Partner von:
Anzeige

Neue AGB für “rechtskonforme” Fanpages: So dreist drückt sich Facebook um Haftung für Datenschutz-Verstöße

Juristin Anja Neubauer ist Expertin für Internet-, Urheber-, Wettbewerbs-, Marken- und Medienrecht
Juristin Anja Neubauer ist Expertin für Internet-, Urheber-, Wettbewerbs-, Marken- und Medienrecht

Die Konferenz der Datenschutzaufsichtsbehörden hat jetzt bestätigt, dass gemäß EuGH-Urteil vom 5. Juni 2018 auch nach heutigem Datenschutzrecht Facebook-Seiten rechtswidrig sind. Dies scheint den US-Konzern jedoch nicht weiter zu stören. Der hat zwar seine "AGB für Facebook-Insights“ geändert, diese bringen dem Seiten-Betreiber jedoch keine Rechtssicherheit. Sondern im Gegenteil mehr Probleme, analysiert Rechtsexpertin Anja Neubauer in einem Gastbeitrag für MEEDIA.

Anzeige

Von Anja Neubauer

Jetziger Stand nach EuGH und den Datenschutzaufsichtsbehörden

Nach dem Urteil des EuGH vom 5. Juni 2018, in dem dieser bestätigte, dass die Nutzung von Facebook-Insights (also die Datensammlungen, die dem Seitenbetreiber von Facebook-Seiten, auch „Fanpages“, zur Verfügung gestellt werden) gegen das alte Datenschutzrecht verstoßen, gab es viele Rufe, unter anderem von mir, dass die Nutzung von Facebook-Fanseiten dann im Erst-Recht-Schluss auch nach der neuen Gesetzeslage von nun an rechtswidrig sein müssen.

Genau diese Ansicht wurde just von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 5. September 2018 in einem Beschluss bestätigt und klargestellt, dass Facebook-Fanpages aufgrund eben dieser Datensammlung rechtswidrig sind.

Mehr noch: Dieser Beschluss beinhaltet Forderungen bzw. Aufklärungen von Facebook über die Nutzung und Einstellung von Facebookseiten. Insbesondere hat die Konferenz in diesem Beschluss einen ganzen Fragenkatalog angehängt, nach dem Facebook als auch die Betreiber der Seiten (!) nun erklären sollen, z.B. zu welchen Zwecken und auf welcher Rechtsgrundlage die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages verarbeitet, welche personenbezogenen Daten gespeichert, inwieweit aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert werden und auch, ob (und wenn ja wie) auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet werden:

 

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen. Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

 

Wieso richtet sich der Ruf der Datenschutzaufsichtsbehörden sowohl an Facebook als auch die Seitenbetreiber? Nun, diese Daten werden in den „Insights“ der Fanpages auch für den Seitenbetreiber sichtbar zur Verfügung gestellt – egal, ob dieser das möchte oder nicht oder überhaupt nutzt. Wobei dies schon vom EuGH als unerheblich gewertet wurde, denn es kommt nur darauf an, dass der Seitenbetreiber diese Daten überhaupt als „Übersichtsstatistik“ eingeblendet bekommt – egal, was er damit macht. Und damit kann man sagen, dass jeder Seitenbetreiber haftet. Für eine Rechtswidrigkeit, die (eigentlich) nur Facebook allein beheben kann.

Facebook schwieg. Bis jetzt. Eine Antwort kam nun mit der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Nur dürfte diese Form von „Antwort“ weder die Datenschutzaufsichtsbehörden noch die Inhaber von Facebook-Seiten erfreuen.

Neue AGBs von Facebook: Antwort auf alle offenen Fragen?

Facebook reagierte mit diesen „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ eigentlich nur mit einer Erweiterung seiner Allgemeinen Geschäftsbedingungen.

Der erste Satz: Facebook wiederholt nur die Feststellung des EuGH-Urteils:

 

Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf die Verarbeitung von Insights-Daten fest.

