Datenschutz für Facebook-Unternehmensseiten
- Unternehmen haften für Datenschutzverstöße auf ihren Facebook-Unternehmensseiten.
- DSGVO-konforme Datenschutzerklärung und Impressum sind Pflicht.
- Gemeinsam datenschutzrechtliche Verantwortlichkeit von Meta und Unternehmen.
- Tracking und Datenverarbeitung erfordern Nutzeraufklärung und Einwilligung.
- Regelmäßige Überprüfung und Anpassung an Facebook-Nutzungsbedingungen notwendig.
- Item A
- Item B
- Item C
Auf der eigenen Facebook-Unternehmensseite den Datenschutz genau zu berücksichtigen, ist nicht einfach. Unternehmen stehen dabei vor einigen Herausforderungen. Wenn es um die korrekte Umsetzung der DSGVO geht sollten sie sich keineswegs nur auf Facebook verlassen.
Das sind typische Hürden für den Datenschutz auf Ihrer Facebook-Unternehmensseite
Beim Einrichten und Betreiben einer eigenen Facebook-Fanpage stehen Unternehmen vor großen datenschutzrechtlichen Herausforderungen. So haben Unternehmen wenig bis keinen Einfluss auf die Rahmenbedingungen, die Facebook für Unternehmensseiten zur Verfügung stellt.
Ein Beispiel: Die Facebook Insights und das damit einhergehende Tracking der Seitenbesucher lassen sich nicht deaktivieren. Dennoch verlangt der Gesetzgeber von Ihnen als Betreiber, zu handeln. Kommen zusätzlich Tracking-Tools zum Einsatz, so sind Sie in der Pflicht, den Besucher in einer eigenen Datenschutzerklärung für Social Media gesondert darüber zu informieren und gegebenenfalls eine Einwilligung einzuholen.
Falls Sie darüber hinaus für Ihren Unternehmensauftritt Fotos von Mitarbeiter:innen sowie Angaben zu deren Name, Beruf oder Position in Ihrem Unternehmen verwenden möchten, benötigen Sie dafür eine entsprechende Einwilligung.
Hintergrund: Meta und der Datenschutz
Seit über fünf Jahren gibt es regelmäßig Diskussionen um den Datenschutz bei Meta.
- Angefangen hat alles 2018: Damals hatte der Europäische Gerichtshof (EuGH) entschieden, dass der Facebook-Konzern Meta nicht allein für die Einhaltung von DSGVO-Vorgaben zuständig ist, sondern eine gemeinsame datenschutzrechtliche Verantwortlichkeit von Meta und den auf Plattformen wie Facebook vertretenen Unternehmen vorliegt.
- 2021 geriet Meta erneut ins Blickfeld von Datenschützern, als der Bundesdatenschutzbeauftragte Ulrich Kelber die Bundesregierung und die obersten Bundesbehörden aufforderte, ihre Facebook-Seiten abzuschalten. Seiner Einschätzung nach können diese nicht datenschutzkonform betrieben werden.
- Diese Aussage bekräftigte 2022 auch die unabhängige Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) in einem Kurzgutachten der „Task Force Facebook Fanpages“. Daraufhin hatte Dagmar Hartge, die brandenburgische Datenschutzbeauftragte, die obersten Landesbehörden aufgefordert, ihre Facebook-Seiten unverzüglich abzuschalten.
- Anfang 2023 klagte das Bundespresseamt (BPA) gegen die Anordnung, nachdem entschieden worden war, dass man Kelbers Bescheid gerichtlich überprüfen lassen wolle.
- Im Mai 2023 verhängte die irische Datenschutzbehörde DPC ein Rekordbußgeld von 1,2 Milliarden Euro gegen den Facebook-Konzern Meta. Der Grund ist die Übertragung von Daten von Facebook-Nutzern aus der EU auf US-Server, die einen Verstoß gegen die DSGVO darstellt.
Seit Jahren befürchten Datenschützer:innen, dass US-Geheimdienste aufgrund dieser Datenübertragung Zugriff auf die Informationen europäischer Nutzer:innen haben. Das Bußgeld ist ein Hinweis darauf, dass sich Meta nicht rechtskonform verhält. Für Unternehmen bedeutet das: Sie schweben in der Gefahr, im Rahmen der gemeinsamen Verantwortlichkeit ebenfalls Datenschutzverstöße zu begehen.
Datenschutz bei Facebook: Wo liegt das Problem?
Facebook lebt von den Daten der Nutzer:innen. Sie bezahlen die Nutzung der Plattform bewusst und unbewusst mit Ihren Daten. Bei dem digitalen Fußabdruck, den sie bei Facebook hinterlassen, gibt es zwei Varianten:
- Aktiver digitaler Fußabdruck: Personenbezogene Daten, die freiwillig angegeben werden
- Passiver digitaler Fußabdruck: Daten, die Facebook automatisch sammelt, etwa mittels Tracking
Meta erklärt in der Datenschutzerklärung von Facebook, die freiwillig angegebenen Daten hauptsächlich für Personalisierungszwecke zu verwenden. Aber diese Personalisierung hat zwei Seiten: Zum einen werden Anwender:innen passende Freund:innen oder Gruppen vorgeschlagen, zum anderen werden diese Daten aber vor allem für maßgeschneiderte Werbung verwendet.
