Regeln im Metaverse: Bedingungen und Datenschutzregeln für Facebook und Instagram

Der Umfang von Metas Geschäftsbedingungen für Unternehmen, Behörden, Entwickler und Marketer, die Facebook oder Instagram geschäftlich nutzen (nachfolgend zusammenfassend auch als “Unternehmen” bezeichnet) gleicht einem in sich verschachteltem Gesetzeswerk. Dessen Studium und Aufschlüsselung hat den Autor eine Vielzahl von Stunden gekostet (und alles andere als Freude bereitet).

Der folgende Beitrag soll Ihnen einen Großteil dieser Arbeit ersparen und bietet eine Übersicht der neuen Bedingungen, deren Zusammenhänge und Empfehlungen für die von Ihnen zu ergreifenden Maßnahmen.

Der Beitrag sollte von allen Entwicklern, Marketingverantwortlichen, als auch Datenschutzbeauftragten sowie RechtsberaterInnen gelesen werden. Aufgrund des Umfangs sowie des technischen und rechtlichen Anspruchs der Regelungen ist es völlig verständlich, wenn Sie beim Lesen das Gefühl beschleichen sollte, den Überblick trotz der Zusammenfassung zu verlieren. (Bild)

Begrifflichkeiten und Arten von Daten

Facebook verwendet häufig eigene Begrifflichkeiten, von denen Sie die wichtigsten kennen sollten (auch um diesen Beitrag nachvollziehen zu können):

  • Facebook-Plattform – Als Plattform definiert Facebook alle APIs, SDKs, Tools, Plugins, Codes, Technologien, Inhalte und Dienste, über die andere, wie u. a. App-Entwickler und Websitebetreiber, Funktionen entwickeln, Daten von Facebook oder jeglichen anderen Facebook-Produkten abrufen oder Facebook Daten bereitstellen können (Ziffer 1. a. Plattform-Nutzungsbedingungen von Facebook).
  • Facebook-Produkte –  Zu den Facebook-Produkten gehören neben den sozialen Netzwerken “Facebook” und “Instagram”, der Facebook Messenger, das Audience Network, Apps und Business-Tools (Definition).
  • Business-Tools – Die Facebook Business Tools (auch als “Unternehmens-Tools” bezeichnet) umfassen APIs und SDKs, das Facebook-Pixelsoziale Plugins wie die „Gefällt mir“- und „Teilen“-Buttons, Facebook Login und Account Kit sowie andere Plattform-Integrationen, Plugins, Codes, Spezifikationen, Dokumentationen, Technologien und Dienstleistungen (S. 3 Nutzungsbedingungen für Facebook Business-Tools).
  • Daten – Der Begriff Daten umfasst alle Angaben, seien sie personenbezogen oder anonym.
  • Personenbezogene Daten – Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit deren Hilfe eine natürliche Person identifiziert werden kann.
  • Plattformdaten – Der Begriff „Plattformdaten“ bezeichnet alle Informationen, Daten oder sonstigen Inhalte, die Unternehmen oder Entwickler von Facebook über die Plattform oder über die eigene App erlangen, einschließlich anonymisierter oder zusammengefasster Daten oder aus diesen Daten abgeleiteter Daten. Plattformdaten umfassen z. B. App-Schlüssel, Seitenschlüssel, Zugriffsschlüssel, App-Geheimcodes und Benutzerschüssel (Ziffer 12, der Plattform-Nutzungsbedingungen).
  • Kontaktinformationen – Kontaktinformationen sind Daten, die betroffene Personen (klar) identifizieren, wie z. B. Namen, E-Mail-Adressen und Telefonnummern, die an Facebook, z. B. via Facebook-Pixel oder Upload, zwecks Bildung von Custom Audiences übermittelt werden (Ziffer 1. a. i. Nutzungsbedingungen für Facebook Business-Tools). Nach dem Abgleich zwecks Bildung von Zielgruppen, werden die Kontaktinformationen gelöscht.
  • Event-Daten –  “Event-Daten” sind Daten, die z. B. via Facebook-Pixel (via Apps oder auf anderen Wegen) von uns an Facebook übermittelt werden können und sich auf Personen oder deren Handlungen beziehen Zu den Daten gehören z. B. Angaben über Besuche auf Websites, Interaktionen mit Inhalten, Funktionen, Installationen von Apps, Käufe von Produkten, etc. (Ziffer 1. a. ii. Nutzungsbedingungen für Facebook Business-Tools); die Event-Daten werden zwecks Bildung von Zielgruppen für Inhalte und Werbeinformationen (Custom Audiences) verarbeitet; Event Daten beinhalten nicht die eigentlichen Inhalte (wie z. B. verfasste Kommentare), keine Login-Informationen und keine Kontaktinformationen (also keine Namen, E-Mail-Adressen und Telefonnummern). Event Daten werden durch Facebook nach maximal zwei Jahren gelöscht, die aus ihnen gebildeten Zielgruppen mit der Löschung des jeweiligen Facebook-Kontos.

Übersicht der neuen Bedingungen

Der folgende Überblick enthält eine Auflistung der aktualisierten Bedingungen, die nachfolgend im Einzelnen erläutert werden (da in den Plattformnutzungsbedingungen besonders viele Unter-Bedingungen verwiesen wird, sind diese als Unterpunkte mit aufgenommen, auch wenn sie kein Teil der Aktualisierungen sind):

In den nachfolgenden Detaildarstellungen erhalten Sie Detailinformationen zu den wichtigsten Regelungen der neuen Bedingungen (wir empfehlen Ihnen aus Gründen der Rechtssicherheit dennoch die vollständigen Regelungen zu lesen).

Meta-Plattform-Nutzungsbedingungen

Grundlegende Bestimmungen, die Entwickler, Unternehmen und sonstige geschäftliche Nutzer von Facebook und Instagram beachten sollten sowie Einbeziehung von EU-Standardvertragsklauseln für Plattformdaten.

Geltung für:

Die Meta-Plattform-Nutzungsbedingungen (nachfolgend auch abgekürzt als “Plattform-NB”) gelten für alle Entwickler, Unternehmen oder technische Partner, die Facebook-Produkte und in diesem Rahmen Facebook Daten zur Verfügung stellen oder Daten von Facebook erhalten.

