Facebook Fanpage: Datenschutzprobleme und Lösungsansätze

Facebook ist immer noch das beliebteste soziale Netzwerk. Viele Unternehmen sind daher auf der Plattform vertreten, um mit potenziellen Kunden in Kontakt treten zu können. Welchen datenschutzrechtlichen Problemen beim Betrieb einer Fanpage bestehen und welche Lösungen in dem Zusammenhang als Ansätze dienen, wird in diesem Beitrag thematisiert.

Facebook Fanpage und ihre Vorteile für Unternehmen

Zunächst stellt sich die Frage, welche Vorteile eine Facebook Fanpage für Unternehmen bringt und mit welchen Nachteilen sie gleichzeitig verbunden ist.

Vorteile einer Facebook Fanpage

Die Vorteile wirken sich auf sämtliche Unternehmensbereiche aus. Großteils sind die Auswirkungen im Marketing wiederzufinden, was wiederum fundamental für andere Bereiche wird.

Ohne technische Hürden ist es möglich eine Fanpage schnell zu erstellen. Dadurch werden Unternehmen international auffindbar und bauen sich eine Social-Media Präsenz auf. Heutzutage ist der Auftritt in sozialen Netzwerken unabdingbar, um eine hohe Reichweite zu erlangen: denn hiermit kann die Markenbekanntheit gesteigert werden. Die Nähe zu Zielgruppen ermöglicht eine direkte Adressierung und bietet kurze Wege zur Vernetzung:

• Unternehmen bekommen ein direktes Feedback der Zielgruppe: sei es zu Neuentwicklungen und News oder auch zum bestehenden Produktportfolio.
• Unternehmen können sofort auf Ereignisse von öffentlichem Interesse reagieren.
• Die Botschaften des Unternehmens können auf eine große Resonanz stoßen und viral gehen.

All das führt dazu, dass ein Vertrauen zum Unternehmen entsteht und die Aufmerksamkeit auf die eigentliche Webseite des Unternehmens gelenkt wird. Anhand der umfangreichen Analysemöglichkeiten und Statistiken, die Facebook Fanpages bieten, können Zielsetzungen optimiert werden und die Möglichkeit von Umsatzsteigerungen oder Neugeschäften könnte entstehen.

Nachteile einer Facebook Fanpage

Das Betreiben von Facebook Fanpages birgt jedoch auch Schattenseiten. Damit Unternehmen von den Vorteilen profitieren können, ist viel Zeit und Mühe gefragt. Eine Fanpage erfordert, dass regelmäßig Inhalte generiert werden und mit „Fans“ interagiert wird. Das ist zeitaufwendig und setzt eine gewisse Professionalität voraus, damit Kunden von veröffentlichten Beiträgen angesprochen werden. Wenn die Fanpage keinen Content liefert, besteht die Gefahr von sog. „verwaisten Fanseiten“, wo zuletzt beispielsweise vor drei Jahren ein Beitrag gepostet wurde. Das wiederrum hinterlässt einen falschen Eindruck, da die Aufmerksamkeit und das „Following“ von Social-Media Nutzern nur mit aktuellem und regelmäßigem Content beibehalten wird.

Außerdem könnte der sog. „Shitstorm“ zum Albtraum der Unternehmen werden. Unzufriedene Kunden können Fanpages als Gelegenheit sehen, um ihre negativen Erfahrungen zu teilen und sich von ihrem damit verbundenen Frust zu befreien. In solchen Fällen müssen sich Unternehmen bemühen ihr Image zu schützen, indem sie beispielsweise regelmäßig die Seite überprüfen und angemessen auf solche Kundenbeiträge reagieren.

Bedeutung für die Suchmaschinenoptimierung

Was die Suchmaschinenoptimierung betrifft, können „Gefällt-Mir“-Angaben und Interaktionen das Ranking bei Suchmaschinen beeinflussen (sog. Social SEO). Auch wenn diese Auffassung umstritten ist, wird weiterhin auf eine positive Wirkung gehofft.

Eine weitere Bedeutung besteht darin, dass die Suchmaschinenoptimierung auch für die Fanpage selbst relevant ist. Die wichtigsten Keywords, die gerankt werden sollen, können im Titel der Seite oder im Infobereich platziert werden. Auch hier ist von Bedeutung, dass mit Statusupdates die Interaktion mit Fans angeregt wird.

