenhang wird darauf hingewiesen, dass sich die Zuständigkeit der Behörden nach Art. 55 ff. DSGVO und nach dem jeweiligen Hoheitsgebiet des jeweiligen Fanpage-Betreibers richtet. Dies gelte unabhängig von den Vorgaben bezüglich der Zusammenarbeit der Behörden gem. Art. 60 ff. DSGVO und der Kohärenzvorgaben gem. Art. 63 ff. DSGVO.

Unternehmen und andere verantwortliche Stellen müssen aktuell das Risiko von Bußgeldern aufgrund von Datenschutzverstößen wegen der Aktivierung von Facebook-Fanpages mit dem konkreten wirtschaftlichen Nutzen an einer solchen Fanpage abwägen und eine Entscheidung treffen.

Als potenzieller Betreiber einer Facebook-Fanpage kann man aktuell nur abwarten und seine Datenschutzerklärung gut ersichtlich in der Fanpage platzieren. Hierbei sollten Sie natürlich beachten, dass Sie derzeit nur über einen geringen Teil der Datenverarbeitung aufklären können, da Ihnen die vollständige Datenverarbeitung nicht bekannt ist. Auf der anderen Seite betreiben auch einige öffentlichen Stellen in Deutschland eine Facebook-Fanpage. Das bildet natürlich keine gültige Rechtspraxis, allerdings geben Aufsichtsbehörden auch nur eine rechtliche Meinung ab und somit gibt es aktuell leider keine abschließende Antwort auf diese Datenschutz-Problematik.

Faceboox Pixel und die Anforderungen nach der DSGVO

Facebook Pixel ist ein Analysetool, womit die Effektivität von Werbekampagnen gemessen werden kann. Diese Werbekampagnen sollen dann für Zielgruppen (sog. Custom Audiences) optimiert, gemessen und aufgebaut werden. Insbesondere die Bezifferung der sog. Conversion-Rate spielt eine wichtige Rolle. Der Einsatz von Facebook Pixel erfreut sich bei vielen Unternehmen großer Beliebtheit. Aus datenschutzrechtlicher Sicht sind allerdings einige Faktoren zu beachten.

Positionierung der Datenschutz-Konferenz

Auch zu Facebook Pixel gibt es eine, jedenfalls mittelbare, Positionierung der DSK: In der Orientierungshilfe (Vgl. Anlage I in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019) führt die DSK im Anhang ein Beispiel zum Einsatz eines “Trackingpixels” von einem Social Media Anbieter auf der Webseite eines Unternehmens an. Das beschriebene Beispiel ähnelt sehr dem Facebook-Pixel.

Im Ergebnis stellt die DSK fest, dass das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO nicht als Rechtsgrundlage für den Einsatz des Facebook-Pixels (jedenfalls in Bezug auf das in der Orientierungshilfe dargestellte Beispiel) ausreicht. Insofern ist eine datenschutzkonforme und informierte Einwilligung der betroffenen Personen erforderlich.

Aktuell existieren keine Gerichtsurteile bezüglich des Einsatzes des Facebook-Pixels, weshalb nur Positionierungen wie der DSK oder Stellungnahmen von deutschen Datenschutzbehörden für die datenschutzrechtliche Beurteilung des Facebook-Pixels berücksichtigt werden können.

Facebook Pixel einbinden auf Webseite

Die bayerische Datenschutzbehörde hat in eigenen Stellungnahme erklärt, dass der Einsatz des Facebook Pixels mit erweitertem Abgleich einer informierten Einwilligung bedarf. Betont wird in diesem Zusammenhang auch, dass der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet, im datenschutzrechtlichen Sinne auch Verantwortlicher ist. Begründet wird dies damit, dass der Webseiten-Betreiber auf diese Weise gezielt die weitere Datenverarbeitung durch Facebook herbeiführt.

Im sogenannten erweiterten Abgleich werden Kundendaten wie z.B. Vorname, Nachname oder auch die E-Mail-Adresse an Facebook übermittelt. Diese werden dann mit Tracking-Daten verknüpft, sodass Daten auch von Nutzern gesammelt werden können, die nicht bei Facebook registriert oder zumindest eingeloggt sind.