Allgemeine Regelungen:

Die Plattform-Nutzungsbedingungen enthalten zunächst allgemeine Regeln:

  • Es müssen alle anderen (Nutzungs)bedingungen, Richtlinien, Vorgaben und Dokumentationen von Facebook beachtet werden (Ziffer 1. b und c. Plattform-NB).
  • Bei Unklarheiten gelten immer die strengsten und Facebook am meisten schützenden Regeln (Ziffer 1. c. Plattform-NB).
  • Es müssen alle Gesetze, insbesondere zum Schutz von Rechten der Nutzer und auch US-Gesetze, wie COPPA und VPPA beachtet werden (Ziffern 11. b. und 2. c. Plattform-NB). Den Nutzern müssen im Übrigen Möglichkeiten zur schnellen und einfachen Kontaktaufnahme zwecks Geltendmachung ihrer Rechte bereitgestellt werden.
  • Die Nutzungsbedingungen gelten spätestens ab dem Zeitpunkt der Nutzung und können von Facebook jederzeit geändert werden (Ziffern 1. d und 11. d. Plattform-NB).
  • Der Betrieb der Facebook-Plattform oder Unentgeltlichkeit von Funktionen wird nicht gewährleistet (Ziffer 11. e. und h. Plattform-NB).
  • Ein Verkauf oder Unterlizensierung der Facebook-Plattform (und einzelner Bestandteile, wie Facebook-Seiten), z. B. durch Abtretung, Übernahme, Fusion, einen Kontrollwechsel, bedürfen der Zustimmung von Facebook (Ziffer 11. a. Plattform-NB).
  • Wird Facebook im Zusammenhang mit der Plattformnutzung der Unternehmen in Anspruch genommen (z. B. durch eine Abmahnung oder Datenschutzprüfungen), müssen Unternehmen Facebook von allen Nachteilen freistellen (z. B. Anwaltsgebühren ersetzen, Ziffer 9. Plattform-NB).
  • Es sind ebenfalls die “Meta-Bedingungen für die gewerbliche Nutzung” zu beachten. Sie regeln zusätzlich vor allem, dass im Fall von Rechtsstreitigkeiten mit Facebook Irland Ltd. irisches Recht und irische Gerichte und im Fall des Rechtsstreits mit Facebook, Inc. kalifornisches Recht und die dortige Gerichtsbarkeit gelten.

Regelung der Nutzungsrechte:

Anschließend regelt Ziffer 2. der Plattform-NB Plattform-Nutzungsbedingungen die Nutzungsrechte, welche sich Facebook an Apps und Inhalten sowie entsprechend an Markennamen und Logos wie folgt einräumen lässt (wobei explizit auch Werbezwecke mit umfasst sind und die Lizenz auch nach Ende der Nutzung von Facebook bestehen):

[…] nicht-exklusive, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz zum Hosten, zur Nutzung, Verbreitung, Modifizierung, Ausführung, zum Kopieren, zur öffentlichen Vorführung oder Darstellung, zur Übersetzung und zur Erstellung abgeleiteter Werke aller Informationen, Daten und sonstigen Inhalte, die durch dich oder in deinem Namen (einschließlich durch deine Dienstleister oder über deine App) in Verbindung mit der Plattform verfügbar machst (zusammen „deine Inhalte“) […]

Regelung der Datennutzung:

Die Regelungen zur Datennutzung Ziffer 3. enthalten Klauseln, die die Verarbeitung von Daten im Rahmen der Plattformnutzung einschränken:

  • Verbot der Diskriminierung aufgrund von persönlichen oder sozialen Merkmalen (Alter, Geschlecht, Ethnie, Geschlechtsidentität etc., Ziffer 3. a. i. Plattform-NB).
  • Die Plattformdaten dürfen lt. Ziffer 3. a. ii. nicht dazu verwendet werden, um Menschen bei der Entscheidung über deren Rechte zu bewerten (z. B. Nutzung der Plattformdaten für Bonitätsprüfung im Rahmen einer Wohnraumvergabe, Vergabe von Krediten, Einstellung oder Erteilung amtlicher Erlaubnisse).
  • Ebenso untersagt sind der Verkauf, Lizenzierung oder Kauf von Daten, die die Facebook-Plattform betreffen oder deren Platzierung in Suchmaschinen oder Reverse Engineering, Entschlüsselung oder Deanonymisierung (Ziffer 3. a. iv. bis vi. Plattform-NB).
  • Ebenso unzulässig ist Verbindungen zwischen Personen in einer App herzustellen, wenn nicht beide vorab eingewilligt haben (Ziffer 3. a. iii. Plattform-NB).
  • Für “eingeschränkte Plattformdaten”, also solche die Nutzer oder deren Geräte identifizieren, gelten strengere Erforderlichkeits- und Informationskriterien (Ziffer 3. b. Plattform-NB).
  • Darüber hinaus werden die allgemeinen Datenschutzprinzipien (Rechtmäßigkeit der Verarbeitung, Datenminimierung, Datenrichtigkeit, Datensicherheit und Rechenschaftspflichten) auch als Teil der Meta-Plattform-Nutzungsbedingungen bestimmt (Ziffer 3. d. 2. d. Plattform-NB). Eine Löschung der Daten muss erfolgen, sobald sie nicht mehr erforderlich sind oder entsprechend dem Gesetz oder den Plattform-NB nicht verwendet werden dürfen.
  • Apps, Games und alle anderen Entwicklungen müssen über eine Datenschutzerklärung nach Vorgaben der Art. 12 – 14 DSGVO verfügen (Ziffer 4. Plattform-NB).
  • Ferner müssen die Vorgaben für Datensicherheit durch technische (z. B. Passwörter, Schutz IT-Anlagen, etc.) und organisatorische Maßnahmen (Zugriffsberechtigungskonzepte, Verpflichtungen auf den Datenschutz, etc.) entsprechend dem Stand der Technik (ähnlich Art. 32 DSGVO) beachtet werden (Ziffer 6. Plattform-NB).
  • Alle “Vorfälle, die mit hinreichender Wahrscheinlichkeit die Sicherheit, Vertraulichkeit oder Integrität deiner IT-Systeme oder der IT-Systeme deines Dienstleisters oder Unterdienstleisters gefährden können” müssen neben der Beachtung der gesetzlichen Pflichten, auch an Facebook innerhalb von 24 Stunden gemeldet werden (Ziffer 6. b. Plattform-NB). Es muss eine einfache Meldemöglichkeit vorhanden sein (Ziffer 6. a. ii. Plattform-NB).
  • Logindaten dürfen nicht gespeichert oder sonst genutzt werden und es dürfen keine Nutzer-IDs o.ä. Zugriffsdaten an Dritte, außer an Dienstleister, übertragen werden (Ziffer 6. a. iv. Plattform-NB).

Regelung von internationalen Datentransfers:

Zusätzlich werden spezielle Regelungen im Hinblick auf internationale Datentransfers und insbesondere die Verarbeitung von Plattformdaten in den USA getroffen;

  • Da der Privacy Shield nicht mehr gilt, sind die genannten Privacy Shield-Grundsätze obsolet.
  • Es gelten damit nur die Controller-to-Controller-Standardvertragsklauseln, die von Facebook per Verweis einbezogen werden (Ziffer 10 b. Plattform-NB). Dabei werden Facebook Irland Ltd. und Unternehmen im Hinblick auf die Plattformdaten als selbständige Verantwortliche behandelt .