Wieso ist eine Facebook Fanpage datenschutzrechtlich problematisch?

Daneben gibt es datenschutzrechtliche Probleme, die wir näher beleuchten möchten. Diese sind insbesondere auf die Funktionsweise von Facebook zurückzuführen. Um Facebook Nutzern maßgeschneiderte Werbung zu präsentieren, sammelt das Unternehmen so viele Daten wie möglich. Dabei werden zwischen 2 Gruppen differenziert werden:

• Facebook-Mitglied: Übertragung der IP-Adresse und Setzen/Übertragung des datr-Cookie und Übertragung des c_user-Cookies.
• Nicht-Facebook-Mitgliedern oder ausgeloggtes Facebook-Mitglied: Übertragung der IP-Adresse und Setzen/Übertragen des datr-Cookie.

Der c_user-Cookie enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Dadurch wird es möglich das Mitglied identifizieren, den Aufruf der Webseite mit der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage zu personalisieren.

Datr-Cookie

Unter dem Schlagwort Facebook „Schattenprofil“ sorgte der Datr-Cookie für Schlagzeilen. Er wird auf dem Computer des Nutzers abgelegt und verfolgen das gesamte Surf-Verhalten durch das Internet, unabhängig davon, ob ein Facebook-Account besteht, der Nutzer eingeloggt ist oder nicht. Hört sich relativ unheimlich an und besser wird es auch nicht. Denn für den Einsatz eines Datr-Cookies muss nicht einmal eine Facebook-Seite aufgerufen werden, sondern es genügt, wenn eine beliebige Internetseite mit ausgestatteten Like-, Share-Buttons oder eingebetteter Fanpage aufgerufen wird.

Laut Facebook sollen Datr-Cookies zur Verhinderung von Cyber-Attacken und zum Herausfiltern von Fake-Profilen eingesetzt werden. Nun ja, etwas rechtlich Bedenkliches wird nicht sofort zulässig, wenn es hinter dem Zauberwort „Sicherheit“ versteckt wird. Wie in einem unserer vorherigen Beiträge bereits ausgeführt, steht eher die Werbung im Vordergrund statt der Sicherheit. Laut Mark Zuckerberg könnte man als Nicht-User Schattenprofile verhindern, indem man sich ganz einfach bei Facebook anmeldet und bestimmte Einstellungen vornimmt. Eine Dilemma-Situation oder einfach nur tragikomisch?!

Gerichtliches Verfahren

Gegen diese Praktik läuft bereits seit Jahren ein Verfahren der belgischen Datenschutzbehörde. Im November 2015 bestätigte ein belgisches Gericht zunächst deren Verbot gegenüber Facebook, Daten von Nicht-Mitgliedern zu sammeln. In der nächsten Instanz wurde das Urteil ein Jahr später kassiert. Das Gericht folgte der Auffassung von Facebook, dass spätestens mit Inkrafttreten der DSGVO einzig die irische und nicht die belgische Datenschutzbehörde für den Fall zuständig sei. Diese Auffassung legte das belgischen Berufungsgericht dem Europäische Gerichtshof vor.

„(Das vorlegende Gericht) hat (…) jedoch Zweifel hinsichtlich der Auswirkungen des Inkrafttretens der (DSGVO), insbesondere der Anwendung des darin vorgesehenen Verfahrens der Zusammenarbeit und Kohärenz, auf die Zuständigkeiten der (Datenschutzbehörde, Belgien) und auf deren Befugnis, eine solche Unterlassungsklage zu erheben.“ (EuGH Urt. v. 15.06.2021, Rs. C-645/19, Rn. 36)

Grundsätzlich ist die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitungen zuständig, vgl. Art. 56 Abs. 1 DSGVO. Für Facebook ist das die irländische Datenschutzbehörde, da in diesem Mitgliedstaat die EU-Hauptniederlassung ist. Nach dem Urteil des Europäischen Gerichtshof sind die europäischen Vorschriften so auszulegen, dass neben der federführenden auch die zuständigen Datenschutzbehörden anderer Mitgliedstaaten auch klagen dürften (EuGH Urt. v. 15.06.2021, Rs. C-645/19).

„Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht ihres Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist.“

Das Verfahren ging damit zurück an das Berufungsgericht ist noch (lange) nicht abgeschlossen. Derweil sammelt Facebook munter weiter Daten über Nicht-Mitgliedern mithilfe des Datr-Cookies.

Die bedrohte Privatsphäre

Durch das systematische Sammeln solcher Daten über mehrere Jahre, kann Facebook spezifische Profile von Internetnutzern erstellen. Anhand einer solchen Datenmenge wird es möglich sein Schlussfolgerungen über das Nutzerverhalten zu ziehen und konkrete Interessen sowie Vorlieben zu identifizieren. Deswegen kennt Facebook einen vermeintlich besser als die Freunde es tun. Den Betroffenen droht dabei das Hinterlassen von Wiedererkennungsfaktoren, die Facebook gezielt einsetzen kann, um die eigenen Geschäfte zu optimieren und Werbung auszuspielen.

Doch wie wird aus den dubiosen Datensammmlungspraktiken von Facebook ein datenschutzrechtliches Problem für ein Unternehmen durch den Betrieb einer Facebook Fanpage? Hier kommt ein weiteres Verfahren einer Aufsichtsbehörde und die – zu dessen Beginn relativ unbekannte – datenschutzrechtliche Figur der Gemeinsamen Verantwortlichkeit ins Spiel.

Welche Bedeutung hat das Wirtschaftsakademie-Urteil des EuGH?

Der Rechtsstreit begann 2011 mit mehreren Bescheiden des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gegenüber öffentlichen und privaten Stellen, mit der Aufforderung ihre Facebook-Fanpage zu deaktivieren, die Facebook-Datenverarbeitung nicht mit deutschem Datenschutzrecht vereinbar sei. Es werde beim Setzen der Cookies von Facebook keine wirksame Einwilligung eingeholt, Betroffene können der Profilbildung nicht widersprechen und werden über die Datenverarbeitungen nicht ausreichend informiert. Für diese Verstöße seien die Fanpage Betreiber mitverantwortlich. Der Ausgang der anknüpfenden gerichtlichen Verfahren hing insbesondere an dieser letzten Rechtsauffassung der Aufsichtsbehörden. Diese landete im Rahmen des Instanzenzugs schließlich vor dem Europäischen Gerichtshof (EuGH), der bestätigte:

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“ (Pressemitteilung Nr. 81/18)

Der Betreiber ist an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Fanpage-Besucher beteiligt, da er Daten verlangen kann, die ihm ermöglichen, sein Informationsangebot zielgerichtet zu gestalten. Davon betroffene Daten sind zum Beispiel:

• Demografische Daten über die Zielgruppen (Alter, Geschlecht, Beziehungsstatus, berufliche Situation).
• Informationen über den Lebensstil und die Interessen (Käufe, Online-Kaufverhalten, Kategorien der Waren und Dienstleistungen).
• Geografische Daten.

Insofern bestehen bei beiden Beteiligten ein eigenes wirtschaftliches Interesse. Anhand des Urteils wird deutlich, dass von den Vorteilen einer Fanpage ohne den Schutz personenbezogener Daten nicht profitiert werden kann.

Zwar bezieht sich das EuGH Urteil vom 05.06.2018 – C-210/16 auf die Rechtslage nach der Datenschutzrichtlinie (DSRL), dem Vorgänger der DSGVO. Dennoch ist es weiterhin aktuell, da sich die Definition der gemeinsamen Verantwortlichkeit mit der DSGVO nicht änderte.

Was hat das BVerwG zur Verantwortlichkeit für Facebook Fanpages entschieden?

Unter Berücksichtigung dieser Auslegung des EuGH hob das Bundesverwaltungsgericht (BVerwG) das Urteil des Oberverwaltungsgerichts (Az. 4 LB 20/13) auf. In dem Verfahren führte der Fanpage Betreiber die berechtigte Kritik an, es sei für die Datenschutzbehörde effektiver und daher geboten, vorrangig gegen Facebook vorzugehen, als gegen die einzelnen Fanpage Betreiber. Das BVerwG verneinte aber eine rechtliche Pflicht dahingehend:

1. „Für die Ausübung der Eingriffsbefugnisse des § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer gemeinsam für die Datenverarbeitung Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten.
2. Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.“

