Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
1. Was sind Facebook-Fanpages?
2. Wieso sind Online-Händler*innen von der Entscheidung nun konkret betroffen?
3. Online-Shops und Facebook sind gemeinsam verantwortlich für die Verarbeitung – wie kann das sein?
4. Gibt es weitere Bedenken gegen die Nutzung von Facebook Fanpages?
5. Gelten die datenschutzrechtlichen Probleme nur für Facebook?
6. Kann ich als Händler*in meine Facebook-Fanpage datenschutzkonform betreiben?
7. Was passiert, wenn ich die Fanpage weiterhin betreibe?
8. Fazit
9. Unser Tipp
Meta Platforms (Facebook), Google und Co. geraten zunehmend in die Schusslinie der europäischen Datenschutzregelungen. Ein vom EuGH entschiedener Fall zu Facebook-Fanpages ist ein weiterer Schritt eines langen Entwicklungs- und Anpassungsprozesses des europäischen Datenschutzes. Vorliegend ging es um die datenschutzrechtliche Zuständigkeit bei Facebook-Fanpages. Besonders brisant ist die Entscheidung deshalb, weil die Betreiber von Facebook-Fanseiten nun für den Datenschutz mitverantwortlich sind.
Was gilt es als Betreiber einer solchen Fanpage zu beachten und muss diese Seite sogar geschlossen werden? In diesem Rechtstipp der Woche werden wir diesen und weiteren Fragen nachgehen.
Facebook wird längst nicht mehr nur zur Kommunikation unter Privatpersonen verwendet, sondern ist mittlerweile ein sehr beliebtes Marketing-Tool in der Business Welt geworden. Eine beliebte Möglichkeit Facebook zu Marketingzwecken einzusetzen, bietet das Betreiben sog. Facebook-Fanpages (Firmenprofile auf Facebook), welche von Händler*innen, Personen des öffentlichen Lebens, Firmen usw. erstellt werden, um ihrer Marke bzw. ihrem Geschäft zu mehr Sichtbarkeit zu verhelfen. Im Unterschied zu einem klassischen Privatprofil, kann eine Fanseite stärker nach den eigenen Bedürfnissen betrieben und gestaltet werden: es können beispielsweise Öffnungszeiten, die Anschrift, Fotos von neuen Waren oder von einer Speisekarte angeben und natürlich Follower generiert werden.
Facebook erhebt bei den Besuchern der Fanpages personenbezogene Daten und wertet diese zu statistischen und marketingbezogenen Zwecken aus. Die Ergebnisse dieser Auswertung werden sodann dem Seitenbetreiber zur Verfügung gestellt, damit er seine Online-Präsenz entsprechend anpassen kann. Von der Datenerhebung und -verarbeitung sind zudem nicht nur diejenigen betroffen, die der Seite folgen, sondern auch Personen, die gelegentlich auf die Seite gelangt sind und sogar solche, die nicht einmal ein Facebook-Profil haben, da Fanpages auch ohne Profil bei Facebook frei zugänglich sind. Im Endeffekt veranlasst der Seitenbetreiber die Datenerhebung und -verarbeitung mit und ist somit gemeinsam Verantwortlicher neben Facebook mit allen daraus resultierenden Pflichten i. S. d. DSGVO.
Dies ist gerade der springende Punkt, der lange umstritten war und am 5. Juni 2018 vom EuGH entschieden wurde. Der EuGH entschied, dass die Betreiber von Facebook-Fanpages ebenfalls Verantwortliche im datenschutzrechtlichen Sinne sind, weil sie Facebook durch die Errichtung der Fanpage überhaupt erst die Möglichkeit einräumen, personenbezogene Daten zu erheben und zu verarbeiten. Obwohl der Betreiber nicht auf den genauen Prozess der Erhebung und Verarbeitung der Daten durch Facebook einwirken kann, trifft er bei der Erstellung der Fanpage schon gewisse Vorauswahlen bezüglich des gewünschten Zielpublikums und der von ihm mit der Fanpage verfolgten Zwecke. An diesen Angaben orientiert sich Facebook bei der Auswertung der Daten. Der seitenbetreibende SHOP leistet also einen erheblichen Beitrag zur Datenverarbeitung, der laut dem EuGH ausreicht, um den Shop gemeinsam mit Facebook als verantwortlich einzustufen.