Regeln für die Beauftragung von Dienstleistern und Technik-Anbietern:

Im Hinblick auf die Beauftragung von Dienstleistern und Technik-Anbietern (z. B. Marketingagenturen, Programmierer, etc.) müssen die folgenden Vorgaben beachtet werden:

  • Es müssen wechselseitige Verpflichtungen zwischen den Dienstleistern und ihren Auftraggebern schriftlich (also am besten in AGB, Vertragstexten oder als gesonderte Vereinbarungen) geschlossen werden.
  • Die Dienstleister müssen sich verpflichten:
    • Nur nach Weisung der Auftraggeber und nur für diesen zu handeln.
    • Alle Bedingungen, Richtlinien und Dokumentationen von Facebook zu beachten (Facebook kann von Dienstleistern auch eine Einzelzustimmung einholen, Ziffer 5. a. vi).
    • Die Plattformdaten für keine anderen Zwecke oder Auftraggeber zu nutzen.
    • Unterdienstleister entsprechend zu verpflichten.
  • Auftraggeber müssen sich ebenfalls gegenüber den Dienstleistern wiederum verpflichten, die von den Dienstleistern gestellten Daten nur im Einklang mit allen Bedingungen von Facebook zu verarbeiten (Ziffer 5. b. 4. a.).
  • Auftraggeber haften für ihre Dienstleister und Unterdienstleister (Ziffer 5. a. ii Plattform-NB).
  • Der Zugang der Dienstleister zu Plattformdaten muss nach Ende des Auftrags sofort entzogen werden (Ziffer 5. a. iii Plattform-NB).
  • Auftraggeber und Dienstleister müssen auf Anfrage jeweils eine Liste ihrer Dienstleister, bzw. Auftraggeber auf Verlangen vorlegen (Ziffer 5. a. iv Plattform-NB).
  • Facebook kann den Einsatz der Dienstleister untersagen, wenn Facebook hierdurch Nachteile für die Plattform oder Dritte befürchtet (Ziffer 5. a. v).

Prüfungsrechte, Kontrollrechte und Sanktionen:

Damit diese Vorgaben beachtet werden, behält sich Facebook Prüfungs- und Kontrollrechte vor (Ziffer 7. Plattform-NB). Die Überprüfung kann durch folgende Maßnahmen erfolgen:

  • App Review.
  • Regelmäßige Überwachung durch Facebook und unabhängige Fachkräfte (wobei Prüfungen grundsätzlich nur einmal im Jahr und mit 10 Tagen Vorabkündigung erfolgen.
  • Einreichung von Bescheinigungen und Erklärungen.
  • Sperrung und Kündigung der Plattformnutzung.

Entwickler-Richtlinien

Spezielle Regelungen für Entwickler im Hinblick auf die Gestaltung von z. B. Apps und Bots sowie Umgang mit Nutzerdaten.

Geltung für:

Die Entwickler-Richtlinien (nachfolgend auch abgekürzt als “Entwickler-RL”) gelten für Entwickler, Unternehmen oder technische Partner, die die Facebook-Plattform nutzen (entsprechend der Geltung der o.g. Meta-Plattform-Nutzungsbedingungen).

Allgemeine Regelungen:

Die Entwickler-Richtlinien enthalten zunächst allgemeine Grundsätze:

  • Es müssen die “Gemeinschaftsstandards” (bzw. bei Instagram die “Gemeinschaftsrichtlinien“) beachtet werden (Richtlinien zum Umgang mit den Nutzern, welche deren Rechte schützen und das “Wohlfühlgefühl” auf den Plattformen sicherstellen sollen, Ziffer 1.3. Entwickler-RL).
  • Es müssen die Werberichtlinien von Facebook beachtet werden (Ziffer 1.4. Entwickler-RL). Die Werberichtlinien enthalten Vorgaben für Arten und Inhalte von Ads und anderer Werbung, wie z. B. für Alkohol, Dating, Medikamente oder Multilevel-Marketing.
  • Es muss stets die “Technische Dokumentation” für die jeweiligen Facebook-Produkte beachtet werden (u.a. Ziffer 1.9. Entwickler-RL).
  • Der Hauptzweck darf nicht darin liegen, Nutzer von Facebook wegzuleiten (Ziffer 3.4. Entwickler-RL).
  • Wenn Logos oder Marken von Facebook verwendet werden sollen, müssen die Richtlinien in “Facebook-Bereich für Markenressourcen und ‑genehmigungen” und die Markenrichtlinien für Facebook-Entwickler befolgt werden (Ziffer 3.5. Entwickler-RL).
  • Entwickler dürfen sich an keinen Programm beteiligen, das den Kauf, Verkauf oder Tausch von „Gefällt mir“-Angaben, „geteilten Inhalten“, „Abonnenten“, „Kommentaren“, „Konten“, „Seiten“, „Profilen“, „Gruppen“ oder von irgendeinem von Facebooks Produkten bewirbt oder fördert (Ziffer 3.8. Entwickler-RL).
  • Entwickler müssen sich an Recht und Gesetz halten (Ziffer 4. Entwickler-RL). Damit stellt Facebook klar, dass Verstöße gegen das Gesetz (z. B. eine fehlende, aber notwendige Einwilligung der Nutzer), einen AGB-Verstoß darstellen und so z. B. auch zur Kündigung führen können.
  • Eigene Entwicklungen, z. B. Apps, können bei “übermäßig viel negativem Feedback”, von Facebook “in ihren Funktionen eingeschränkt, pausiert, gedrosselt oder von der Plattform entfernt werden”. Facebook legt nahe, dass das Feedback stets positiv sein sollte (u.a. Ziffer 8.6. Entwickler-RL).

Regelungen für einzelne Facebook-Produkte:

Es folgen weitere und spezielle Grundsätze für bestimmte Facebook-Produkte:

  • Login (Ziffer 6. Entwickler-RL).
  • Desktop-Web-Spiele, Spiele auf Mobilgeräten und Instantgames (Ziffer 6. Entwickler-RL); Mit Regelung zu Loginvorgängen, Untersagung für Spiele auf Facebook.com und außerhalb der Plattform unterschiedliche App-IDs zu nutzen, Nutzung der Games Ads-API für Werbeanzeigen und Abschluss der “Nutzungsbedingungen für In-Game-Zahlungen bei Instant Games” als Voraussetzung für gebührenpflichtige Apps.
  • Messenger-Plattform (Ziffer 8. Entwickler-RL); Beinhaltet zeitliche Beschränkungen für die Wiederholung automatischer Nachrichten (24 h), Pflicht Werbung zu kennzeichnen, Verbot den Messenger im Gesundheitswesen einzusetzen u.a. Inhaltsregelungen.
  • Instagram-Plattform (Ziffer 9. Entwickler-RL); Die Instagram-Plattform steht Entwicklern nur in Ausnahmefällen und mit Erlaubnis von Facebook zur Verfügung; in dem Fall wird u. a. untersagt, Anzeigenetzwerke innerhalb von Instagram aufzubauen oder Personengruppen zu identifizieren oder demografische Kategorien zu erstellen, um Instagram-Mitglieder auf oder außerhalb von Instagram zu kontaktieren bzw. sich an sie zu richten.
  • Marketplace-Plattform (Ziffer 10. Entwickler-RL); Es wird insbesondere eine Reportingpflicht und Missbrauchspflicht im Hinblick auf Lead-Daten vereinbart.
  • Commerce Platform (Ziffer 11. Entwickler-RL); Die Regelungen betreffen die Entwickler, die z. B. E-Commerce-Features nutzen möchten und verweisen zusätzlich auf die “Händlervereinbarung für E-Commerce-Produkte“.
  • Weitere Regelungen für: Spark AR, Jobs-Plattform, Live API, Marketing API, Pages API, CrowdTangle API, PSID API, Soziale Plugins, Werbeanzeigen, Zahlungen, App Center, Profile Expression Kit (Ziffer 12. bis 23. Entwickler-RL);

Nutzungsbedingungen für Facebook Business-Tools

Spezielle Regelungen, die insbesondere beim Einsatz des Facebook-Pixels, Social Plugins sowie Übermittlung von Event-Daten und Kontaktinformationen an Facebook zwecks Bildung von Custom Audiences zur Anwendung kommen.