Selbst Webseiten-Besucher, die bewusst die Speicherung von Third-Party-Cookies unterbunden haben, werden ebenfalls verfolgt. Diese erweiterte Funktion des Facebook Pixels darf nur eingesetzt werden, wenn vorab eine informierte Einwilligungserklärung gem. Art. 7 f. DSGVO der betroffenen Person eingeholt wurde.

Custom Audiences und Datenschutz – Was muss beachtet werden?

Custom Audiences sind Zielgruppen, die Werbekunden des sozialen Netzwerkes Facebook erstellen können, um Werbeanzeigen auf Facebook noch genauer optimieren zu können. So kann z.B. ein werbetreibendes Unternehmen durch die Bildung sogenannter “Custom Audiences”, also Zielgruppen, über das soziale Netzwerk Facebook gezielt bewerben lassen, die die Webseite des werbetreibenden Unternehmens besucht haben. Alternativ oder auch kumulativ ist diese gezielte Werbung auch dann möglich, wenn dem werbetreibenden Unternehmen E-Mail-Adressen oder Telefonnummern der jeweiligen Personen vorliegen.

Facebook muss zunächst wissen, ob der potentiell zu bewerbende Kunde überhaupt bei Facebook registriert ist, damit dieser auch tatsächlich beworben werden kann. Hierfür erhält Facebook Informationen über die betroffenen Person von dem werbetreibenden Unternehmen. Bei den Informationen handelt es sich um personenbezogene Daten in Form von E-Mail-Adressen und Telefonnummern. Für die Weitergabe dieser Daten ist das werbetreibende Unternehmen verantwortlich.

Eine datenschutzkonforme Einwilligungserklärung i.S.d. DSGVO und des BDSG-neu für die Weitergabe dieser Daten fehlt dem werbetreibenden Unternehmen in der Regel. Unternehmen müssten bei Ihren Kunden eine explizite Einwilligungserklärung für die Weitergabe ihrer Kundendaten an Facebook einholen, da das ohnehin sehr unseriös wirkt, ist der Einsatz von Custom Audiences nicht zu empfehlen.

Custom Audiences und das Hashing-Verfahren

Hashing ist eine Funktion, die Teile aus einem Schlüssel-Universum (hier in Form des personenbezogenen Datums) auf eine wesentlich kleinere Menge von sog. Hashwerten in Form von festen Zeichenketten abbildet. Laut Facebook werden diese Daten zwar gehasht, allerdings stellte die bayerische Datenschutzbehörde in einer Stellungnahme klar, dass das angewandte Hashing-Verfahren von Facebook unsicher sei und zu leicht (z.B. mit Hilfe eines Gaming-Computers) auf die Ursprungswerte zurückzurechnen sei. Anonyme Zeichenfolgen werden in diesem Zusammenhang laut der bayerischen Datenschutzbehörde nicht generiert.

Datenweitergabe an Facebook via Auftragsverarbeitung?

Wenn eine datenschutzkonforme informierte Einwilligungserklärung i.S.d. DSGVO und des BDSG-neu regelmäßig fehlt, könnte die Rechtmäßigkeit der Weitergabe dieser Daten über eine Auftragsverarbeitung konstruierbar sein, vgl. Art. 28 DSGVO. Diese Thematik war in der Jurisprudenz lange Zeit umstritten und wurde nun final durch zwei Gerichtsurteile geklärt: Das Bayerische Verwaltungsgericht Bayreuth hat im Mai 2018 entschieden, dass keine Auftragsverarbeitung vorliegt und aufgrund der Übermittlung an einen Dritten (Facebook) vorab eine datenschutzkonforme Einwilligungserklärung der betroffenen Person in die Verarbeitungstätigkeit als solche und darüber hinaus auch in die Weitergabe der Daten an Facebook erforderlich ist.

Der Verwaltungsgerichtshof München hat dieses Urteil auch bestätigt. Im Wesentlichen hat der VGH München betont, dass das Vorliegen einer Aufttragsverarbeitung objektiv geprüft wird und die vertragliche Vereinbarung einer Auftragsverarbeitung zwischen zwei Parteien nicht bedeutet, dass diese auch tatsächlich einschlägig ist. Der Dritte wird hierdurch also nicht zum Auftragsverarbeiter.