Wichtig: Der Sachverhalt, der Gegenstand des EuGH-Urteils war, hat sich vor dem Inkrafttreten der DSGVO abgespielt und wurde somit nach der alten Rechtslage entschieden, also unter Heranziehung der alten Datenschutzrichtlinie (RL 95/46 des Europäischen Parlaments) und des deutschen BDSG. Gleichwohl hat die Entscheidung ebenfalls Relevanz für die neue Rechtslage unter der DSGVO.
Mittlerweile stellt Meta Platforms ein Addendum (Vertrag) für die Nutzung von Facebook. Dieses erfüllt laut der DSK allerdings nicht die Anforderungen an die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Das liegt daran, dass die Betreiber*innen der Fanpage nicht genau wissen, welche Datenverarbeitungen stattfinden und die Verarbeitungszwecke nicht ausreichend dargelegt sind.
TTDSG
Seit Ende 2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Das war insoweit wichtig, da das TTDSG die nationale Umsetzung der ePrivacy Richtlinie ist, die ohnehin galt und für diesen Sachverhalt Anwendung findet. Werden personenbezogene Daten beim Speichern und Auslesen von Informationen in Endeinrichtungen verarbeitet, so gelten die spezifischeren Regelungen des § 25 TTDSG. Beim Aufruf der Fanpage werden Cookies auf den Endgeräten der Privatpersonen gespeichert und ausgelesen.
Einwilligung
Das Thema ist insoweit wichtig, da diese Vorgänge grundsätzlich eine Einwilligung voraussetzen (z. B. durch den Consent-Manager). Die Anforderung an diese Einwilligung richten sich nach der DSGVO, das bedeutet die Einwilligung muss informiert, freiwillig, eindeutig bestätigende Handlung, vorab erfolgen sowie widerrufbar sein. Für die Einwilligungserklärungen von Minderjährigen gelten strengere Anforderungen. In diesem Fall scheitert die Einholung einer wirksamen Einwilligung an der Informiertheit. Die DSK konnte nicht abschließend klären, für welche Zwecke genau die Cookies platziert wurden.
Ohne Einwilligung
Eine Einwilligung ist nur dann nicht notwendig, wenn ein von Nutzer*innen „ausdrücklich gewünschter Telemediendienst“ zur Verfügung gestellt wird. Das wären z. B. alle Dienste, die die Darstellung der Fanpage ermöglichen oder die Kommunikation. Darunter fällt allerdings nicht die Funktion „Insights“. Die Messung und Analyse der Nutzungsdaten sind nicht notwendig, um den Dienst bereitzustellen und hat keinen unmittelbaren Zusatznutzen für die Nutzer*innen.
Der Consent Banner auf der Facebook Seite erfüllt diese Anforderungen nicht. Weshalb ein Verstoß gegen das TTDSG vorliegt.
Datenübermittlung in Drittländer
Seit 2020 ist ein weiterer Aspekt dazugekommen: Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt.
Der EuGH hält das Datenschutzniveaus in den USA nicht für angemessen. Unternehmen sind daher auf den Abschluss sogenannter „Standardvertragsklauseln“ (SCCs) angewiesen. Weitere Informationen zu diesem Thema finden Sie im Blogbeitrag „Neues Datenschutzabkommen mit der USA: Was können Sie erwarten?“
Ob die Standardvertragsklauseln ausreichend sind, um ein angemessenes Datenschutzniveau zu gewährleisten, hat der DSK offengelassen. Solange kein neues Datenschutzabkommen mit den USA abgeschlossen wurde, ist dieDatenübermittlung auf Basis der SCCs mit einem Risiko verbunden.