 

So weit, so schlecht, denn das hatte der EuGH ja bereits in seinem Urteil festgestellt. Nämlich, dass sich der Seitenbetreiber nicht darauf berufen kann, dass er weder diese Insight-Datensammlung in Auftrag gegeben hätte, noch nutzen würde. Der EuGH hatte erkannt, dass „Facebook und der Seitenbetreiber gemeinschaftlich und auf Augenhöhe für etwaige Datenschutzrechtsverletzungen haften“.  Was natürlich unfair ist, da der Seitenbetreiber ja nicht einmal eine Möglichkeit hat, diese Datensammlung abzuschalten. Das hat sich übrigens auch bis heute – rund drei Monate nach dem spektakulären Urteil – nicht geändert.

Dennoch findet Facebook wohl die gemeinschaftliche Haftung wohl in Ordnung – und bestätigt diese.

Geradezu eine Frechheit ist dabei jedoch: Facebook tut so, als ob der Inhaber einer Facebook-Fanpage tatsächlich irgendeine Einflußnahmemöglichkeit hätte, DSGVO-konform die Besucher der Seite über die Datensammlung aufzuklären:

 

Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Datenverarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.

 

Der Seitenbetreiber soll also einen Rechtfertigungsgrund für die Datensammlung nennen, er muss einen Datenschutzbeauftragten benennen, ABER auch, wie er sämtliche sonstigen rechtlichen Pflichten nach DSGVO erfüllt. Also zum Beispiel auch die Aufklärung der Seitenbesucher oder eine Opt-Out-Möglichkeit der Datensammlung für den Nutzer seiner Facebook-Seite. WIE genau dies der Seiteninhaber machen soll? Oder WIE z.B. der Nutzer einer Seite aufgeklärt werden und sich selbst entscheiden können sollte (!), wird in diesen AGB-Änderungen nicht dargelegt. Dabei kann der Seitenbetreiber gar keine „Opt-Outs“ anbieten und somit – wie nach DSGVO gefordert –  eine Unterbindung der Datensammlung durch Facebook unterbinden.

Viel mehr noch: Facebook behält sich alleinig vor, alle Regelmentierungen und Einstellungen – und natürlich die Verarbeitung – selbst vorzunehmen.

 

Du stimmst zu, dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten treffen und umsetzen kann.

 

Also wird der Seitenbetreiber verpflichtet, DSGVO-konform zu arbeiten, auch wenn ihm die faktische Möglichkeit in jeder Hinsicht verwehrt wird und nur Facebook bestimmen kann, welche Daten gesammelt und wie sie verarbeitet werden. Und nur Facebook alleine weiß, zu welchen Zwecken und aus welchem Rechtfertigungsgrund.

Aber schon beim Rechtfertigungsgrund (also dem nach DSGVO geforderten Grund, den man ausdrücklich benennen muss, um eine Sammlung von Daten zu rechtfertigen) habe ich größte Bedenken, wie ein Seitenbetreiber einen solchen überhaupt benennen können soll (wozu er aber nach DSGVO als auch nach den neuen AGB verpflichtet ist):

Was ist, wenn ich die Sammlung gar nicht haben möchte und nicht einmal nutze?

Wenn ich als Homepage-Betreiber Daten sammele, kann ich dies begründen, weil ich weiß, welche Zwecke ich mit der Homepage erreichen will.

Aber wenn ich Seitenbetreiber bin, eine Fan-Page bereitstelle, habe ich diese Absicht nicht zwingend. Der Nutzer soll sich also etwas ausdenken? Für eine Datensammlung, die er nicht einmal haben möchte, ihm aber zwangsweise von Facebook geliefert wird, weil FACEBOOK dies so wünscht? Und obwohl nur Facebook alleinig – also ohne mich als Betreiber zu fragen – die Daten der Besucher meiner Seite scannt und verarbeitet für Zwecke, von denen ich nicht einmal einen Schimmer habe, warum diese überhaupt gesammelt werden und wie diese Daten weiterverarbeitet werden? Für Zwecke von Facebook? Die ich im Zweifel nicht einmal billige? Wenn ich eine Datensammlung nicht einmal benötige, sondern nur so meinen Fans eine Möglichkeit geben möchte, sich über meine Angebote zu informieren und in Kontakt treten zu können – wozu mich im Zweifel Statistiken nicht einmal interessieren? Abstrus!