Vielmehr sei entscheidend, ob das beauftragte Unternehmen einen eigenen Entscheidungs- und Ermessensspielraum hat oder nicht. Dieser würde z.B. fehlen, wenn der Auftraggeber bestimmte Kriterien für die Verarbeitung vorgegeben hätte. Absolut entscheidendes Merkmal ist daher die Weisungsgebundenheit des Auftragnehmers.

Wenn der Dritte sich vollständig den Vorgaben des Auftraggebers bezüglich der Datenverarbeitung unterordnet und die Weisungsgebundenheit auf diese Weise gewährleistet ist, kann eine Auftragsverarbeitung vorliegen.

Daher ist im Ergebnis eine informierte Einwilligungserklärung gem. DSGVO und BDSG-neu vorab von der betroffenen Person für die Rechtmäßigkeit der Datenverarbeitung erforderlich, vgl. Art. 6 Abs. 1 lit. a), Art. 7 f. DSGVO.

Lead Ads von Facebook und datenschutzrechtlichen Besonderheiten

Bei Facebooks Lead Ads handelt sich um ein neues Werbeanzeigenformat für Unternehmen. Dieses konzentriert sich auf mobile Geräte und ermöglicht die Lead-Generierung ohne eine aktive Handlung von Besuchern auf einer Landing-Page. Durch Lead Ads füllen Besucher Kontaktformulare für z.B. Gewinnspiele, Newsletter oder einen Rückruf nicht mehr auf einer Landing-Page, sondern unmittelbar innerhalb von Facebook aus. Facebook muss für diese Interaktionen von dem Besucher nicht mehr verlassen werden.

Datenschutzrechtlich sind auch in dieser Konstellation nach aktuellem Stand Facebook und das werbetreibende gemeinsam für die Datenverarbeitung gem. Art. 26 Abs. 1 S.1 DSGVO verantwortlich. Dies macht zumindest Facebook selbst in einer Erklärung im Bereich des eigenen FAQ für Lead Ads deutlich.

Ferner unterstreicht Facebook an dieser Stelle, dass eine Rechtsgrundlage i.S.d. DSGVO für die Datenverarbeitung erforderlich ist, eine konkrete Rechtsgrundlage wird von Facebook allerdings nicht genannt. Auch hier kommt wohl nur eine datenschutzkonforme und informierte Einwilligung in Betracht. Ferner ist darauf zu achten, dass gegenüber den betroffenen Personen die Informations- und Transparenzpflichten gem. Art. 12 bis Art. 14 DSGVO erfüllt werden müssen.

Fazit zu Facebook und Datenschutz

Das EuGH-Urteil zur gemeinsamen Verantwortlichkeit in Bezug auf Facebook-Fanpages ist offensichtlich ein Grundgedanke, der sich auch auf andere Dienstleistungen von Facebook, wie z.B. Facebook Pixel, erstreckt und vermutlich auch noch auf andere Dienstleistungen erstrecken wird. Dies führt dazu, dass eine Vereinbarung zur gemeinsamen Verantwortlichkeit mit Facebook erforderlich ist und die Transparenz- und Informationspflichten nach der DSGVO erfüllt werden müssen.

Bei Dienstleistungen wie z.B. Custom-Audiences und Facebook Pixel sind vor Beginn der Datenverarbeitung datenschutzkonforme und informierte Einwilligungen (also Erfüllung aller Transparenz- und Infrormationspflichten nach der DSGVO) von den betroffenen Personen einzuholen. Auch wenn aktuell noch keine Bußgelder für den Einsatz von Facebook an verantwortliche Stellen verhängt worden sind, machen die Stellungnahmen und Positionierungen der Behörden, insbesondere von der DSK, deutlich, dass die aktuelle datenschutzrechtliche Handhabung von Facebook-Dienstleistungen nicht mit der DSGVO und dem BDSG-neu vereinbar ist und daher Bußgeldtatbestände gegeben sind.

In diesem Beitrag handelt sich um allgemeine Informationen zum Thema Facebook und Datenschutz. Jeder Datenverarbeitungsprozess muss allerdings einzelfallbezogen betrachtet und datenschutzrechtlich begutachtet werden, weshalb dieser Artikel keine allgemeine Gültigkeit beschreibt. Wir freuen uns, Sie individuell zu beraten.

Dipl.-Jurist Serkan Taskin