Mit dieser Entscheidung gilt das Prinzip des Auswahlermessens der Behörden bei der Gefahrenabwehr nun auch im Datenschutz. Ursprünglich findet es bei der Polizei oder der Ordnungsverwaltung Anwendung, um die Adressaten einer Gefahrenabwehrmaßnahme zu bestimmen, wenn mehrere Personen als polizei- oder ordnungsrechtlich Verantwortliche in Frage kommen. Auf das Datenschutzrecht bezogen wird den Aufsichtsbehörden das Auswahlermessen zugeschrieben, ob sie in konkreten Fällen den Fanpage-Betreiber oder Facebook als Adressat von Anordnungen nehmen, da beide nunmehr gemeinsam als Verantwortliche gelten. Da die deutschen Aufsichtsbehörden aufgrund des One Stop Shop oft nur mittelbar gegenüber Facebook tätig werden können, fällt die Auswahl nicht schwer.

Die Auswirkungen des Wirtschaftsakademie-Verfahrens haben sich in der Praxis gezeigt. Aus dem Jahresbericht 2020 der Landesbeauftragen für Datenschutz und Informationsfreiheit Bremen ist eine Anordnung gegen einen Facebook Fanpage Betreiber zu entnehmen. Dieser wurde verpflichtet dem Löschbegehren eines Betroffenen nachzugehen und künftig ausreichende Datenschutzinformationen zur Verfügung zu stellen.

OVG Schleswig-Holstein: Wirtschaftsakademie muss die Fanpage deaktivieren

Die Rechtssache wurde durch das BVerwG zur anderweitigen Verhandlung und Entscheidung an das OVG zurückgewiesen. Das Verfahren ist endgültig mit dem OVG Urteil vom 25.11.2021, Az. 4 LB 20/13 abgeschlossen. Da man die Anordnung zur Deaktivierung der Fanpage aber nicht als Dauerverwaltungsakt qualifizierte, war für die Beurteilung die Sach- und Rechtslage der Zeitpunkt der letzten Verwaltungsentscheidung ausschlaggebend. Am Ende des Verfahrens steht die Feststellung eines schwerwiegenden Verstoß gegen datenschutzrechtliche Vorschriften zum maßgeblichen Zeitpunkt im Dezember 2011. In den letzten 11 Jahren hat sich an den ursprünglich bemängelten Punkten, der Ausgestaltung der Cookie Einwilligung, dem Widerspruchsrecht und den zur Verfügung gestellten Informationen, einiges geändert. Das Urteil bietet somit keine Anhaltspunkte ob und wie ein Betrieb einer Facebook Fanpage aktuell datenschutzkonform möglich wäre.

Was können Betreiber einer Facebook Fanpage tun?

Lediglich aus dem Wirtschaftsakademie-Urteil des EuGH lassen sich bestimmte Grundsätze und Maßnahmen herleiten, die Betreiber einer Facebook Fanpage umgesetzt werden sollten. Denn in der Rolle eines Mitverantwortlichen trägt man im schlimmsten Fall auch die Konsequenzen für die Nichteinhaltung der Datenschutzregelungen mit. Die folgende Aufzählung konkreter Pflichten und Empfehlungen soll verzweifelten Fanpage-Betreibern die Frage „Was können wir tun?“ beantworten:

• Fanpage-Besucher müssen in transparenter und verständlicher Form informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Betreiber verarbeitet werden. Das umfasst sowohl auf Facebook registrierte Besucher als auch nicht registrierte. Hierfür eignet sich eine Datenschutzerklärung auf der Fanpage und eine zusätzliche auf der eigenen Webseite.
• Betreibern wird empfohlen, dass sie Informationen von Facebook anfordern, die zur Erfüllung der oben genannten Informationspflichten erforderlich sind. Somit können sie sich selbst versichern.
• Eine Einwilligung der Besucher nach den Anforderungen der DSGVO ist zwingend notwendig, soweit Facebook Fanpage-Besucher durch Erhebung personenbezogener Daten trackt (durch Cookies o.Ä, sowie die Speicherung der IP-Adresse).
• Eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist abzuschließen, in der festgelegt wird, welche Verpflichtungen der DSGVO welche Partei erfüllt. Die wesentlichen Punkte dieser Vereinbarung sind den Betroffenen zur Verfügung zu stellen, damit diese ihre Betroffenenrechte wahrnehmen können.
• Betreiber müssen nachweisen, dass sie die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO einhalten. Diese ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und den Verpflichtungen aus Art. 24, 25, 32 DSGVO.
• Für Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, benötigt jeder Verantwortliche eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO, wenn besondere Kategorien personenbezogener Daten verarbeitet werden.