Geltung für:

Unternehmerische Nutzung der Facebook Business Tools, insbesondere das Facebook-Pixel, oder Social Plugins und Events-APIs (nachfolgend kurz “Facebook NBBT”). Insbesondere Übermittlung von Event-Daten und Kontaktinformationen im Rahmen der Business-Tools zwecks Bildung von Zielgruppen zur Werbezwecken (sog. „Custom Audiences“).

Allgemeine Regelungen:

Generelle Nutzungsbedingungen für Facebook Business-Tools:

  • Auch über den Upload hinaus, sichert Facebook die Sicherheit der Daten zu (Ziffer 1 c. Facebook NBBT).
  • Die Event-Daten können Gegenstand von Kundenauskünften sein (Ziffer 1 d. Facebook NBBT).
  • Der Einsatz der Facebook-Business-Tools muss auf einer gesetzlichen Erlaubnis beruhen, was praktisch ein Opt-In, also eine Einwilligung der Websitebesucher oder App-Nutzer voraussetzt (Ziffer 1 e. und 3. Facebook NBBT).
  • Facebook behält sich vor Auskunft im Hinblick auf die übermittelten Daten zu erteilen (Ziffer 1. d. Facebook NBBT).
  • Unternehmen müssen Facebook über etwaige Beschwerden oder Anfechtungen im Zusammenhang mit Businesstools informieren (Ziffer 1. f. Facebook NBBT).
  • Dienstleister (z. B. Agenturen) müssen ihre Kunden auf die Einhaltung dieser Nutzungsbedingungen verpflichten (Ziffer 1. g. Facebook NBBT).
  • Unternehmen dürfen über die Facebook Business Tools keine Daten teilen, von denen sie wissen bzw. “angemessenerweise wissen sollten”, dass diese von Kindern unter 13 Jahren stammen (Vorgaben der COPPA).
  • Pflicht Datenschutzhinweise auf die Verarbeitung von Daten durch Facebook-Businesstools samt Hinweisen Widerspruchsrechte der Nutzer auf allen Webseiten und in Apps (hier zumindest in den App-Einstellungen) bereitzustellen (Ziffer 3. Facebook NBBT).
  • Sowohl Facebook als auch Unternehmen können die Nutzung der Custom Audiences jederzeit beenden (Ziffer 4. a. Facebook NBBT).
  • Facebook behält sich vor die “Nutzungsbedingungen für Facebook Business-Tools” jederzeit zu ändern. Falls Unternehmen die Änderungen nicht akzeptieren wollen, dürfen sie die Businesstools nicht weiternutzen (Ziffer 4. d. Facebook NBBT).
  • Die Event-Daten werden von Facebook für zwei Jahre gespeichert. Die von Unternehmen erstellten Zielgruppen werden erst dann gelöscht, bis Unternehmen die Zielgruppen oder ihr Facebook-Konto löschen (Ziffer 4. b. Facebook NBBT). Die Kontaktinformationen, die an Facebook übermittelt werden, werden nach deren Abgleich gelöscht (Ziffer 2. a. i. Facebook NBBT).

Regelung der Auftragsverarbeitung:

In folgenden Fällen werden Daten von Facebook als Auftragsverarbeiter im Auftrag der Unternehmen (nach Maßgabe der Datenverarbeitungsbedingungen und des Facebook-EU-Datenübermittlungszusatzes) verarbeitet (Ziffer 5. a. i. Facebook NBBT):

  • Kontaktinformationen für den Abgleich – Bildung von Custom Audiences zwecks Ausspielung von Werbung an bestimmte Facebook- oder andere Nutzer auf Grundlage von Namen, E-Mail-Adressen und Telefonnummern (Ziffer 2. a. i. Facebook NBBT).
  • Event-Daten für Messlösungen und Analysedienste – Erstellung von Kampagnenberichten und Analysen (Ziffer 2. a. ii. Facebook NBBT).

Regelung der gemeinsamen Verantwortlichkeit:

In folgenden Fällen werden Daten von Facebook zusammen mit Unternehmen nach Maßgabe des Zusatzes für Verantwortliche (Ziffer 5. a. ii. Facebook NBBT) verarbeitet:

  • Event-Daten für das Targeting von Werbeanzeigen – Zielgerichtete Werbung, Bildung von Zielgruppen, z. B. auf Grundlage von Daten, die keine Kontaktinformationen darstellen (also z. B. keine Namen oder Telefonnummern und E-Mailadressen sind), zu denen vor allem Daten betreffend das Verhalten des Nutzers und seinen Interessen an Inhalten gehören (Ziffer 2. a. iii. Facebook NBBT).
  • Event-Daten für die Zustellung kommerzieller und transaktionsbezogener Nachrichten – Verarbeitung von Event-Daten zwecks Ansprache der Nutzer in Nachrichten, z.B. im Facebook Messenger (Ziffer 2. a. iv. Facebook NBBT).
  • Event-Daten zur Verbesserung der Anzeigenauslieferung, zur Personalisierung von Funktionen und Inhalten – Auch diese Zwecke dienen der Verbesserung der zielgenauen Ausspielung von Facebook-Werbung, z. B. durch Schulung der Facebook-Software (Ziffer 2. a. v. i. Facebook NBBT).

Verarbeitung durch Facebook in eigener Verantwortlichkeit:

In folgenden Fällen werden Daten von Facebook in eigener Verantwortlichkeit verarbeitet:

  • Event-Daten zur Verbesserung und Sicherung der Facebook-Produkte – Verarbeitung zum Schutz und die Sicherheit auf und außerhalb von den Produkten der Facebook-Unternehmen zu fördern sowie für Forschungs- und Entwicklungszwecke und für den Erhalt der Integrität der Produkte der Facebook-Unternehmen sowie für deren Verbesserung (Ziffer 2. a. v. ii. Facebook NBBT).