Man muss sich also etwas ausdenken. Da aber keiner weiß, welche Zwecke Facebook verfolgt, welche Daten Facebook wirklich sammelt, ist es zynisch, dem Seitenbetreiber abzuverlangen, einen Rechtfertigungsgrund zu erfinden, damit er zumindest den Schein von Rechtskonformität wahren kann.

Dagegen schweigt sich Facebook zu einer Opt-Out Möglichkeit gegen die Datensammlung – sowohl für den Seitenbetreiber als auch den Nutzer der Seite – in Gänze aus. Dabei ist dies der wichtigste Punkt, um DSGVO-konform überhaupt eine Seite anzubieten zu können, die Daten der Nutzer sammelt. Wir haben alle unsere „Cookie-Options“ in unsere Homepages eingearbeitet – bei Facebook kann man dies bis heute nicht.

Anzeige

Also selbst nach diesen AGB-Erweiterungen von Facebook, kann man eine Seite nicht DSGVO-konform anbieten, jedoch verpflichtet Facebook die Seitenbetreiber entsprechend zu arbeiten.

Hilfestellung von Facebook? Keine Spur!

Eine bodenlose Frechheit? Ja, angesichts des Fakts, dass man als Facebook-Seitenbetreiber, selbst wenn man DSGVO-konform arbeiten WOLLTE, dies bis heute noch NICHT KANN und Facebook sich alleine die Poleposition in der Sammlung und dem Umgang mit den Daten der Nutzer auch noch vorbehält. Vielmehr legt Facebook die Verantwortlichkeit in die Hände des Seitenbetreibers, was die Aufklärungsmöglichkeiten angeht („Du musst hier aber schon DSGVO-konform aufklären, einen Verantwortlichen benennen und die rechtlichen Verpflichtungen erfüllen “), stellt aber selbst keine technischen Möglichkeiten zur Verfügung, dies überhaupt – auch rechtskonform – für den Seitenbetreiber zu ermöglichen.

Ach doch: Man kann, wenn sich ein Nutzer der Seite oder eine Datenschutzbehörde beschwert, ein Formular ausfüllen und an Facebook zur Beantwortung schicken:

 

Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.

 

Dies ersetzt jedoch keine Aufklärungspflicht der Nutzer, wie es die DSGVO verlangt, denn diese muss VOR dem Besuch der Seite ermöglicht werden, nicht erst, wenn die Daten schon längst gesammelt wurden. Eine nachträgliche Aufklärung ist rechtswidrig. Auch hier hat Facebook die Hausaufgaben nicht gemacht!

Facebook interessiert es offensichtlich nicht: Man kann keine Aufklärung der Seitennutzer konform gestalten, man kann keinen Rechtfertigungsgrund benennen, man kann nicht einmal Auskunft erteilen, welche Daten wie überhaupt genutzt und auch gelöscht werden können – aber Facebook wird es schon durch ein Formular richten. Das beruhigt mich als Seitenbetreiber nicht nur nicht, das ist einfach dreist und inakzeptabel. Schließlich erhalte ich als Seitenbetreiber die Abmahnung und darf mich dann um Aufklärung und Schadensbegrenzung bemühen – soweit das eben möglich ist. Denn die Möglichkeit zur DSGVO-Konformität wird im Keim erstickt. Da hilft dann auch kein Formular im Nachgang, wenn ich im Vorfeld schon keine Aufklärungsmöglichkeit für die Seitennutzer bereitstellen kann.

Dabei ist es mit der Aufklärung alleine nicht getan. Damit eine Seite DSGVO-konform wäre, müsste dem Besucher auch eine Möglichkeit gegeben werden, selbst zu entscheiden, ob er die Datensammlung überhaupt wünscht. Wo und wann und wie eine solche Funktion endlich von Facebook eingesetzt werden soll, wird in den neuen AGB nicht erwähnt.

