IT/Datenschutz
Die Nutzung von Facebook-Fanpages zu Werbezwecken – Was erlaubt das Datenschutzrecht?
Social Media ist längst zu einem üblichen Instrument im Marketing geworden, auch für kleine und mittlere Unternehmen (KMUs). Schon 2016 setzte eine breite Mehrheit der KMUs die neuen Medien ein. Mit über 75 % wurde Facebook am häufigsten, YouTube mit immerhin 41 % am seltensten benutzt. Neben der Möglichkeit eines sehr direkten Drahts zum Kunden sind soziale Medien vor allem auch deshalb attraktiv, weil sie oft die Sammlung nützlicher Daten über Besucher des eigenen Auftritts erlauben. Das erklärt die Beliebtheit von Facebook-Fanpages bei Unternehmen. Über „Facebook Insights“ wird eine Vielzahl an Daten erhoben und Fanpage-Betreibern zur Verfügung gestellt. So können nützliche Rückschlüsse über die Demographien der Kundschaft oder die Wirksamkeit von Marketingmaßnahmen gezogen werden.
Das Betreiben einer solchen Fanpage kann jedoch zu Problemen führen. Denn das Bundesverwaltungsgericht hat – nach einer Anfrage an den Gerichtshof der europäischen Union – im Herbst 2019 entschieden, dass Facebook und der jeweilige Betreiber gemeinsam Verantwortliche für die Datenverarbeitungen von Facebook Insights sind. Das bedeutet, dass beide Unternehmen die Pflicht haben, die Datenverarbeitung rechtmäßig zu gestalten. Und das bedeutet, dass die Datenschutzbehörden sich an beide Unternehmen wenden können, wenn sie einen Verstoß sehen – sowohl für Bußgeldbescheide als auch für Unterlassungsaufforderungen!
Diese Entscheidung überrascht vielleicht beim ersten Lesen, ist es doch Facebook, dass die Daten erhebt, zu Profilen verarbeitet und diese dann präsentiert. Der Fanpage-Betreiber hat keine Kontrolle über diesen Vorgang. Er ist aber derjenige, der den Content generiert, die Besucher zum Besuch der Seite motiviert und so die Datenverarbeitung erst ermöglicht. Dies reicht den Gerichten für die gemeinsame Verantwortlichkeit. Die Verantwortung muss nicht gleichwertig, sondern nur in irgendeiner Weise aufgeteilt sein. Insbesondere betont die Entscheidung, dass der Betreiber sich datenschutzrechtlichen Pflichten nicht entziehen kann, indem er eine umfangreiche, intensive Datenverarbeiter auf einen Dritten auslagert bzw. dessen Infrastruktur benutzt (Randnummer 22).
Was bedeutet das für Betreiber von Fanpages? Im Nachgang an die Entscheidung des EuGH veröffentlichte die Konferenz der deutschen Datenschutzbehörden eine Entschließung, nach der Fanpages nicht rechtmäßig betrieben werden konnten, da es an einem sog. Vertrag über die gemeinsame Verantwortlichkeit fehle. Facebook hat aber mittlerweile reagiert und solche Regeln formuliert. Diese sind in die AGB der Plattform integriert.
Auch damit hat der Fanpagebetreiber seine Schuldigkeit aber noch nicht getan. Er muss z.B. weiterhin sicherstellen, dass er die nach Artikel 13 Datenschutzgrundverordnung zu erteilenden Informationen angibt. Mit anderen Worten: Die Fanpage muss eine (inhaltlich und formal richtige) Datenschutzerklärung enthalten.
Der Fall zeigt vor allem, dass die Datenschutzbehörden und Gerichte nicht gewillt sind zuzulassen, dass Unternehmen ihre datenschutzrechtliche Verantwortung auslagern – auch nicht in Kontexten, in denen sie tatsächlich wenig Einfluss auf die Umstände der Datenverarbeitung haben. Demjenigen, der eine Fanpage betreibt, ist daher sehr zu empfehlen, die Entwicklungen um Facebook genau zu beobachten. Dies gilt umso mehr, als dass sich mit dem OLG Stuttgart jüngst ein weiteres Oberlandesgericht für die Abmahnbarkeit von Datenschutzverstößen ausgesprochen hat (siehe auch unseren Beitrag „Abmahnbarkeit von Datenschutzverstößen“).