Facebook hat seine “Informationen zu Seiten-Insights” aktualisiert. Dabei handelt es sich um eine vom Gesetz vorgesehene Vereinbarung zwischen zwei datenschutzrechtlich gemeinsam verantwortlichen Datenverarbeitern.

Dieses Update wird zwar nicht alle Probleme lösen, ist jedoch m.E. ein starkes Argument pro Fanpage-Nutzung. Warum und wo noch Risiken verbleiben, erkläre ich in dem folgenden Beitrag.

Kritik an bisheriger Vereinbarung

Die “Informationen zu Seiten-Insights” stellen eine Vereinbarung dar, wie sie wegen der Rechtsprechung des Europäischen Gerichtshofs notwendig wurde (EuGH, 05.06.2018 – C-210/16). Der EuGH befand, dass die Betreiber von Facebook-Seiten (sog. Fanpages) gemeinsam mit Facebook verantwortlich sind (Details hier im Blog).

Die bisherige Vereinbarung wurde von Datenschutzbehörden jedoch vor allem aus zwei Gründen abgelehnt. Zum einem seien der Detailgrad der Beschreibung der Verarbeitungsprozesse nicht hinreichend genau und es würde den Fanpagebetreibern an einem Einfluss auf Facebook Datenerarbeitung fehlen.

Die Aufsichtsbehörden meinen also, dass die Fanpagebetreiber die Rechtmäßigkeit des Fanpagebetriebs nicht hinreichend einschätzen und sicherstellen können.

Entgegenkommen von Facebook

In den neuen “Informationen zu Seiten-Insights” wurden daher vor allem die Arten der erhobenen Daten detaillierter dargestellt. Ebenso wurden als Novum auch technische und organisatorische Sicherheitsmaßnahmen aufgeführt.

Die Fanpagebetreiber erhalten jedoch keine weiteren Mitbestimmungsrechte. Allerdings frage ich mich, warum die Möglichkeit eine Fanpage zu schließend nicht ausreichend sein sollte. Der EuGH beschränkt die Verantwortung der Fanpagebetreiber auf die Erhebung der Besucherdaten. Die Mitverantwortung begründet er zudem mit der Eröffnung der Fanpage. Umgekehrt müsste daher deren Schließung als Einflussmöglichkeit ausreichen.

Ob Facebooks Update den Datenschutzbehörden ausreichen werden, ist dennoch zweifelhaft. Zumal Datenschützer ein grundsätzliches Problem mit Facebooks Geschäftsmodel haben. Wobei dieses Problem durch die aktuellen Änderungen zumindest zum Teil entkräftet wird.

Der wichtigste Satz

Der wichtigste Satz der aktuellen Informationen zu Seiten-Insights lautet meines Erachtens wie folgt:

“Events, die zum Erstellen von Seiten-Insights verwendet werden, speichern außer einer Facebook-Nutzer-ID für bei Facebook eingeloggte Personen keine IP-Adressen, Cookie-IDs oder irgendwelche anderen Kennungen, die Personen oder ihren Geräten zugeordnet sind.”

Das bedeutet so viel, dass Facebook keine Daten von Nichtmitgliedern, die Fanpages besuchen, verarbeitet – zumindest wenn es um die Erstellung von Insights-Statistiken geht. Damit würde ein Argument der Datenschutzbehörden und des EuGH gegen Facebook entkräftet. Denn gerade die Insights-Statistiken zog der EuGH als Grundlage für die Mitverantwortung der Fanpagebetreiber heran und betonte zudem (Rn. 41, Hervorhebung von mir):

[…], dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.

Kritikpunkt Facebook Mitglieder

Aber auch wenn von Nichtmitgliedern keine für die Insights-Statistiken bestimmten Daten erhoben werden – strittig bleibt weiterhin die Verarbeitung der Daten der Facebook-Mitglieder zu Werbezwecken.

Hier beruft sich Facebook zum Teil darauf, dass die Mitglieder sich mit der Verarbeitung ihrer Daten zu Werbezwecken einverstanden erklären und zum Teil auf berechtigte betriebswirtschaftliche Interessen (Art. 6 Abs. 1 lit. a und b DSGVO).

Zu erwarten ist jedoch, dass Datenschutzbehörden die Einwilligungen mangels Transparenz und Umfangs des Werbeprofilings für unwirksam halten werden. Ebenso wie sie mit Sicherheit die Schutzinteressen der Nutzer höher als Facebooks Marketinginteressen gewichten werden.