Auch wenn das Urteil des EuGH eine Facebook-Fanpage zum Gegenstand hatte, lassen sich die die Entscheidung tragenden Argumente auch auf andere soziale Netzwerke, wie z. B. WhatsApp, YouTube usw., übertragen, sofern diese auch eigenständig durch den Unternehmer zwecks Marketing und Werbung eingesetzt werden und durch die Tools personenbezogene Daten erhoben und verarbeitet werden.
Die Datenschutzkonferenz (DSK) hat Mitte 2022 FAQs zu Facebook Fanpages herausgegeben und damit klar und deutlich Stellung bezogen. Ein datenschutzkonformer Betrieb der Firmenprofile auf Facebook ist nicht möglich. Das liegt daran, dass Meta Platforms von sich aus gravierende Änderungen vornehmen müsste. Die Betreiber*innen der Fanpages haben nur wenig Einfluss darauf.
Die Aufsichtsbehörden können im Rahmen ihrer Befugnis die Einstellung der Fanpage anordnen und/oder Bußgelder verhängen. Wichtig ist, dass nicht nur Bußgelder nach der DSGVO, sondern zusätzlich nach dem TTDSG verhängt werden können. Darüber hinaus können Betroffene einen Schadensersatzanspruch nach Art. 82 DSGVO geltend machen.
Ob datenschutzrechtliche Verstöße auf Fanpages lediglich von den zuständigen Datenschutzbehörden geahndet werden oder auch Wettbewerber diese kostenpflichtig abmahnen können, ist ebenfalls noch unklar. Nicht jeder Verstoß gegen Datenschutzbestimmungen stellt auch einen abmahnfähigen Verstoß gegen Wettbewerbsrecht dar.
Das Betreiben von Facebook-Fanpages in der aktuellen Form ist mit der Verarbeitung personenbezogener Daten verbunden, für die der jeweilige Betreiber nach der DSGVO gemeinsam mit Facebook verantwortlich ist. Aktuell kann das betreibende Unternehmen aufgrund der Ausgestaltung der Fanpages von Facebook und seines begrenzten Einflusses auf die internen Datenerhebungs- und Verarbeitungsprozesse von Facebook seinen Pflichten als Verantwortlicher gemäß der DSGVO nicht nachkommen. Dies kann nur dadurch geändert werden, indem Meta Platforms entsprechende Vorkehrungen trifft, wie die Datenschutzkonferenz und bereits klargestellt hat. Das Problem der transparenten Datenverarbeitung und des rechtskonformen Consent-Managers, bleibt ebenfalls bestehen.
Es bleibt abzuwarten, ob diese Verstöße auch vom Wettbewerb abgemahnt werden können oder nicht. Bis dahin bleibt die Deaktivierung der Fanpage der einzige völlig rechtssicherer Weg.
Beobachten Sie genau die aktuellen Entwicklungen zu diesem Thema und nehmen Sie nicht ohne nähere Sachprüfung und ohne rechtlichen Rat Abmahnungen in Bezug auf Ihre Facebook-Fanpage hin. Prüfen Sie auch, ob das Unternehmensprofil wirklich den Mehrwert bietet, dass es sich lohnt das Risiko eines Bußgeldes oder Abmahnung in Kauf zu nehmen.
Hinweis: Diesen Blogbeitrag haben wir im August 2018 veröffentlicht und nun für Sie aktualisiert.
Über die Autorin
Sabrina Brosch, LL.M., ist Legal Consultant bei Trusted Shops im Bereich Legal Services. Jurastudium an der Universität zu Köln und der Université Paris 1 Panthéon-Sorbonne mit LL.M. Abschlüssen beider Universitäten mit dem Schwerpunkt Internationales Privatrecht. Seit 2015 im Team von Trusted Shops war sie zunächst für die Prüfung von Online-Shops der Märkte DE, AT, CH und FR zuständig und verantwortete das Operational Management der Key Account Kunden in diesem Bereich. Sie setzt sich intensiv mit dem Wettbewerbs- und E-Commerce-Recht auseinander und betreut die Trusted Shops Legal Produkte.
06.10.22Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.