Es ist kein Geheimnis, dass Meta in seinen Apps Instagram, Facebook und WhatsApp personenbezogene Daten in großem Umfang sammelt und speichert. Schaltet Ihr Unternehmen auf den Plattformen Werbung, ist das für die Treffgenauigkeit Ihrer Anzeigen natürlich eine feine Sache. Doch Achtung: Sobald Ihr Unternehmen Facebook professionell nutzt, sind auch Sie für den Datenschutz verantwortlich. Dieser Beitrag fasst die wichtigsten To-Do’s rund um den Datenschutz auf Facebook für Sie zusammen!
Woher nimmt Facebook die Daten?
Für Unternehmen ist es praktisch, einen Partner wie Meta zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils und aller Handlungen für Werbezwecke eingewilligt hat.
Das sind etwa:
- Geräteattribute wie Betriebssystem, verfügbarer Speicherplatz, Dateinamen
- Vorgänge auf dem Gerät wie Finger- und Mausbewegungen
- Identifikatoren wie die Geräte-ID
- Gerätesignale wie WLAN-Zugangspunkte und Funkzelltürme
- Geräteeinstellungen
- Netzwerke und Verbindungen wie Internet- und Mobilfunkanbieter
- Cookies
- Nutzweise der Meta-Produkte
Das alles natürlich „unabhängig davon, ob du ein Konto hast oder bei unseren Produkten eingeloggt bist“, wie die Datenrichtlinie verkündet. Jeder Facebook-User, der mit Ihrem Profil interagiert, auf eine Werbeanzeige klickt oder einem Link folgt, gibt dabei also eine Menge personenbezogene Daten Preis, die tiefe Einblick in das Privatleben bieten. Datenschutz muss also großgeschrieben werden – und dafür sind auch Sie zuständig.
Auch Seitenbetreiber sind am Datenschutz beteiligt
In seinem Urteil vom 5. Juni 2018 stellte der EuGH fest, dass Facebook-Fanpages (also auch das Profil Ihres Unternehmens) in der früheren Gestaltung nicht datenschutzkonform waren. Wegen des Trackings von Fans mittels der Funktion „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook. Deshalb sind die Voraussetzungen des neuen Art. 26 DSGVO von beiden Parteien zu erfüllen.
Unternehmen sollten Datenschutz bei allen mit Facebook verknüpften Werbemaßnahmen beachten
Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Als werbetreibendes Unternehmen können Sie durch die Definition sogenannter „Custom Audiences“ gezielt Personen ansprechen, die bestimmte demographische Merkmale oder Interessen aufweisen, die Ihre Webseite besucht haben und/oder zu denen Ihnen E-Mailadressen oder Telefonnummern vorliegen.
Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.
Datenschutz beim Upload auf Facebook
Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die Ihr Unternehmen ansprechen möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die Sie auf Facebook hochladen.
Bei E-Mailadressen und/oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern Sie selbst verantwortlich sind. Die Weitergabe bedarf grundsätzlich einer Einwilligung des jeweiligen Users. Meist liegt die jedoch nicht vor.
Nun könnte man meinen, dass die Weitergabe personenbezogener Daten an Facebook im Rahmen einer Auftragsverarbeitung ohne Einwilligung des Betroffenen rechtskonform sei. In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen.
Das Bayerische Verwaltungsgericht Bayreuth ist jedoch im Mai 2018 – noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es sich nicht um einen Fall der Auftragsverarbeitung handelt. Vielmehr ist die Datenweitergabe als Übermittlung an einen Dritten anzusehen.
Das heißt: Sie brauchen stets die vorausgehende Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook. Diese Bewertung hat der VGH München bestätigt.
Facebook Pixel DSGVO-konform verwenden
Für die Erhebung via Facebook Pixel (bzw. neu: Meta Pixel) ist der Webseiten-Betreiber ebenfalls (mit-) verantwortlich. Und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann.
Das Pixel wertet die Informationen aller User aus, die die Webseite über Posts und Werbeanzeigen auf Facebook/Instagram besuchen. Dabei arbeitet es auf zwei unterschiedlichen Wegen:
- Standardversion: Standardmäßig verarbeitet das Pixel grundlegende Informationen wie Klicks und Aktivitäten.
- Erweiterter Datenabgleich: Diese Variante müssen Sie selbstständig aktivieren. Das Pixel sammelt dann auch tiefgreifendere personenbezogene Daten, über die sich der Nutzer eindeutig identifizieren lässt – z.B. die E-Mail-Adresse.
Beim erweiterten Datenschutzabgleich sind aktive Einwilligung und Hinweis in der Datenschutzerklärung zwingend notwendig. Bei der Standardversion scheiden sich die Geister. Manche berufen sich auf das berechtigte Interesse des Webseitenbetreibers. Ich empfehle jedoch, das Pixel grundsätzlich nur mit User-Einwilligung zu betreiben.
Soweit, so gut. Was heißt das nun aber auf den Punkt gebracht für Sie? Was ist konkret zu tun?
Das sind Ihre To-Do’s beim Datenschutz auf Facebook
Die einfachste Lösung wäre wohl, das Tracking komplett zu deaktivieren. Leider würde damit auch die Möglichkeit gezielter Werbemaßnahmen wegfallen. Und in der Realität lässt Facebook eine solche Deaktivierung auch gar nicht zu.
Userdaten werden immer gesammelt – als Seitenbetreiber sind Sie deshalb angehalten, Besucher Ihrer Fanpage und Ihrer Webseite darauf hinzuweisen.
1. Holen Sie Einwilligung für das Tracking auf Ihrer Facebook-Fanpage über das Consent-Banner Ihrer Webseite ein. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
2. Implementieren Sie in den Datenschutzhinweisen Ihrer Webseite die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
- Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden.
- Die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten.
- Facebook Ireland stellt den Betroffenen die wesentlichen Informationen zur Verfügung (wenn auch unzureichend, wie der Datenschutz-Aktivist Max Schrems bemängelt).
- Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
4. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular für Anfragen zur Seiten-Insights-Ergänzung.
5. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten.
Fazit: Ganz ohne Daten geht es nicht – ergreifen Sie deshalb die nötigen Maßnahmen
Sobald Sie User über Facebook, Instagram oder WhatsApp auf Ihre Webseite leiten oder eine Facebook-Unternehmensseite betreiben, können Sie sicher sein: Es werden personenbezogene Daten gesammelt. Möchten Sie Ihre Profile auf Facebook und Co. datenschutzkonform betreiben, ist deshalb immer eine ausreichende Information in den Datenschutzhinweisen und die Möglichkeit des Widerspruchs nötig.
Keine Zeit? Mein DSGVO/TTDSG-Webseiten-Check übernimmt das für Sie und erstellt Ihnen eine vollständige, abmahnsichere Datenschutzerklärung.
