© Tobias Dziuba, Pexels

Facebook Fanpages und Datenschutz: Was Betreiber:innen tun können

Zuletzt aktualisiert am 30. März 2023

Facebook Fanpages sind ein beliebtes Mittel der Öffentlichkeitsarbeit. Denn hier können Unternehmen, aber auch Organisationen und öffentliche Stellen gezielt ihre Zielgruppen erreichen und mehr Menschen als nur über die eigene Homepage ansprechen.

Wäre da nicht der Datenschutz. Bereits seit einigen Jahren machen die Datenschutzaufsichtsbehörden immer wieder darauf aufmerksam, dass ein rechtskonformer Betrieb der Fanpages nicht möglich ist. Jetzt gibt es erste Verbote.

Wir klären, was das Problem mit Facebook Fanpages ist, wie kirchliche und weltliche Datenschutzaufsichtsbehörden reagieren und was Sie nun tun können, wenn Sie selbst eine Fanpage betreiben. 

Das Problem mit Facebook Fanpages

Bei Facebook Fanpages kommen gleich mehrere Probleme zusammen. Zum einen setzt Facebook Cookies, deren Nutzung einer vorherigen Einwilligung bedürfen. Eine freiwillige und informierte Einwilligung ist allerdings nicht möglich, da Meta nicht transparent über die Zwecke und weiteren Verarbeitungen der durch die Cookies erhobenen Daten informiert. Zudem können Benutzer:innen nicht feingranular Cookies zustimmen oder diese ablehnen und Facebook setzt mehr Cookies als tatsächlich zur Diensterbringung notwendig.

Das führt uns zum zweiten Problem mit Facebook Fanpages: Meta kommt seinen Informationspflichten (Art. 12 ff. DSGVO und § 14ff. KDG) nicht nach. Das gilt sowohl in Bezug auf die Nutzer:innen als auch die Betreiber:innen von Fanpages. Diese sind auf Grundlage der verfügbaren Informationen nicht in der Lage, die notwendigerweise vorzunehmende Prüfung der Rechtskonformität vor Aufnahme einer Verarbeitung durchzuführen.

Hinzu kommt, dass Betreiber:innen eine gemeinsame Verantwortung nach Art. 26 DSGVO und § 28 KDG mit dem Meta-Konzern eingehen. Das hat auch der Europäische Gerichtshof in einem Urteil klargestellt. Das gilt selbst dann, wenn Betreiber:innen faktisch kaum Möglichkeiten haben, die Datenverarbeitungsprozesse mitzubestimmen. Allerdings geben Fanpages Facebook die Möglichkeit, auf den Endgeräten der Besucher:innen Cookies zu platzieren und tragen somit maßgeblich zur Verarbeitung personenbezogener Daten bei. Gemeinsam Verantwortliche sind zudem verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht.

Außerdem kommt es im Rahmen von Facebook Fanpages zu umfassenden Drittlandübermittlungen. Die Informationen, die der Meta-Konzern zur Verfügung stellt, geben allerdings keinen Aufschluss darauf, inwiefern der Konzern zusätzliche Maßnahmen ergreift, um die spezifischen Risiken des Zugriffs auf Betroffenendaten zu verhindern.

Schon alleine aufgrund der mangelnden Informationen über die Verarbeitung personenbezogener Daten können Fanpages nicht rechtskonform betrieben werden. Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Online-Formular wird hier erscheinen

Reaktionen der Datenschutzaufsichtsbehörden

Die Bedenken bezüglich des Datenschutzes bei Facebook Fanpages sind auch bei den Behörden angekommen. So hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Kleber, in einem Bescheid gegen das Bundespresseamt angeordnet, dass die von der Bundesregierung betriebene Facebook-Fanpage innerhalb von vier Wochen einzustellen sei. Der Bundesbeauftragte stützt sich in seinem Bescheid u. a. auf das Gutachten einer Taskforce, die von der Konferenz der unabhängigen Datenschutzbehörde des Bundes und der Länder (DSK) eingesetzt wurde. Die Taskforce kam zu dem Ergebnis, dass ein datenschutzkonformer Betrieb von Facebook Fanpages nicht möglich sei.

Nun hat das Bundespresseamt, das auch von der Anordnung Kelbers betroffen ist, Klage eingereicht. Der stellvertretende Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot, beruft sich darauf, dass das Presseamt eine Pflicht hat, die Bürger:innen zu informieren – und zwar an ihrer tatsächlichen Mediennutzung orientiert. Das Presseamt betreibt seine Fanpage vorerst weiter.

Die DSK hingegen sieht nur eine Option: Verantwortliche müssen ihre Fanpages deaktivieren bis sie in der Lage sind, ihre Pflichten aus der DSGVO und dem TTDSG zu erfüllen. Dafür ist allerdings eine Mitwirkung auf Seiten von Meta notwendig. Ob und wann das geschieht, ist aktuell unklar.

Auch die kirchlichen Aufsichtsbehörden ziehen nach: Am 23. Februar 2023 hat der Diözesandatenschutzbeauftragte für die bayerischen (Erz-)Diözesen auf seiner Website eine Anordnung veröffentlicht, die kirchlichen Dienststellen den Einsatz von Facebook-Fanpages verbietet. Hierzu wurde eine Umsetzungspflicht bis zum 31. März 2023 gesetzt.

Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistümer bestätigt, dass die aktuelle Rechtslage eine Untersagung des Betriebs einer Facebook-Fanpage für den Einzelfall erlaube und empfiehlt, auf datenschutzkonforme Alternativen umzusteigen. Der Diözesandatenschutzbeauftragte der nordrhein-westfälischen (Erz-)Diözesen hat darüber hinaus angekündigt, dass er nun bei seiner Tätigkeit verstärkt das Thema beachten und entsprechend handeln werde. 

Was jetzt zu tun ist

Prüfen Sie, in Kooperation mit den Verantwortlichen für die Öffentlichkeitsarbeit und evtl. beauftragten Agenturen, ob Sie eine oder mehrere Facebook-Fanpage(s) betreiben und erstellen Sie eine Auflistung aller genutzten Social-Media-Angebote. Stellen Sie die Notwendigkeit des Einsatzes auf den Prüfstand. Ist die Fanpage wirklich zwingend notwendig und so wichtig, dass Sie dafür ggf. auch ein Bußgeld oder Schadenersatzforderungen in Kauf nehmen wollen?

Entscheiden Sie, ob Sie die Fanpage(s) in Betrieb halten wollen oder abschalten. Dokumentieren Sie Ihre Entscheidung und informieren Sie Ihre:n Datenschutzbeauftragte:n über Ihre Entscheidung. Falls Sie sich für einen Weiterbetrieb entscheiden, treffen Sie Maßnahmen, die den Betrieb der Fanpage, wenn schon nicht datenschutzkonform machen, so doch zumindest das Risiko weiterer Verstöße minimieren.

Falls Sie sich für einen Weiterbetrieb entscheiden, sollten Sie folgende Maßnahmen umsetzen: 

  • Erstellen Sie eine Risikoanalyse für den weiteren Betrieb der Facebook-Fanpage ohne Rechtsgrundlage.
  • Verfassen Sie eine eigene Datenschutzerklärung für jede Facebook-Fanpage oder nehme Sie die Facebook Fanpage in die Datenschutzerklärung Ihrer Website auf und setzen Sie eine Verlinkung.
  • Erstellen Sie für den Einsatz der Facebook Fanpage eine Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten.
  • Verzichten Sie auf das Einbetten von Facebook (Like-Button) auf Ihren Websites oder nutzen Sie ein Zwei-Klick-Verfahren mit Einwilligung.
  • Die Inhalte auf der Facebook-Fanpage sollten selbstverständlich auch datenschutzkonform sein. Hier sollte auf die Veröffentlichung von personenbezogenen Daten weitestgehend verzichtet werden. Fotos dürfen nur mit einer expliziten Einwilligung veröffentlicht werden.
  • Schalten Sie die Kommentarfunktion auf den Fanpages aus.
  • Erstellen Sie eine Exitstrategie, wie Sie bei einer evtl. Anordnung zur Abschaltung vorgehen werden und prüfen Sie schon jetzt Alternativen.  

Fazit

Natürlich ist Facebook nicht die einzige Social-Media-Plattform mit Datenschutzproblemen. Vermutlich lassen sich die Erkenntnisse auch auf andere Plattformen übertragen, da die Umstände häufig sehr ähnlich sind. Explizit geklärt ist es allerdings bisher nur für den Betrieb von Facebook-Fanpages.

Organisationen sollten sich daher genau überlegen, ob sie ihre Fanpages weiterhin betreiben wollen und entsprechende Maßnahmen zur Absicherung ergreifen.  

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich die Ergebnisse unserer aktuellen Datenschutz-Umfrage!

Newsletter Anmeldung

Quellen

Datenschutzkonferenz (2022): „FAQ zu Facebook-Fanpages“, 22. Juni 2022, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/Orientierungshilfen/FAQ-Facebook-Fanpage.pdf?__blob=publicationFile&v=1, letzter Zugriff am 30. März 2023.

Datenschutzticker.de (2023): „Bundespresseamt klagt gegen Facebook Verbot“, 23. März 2023, https://www.datenschutzticker.de/2023/03/bundespresseamt-klagt-gegen-facebook-verbot/, letzter Zugriff am 30. März 2023.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (2018): „EuGH nimmt Betreiber von Facebook-Fanpages in die Verantwortung“, 05. Juni 2018, https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2018/05_EuGHNimmtFacebookFanpagesInVerantwortung.html?nn=252104, letzter Zugriff am 30. März 2023.

Erzdiözese München und Freising (2023): „Verbot von Facebook Fanpages“, 23. Februar 2023, https://www.erzbistum-muenchen.de/ordinariat/datenschutzstelle/aktuelles/112395#:~:text=Verbot%20von%20Facebook-Fanpages, letzter Zugriff am 30. März 2023.

Katholisches Datenschutzzentrum (2023): „Umgang mit Facebook-Fanpages im kirchlichen Bereich“, 01. März 2023, https://www.katholisches-datenschutzzentrum.de/umgang-mit-facebook-fanpages-im-kirchlichen-bereich/, letzter Zugriff am 30. März 2023.

Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs (2023): „Facebook Fanpages – weiterhin keine wirksame Rechtsgrundlage“, 28. Februar 2023, https://www.kdsa-ost.de/aktuelles/188-facebook-fanpages-weiterhin-keine-wirksame-rechtsgrundlage.html, letzter Zugriff am 30. März 2023.

Taskforce Facebook-Fanpages (2022): „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages“, 10. November 2022, https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK-Kurzgutachten-Facebook.pdf?__blob=publicationFile&v=4, letzter Zugriff am 30. März 2023. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies