Seien Sie vorsichtig mit Werbung auf Facebook!

Werbung auf Facebook – aus unternehmerischer Sicht erscheint das erstmal als gute Idee: Man baut eine Fanpage, verlinkt die Website mit Facebook, damit die Seitenbesucher sehen, wie viele Fans man hat; man setzt Artikel auf Facebook und verlinkt sie per Facebook-Pixel mit einer Landingpage. Man kann die Zielgruppe sehr genau eingrenzen und erreicht so die Menschen, für die das eigene Produkt wirklich interessant ist. So weit die Theorie – und einige Zeit war das auch die Praxis.
Dass ich selbst keine Fanpages mehr habe, spricht eine beredte Sprache.

Fanpages sind aus rechtlicher Sicht gefährlich.

EuGH: Die Betreiber von Facebook-Fanpages sind gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich.

Der Europäische Gerichtshof hat 2018 entschieden, dass die Betreiber von kommerziellen Fanpages für die Datenverarbeitung mitverantwortlich sind, welche Facebook auf der jeweiligen Fanpage durchführt. Dies bedeutet, dass der Seitenbetreiber für Vorgänge haftet, die er a) nicht selbst initiiert hat und b) auch nicht überblicken bzw. kontrollieren kann. Das ist ungefähr so, als hätten Sie ein kleines unabhängiges Büro in einem großen Gebäudekomplex, welches einem großen Unternehmen gehört, und an dessen Pforte würden die Gesichter der ein- und ausgehenden Personen gescannt, und auch wenn Sie auf diese (biometrischen) Daten keinen Zugriff hätten, würde man Sie trotzdem mit haftbar machen.

Es kommt nicht darauf an, welche der von Facebook erhobenen Daten vom Seitenbetreiber selbst genutzt werden. Nach der EuGH-Entscheidung ist schon seine theoretische Zugriffsmöglichkeit auf diese Daten ausreichend, um eine datenschutzrechtliche Mitverantwortlichkeit zu begründen.

Wie kam es zu diesem Urteil?

Obwohl das Urteil ziemlich kurz nach dem endgültigen Inkrafttreten der DSGVO ergangen ist, hat es nichts mit ihr zu tun: Der Rechtsstreit war 2011 gestartet, als der damalige Schleswig-Holsteinische Landesdatenschützer mit Unterlassungsverfügungen gegen Betreiber von Facebook-Fanseiten in Schleswig-Holstein vorgegangen war. Daraufhin hatte u.a. die Wirtschaftskammer Schleswig-Holstein das Unabhängige Landeszentrum Schleswig-Holstein vor dem Verwaltungsgericht verklagt. In den Vorinstanzen hatten die Gerichte immer jede Art von vertraglicher Beziehung zwischen den Seitenbetreibern und Facebook abgelehnt, aber der EuGH urteilte, dass ein Benutzungsverhältnis besteht. Die Aufsichtsbehörde war daher im Recht, gegen den Anbieter der Facebook-Fanpage vorzugehen.

Fanpage nur mit eigener Datenschutzerklärung

Da der Fanpage-Betreiber als „datenschutzrechtlich Verantwortlicher“ identifiziert wurde, braucht er eine Datenschutzerklärung, in der er sowohl über seine Eigenschaft als Seitenbetreiber informiert, als auch über die Datenverarbeitung durch Facebook – auch wenn er nicht wissen kann, wie die Daten von Facebook überhaupt verarbeitet werden. Dies bedeutet, Sie brauchen auch für Ihre reine Unternehmenspräsentation bei Facebook neben einem ausreichenden Impressum auch eine Datenschutzerklärung. Wenn Sie keine solche Datenschutzerklärung vorweisen, kann dies zu Abmahnungen oder Nutzerbeschwerden führen.

Facebook-Pixel – der nächste rechtliche Fallstrick

Nehmen wir an, Sie haben Ihrer Fanpage brav eine Datenschutzerklärung hinzugefügt und wollen jetzt endlich Werbung machen. Sie schalten eine Anzeige und setzen einen Facebook-Pixel auf Ihre Website, damit Sie messen können, wie viel Erfolg Ihre Facebook-Werbekampagne außerhalb der Plattform erzielt. Der Facebook-Pixel ermöglicht, dass Sie den Weg des Besuchers bis zum Kaufabschuss nachverfolgen können (=Conversion Tracking). Die hierbei erfassten Daten des Kunden werden automatisch an Facebook in den USA übertragen, und wahrscheinlich werden sie auch mit den Profildaten des Kunden bei Facebook verknüpft, so dass Facebook anderen Werbekunden (die also auch an dem Endverbraucher als Kunden interessiert sind) dessen Daten zur Verfügung stellen kann. Hiervon erfährt der Nutzer, der bei Facebook auf eine Anzeige klickt, aber nichts. Und genau diese Datenübertragung und Auswertung ohne Wissen des Facebook-Nutzers führt dazu, dass der Facebook-Pixel datenschutzrechtlich im Moment nicht empfehlenswert ist.

Auch ein Hinweis auf Facebook-Pixel in der Datenschutzerklärung genügt nicht, denn der Nutzer hat ja keine Möglichkeit, nicht einzuwilligen. Ein solcher Pixel wäre nur dann rechtlich zulässig, wenn Sie einen Austragelink (Opt Out) oder eine Einwilligung (Opt In) auf Ihrer Website umsetzen würden. Ein Opt In würde voraussetzen, dass Sie als Seitenbetreiber dem Nutzer mitteilen, welche Daten Sie speichern, und dass diese Daten in die USA übertragen und mit den Unternehmen A, B und C geteilt werden, und der Nutzer müsste die Möglichkeit haben, zu sagen, dass er einverstanden ist – und all das müsste passieren, bevor seine Daten gespeichert werden. Aber es sind derzeit keine technischen Möglichkeiten bekannt, mit denen dies umgesetzt werden kann.

“Wir sind auch auf Facebook” – Like-Buttons, Facebook-Widgets etc.

Dieses Thema stellt sich nur, wenn man überhaupt eine Fanpage hat. Unterstellt also, Sie haben eine Fanpage mit Datenschutzerklärung, dann ist die Verknüpfung mit Facebook über ein Widget (z.B. im Fußbereich Ihrer Seite) spätestens seit dem 25. Mai 2018 höchst gefährlich. Denn Sie müssen Ihren Besuchern und Kunden in Ihrer Datenschutzerklärung ja in einfachem Deutsch und erschöpfend auflisten, was mit ihren Daten geschieht. Aber Sie wissen weder, welche Daten Facebook sammelt, noch wie lange sie aufbewahrt werden oder unter welchen Bedingungen sie weitergegeben werden. Sie haben also keine Ahnung, was Facebook mit den Daten macht, demzufolge können Sie auch niemanden darüber aufklären.
Die einzige gangbare Lösung wäre ein statischer Link – dieser wird als juristisch unproblematisch betrachtet.