Facebook-Fanpages und das neue TTDSG
Lassen sich Facebook-Fanpages datenschutzrechtskonform betreiben? Ein Kurzgutachten der Datenschutzkonferenz (DSK) verneint dies. Für Unternehmen bedeutet dies, dass sie die Chancen und Risiken des Betriebs einer Facebook-Fanpage sorgsam abwägen sollten.
Social Media: eine Grauzone des Datenschutzes
Die Bedeutung von Social Media ist in den vergangenen Jahren stetig gewachsen. Bei der Nutzung dieser Plattformen entstehen dem Nutzer meist keine Kosten. Er zahlt aber mit einer anderen Währung: personenbezogenen Daten. Doch wer die gesammelten Daten wo speichert, auswertet und weiterverwendet, ist für den Nutzer oft nicht nachvollziehbar.
Facebook-Fanpages für Unternehmen
Für Unternehmen sind Facebook-Fanpages von großem Interesse: Sie sind schnell erstellt, international auffindbar und oftmals Basis einer erfolgreichen Social-Media-Präsenz. Anlässlich des am 1.12.2021 neu in Kraft getretenen Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) hat die DSK nun ein Kurzgutachten zur aktuellen rechtlichen Bewertung des Betriebs von Facebook-Fanpages veröffentlicht. Bereits zuvor hatte der Europäische Gerichtshof (EuGH) entschieden, dass deren Betreiber mit Meta Platforms Ltd. bzw. deren Tochterfirma Facebook Irland datenschutzrechtlich gemeinsam verantwortlich sind. Dem folgte das Bundesverwaltungsgericht (BVerwG) und anschließend das Oberverwaltungsgericht Schleswig.
Nutzereinwilligung für Cookies
Betreiber von Facebook-Fanpages sind nach § 2 Abs. 2 Nr. 1 TTDSG als Anbieter von Telemedien einzuordnen und damit nach § 25 Abs. 1 TTDSG verpflichtet, auf der Grundlage von klaren und umfassenden Informationen eine Einwilligung von Endnutzern einzuholen, soweit Cookies oder vergleichbare Technologien eingesetzt werden. Eine Ausnahme vom Grundsatz der Einwilligungsbedürftigkeit gilt nach § 25 Abs. 2 Nr. 2 TTDSG nur dann, wenn der Zugriff auf Informationen unbedingt erforderlich ist, damit der von Nutzern ausdrücklich gewünschte Telemediendienst zur Verfügung gestellt werden kann. Bei der Prüfung des Einwilligungserfordernisses in Bezug auf den Betrieb von Facebook-Fanpages hat die DSK insbesondere drei Cookies ausgewertet: Das c_user-Cookie, das datr-Cookie und das fr-Cookie.
Nach Auffassung der DSK dienen alle drei näher untersuchten Cookies dazu, die Daten der Nutzer zu messen und zu analysieren, um sogenannte Seiten-Insights und gezielte Werbung zu erstellen. Damit seien sie nicht dem unbedingt erforderlichen Basisdienst von Facebook zuzurechnen, weshalb die Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG nicht einschlägig sei und es beim Einwilligungserfordernis nach § 25 Abs. 1 TTDSG bleibe. Für die Wirksamkeit beider Einwilligungen gelten die formalen und inhaltlichen Anforderungen nach Art. 4 Nr. 11, Art. 7 und 8 DS-GVO.
Danach ergeben sich im Wesentlichen die folgenden Prüfungspunkte, um zu beurteilen, ob die Einwilligung wirksam ist:
- Zeitpunkt der Einwilligung,
- Informiertheit der Einwilligung,
- eindeutige bestätigende Handlung,
- freiwillige Einwilligung, insbesondere keine unzulässige Einflussnahme auf die Nutzerentscheidung (sog Nudging),
- Widerruf der Einwilligung,
- Einwilligungen für Datenverarbeitungen von Minderjährigen.
Eine informierte Einwilligung ist nach Meinung der DSK jedoch nicht möglich, denn es fehle an Informationen und die Einwilligung sei nicht ohne erheblichen Mehraufwand zu verweigern. Auch seien die Schaltflächen zur Zustimmung, teilweisen Verweigerung und vollumfänglichen Verweigerung so gestaltet, dass die Nutzerentscheidung unbewusst im Sinne einer Einwilligung geleitet würde.
Facebook-Fanpage abschalten?
Die DSK kommt in ihrem Gutachten zu dem Ergebnis, dass es auf der Grundlage der geprüften Gegebenheiten nicht möglich ist, eine Facebook-Fanpage rechtskonform zu betreiben. Möchte sich ein Unternehmen datenschutzrechtskonform aufstellen, müsste es demgemäß erwägen, die eigene Facebook-Fanpage abzuschalten. Soll die eigene Facebook-Fanpage trotz der rechtlichen Risiken weiterbetrieben werden, sollten jedenfalls Maßnahmen ergriffen werden, um die Transparenz der Verarbeitung zu erhöhen. Hierfür bietet sich z.B. eine spezifische Datenschutzerklärung für die Facebook-Fanpage an, die insbesondere über den Transfer von personenbezogenen Daten der Nutzer aufklärt.
Ansprechpartner*innen: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Maximilian Festl-Wietek