Klagen gegen Facebook? Bitte nur in Irland…

Man kann es nur noch als „Nötigung“ bezeichnen, was sich Facebook sogar bezüglich des etwaigen Gerichtsstandes – für den Fall, dass ein Seitenbetreiber wegen dieser „AGB“ (bzw. besser der Folgen dieser; z.B. wegen Regress aus Abmahnungen, die der Seitenbetreiber wegen fehlender DSGVO-Konformität erhalten hat) Facebook in Anspruch nehmen möchte – ausgedacht hat:

 

Wenn du eine Seite für irgendeinen geschäftlichen oder gewerblichen Zweck nutzt bzw. auf sie zugreifst (u. a. wenn du eine Seite für ein Unternehmen verwaltest), stimmst du zu, dass jedweder Anspruch, Klagegenstand oder Streitfall, den du uns gegenüber hast und der sich aus dieser Seiten-Insights-Ergänzung ergibt oder damit in Verbindung steht, ausschließlich von den Gerichten in Irland zu klären ist, dass du dich für das Prozessieren jedwedes derartigen Anspruchs unwiderruflich der Rechtsprechung der irischen Gerichte unterwirfst und dass diese Seiten-Insights-Ergänzung irischem Recht unterliegt.

 

Sehr clever! Denn der EuGH hat im Januar 2018 noch entschieden, dass der Datenschützer Max Schrems in eigener Sache sehr wohl auch in seiner Heimat gegen den Internetgiganten klagen dürfe, obwohl Facebook seinen europäischen Sitz in Irland hat (Rechtssache C-498/16).  Natürlich ist der „Kniff“, dass Schrems nur als „Privatperson“ gegen Facebook auch in Österreich klagen kann. Ausschließlich bei „Gewerbetreibenden“ kann man eine solche Gerichtsstandsvereinbarung machen und nur insoweit wäre sie zulässig. Sämtliche anderen bereits (z.B. wegen Löschungen) bekannten Klagen gegen Facebook, die auch in Deutschland anhängig sind und für die die örtliche Zuständigkeit in Deutschland bejaht wurden, wurden von „Privaten“ geführt. Insofern ist es eine böse Falle für alle Gewerbetreibenden, denn wer die Facebook-Seite gewerblich nutzt, muss wohl dann in Irland gegen Facebook klagen, wenn ihm Schäden (z.B. durch Abmahnungen) entstanden sind. Und da eigentlich jeder Facebook-Seitenbetreiber damit gewerbliche Interessen verfolgt, sind nach diesen „Insight-AGB“ ausschließlich Klagen in Irland möglich. Natürlich nach irischem Recht!

Im Ergebnis kann man nur sagen, dass die „Insight“-AGB eine noch größere Bürde für den Seitenbetreiber darstellen, als er ohnehin schon hatte durch die vom EuGH festgestellte gemeinschaftliche Haftung mit Facebook.

Was kann ich nun als Facebook-Seitenbetreiber tun?

Erst einmal nichts – man sollte also weiterhin die Seiten auf „nicht sichtbar“ geschaltet lassen, denn DSGVO-konform geht anders!

Denn Facebook muss, damit die Facebook-Seite DSGVO-konform ist, Funktionen einfügen, die sicherstellen, dass der Besucher einer Seite frei entscheiden kann, ob er mit der Datensammlung (welche immer das auch sein mag, denn Facebook gibt ja bis heute keine Auskunft, welche Daten gesammelt werden) einverstanden ist. Und dann müsste die Möglichkeit eingerichtet werden, dass mit „opt-out“-Funktionen auch die Sammlung der Daten unterbunden wird. Es wäre natürlich auch nett, wenn der Seitenbetreiber als solcher schon von vornherein diese Datensammlung unterbinden könnte, aber dies ist wohl nur ein frommer Wunsch.