Verarbeitung durch Unternehmen in eigener Verantwortlichkeit:

Verarbeitungen, die zu allen anderen, als den vorbenannten Nutzungszwecke erfolgen, werden von Unternehmen im Rahmen eigener Verantwortlichkeit verarbeitet (Ziffer 2. a. v. iii. Facebook NBBT).

Nutzungsbedingungen für Custom Audiences mit Kundenliste

Spezielle Regelungen, die im Fall der Übermittlung von Kontaktinformationen an Facebook zwecks Bildung von Custom Audiences zur Anwendung kommen.

Geltung für:

Fälle in denen Kontaktinformationen an Facebook zwecks Bildung von Zielgruppen zu Werbezwecken (sog. „Custom Audiences mit Kundenliste“) an Facebook übermittelt werden (z. B. Kundennamen, E-Mailadressen oder Telefonnummern).

Regelungen für Custom Audiences mit Kundenliste:

Nutzungsbedingungen für Custom Audiences mit Kundenliste (nachfolgend kurz “Facebook NBCA”). Wichtig: Zielgruppen, die Mittels des Facebook-Pixels, mobile Apps oder Offline-Daten gebildet werden, fallen nicht unter diese Nutzungsbedingungen, sondern unterliegen den Facebook Business-Tools.

  • Facebook verarbeitet die hochgeladenen Daten im Auftrag nach Maßgabe der oben dargestellten Datenverarbeitungsbedingungen und des Facebook-EU-Datenübermittlungszusatzes. Facebook geht daher davon aus, dass die Verarbeitung zwecks Ausspielung der Werbung einen Fall der Verarbeitung im Auftrag darstellt (Ziffer 10. a. Facebook NBCA). Das ist insoweit nachvollziehbar, als die hochgeladenen Daten alleine der Darstellung vom Werbeanzeigen im Auftrag des beauftragenden Werbetreibenden dienen).
  • Die bereitgestellten Dateien werden vor dem Upload “hashed“, d.h. mit einem Schlüssel-Code in einem nummerischen Wert umgewandelt (S. 2 Facebook NBCA). Dadurch entfällt jedoch nicht der Personenbezug, da diese Hashwerte, mit Telefonnummern der Facebook-Nutzer oder anderer Werbelisten abgeglichen werden können, die mit demselben Schlüssel gehasht werden. Das Hashing dient damit vor allem der Transportsicherung der hochgeladenen Daten.
  • Auch über den Upload hinaus, sichert Facebook die Sicherheit der Daten zu (Ziffer 4 Facebook NBCA).
  • Unternehmen sichern zu, dass sie die Rechte zum Upload der Daten haben (Ziffer 1 Facebook NBCA). Das setzt im Regelfall die Einwilligung der Betroffenen voraus (s. auch Verwaltungsgericht Bayreuth, 08.05.2018, B 1 S 18.105). Etwaige nachträglich Widersprüche der Betroffenen müssen zur entsprechenden Aktualisierung der Custom Audience führen (Ziffer 2 Facebook NBCA).
  • Facebook behält sich vor die Werbeempfänger darüber zu informieren, warum sie Werbeinhalte sehen. Das bedeutet, dass z. B. Kunden von Unternehmen erfahren könnten, dass Unternehmen deren Kontaktinformationen an Facebook zu Werbezwecken weitergeleitet haben. Unternehmen können dagegen nicht unmittelbar erfahren, welche einzelnen Nutzer angesprochen wurden (Ziffer 6 Facebook NBCA).
  • Sowohl Facebook als auch Unternehmen können die Nutzung der Custom Audiences jederzeit beenden (Ziffer 6 Facebook NBCA).
  • Es ist nicht zulässig die Custom Audiences zu verkaufen oder sonst zu übertragen, außer die Beteiligten haben eine “Vereinbarungen über die Lizenzierung von Marketinginformationen abgeschlossen” (Ziffer 9 Facebook NBCA).
  • Agenturen müssen ihre Kunden auf die Einhaltung dieser Nutzungsbedingungen verpflichten (Ziffer 2 Facebook NBCA).

Datenverarbeitungsbedingungen

Es handelt sich um einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO), der im Fall der Übermittlung von Kontaktinformationen zur Bildung von Zielgruppen (Custom Audiences) sowie Event-Daten, die Facebook verarbeitet, um Unternehmen Berichten und Analysen bereitzustellen. Die Regelungen ergeben sich vor allem aus Art. 28 Abs. 3 DSGVO (was nicht automatisch bedeutet, dass den Vorgaben dieser Vorschrift genügt wird).

Geltung für:

  • Übermittlung von Kontaktinformationen zur Bildung von Zielgruppen (Custom Audiences) – Dazu gehören Namen, E-Mail-Adressen und Telefonnummern , die entweder als Kundenliste oder via Facebook-Business-Tools übermittelt werden (z. B. via Facebook-Pixel) und dem Abgleich mit Daten von Facebooks Nutzern (und anderen von Facebooks Werbenetzwerk angesprochenen Nutzern) dienen (s. Ziffer 5. a. i. der Nutzungsbedingungen für Facebook Business-Tools sowie Ziffer 10. a. der Nutzungsbedingungen für Custom Audiences, die auf benutzerdefinierten Listen beruhen, von Facebook zusammen als “Nutzungsbedingungen für umfasste Produkte” bezeichnet).
  • Event-Daten für Messlösungen und Analysedienste – Dazu gehören alle anderen Daten, die Facebook über die Business-Tools erhält, also z. B. Daten zum Verhalten und Interessen der Nutzer, die Facebook für Zwecke der Bildung von Kampagnenberichten und Analysen verarbeitet (Ziffer 5. a. i. der Nutzungsbedingungen für Facebook Business-Tools).

Regelungen der Auftragsverarbeitung:

  • Als Bestimmung über die Mittel der Verarbeitung (im Sinne von Art. 4 Nr. 7 DSGVO) wird das Einverständnis mit Facebooks Nutzungsbedingungen für umfasste Produkte definiert.
  • Facebook ergreift die erforderliche technische und organisatorische Maßnahmen (Ziffer. 3 Facebook DVB).
  • Facebook unterstützt Unternehmen bei der Erfüllung der Auskunftspflichten gegenüber Nutzern oder Datenschutzbehörden (Ziffer. 5 und 7 Facebook DVB) oder im Fall der Verletzung des Datenschutzes (Ziffer. 9 Facebook DVB);
  • Die von Unternehmen erstellten Zielgruppen werden erst dann gelöscht, bis Unternehmen die Zielgruppen oder ihr Facebookkonto löschen (Ziffer 4. b. Facebook NBBT). Die Kontaktinformationen, die an Facebook übermittelt werden, werden nach deren Abgleich gelöscht (Ziffer 2. a. i. Facebook NBBT).
  • Als Kontrollrecht wird lediglich die jährliche Möglichkeit der Vorlage eines unabhängigen Auditberichts (“Typ II-Prüfung oder eine andere Prüfung nach Branchenstandard, die Facebook möglicherweise als geeignet erachtet“) vereinbart (Ziffer 8 Facebook-DVB).
  • Facebook lässt sich eine allgemeine Generaleinwilligung in die Beauftragung von Unterauftragsverarbeitern, auch solcher in den USA ansässigen, einräumen. Diese müssen vorab mitgeteilt werden. Eine Ablehnung der Unterauftragsverarbeiter kann nur durch Einstellung der Nutzung der maßgeblichen Facebook-Produkte erfolgen (Ziffer.10 und 11 Facebook DVB);
  • Im Hinblick auf den Transfer der maßgeblichen Daten der Nutzer aus der EU oder Schweiz in die USA (d. h. unternehmensbezogen von Facebook Irland zu Facebook USA), gilt der “Facebook-EU-Datenübermittlungszusatz“.