Das Positionspapier der Datenschutzkonferenz (DSK) vom 01.04.2019 verdeutlicht ausdrücklich, dass ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist, solange diesen Pflichten nicht nachgekommen wird. Allen bestehenden oder zukünftigen Fanpage-Betreibern sollte bewusst sein, dass diese Anforderungen nur mit der Mitwirkung von Facebook zu erfüllen sind. Dafür sollten sich Betreiber an Facebook wenden, um erforderliche Informationen zu erhalten und eine Vereinbarung nach Art. 26 DSGVO abzuschließen. Wenn dies erfolglos bleibt, sollte über das Einstellen der Fanpage nachgedacht werden.

Was muss in die Datenschutzerklärung und das Impressum einer Fanpage?

Damit Betreiber den oben genannten Pflichten nachkommen können, ist eine Datenschutzerklärung sowie ein Impressum auf der Fanpage erforderlich.

Datenschutzerklärung

Die Informationspflichten können in Form einer Datenschutzerklärung erfüllt werden. Die Anforderungen zur Erfüllung der Informationspflicht sind aus Art. 13 DSGVO zu entnehmen. Jedenfalls sollte die Ausgestaltung der Datenschutzerklärung für eine Fanpage folgendermaßen aussehen:

• Name und Kontaktdaten des Verantwortlichen, sowie die Unterrichtung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke für die Datenverarbeitung und die zugehörige Rechtsgrundlage
• Bei der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO sind zusätzlich die vom Verantwortlichen verfolgten berechtigten Interessen zu nennen
• Ein Hinweis und der Link zu den Seiten-Insights Informationen von Facebook (Meta Ireland Ltd.)
• Unterrichtung über die Betroffenenrechte
• Informationen über Gewinnspiele und die Nutzung des Kontaktformulars

Impressum

Es besteht eine Impressumspflicht bei einem geschäftsmäßigen Facebook-Auftritt, dass aus dem Urteil des Landgerichts (LG) Aschaffenburg vom 19.08.2011, Az. 2 HK o 54/11 hervorgeht. Das Telemediengesetz (TMG) regelt, die inhaltlichen Anforderungen für die Anbieterkennzeichnung. Nach § 5 Abs. 1 TMG muss das Impressum für den Besucher

„leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein“

Sowie folgende Informationen beinhalten:

• Informationen und Kontaktdaten des Betreibers: Name, ladungsfähige Anschrift, E-Mail-Adresse und Telefonnummer
• Rechtsform des Unternehmens
• Vertretungsberechtigter
• Registereintrag und Registernummer
• Umsatzsteuer-Identifikationsnummer
• Handelsregister und Registernummer
• Besondere Angaben für bestimmte Berufsgruppen, z.B. § 5 Abs. 1 Nr. 3 und 5 TMG

In der Praxis wird häufig eine Verlinkung auf die eigene Webseite hinzugefügt, wo direkt das Impressum abrufbar ist. Dafür ist vorausgesetzt, dass die Verlinkung eindeutig benannt und an der richtigen Stelle zu finden ist. Das kann alternativ zur Auflistung des Impressums auf der Fanpage dienen.

Das Bundesministerium der Justiz warnt, dass bei Fehlen eines Impressums eine Geldbuße von bis zu 50.000 Euro drohen und mit einem Wettbewerbsverstoß zu rechnen ist, woraus sich Unterlassungsansprüche ergeben können und mit kostenpflichtigen Abmahnungen verbunden sind.

Zusätzlicher Hinweis

Mit einer Datenschutzerklärung und einem Impressum sind die Pflichten immer noch nicht erfüllt. Da der Betrieb einer Fanpage auch als Verarbeitungstätigkeit gilt, muss diese in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO mitaufgenommen werden.

Wie reagierte Facebook auf das Urteil des EuGH und die Kritik der Aufsichtsbehörden?