Facebook hat insofern nicht nur „die Hausaufgaben nicht gemacht“, sondern offensichtlich schon nicht verstanden, worum es bei der DSGVO geht. Oder aber Facebook windet sich, die nun auch von den Datenschutzaufsichtsbehörden gestellten Fragen zu beantworten und stellt sich einfach dumm – und wälzt die Verantwortung so weit es irgend geht auf den Seitenbetreiber ab. Nicht zu reden von dem von Facebook perfide eingefädelten Trick, dass im Falle von Abmahnungen für den Seitenbetreiber eine Klage gegen Facebook auf Schadensersatz dann nur in Irland mit sehr viel größerem Aufwand und Kosten umzusetzen ist.

Und diese Abmahnungen werden kommen. Schließlich sagen selbst die Datenschützer jetzt, dass die Datensammlung so, wie sie in Form von Insights auf den Facebookseiten stattfindet, nach derzeitiger Rechtslage ebenfalls klar rechtswidrig ist.

Das Problem ist nur, dass schon der EuGH in dem viel besprochenen Urteil feststellte, dass eben gerade der Seitenbetreiber mit Facebook selbst auf Augenhöhe zusammen haftet. Insofern ist der Einleitungssatz in den neuen „AGB von Facebook“ zu den Insights nur die sarkastische Feststellung der tatsächlichen Rechtslage. OHNE Änderungsmöglichkeit für den Seitenbetreiber selbst, der eben nach wie vor keinerlei Einflussmöglichkeit auf die Sammlung, Speicherung oder/und Löschung der Daten hat. Man kann es nur als Frechheit bezeichnen.

Also bleibt auch nach den Neuerungen der Insight-AGB festzustellen, dass Facebook-Fanpages nach wie vor nicht datenschutzrechtlich konform sind und entsprechend kann nur der Rat lauten: „Facebook-Fanpages auf nicht sichtbar zu schalten“ – bis Facebook seine Hausaufgaben endlich macht.

Facebook selbst legt sogar die Schließung der Seiten nahe, wenn man diesen AGB nicht zustimmt:

Durch deinen weiteren Zugriff auf Seiten bzw. deren weitere Nutzung nach irgendeiner Benachrichtigung über eine Aktualisierung dieser Seiten-Insights-Ergänzung stimmst du zu, an sie gebunden zu sein. Solltest du der aktualisierten Seiten-Insights-Ergänzung nicht zustimmen, beende bitte jedwede Nutzung von Seiten. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur 4.1 unserer Facebook-Nutzungsbedingungen für Aktualisierungen dieser Seiten-Insights-Ergänzung.

 

 

 

 

Anja M. Neubauer ist Juristin und Rechtsexpertin sowie Inhaberin der Neubauer Media Medien- und Consultinggruppe.

 

 

Keine Neuigkeiten aus der Medien-Branche mehr verpassen: Abonnieren Sie kostenlos die MEEDIA-Newsletter und bleiben Sie über alle aktuellen Entwicklungen auf dem Laufenden.

Anzeige

Mehr zum Thema

Anzeige
Anzeige

Alle Kommentare

  1. so lange die Bundesregierung ihre Fanpage nicht einstellt, sehe ich da nicht unbedingt große Probleme:
    https://www.facebook.com/Bundesregierung/
    Wäre es ein Rechtsverstoß, dann ist die Bundesregierung aber auch dran!
    Ich finde dass solche Artikel Verunsicherung und Ängste schaffen, aber man kann die Bundesregierung wegen Ihrer Fanpage abmahmen.

    1. Lieber Manfred,

      es handelt sich beim Betreiben einer Facebook Fanpage um einen Rechtsverstoß im Zusammenhang mit der DSGVO (Sehr gut beschrieben im Beitrag). Und ja auch die Bundesregierung begeht diesen.
      Wir sollten uns Fragen warum wir überhaupt auf Facebook angewiesen sind und diesen Zirkus mitmachen.

      Von welcher Art Verunsicherung und von welchen Ängsten sprichst du denn?
      Das einzige was bei dir Verunsicherung erzeugen sollte ist, dass Facebook die Datenschutzgrundverordnung scheinbar nicht interessiert.

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Werben auf MEEDIA
 
Meedia

Meedia