Facebook-EU-Datenübermittlungszusatz

Mit diesem Zusatz werden die Datenverarbeitungsbedingungen um EU-Controller-to-Processor-Standardvertragsklauseln (Übermittlung vom verantwortlichen Unternehmen an Facebook als Auftragsverarbeiter) ergänzt. Der Facebook-EU-Datenübermittlungszusatz dient als Grundlage der Verarbeitung von Event-Daten von EU-Bürgern in den USA zwecks Bildung von Nutzerprofilen (für Custom Audiences) und Ausspielen einer an mutmaßlichen Interessen der Nutzer ausgerichteten Inhalte und Werbeinformationen (sog. Targeting).

Geltung für:

Entspricht der Geltung in den o.g. Datenverarbeitungsbedingungen.

Einbeziehung der Standardvertragsklauseln:

Mit den Facebook-EU-Datenübermittlungszusatz (nachfolgend auch abgekürzt als “Facebook E-DÜZ”) werden die Standarddatenschutzklauseln der EU-Kommission zugleich in den Auftragsverarbeitungsvertrag mit Facebook einbezogen und durch zusätzliche Regelungen flankiert:

  • Facebook bezieht sich per Verweis auf die Standarddatenschutzklauseln der EU-Kommission (Muster-Verträge, in denen sich die Auftragsverarbeiter, also hier Facebook, zur Einhaltung eines angemessenen Datenschutzniveaus verpflichten, auch Standardvertragsklauseln genannt) und spricht kurz von “Klauseln” (Ziffer 8. a. Facebook E-DÜZ). Die Standardvertragsklauseln dienen als Grundlage des Transfers der Nutzerdaten aus der EU und der Schweiz in die USA.
  • Zuerst verpflichtet Facebook Unternehmen diesen “Facebook-EU-Datenübermittlungszusatz” von den zuständigen Datenschutzbehörden zu genehmigen, wenn dies erforderlich ist (s. Ziffer 1. 1. Facebook E-DÜZ). Der Grund ist, dass die Standarddatenschutzklauseln ohne eine solche Genehmigung nicht verändert werden dürfen. Facebook will damit eine Haftung zumindest intern im Verhältnis zu Unternehmen von sich weisen, falls die Ergänzungen des Facebook-EU-Datenübermittlungszusatzes genehmigungspflichtige Veränderungen der Standarddatenschutzklauseln darstellen oder kein erforderliches Datenschutzniveau gewährleisten.
  • Allerdings sollen die Standarddatenschutzklauseln durch diesen Facebook-EU-Datenübermittlungszusatz (Ziffer 6 Facebook E-DÜZ) nicht eingeschränkt werden und immer Vorrang haben (wobei derartige “Wir schränken Gesetze/Regeln soweit es geht”-Klausen vor Gerichten wegen unklaren Regelungsumfangs stets auf wackeligen Beinen stehen).
  • Der Facebook-EU-Datenübermittlungszusatz enthält eine Reihe an Erweiterungen der Standarddatenschutzklauseln. Z. B. eine Klarstellung, dass etwaige Einschränkungen in den Datenverarbeitungsbedingungen nicht gelten, falls sie den Standarddatenschutzklauseln nicht genügen würden (s. Ziffer 2. d. Facebook E-DÜZ).
  • Ferner schränkt Facebook seine Haftung wieder mit Querverweisen auf andere Nutzungsbedingungen ein (s. Ziffer 3. d. Facebook E-DÜZ).
  • Facebook ist auf den Nachfolger des “Privacy Shield” oder Anwendung von sog. Binding Corporate Rules vorbereitet, indem sich der Dienst die Kündigung des Facebook-EU-Datenübermittlungszusatzes vorbehält (s. Ziffer 5 und 6 Facebook E-DÜZ).
  • Rechtlich ungewöhnlich ist die Regelung, nach der Facebook Irland nur soweit Vertragspartei wird, als es die Wahrung der Datenschutzrechte dient, aber nicht im Hinblick auf die eigentlichen Verarbeitungsbedingungen. Hier kann man sich fragen, ob Facebook Irland dann überhaupt Verantwortlicher der Verarbeitung der Daten ist (was eine stete Kritik der Datenschützer ist).

Zusatz für Verantwortliche

Vereinbarung über gemeinsame Verantwortlichkeit (Art. 28 Abs. 1 S. 3 DSGVO), die im Fall der Verarbeitung von Event-Daten zu Zwecken des Targetings sowie Verbesserung und Sicherung der Facebook-Produkte.

Geltung für:

  • Verarbeitung von Event-Daten für das Targeting von Werbeanzeigen – Dazu gehören alle anderen Daten als Namen, E-Mail-Adressen und Telefonnummern, die Facebook über die Business-Tools erhält; also z. B. Verhaltens- und Interessensdaten, die für Zwecke zielgerichteter Werbung, Bildung von Zielgruppen einsetzt werden (Ziffer 5. a. ii. der Nutzungsbedingungen für Facebook Business-Tools).
  • Verarbeitung von Event-Daten für die Zustellung kommerzieller und transaktionsbezogener Nachrichten – Verarbeitung von Event-Daten zwecks Ansprache der Nutzer in Nachrichten, z.B. im Facebook Messenger (Ziffer 5. a. ii. der Nutzungsbedingungen für Facebook Business-Tools).
  • Verarbeitung von Event-Daten zur Verbesserung der Anzeigenauslieferung, zur Personalisierung von Funktionen und Inhalten – Letztendlich diese Zwecke auch der Verbesserung der zielgenauen Ausspielung von Facebook-Werbung, z. B. durch Schulung der Facebook-Software (Ziffer 5. a. ii. der Nutzungsbedingungen für Facebook Business-Tools).