Zudem verkauft bzw. teilt Facebook Analysedaten über Nutzer:innen auch an und mit Dritten. Und hier setzt die Datenschutz-Kritik bei Facebook an – nicht zuletzt getrieben durch immer wiederkehrende Datenschutzskandale.
Welche personenbezogenen Daten werden bei Facebook erhoben?
Damit Facebook-Nutzer:innen ein persönliches Profil anlegen und sich mit anderen Anwender:innen vernetzen können, erhebt Meta bereits bei der Registrierung personenbezogene Daten wie
- Vor- und Nachname
- Alter
- Geschlecht
- Beruf
- E-Mail-Adresse
- Telefonnummer
Um die Identität zu bestätigen, werden einige User nach einem Scan Ihres Ausweises oder anderen amtlichen Unterlagen gefragt, denn die Facebook-Nutzungsbedingungen verlangen, dass Nutzer:innen zur Registrierung ihren echten Namen verwenden.
Nutzungsdaten
Die Anwender:innen können ihr Profil nach der Registrierung mit Fotos, Videos, persönlichen Postings oder Stories gestalten. Bereits durch diese Funktionen – und die Bereitschaft der Nutzer:innen, persönliche Informationen sowie ihr privates und berufliches Leben freiwillig zu teilen – lässt sich aus dem Facebook-Profil ein umfassendes Persönlichkeitsprofil der jeweiligen Person erstellen.
Diese Informationen kombiniert Facebook über verschiedene Geräte hinweg. Zum Beispiel verwendet Facebook Informationen, die Sie über die Nutzung durch das Smartphone preisgegeben haben, für eine bessere Personalisierung der gezeigten Inhalte (einschließlich Werbeanzeigen).
Metadaten
Darüber hinaus erhebt Facebook weitere technische Daten, sogenannte Metadaten, und wertet diese aus. Hierbei handelt es sich quasi um Informationen über freiwillig bereitgestellte Daten, wie
- IP-Adresse
- Browser
- Betriebssystem
- Standort der Nutzer:innen
Auch diese Informationen stellen nach der EuGH-Rechtsprechung personenbezogene Daten dar, die dem Datenschutz unterliegen.
Daten außerhalb von Facebook
Neben dem Nutzungsverhalten auf der Plattform selbst werden zudem mithilfe von Cookies und der Einbindung des sogenannten Like-Buttons auf Websites von Unternehmen auch außerhalb der unmittelbaren Anwendung von Facebook Nutzungsdaten erhoben und mit dem Facebook-Profil verknüpft. Über die Facebook-Like-Button, die zwar mittlerweile aktiv auf externen Websites bestätigt werden müssen, sammelt Facebook auch Informationen über Internet-Nutzer:innen, die gar kein Profil auf der sozialen Plattform haben.
Auf diese Weise entstehen umfassende Datensätze über die einzelnen Facebook-Nutzer:innen, die weit über das hinausgehen, was einzelne Nutzer:innen freiwillig und bewusst in den eigenen Online-Profilen teilen. Ziel dieser Datensammlungen ist es, sich ein möglichst genaues Bild über die Interessen, Wünsche und Bedürfnisse der Anwender:innen zu machen und die so entstehenden Datensätze zu verkaufen.
Unternehmen nutzen die Informationen dann wiederum, um die jeweiligen Website-Inhalte, insbesondere die auf Facebook enthaltene Werbung, individuell anzupassen, somit mehr Kund:innen zu akquirieren und eine stärkere Kundenbindung zu erzielen.
Risiken minimieren beim Einsatz von Facebook
Strittig ist bei der Nutzung von Facebook im Unternehmensumfeld vor allem, wer die datenschutzrechtlich sensiblen Daten der Nutzer:innen erhebt. Einerseits stellt Facebook die technische Infrastruktur zum Aufbau der Fanpages zur Verfügung, andererseits bleibt das Anlegen einer Fanpage dem Unternehmen selbst überlassen.
Fest steht: Im Falle von Datenschutzverstößen bzw. -verletzungen haftet der Betreiber einer Facebook-Unternehmensseite für jene Verarbeitungen, für die er (mit-)verantwortlich ist. Namentlich könnten dies die Datenverarbeitung zur Marktforschung und Werbung sowie jene der Kontaktaufnahme sein.
Ungeachtet dessen, wer letztendlich juristisch für die Einhaltung des Datenschutzes verantwortlich ist, ist es sowohl Facebook als auch den werbenden Partnerunternehmen anzuraten, geeignete Maßnahmen zu ergreifen, um den Datenschutz zu wahren. Die wichtigsten Maßnahmen für Ihr Unternehmen fassen wir im Folgenden für Sie zusammen.