Datenschutz als Verbraucherschutz

In der EU zeigt sich nicht nur beim EuGH, sondern auch beim Europäischen Datenschutzausschuss (dem wichtigste Europäische Datenschutzgremium) ein starker Hang zur Interpretation des Datenschutzes als Verbraucherschutz.

So befand der Europäische Datenschutzausschuss, dass die Erforderlichkeit von Datenverarbeitungen zu Werbezwecken streng zu betrachten ist. Vor allem die Wirksamkeit von Einwilligungen, die an einen Vertrag gekoppelt werden, wird angezweifelt (sog. Kopplungsverbot gem. Art. 7 Abs. 4 DSGVO).

Der EuGH musste sich mit der Frage der Kopplung der Einwilligung an einen Vertrag noch nicht beschäftigen. Allerdings befand er, dass Einwilligungen ausdrücklich erteilt werden müssen. Dabei muss noch der BGH abschließend entscheiden, ob die Einwilligungspflicht so bereits im deutschen Recht enthalten ist.

Hörtipp: Warum an dem Sinn von Einwilligungen in Profiling zu Werbezwecken generell gezweifelt werden kann, können Sie in unserer aktuellen Podcastfolge erfahren: Einwilligung, Cookies und Öl – Rechtsbelehrung Folge 69.

Fanpageverbote wären nicht ermessensgerecht

Wie man es auch betrachtet, am Ende geht es um den Wunsch nach Einschränkung des Geschäftskonzepts von Facebook. Nach Wunsch von Datenschützern müsste Facebooks Werbeprofiling transparenter und zurückhaltender werden. Ansonsten ist es weder freiwillig, noch erfolgt es auf Grundlage berechtigter Interessen.

Vor allem die Frage der Freiwilligkeit der Einwilligungen der Facebookmitglieder ist jedoch von grundlegender Natur. Daher müssten Behörden m.E. ein Urteil des EuGH abwarten, bevor sie Fanpages untersagen sollten.

Der Ausgang eines solchen Verfahren vor dem EuGH ist ungewiss, zumal Facebook in dessen Rahmen auch seine Datenverarbeitung weiter anpassen könnte. Alles andere würde bedeuten, dass erhebliche wirtschaftliche Schäden für einen ungewissen Ausgang riskiert werden würden.

Zusammenfassung

Facebook kommt mit den aktualisierten “Informationen zu Seiten-Insights” den Datenschutzbehörden einen Schritt entgegen. Vor allem werden Daten von Nichtmitglieder nicht bei den Insights-Statistiken verarbeitet.

Ob dieser Schritt den Datenschutzbehörden ausreichen wird, ist zweifelhaft. Vor allem auch, weil der EuGH die Voraussetzungen für Mitverantwortlichkeit im Fall der Social Plugins quasi alleine auf deren Nutzung stützte (EuGH, 29.07.2019 – C-40/17).

Die Datenschutzbehörden sind am Zug

Der Ball liegt erstmal auf der Seite der Datenschutzbehörden. Dabei geht es vor allem um die eher politische als rechtliche Frage, ob und wie weit Facebooks Geschäftsmodell zulässig ist.

Da diese Frage sehr ungewiss ist, gehe ich davon aus, dass Behörden vorerst keine Untersagungsanordnungen gegen Fanpagebetreiber verfügen werden. Angesichts der wirtschaftlichen Bedeutung dieser grundlegenden Frage, wäre der Weg über die Fanpagebetreiber m.E. nnicht ermessensgerecht.

Ferner müssten die Aufsichtsbehörden dann konsequenterweise auch gegen alle Dienste vorgehen, die über ähnliche Geschäftsmodelle wie Facebook verfügen (s. dazu den Beitrag EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal).

Was soll man als Fanpagebetreiber unternehmen?

Selbst können Sie als FanpagebetreiberIn, bis auf Ihre Facebook-Seite zu schließen, wenig unternehmen. Einen Anlass Seiten zu schließen, sehe ich nach der  Aktualisierung der Informationen zu Seiten-Insights jedoch noch weniger als zuvor.

Allerdings sollten Sie zumindest die Pflichten erfüllen, die Ihnen möglich und zumutbar sind. Dazu gehört insbesondere die Information Ihrer Fanpagebesucher über die Verarbeitung Ihrer Daten und die Mitverantwortlichkeit.

Tipp für mehr Rechtssicherheit

Vermeiden Sie Abmahnungen und Bußgelder mit rechtssicherer DSGVO-Datenschutzerklärung: ✔ mit aktuellen 500 Modulen, u.a. mit Angaben zu Facebook, Social Media  und Onlinemarketing ✔ testen ohne Anmeldung ✔ kein Abo ✔ nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privat.

---