Regelungen der gemeinsamen Verantwortlichkeit:

  • Der Zusatz für Verantwortliche gilt nur dann, wenn auf ihn ausdrücklich in anderen Nutzungsbedingungen Bezug genommen wird (S. 1 Facebook ZfV). Eine solche Bezugnahme findet sich z. B. in  Ziffer 5. a. i. der Facebook Business Tools.
  • Der Zusatz für Verantwortliche hat Vorrang vor anderen Nutzungsbedingungen (S. 3 Facebook ZfV).
  • Unternehmen müssen eine eigene Rechtsgrundlage für die Verarbeitung der Nutzerdaten vorweisen können (Nr. 1 Facebook ZfV). In Frage kommen vor allem berechtigte Interessen am Marketing, bzw. Einwilligung der Nutzer im Fall des Einsatzes von Facebook-Pixeln oder Social Plugins (eingeholt im Rahmen von sog. Content/Inhalts-Opt-Ins).
  • Unternehmen sind für die Wahrnehmung der Widersprüche der Nutzer im Hinblick auf ihre Verarbeitung der Daten sowie der technischen Implementierung und Konfiguration der Facebook-Produkte (was z. B. stets aktuelle Updates ihrer CMS-Systeme bedeutet) und Informationsaustausch im Fall von Datenpannen verpflichtet (Nr. 5-7 Facebook ZfV).
  • Ferner macht Facebook seine technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO (“Datensicherheitsbedingungen“) zum Gegenstand der Datenverarbeitung (Unterpunkt 6, Facebook ZfV).
  • Es wird klargestellt, dass Unternehmen keine Berechtigung zum Zugriff auf die Daten der Nutzer zusteht (was im Einklang mit dem EuGH steht, dem die Zugriffsmöglichkeit eines Verarbeiters (Facebook) ausreichen, während der andere Verarbeiter (d. h. die Unternehmen) lediglich Facebooks Verarbeitung durch den Einsatz von Facebook-Tools ermöglichen müssen (Unterpunkt 7, Facebook ZfV).
  • Falls Nutzer oder Datenschutzbehörden bei Unternehmen Auskunfts- oder andere Rechte geltend machen, müssen Unternehmen Facebook darüber via Kontaktformular unverzüglich, spätestens jedoch innerhalb von 7 Tagen informieren (Unterpunkt 8, Facebook ZfV)
  • Unternehmen stimmen zu, dass Streitverfahren vor irischen Gerichten und auf Grundlage des irischen Rechts stattfinden (Unterpunkt 9, Facebook ZfV).
  • Facebook behält sich vor, diesen Zusatz für Verantwortliche “von Zeit zu Zeit zu aktualisieren”, wobei eine Pflicht zum Vorabhinweis nicht vereinbart und eine Zustimmung durch die Weiternutzung von Facebook-Produkten vereinbart wird.
  • Unternehmen werden verpflichtet, die Datenschutzhinweise in ihrer Datenschutzerklärung zu erweitern (Nr. 2 und 3 Facebook ZfV):

Vorgaben für die Anpassung der Datenschutzerklärung:

Die Verpflichtung zur Anpassung der Datenschutzerklärung enthält die folgenden Vorgaben (Nr. 2 und 3 Facebook ZfV):

  • Hinweis, dass Facebook Irland ein gemeinsam Verantwortlicher der gemeinsamen Verarbeitung ist und dass die gemäß Artikel 13 Abs. 1 lit. a) und b) DSGVO erforderlichen Informationen in der Datenrichtlinie von Facebook Irland unter https://www.facebook.com/about/privacy zu finden sind.
  • Die Information, dass von dem Zusatz für Verantwortliche umfasste Produkte verwendet werden, sowie die Zwecke, für die die Erhebung und Übermittlung der personenbezogenen Daten, die die gemeinsame Verarbeitung darstellen, erfolgt, wie es in den auf den Zusatz für Verantwortliche verweisenden Nutzungsbedingungen dargelegt ist.
  • Hinweis, dass weitere Informationen dazu, wie Facebook Irland personenbezogene Daten verarbeitet, einschließlich der Rechtsgrundlage, auf die Facebook Irland sich stützt, und der Möglichkeiten zur Wahrnehmung der Rechte betroffener Personen gegenüber Facebook Irland, in der Datenrichtlinie von Facebook Irland unter https://www.facebook.com/about/privacy zu finden sind.
  • Hinweis, dass Unternehmen mit Facebook Irland diesen Zusatz für Verantwortliche geschlossen haben, um die jeweiligen Verantwortlichkeiten für die Erfüllung der Verpflichtungen gemäß DSGVO hinsichtlich der gemeinsamen Verarbeitung festzulegen (wie in den verweisenden Nutzungsbedingen festgelegt wurde); Dass Unternehmen dafür verantwortlich sind, den betroffenen Personen zumindest diese Informationen zur gemeinsamen Verantwortlichkeit mit Facebook bereitzustellen verpflichtet sind.
  • Hinweis, dass Unternehmen mit Facebook Irland vereinbart haben, dass Facebook Irland für die Erfüllung der Rechte betroffener Personen gemäß Artikel 15-20 der DSGVO hinsichtlich der von Facebook Irland nach der gemeinsamen Verarbeitung gespeicherten personenbezogenen Daten verantwortlich ist.

Informationen zu Seiten-Insights

Die “Informationen zu Seiten-Insights” stellen ebenfalls eine Vereinbarung über gemeinsame Verantwortlichkeit dar. Sie ist jedoch auf den Betrieb von Facebook-Seiten (sog. Fanpages) und der Erhebung der Daten der Seitenbesucher durch Facebook beschränkt.

Auf die Informationen zu Seiten-Insights wird an dieser Stelle nur der Vollständigkeit halber verwiesen, da sie kein Teil der aktuellen Aktualisierungen der Bedingungen und bereits hier im Blog besprochen worden sind: “(Vorerst) Erleichterung für Fanpage-Betreiber: Facebook kommt Datenschutzbehörden entgegen“.

Aktualisierungen

Facebook verpflichtet Unternehmen, sich über Änderungen der Bedingungen selbst auf dem Laufenden zu halten und bietet Ihnen die folgenden Informationsquellen an:

  • App-Dashboard: Alle Entwickler und Partner, die auf der Facebook-Plattform aufbauen (einschließlich Facebook, Messenger, die Instagram-Plattform und andere Facebook-Produkte) sollten sicherstellen, dass ihre Informationen im App-Dashboard auf dem neuesten Stand sind, und die Benachrichtigungen im Dashboard der Anwendung wöchentlich überprüfen.
  • Business-Manager: Facebook-Marketingpartner sollten ihre Kommunikationseinstellungen in ihrem Business Manager aktualisieren (Benachrichtigungseinstellungen / “Partnerprogramm-Updates”, und klicken Sie auf den Kippschalter, um alle “Partner” zu aktivieren).
    Programm-Updates”, um wichtige E-Mail-Benachrichtigungen zu erhalten.
  • Blog: Kommende Updates werden auch im Entwickler-Blog von Facebook angekündigt, weshalb der Blog abonniert werden sollte.

Verstößt die Nutzung von Facebook gegen die DSGVO?