Passen Sie Ihre Datenschutzerklärung an
Auf Ihrer Website haben Sie als Unternehmer eine Datenschutzerklärung, die Besucher:innen darüber aufklärt, welche Daten Sie verarbeiten und welche Tools Sie dafür nutzen – zusammengefasst: mittels derer Sie Ihren Informationspflichten nachkommen.
Es ist erforderlich, dass Sie auch die Besucher Ihrer Facebook-Unternehmensseite in gleichem Umfang über den Datenschutz aufklären. Dazu verlinken Sie von Ihrem Facebook-Auftritt aus entweder auf eine gesonderte Social Media Datenschutzerklärung oder direkt auf die Datenschutzerklärung Ihrer Website. Dort müssen Sie dann in einer gesonderten Passage über die Datenverarbeitung auf Ihrer Facebook-Unternehmensseite informieren.
Wir empfehlen, eine separate, auf das Page Controller Addendum (Regelungen zur gemeinsamen Verantwortlichkeit zwischen Ihnen und Meta) angepasste Datenschutzerklärung auf der Facebook-Seite einzubinden, welche die Verantwortlichkeiten für die einzelnen Verarbeitungen klärt. Sie sollte direkt auf der Facebook-Unternehmensseite eingefügt werden.
Setzen Sie zusätzlich auf Ihrer Website Tracking-Tools ein, beispielsweise in Form des Facebook-Pixels, ist hierzu ein entsprechender Absatz in die Datenschutzerklärung auf Ihrer Website mit aufzunehmen.
Impressum für die Facebook-Page
Nicht nur die Anpassung der Datenschutzerklärung ist wichtig. Das Telemediengesetz (TMG) sieht in § 5 eine Impressumspflicht auch für Facebook vor, da ein Unternehmen die Seite nicht zu privaten oder persönlichen Zwecken betreibt, sondern um den eigenen Umsatz zu steigern.
Insbesondere Konkurrenzunternehmen überprüfen nicht selten, ob Impressum und Datenschutzerklärung von Wettbewerbern rechtskonform sind. 2012 kam es schon einmal zu einer bundesweiten Abmahnwelle von Facebook-Seiten ohne ausreichendes Impressum. Im Zuge dieser Abmahnungen wurde nochmal obergerichtlich bestätigt, dass bei Facebook eine Impressumspflicht nach § 5 TMG besteht.
Was unbedingt enthalten sein muss, ist:
- Name und Anschrift des Unternehmens
- Kontaktinformationen, die eine schnelle und unkomplizierte Kontaktaufnahme ermöglichen (zum Beispiel Angabe der E-Mail-Adresse)
Darüber hinaus sollte das Impressum leicht zu finden sein. Das OLG München hat diesbezüglich entschieden, dass ein Impressum erst dann leicht erreichbar ist, wenn der Nutzer nicht mehr als zwei Klicks dafür benötigt. Es empfiehlt sich daher, das Impressum im Bereich „Seiteninfo“ unter „Impressum“ einzufügen. Der Name des Betreibers der Webseite und der Facebook-Unternehmensseite sollte dabei übereinstimmen.
Ein offener Punkt bleibt die mobile Version der Facebook-Seite, denn hier kann es passieren, dass das Impressum nicht richtig angezeigt wird.
Wichtig: Vergessen Sie außerdem nicht, Ihre Datenverarbeitung über die Facebook Unternehmensseite in Ihr Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.
Was müssen Unternehmen beim Betrieb von Facebook Fanpages beachten?
Die Entwicklungen der vergangenen Jahre, die anhaltenden Datenschutzdiskussionen um Facebook und das Rekordbußgeld aus dem Mai 2023 zeigen deutlich: Unternehmen müssen sich dringend mit dem Thema Datenschutz auseinandersetzen, wenn sie ihr Profil auf Facebook auch in Zukunft zur Interaktion mit Kund:innen nutzen möchten.
Sie sollten deshalb dringend die Facebook Fanpage Ihres Unternehmens prüfen und sich regelmäßig über Entwicklungen beim Meta-Datenschutz informieren, um gegebenenfalls kurzfristig reagieren zu können.
Entscheiden Sie sich dafür, Ihre Fanpage weiterzubetreiben, sollten Sie sich fachkundige Hilfe holen, um Risiken wie Abmahnungen, Bußgelder und Imageverlust zu reduzieren. Denn Facebook kann seine Nutzungsbedingungen jederzeit ändern, ohne dass die Betreiber von Facebook-Seiten Einfluss darauf hätten. Hier gilt es, sich regelmäßig über etwaige Änderungen zu informieren und mit professioneller Unterstützung alle Maßnahmen umzusetzen, die Sie selbst in der Hand haben.
Unternehmen sollten keine Mühe scheuen, den Datenschutz für Facebook-Unternehmensseiten umfassend abzusichern. Denn eine richtige Datenschutzerklärung schützt nicht nur vor hohen Strafen, sondern stärkt das Vertrauen der Nutzer in den Datenschutz Ihres Unternehmens.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.