Auf einer Facebook-Seite können Unternehmen und Marken sich im sozialen Netzwerk präsentieren und mit den eigenen Kund:innen austauschen – und das kostenlos. Gerade kleine Betriebe entscheiden sich deshalb oft gegen eine eigene Website und für die Pflege einer Facebook-Seite.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (umgangssprachlich: Datenschutzkonferenz) hat sich nun in einer Sammlung häufig gestellter Fragen zu Facebook-Seiten positioniert und warnt dabei vor datenschutzrechtlichen Fallstricken.
Was macht eine Facebook-Seite zum datenschutzrechtlichen Problemfall?
Kurz gesagt: Als Betreiber einer Facebook-Seite tragen Sie einen Teil der Verantwortung für das, was mit den Daten Ihrer „Fans“ bzw. Kund:innen passiert. Natürlich steht hier zunächst der Konzern Meta Platforms als Betreiber von Facebook in der Pflicht. Meta verarbeitet Nutzerdaten, um den Nutzern maßgeschneiderte Werbung anzuzeigen – das ist ihr Geschäftsmodell. Nur: Welche personenbezogenen Daten genau auf welche Art und Weise verarbeitet werden – das bleibt bei Meta intransparent. Dazu kommt, dass Meta die Daten seiner Nutzer:innen auch in das außereuropäische Ausland übermittelt. Zugelassen ist dies nur, wenn die Vorgaben der DSGVO eingehalten werden – und auch das garantiert Meta nicht. Als Betreiber einer (Unternehmens-)Seite bei Facebook sammeln und erhalten Sie ebenfalls personenbezogene Daten in Form der sogenannten „Insights“.
Der Europäische Gerichtshof (EuGH) hat mit einem Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) nun die Ansicht der Aufsichtsbehörden bestätigt, dass die Betreiber von Facebook-Seiten eine (Mit-)Verantwortung für die Verarbeitung dieser Nutzerdaten tragen.
Was kann ich als Seitenbetreiber jetzt tun?
Es ist eine Zwickmühle: Theoretisch müssten Sie Ihren Nutzern garantieren, dass die personenbezogenen Daten, die Sie im Rahmen Ihrer Facebook-Seite erhalten, ausschließlich rechtskonform verwenden. Das können Sie allerdings nicht – zumindest nicht, solange Facebook bzw. Meta die Details zur Datenverarbeitung nicht offenlegt. Bislang zeigt Meta auch kein Interesse daran, die Vorgaben DSGVO einzuhalten bzw. gemeinsam mit Seitenbetreiber:innen eine Lösung zu schaffen.
Wenn Sie sich rechtskonform verhalten möchten, bleibt Ihnen also nur die Schließung Ihrer Facebook-Seite. Die Datenschutzkonferenz empfiehlt diesen radikalen Schritt vor allem öffentlichen Stellen, da diese aufgrund ihrer Vorbildfunktion besonders im Fokus der Datenschutzaufsichtsbehörden stehen werden.
Welche Alternativen kann ich nutzen?
Gerichtlich wurde aktuell nur die mangelnde Rechtskonformität von Facebook-Seiten geklärt. Es ist aber davon auszugehen, dass die Rahmenbedingungen für andere Social Media-Plattformen wie etwa Instagram, Twitter, TikTok etc. ähnlich sind: Als normaler Nutzer bzw. Seitenbetreiber erfahren Sie nicht, was eigentlich mit Ihren und den Daten Ihrer Kund:innen passiert.
Öffentlichkeitsarbeit sollte daher lieber im rechtskonformen Rahmen stattfinden: Auf der eigenen Website (bspw. in Form eines Blogs oder Micro-Blogs), in Print-Produkten oder auf Veranstaltungen wie Tagen der offenen Tür.
Was passiert, wenn ich meine Facebook-Seite behalte?
Nicht-öffentliche Arbeitgeber können von einer Aufsichtsbehörde zur Schließung ihrer Seite aufgefordert werden. Die Behörde hat auch die Möglichkeit, Bußgelder zu verhängen. Außerdem besteht die Möglichkeit, dass sich betroffene Nutzer:innen gemäß Art. 82 DSGVO mit Schadensersatzansprüchen an die Betreiber von Facebook-Seiten wenden.
Wieso sollten sich die Aufsichtsbehörden gegen mein Unternehmen und nicht an Facebook wenden?
Weil für Facebook bzw. den Konzern Meta Platforms nicht die jeweiligen Datenschutzbehörden Ihres Bundeslandes zuständig sind, sondern die irische Aufsichtsbehörde. Im Einklang mit dem sogenannten Gebot der Effektivität der Gefahrenabwehr wird eine deutsche Aufsichtsbehörde sich immer zunächst an die Unternehmen vor Ort wenden – und nicht an den Konzern im Ausland.