Facebook steht an vielen Fronten in der Kritik:

  • Grundsatzkritik – Datenschutzaufsichtsbehörden bemängeln insbesondere eine Intransparenz der Verarbeitungsvorgänge sowie der Profilbildung für die Nutzer und die Verarbeitung der Daten in den USA (wo laut des EuGH grundsätzlich kein hinreichendes Datenschutz-Niveau besteht). Zwar bietet Facebook nunmehr Standardvertragsklauseln an, jedoch müsste überprüft und festgestellt werden, dass Facebook die Daten von Europäern wirksam vor US-Geheimdiensten geschützt werden (unsere Anleitung für eine solche Prüfung). Das ist praktisch kaum möglich oder feststellbar, zumal unklar ist, wie hoch das Datenschutzniveau angesetzt wird. Insoweit setzt die Nutzung von Facebook ein Vertrauen in die Zusicherung von Facebook voraus, dass Facebook die Daten seiner Nutzer gegen Zugriffe von US-Geheimdiensten wirksam schützt.
  • Unwirksame Vereinbarungen – Der zusätzlichen Kritik an fehlenden Vereinbarungen über Auftragsverarbeitung oder gemeinsame Verantwortlichkeit, ist Facebook mit den dedizierten Regelungen in den Datenverarbeitungsbedingungen und dem Zusatz für Verantwortliche entgegengetreten. Allerdings ist zu erwarten, dass diese von den Aufsichtsbehörden mangels Transparenz (wie schon entsprechende Vereinbarungen für Facebook-Seiten), ebenfalls als unzureichend abgelehnt werden. Nach deren Ansicht können Unternehmen mangels Einsicht in Facebooks Verarbeitungen ihren Prüfungs- und Kontrollpflichten gar nicht nachkommen.
  • Kritik an einzelnen Klauseln – Neben dieser Grundsatzkritik ist auch Kritik an den einzelnen Regelungen der Nutzungsbedingung zu erwarten (z. B. on die Regelungen im Auftragsvertrag den Anforderungen des Art. 28 Abs. 3 DSGVo genügen). Deren Überprüfung würde jedoch den Rahmen dieses Beitrags sprengen und sollte ohnehin im Einzelfall erfolgen.

Ob diese Kritik berechtigt ist, kann erst nach einer Entscheidung des EuGH gesagt werden. Allerdings liefert sich Facebook ein Katz-und-Maus-Spiel mit den Behörden und Gerichten.

Nach den EuGH-Entscheidungen nimmt Facebook z. B. Änderungen an seinen Verträgen oder Verarbeitungen vor. Allerdings nur so weit, als die Änderungen notwendig sind, um sich dann auf eine geänderte Sachlage berufen zu können (über die mit einem neuen Urteil entschieden werden muss).

Vor diesem Hintergrund kann auch eine rechtliche Einschätzung nie verlässlich erfolgen. Vor allem, wenn auch wirtschaftliche Faktoren berücksichtigt werden sollen. Daher ist die Nutzung von Facebook stets eine Risikoentscheidung.

Sollte ich Facebook weiterverwenden?

Ausgehend von einem wirtschaftlichen (bzw. öffentlich-rechtlichen) Interesse an der Weiternutzung von Facebook, sind für die Frage der Weiternutzung vor allem die möglichen Konsequenzen maßgeblich.

Als solche kommen vor allem Bußgelder und Unterlassungsaufforderungen in Betracht. Allerdings ist hierbei zu bedenken, dass Facebook ein Politikum ist und als direktes Ziel der Aufsichtsbehörden vorgezogen wird. Auch werden Bußgelder in derartigen Fällen nach bisheriger Erfahrung nicht verhängt. Wenn Maßnahmen ergriffen werden, dann ist eine Untersagung als strengste Maßnahme zu erwarten.

Auch Abmahnungen gegen die generelle Nutzung von Facebook sind weniger zu erwarten. Der Grund ist, dass viele der rechtlichen Fragen auch andere soziale Netzwerke und Plattformen betreffen. D. h. Abmahnwillige könnten sich auch selbst in Gefahr bringen. Wenn Abmahnungen ausgesprochen werden, dann wegen fehlender Einwilligungen beim Einsatz von Facebook-Pixeln auf Webseiten ohne eine Einwilligung (“Cookie-Opt-In”) der Nutzer oder fehlender Datenschutzhinweise.

Maßnahmen, die Sie ergreifen sollten

Die aktualisierten Bedingungen treten als geänderte AGB automatisch in Kraft (zumindest sollten Sie davon ausgehen), so dass Sie insoweit nichts unternehmen müssen.

Allerdings müssen Sie prüfen, ob Sie Facebooks Vorgaben genügen:

  • Aktualisierung Vereinbarungen mit Dienstleistern – Unternehmen müssen Dienstleister auf die Einhaltung von Facebooks-Nutzungsbedingungen und Verwendung von Plattform- und aller anderen Facebook-Daten auf den Zweck des Auftrags beschränken (z. B. in AGB, NDAs oder Verträgen).
  • Aktualisierung Vereinbarungen mit Kunden – Umgekehrt müssen Dienstleister ihre Kunden darauf verpflichten, von Facebook erhaltene Daten nur für erlaubte Zwecke einzusetzen.
  • Einholung von Einwilligungen auf Webseiten oder in Apps – Nutzer müssen sich mit der Erhebung und Verarbeitung von Daten durch Facebook vorab einverstanden erklären (sog. “Cookie-Opt-In“).
  • Aktualisierung der Datenschutzerklärung – Unternehmen müssen auf die Art der Zusammenarbeit mit Facebook hinweisen und dabei Facebooks-Vorgaben beachten.

Aktualisierung der Facebook-Module im Datenschutz-Generator

Wir haben die folgenden Facebook- und Instagram Module um Metas Vorgaben ergänzt:

Wenn Sie als Premium-Kunde Ihre Eingaben laden und die Datenschutzerklärungen neu generieren, werden die neuen Datenschutzhinweise automatisch übernommen.

Fazit und Praxistipps

Metas Nutzungsbedingungen für Facebook und Instagram sind kompliziert und sie zu erfassen setzt viel Arbeit voraus. Alle Regelungen rechtlich en detail zu würdigen wäre kaum wirtschaftlich vertretbar, zumal kein eindeutiges Ergebnis in Aussicht stünde.

Daher ist es üblich, dass Facebook und Instagram alleine auf Grundlage wirtschaftlicher (Risiko)Überlegungen eingesetzt werden. Das bedeutet wiederum, dass Unternehmen sich an Facebooks Katz-und-Maus-Spiel mit den Datenschutzaufsichtsbehörden beteiligen, was als verbleibendes Risiko unumgänglich ist.

Allerdings sollte das Risiko möglichst niedrig gehalten werden, was die Ergänzung der Datenschutzerklärungen und Verträge mit Dienstleistern voraussetzt (wobei diese Pflichten nicht nur vom Gesetz, sondern auch von Facebook vorgeschrieben werden).

Tipp für mehr Rechtssicherheit

Mit unseren Generatoren können Sie nicht nur ein Impressum, sondern als Unternehmen auch rechtssichere Datenschutzerklärungen oder Shop-AGB erstellen und die folgenden Vorteile genießen:  vom Anwalt  mit Siegel  kein Abo  Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.

In unserem Shop erhalten Sie eine Übersicht unserer Angebote: