Datenschutzkonferenz: Betrieb von Facebook-Seiten ist rechtswidrig

Foto: Viele ausgeschnittene Facebook-Likes (Blau-weisse Händchen aus Karton mit ausgestrecktem Daumen)

Mit Urteil C-210/16 vom 5. Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass Betreiber von Facebook-Seiten gemeinsam mit Facebook für den Datenschutz verantwortlich sind.

Ich zog damals folgendes Fazit:

«Wer auf Nummer sicher gehen möchte, muss seine Facebook-Seite(n) vorläufig deaktivieren. Kein Seiten-Betreiber kann momentan die datenschutzrechtlichen Anforderungen […] erfüllen. […] Alle anderen warten ab und hoffen, von Facebook die notwendige Unterstützung zu erhalten, bevor es zu Abmahnungen und sonstigen Rechtsfolgen kommt. […]»

Leider haben Seitenbetreiber von Facebook bislang nicht die notwendige Unterstützung erhalten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden in Deutschland (DSK) fasste deshalb vor einigen Tagen den Beschluss, dass der Betrieb von Facebook-Seiten («Fanpages») rechtswidrig ist:

«Offizielle Verlautbarungen vonseiten Facebooks, ob und welche Schritte unternommen werden, um einen rechtskonformen Betrieb von Facebook-Fanpages zu ermöglichen sind bisher ausgeblieben. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) wurde bislang nicht zur Verfügung gestellt. Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin.

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.»

Umfangreicher Fragenkatalog für Seitenbetreiber

Die deutschen Datenschutzaufsichtsbehörden fordern mit Verweis auf die Datenschutz-Grundverordnung (DSGVO), dass sowohl Facebook als auch Seitenbetreiber einen umfangreichen Fragenkatalog beantworten können müssen. Die erste Frage lautet wie folgt:

«In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)»

Die Einhaltung der DSGVO scheitert bereits daran, dass kein Facebook-Seitenbetreiber diese erste Frage momentan beantworten kann. Facebook stellt bislang keine entsprechende Vereinbarung zur Verfügung und auf eigene Initiative wird man eine solche Vereinbarung mit Facebook nicht abschliessen können.

Empfehlungen für schweizerische Facebook-Seiten

Wer auf Nummer sicher gehen möchte, muss seine Facebook-Seite(n) spätestens jetzt vorläufig deaktivieren. Alle anderen Seitenbetreiber zählen darauf, dass die Datenschutzaufsichtsbehörden im Zweifelsfall nur gegen wenige Seitenbetreiber vorgehen können und sich nicht allzu viele betroffene Personen für Auskunftsbegehren sowie Abmahnungen und Klagen entscheiden.

In Bezug auf Facebook ist zu hoffen, dass Seitenbetreiber nun endlich die notwendige Unterstützung erhalten. Facebook wird nicht nur einmal mehr dem schlechten Ruf im Zusammenhang mit dem Datenschutz gerecht, sondern hat auch jene unzähligen Nutzerinnen und Nutzer, die Facebook-Seiten betreiben, im Stich gelassen.

Für die Schweiz hat der Beschluss der Datenschutzkonferenz keine direkte Geltung. Allerdings fallen viele – letztlich fast alle – schweizerischen Facebook-Seiten unter die DSGVO, da sie sich mit Angeboten an Personen in der Europäischen Union (EU) sowie im Europäischen Wirtschaftsraum (EWR) einschliesslich Liechtenstein richten oder das Verhalten von Personen in der EU sowie im EWR beobachten (lassen).

Der Beschluss der Datenschutzkonferenz dürfte sinngemäss auch für vergleichbare Seiten bei Google+, Instagram und LinkedIn gelten.


Nachtrag vom 11. September 2018: Facebook veröffentlicht Vereinbarung

Facebook hat auf den Druck aus Deutschland reagiert und unter dem Titel «Seiten-Insights-Ergänzung bezüglich des Verantwortlichen» eine Vereinbarung über die gemeinsame Verantwortung veröffentlicht. Ob die Vereinbarung den Anforderungen der DSGVO genügt, wird sich zeigen.

Bild: Pixabay / TheDigitalArtist, Public Domain.

5 Kommentare

  1. dh. Unternehmen sollten, wenn sie auf Sicher gehen wollen, alle Social Media Präsenzen (Facebook, Instagram, Twitter, LinkedIn, XING, YouTube, Google+) vorübergehend deaktivieren? #genaumeinhumor

  2. Das hier ist reine Panikmache. Die Schweiz toleriert z.B. Tracking. Man kann mir nicht erzählen, dass das Anbringen eines GPS-Trackers an einem Fahrzeug geduldet wird, allerdings das Nutzen von z.B. Google Analytics ohne IP-Address-Verschleierung strafbar ist.
    Ergo: was würde passieren, wenn ein EU-Nutzer einen scheinbaren «Datenschutzverstoss» auf einer .ch-Seite oder eines CH-Unternehmens in Facebook feststellt: er muss zum Schweizer Datenschutzbeauftragten oder den Rechtsweg hier in der Schweiz bestreiten, weil die Kompetenzen immer noch in unserem Land liegen.
    Daher fürchte ich mich keinen Deut. Und nur so nebenbei: ich werde weder Datenschutzhinweise noch Cookie-Consent oder sonst einen Geschludder publizieren, weil das alles einfach nicht nötig ist, solange man hierzulande keine Daten zu sexuellen Preferenzen, Religion oder sonstigen, schützenswerten persönlichen Informationen sammelt.
    Somit sind die Konsequenzen bei möglichen Datenschutzverstössen nach EU-Recht hier in der Schweiz nahezu bei Null. Hier sollte man Aufklärung betreiben und den Leuten doch nicht Angst machen… Aber Sie müssen halt Geld verdienen. Und als Antwort zum Vorredner: Weiter wie bisher!

    1. @Peter Schneider:

      «Das hier ist reine Panikmache.»

      Panikmache?

      Mein ursprüngliches Fazit lautete wie folgt:

      «Wer auf Nummer sicher gehen möchte, muss seine Facebook-Seite(n) spätestens jetzt vorläufig deaktivieren. Alle anderen Seitenbetreiber zählen darauf, dass die Datenschutzaufsichtsbehörden im Zweifelsfall nur gegen wenige Seitenbetreiber vorgehen können und sich nicht allzu viele betroffene Personen für Auskunftsbegehren sowie Abmahnungen und Klagen entscheiden.»

      Verspüren Sie nach dem (zweiten?) Lesen immer noch Panik?

      «Ergo: was würde passieren, wenn ein EU-Nutzer einen scheinbaren ‹Datenschutzverstoss› auf einer .ch-Seite oder eines CH-Unternehmens in Facebook feststellt: er muss zum Schweizer Datenschutzbeauftragten oder den Rechtsweg hier in der Schweiz bestreiten, weil die Kompetenzen immer noch in unserem Land liegen.»

      Nein, das ist grundsätzlich nicht erforderlich. Wenn sich eine betroffene Person in Deutschland durch einen Verantwortlichen in der Schweiz in ihrem Datenschutz verletzt fühlt, kann sie beispielsweise in Deutschland und nach deutschem Recht – einschliesslich Datenschutz-Grundverordnung (DSGVO) klagen. Sie unterliegen einem – leider weitverbreiteten – Irrtum.

      «Und nur so nebenbei: ich werde weder Datenschutzhinweise noch Cookie-Consent oder sonst einen Geschludder publizieren, weil das alles einfach nicht nötig ist, solange man hierzulande keine Daten zu sexuellen Preferenzen, Religion oder sonstigen, schützenswerten persönlichen Informationen sammelt.»

      Sie können selbstverständlich das Risiko eingehen, das anwendbare Datenschutzrecht zu verletzen. Wenn Sie allerdings glauben, (auch) gemäss schweizerischem Datenschutzrecht sei keine Datenschutzerklärung erforderlich, dann liegen Sie falsch. Eine Datenschutzerklärung ist immer erforderlich, wenn Personendaten bearbeitet werden und nicht erst, wenn besonders schützenswerte Personendaten bearbeitet werden – in diesem Fall benötigt man grundsätzlich auch noch die Einwilligung der betroffenen Personen und eine Datenschutzerklärung allein genügt nicht mehr.

  3. Das Ganze ist für mich übrigens spannend, weil ich durchaus Angebote unter .de habe, die sich an Deutsche richten und Datenschutzhinweise wie auch Cookieconsent aufweisen. Wobei Cookieconsent billigst umgesetzt ist «Cookies helfen uns bei der Bereitstellung dieses Angebotes. Mit der Nutzung dieses Dienstes erklären Sie sich einverstanden, dass wir Cookies verwenden. Mehr Informationen. OK». Bei Einblendung sind schon alle Drittparteicookies gesetzt. Aber wer soll mir nachweisen, dass eine Schweizer Seite unter xyz.ch mit Informationen zu Wanderangeboten in der Schweiz sich an Deutsche richtet? Und falls dort GA ohne IP-Address-Verschleierung eingesetzt wird: schon werden persönliche Daten erhoben.

    Aber einmal unter uns – hinzuschreiben, dass Google Analytics genutzt wird oder Google Analytics erst einzubinden, sobald eine explizite Nutzungserlaubnis gegeben wird- nur letzteres wäre die korrekte Umsetzung. Oder z.B. einen Cookieconsent einzubinden, der «ja oder nein» erlaubt, wobei die Auswahl «nein» keinesfalls dazu führen darf, dass die Webseite nicht aufrufbar ist – ja wo wird die Antwort gespeichert? Genau: In einem Cookie. Hier ist die Absurdität einfach zu gross.

    Und ja: weiterhin allen Leuten den Zugriff zu ermöglichen (die keinen Consent geben, die Werbung blockieren etc), völlig absurd. Ich dachte immer, dass man Hausrecht geniesst aber…

    Ergo: Es ist für Kleinunternehmer einfach unmöglich, diese Anforderungen «wirtschaftlich vertretbar» in einem logischen Sinn umzusetzen. Und hier ist die grosse Lücke: notfalls redet man sich mit seinen wirtschaftlichen Bedürfnis raus. Diese Lücke existiert ja.

    Aber klar: Grosse Unternehmen, die tatsächlich Daten Ihrer Kunden verarbeiten, und die eben ausserhalb der reinen «Webpräsenz» Umsätze in EU mit Waren oder Dienstleistungen machen, müssen da stärker investieren, da von Ihnen mehr zu holen ist. Und ich bin mir auch sicher, dass gewisse Unternehmen, die Kundendaten vorrätig haben, in der Datenverarbeitung Dreck am Stecken haben.

    Hier wünsche Ich Ihnen viel Erfolg! Es besteht durchaus Beratungsbedarf – nicht unbedingt bei mir: ich komme erst, wenn die böse EU oder irgendein Deutscher mich drankriegen will.

    Und zu Facebook: nicht nur Like-Buttons oder Fanpages sind böse, FB an sich ist böse. Soll die EU bitte Facebook sperren, bevor sie tausend Leute abmahnt, die dort Fanpages erstellen. Das ist meine Logik. Facebook, Google und co müssen von sich aus Dienste anbieten, die mit GDPR kompatibel sind. Als z.B. Google Adsense anbot, keine Verfolger-Ads (Retargeting) mehr einzublenden, habe ich dankbar zugestimmt. Als Google Adsense mich zwang, Cookieconsent einzubauen, habe ich widerwillig akzeptiert.

    Es wird an Facebook liegen, EU oder CH-Fanpages temporär zu sperren oder das Tracking innerhalb dieser Fanpages NACHWEISLICH auf ein erträgliches Minimum zu reduzieren. Es ist nicht mein Problem, Datenschutzhinweise zu einem mir völlig unbekannten Service zu publizieren, der das auch selbst erledigen kann.

    Insofern ja: FB verlassen. Da haben Sie recht. Oder die EU-Fans rausschmeissen und GDPR erwähnen (aber vermutlich darf man das eh nicht). Oder einfach nichts machen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.