Als Reaktion auf das Wirtschaftsakademie-Urteil des EuGH hatte Facebook am 11.09.2018 eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ (= Page Controller Addendum) veröffentlicht. Als diese Veröffentlichungen von den Aufsichtsbehörden als unzureichend für eine Vereinbarung nach Art. 26 DSGVO kritisiert und abgelehnt wurde, hat Facebook die Informationen zu Seiten-Insights aktualisiert. Es handelt sich hierbei um die Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. Die Kritikpunkte wurden dementsprechend umgesetzt, dass detailliertere Angaben vor allem zu den Arten der erhobenen Daten gemacht wurden. Zusätzlich sind den Informationen technische und organisatorische Maßnahmen hinzugefügt worden.

Nun stellt sich die Frage, ob dadurch ein geringeres Risiko für den Datenschutz besteht. Es ist nicht zu erwarten, das Risiko komplett aus der Welt zu schaffen. Mit einem Restrisiko sollte trotz allem zu rechnen sein. Zumindest sind ausführlichere Angaben zum datenschutzrechtlichen Hintergrund der Fanpages gemacht worden. Darüber hinaus wird das Argument des EuGH entkräftet, dass Facebook Daten von Nicht-Mitgliedern sammelt:

„Events, die zum Erstellen von Seiten-Insights verwendet werden, speichern außer einer Facebook-Nutzer-ID für bei Facebook eingeloggte Personen keine IP-Adressen, Cookie-IDs oder irgendwelche anderen Kennungen, die Personen oder ihren Geräten zugeordnet sind.“

Das ist ein großer Schritt, um die Vorurteile gegen das soziale Netzwerk abzubauen. Von aktuellen Aussagen der Behörden wird aber deutlich, dass

„Fanpage Betreiber immer noch nicht im erforderlichen Maße in die Lage versetzt werden, ihrer Rechenschaftspflicht hinsichtlich der Rechtmäßigkeit der Verarbeitung von Daten der Fanpage-Besucher nachzukommen.“

Da die Rechenschaftspflicht elementar in der DSGVO ist, besteht auch zukünftig ein Risiko – auch wenn es sich im Vergleich zur alten Rechtslage in gewissen Maßen verringert hat.

Kann man Fanpages datenschutzkonform einsetzen?

Eine Facebook Fanpage kann Unternehmen viele Vorteile bringen. Bis die Vorteile jedoch erreicht werden, ist es ein steiniger Weg. In Vergangenheit waren Facebook und Fanpage Betreiber mit datenschutzrechtlichen Herausforderungen konfrontiert, die auch in Zukunft zu erwarten sind. Nach der aktualisierten Version des Page Controller Addendums, könnte davon ausgegangen werden, dass sich die grauen Wolken über der Problematik einigermaßen verziehen. Aktuelle Aussagen der Behörden nehmen diesen Hoffnungsschimmer jedoch weg.

Bei Möglichkeit sollte deswegen auf eine Fanpage verzichten werden, insbesondere wenn sie nicht strategisch zu Marketingzwecken eingesetzt wird, sondern als „bloße“ Abrufbarkeit auf Facebook dienen soll und als verwaiste Fanpage zurückblickt. Am Ende bleibt übrig zu sagen, dass das Geschäftsmodell von Facebook sowohl Gerichte als auch Datenschutzbehörden permanent beschäftigt und zu aktuellen Entwicklungen der Rechtslage Ausschau gehalten werden muss. Insofern die Pflichten und Anforderungen der Behörden ordnungsgemäß umgesetzt und eingehalten werden und der Datenschutz im Unternehmen großgeschrieben wird, könnten Fanpages betrieben werden.

Die Datenschutzkonformität ist insoweit davon abhängig, ob die datenschutzrechtlichen Pflichten erfüllt werden. Es ist eine individuelle Risikoabwägung jenes Unternehmens, ob die Vorteile oder Nachteile überwiegen. Dafür sollten sich Betreiber die Frage stellen, ob es sich für den Aufwand und die Mühe lohnt eine datenschutzkonforme Fanpage zu bestreben, wenn das Thema immer noch heikel und die Gefahr von Abmahnungen bis hin zu einer Anordnung zur Einstellung der Fanpage in Kauf zu nehmen ist.