Facebook und Datenschutz – Was ist zu beachten?

facebook 18
Fachbeitrag

Inzwischen stellt Facebook für viele Unternehmen ein wichtiges Medium für Marketingzwecke dar. Beim Marketing mittels Facebook sind jedoch einige datenschutzrechtliche Voraussetzungen zu beachten:

So sind Unternehmen, die Facebook Pages betreiben, verpflichtet, Impressumsangaben und Datenschutzhinweise für den Benutzer abrufbar zu halten, und zwar leicht erkennbar sowie unmittelbar erreichbar. Hierfür stehen verschiedene Möglichkeiten zur Verfügung. Zudem besteht für Unternehmen zumindest eine Verantwortlichkeit für die optische Gestaltung und Inhalte ihrer Facebook Page. Umstritten ist, ob die Implementierung der 2-Klick-Lösung bei der Einbindung des Facebook Like-Button zur datenschutzkonformen Nutzung führen kann.

Welche Informationspflichten sind zu erfüllen?

Ein Unternehmen, das eine Facebook Page betreibt, gilt mit dem Webauftritt als Diensteanbieter im Sinne des § 2 Nr. 1 TMG und ist daher verpflichtet, ein eigenes vollständiges Impressum (§ 5 TMG) sowie Datenschutzhinweise (§ 13 Abs. 1 i.V.m. Abs. 3 S. 1 und Abs. 6 S. 2 sowie § 15 Abs. 3 S. 2 TMG) vorzuhalten. Dies gilt sowohl für die über den Webbrowser abrufbare Version als auch die mobile Facebook App (OLG Hamm, Urteil v. 20.05.2010, Az.: I-4 U 225/09).

Allgemeine Hinweispflichten

Facebook bietet neuerdings für die Facebook Pages ein Feld für das Impressum, so dass die Schwierigkeiten mit den Impressumsangaben bzw. Verlinkungen unter der „Info“-Box entfallen. (LG Aschaffenburg, Urteil v. 19. August 2011, Az.: 2 HK O 54/11, OLG Düsseldorf, Urteil v. 13.8.2013, Az.: I-20 U 75/13).

Hinweise zum Datenschutz

Um die entsprechenden Informationspflichten zu erfüllen, können die Datenschutzhinweise entweder als separate Hinweise auf der Facebook Page eingestellt oder eine Verlinkung und den Datenschutzhinweisen auf der Website des Unternehmens vorgenommen werden.

Das vormalige Problem der Platzierung des Impressums stellt sich weiterhin in Bezug auf die Datenschutzhinweise. Zum Teil trifft man auf den Vorschlag,  die “Info“-Box mit der Kurzbeschreibung zu nutzen, um dort einen Link auf die Datenschutzhinweise auf der Website zu platzieren. Sofern der Link selbst nicht den Begriff z.B. Datenschutz oder Datenschutzhinweise etc. enthält, sollte ein entsprechender Begriff, der auf Informationen zum Datenschutz hinweist, dem Link vorangestellt werden.

Bei Verlinkung maximal 2 Klicks

Bezüglich einer möglichen Verlinkung der Datenschutzhinweise ist nach der Rechtsprechung des BGH zu beachten, dass die erforderlichen Informationen nach max. 2 Klicks erreichbar sei müssen, um die Anforderungen an eine leichte Erkennbarkeit und unmittelbare Erreichbarkeit zu erfüllen.

Sofern die Informationspflicht über eine Verlinkung realisiert werden soll, ist darüber hinaus notwendig, bereits in den Datenschutzhinweisen auf der Unternehmens-Webseite Informationen zum Datenschutz bzgl. der Facebook Page aufzuführen und darauf hinzuweisen, dass diese auch für die Facebook Page gelten.

Ist die Einbindung des Social Plugin datenschutzkonform?

Problematisch bei der Einbindung des Facebook Like-Button ist unter Datenschutzgesichtspunkten, dass nicht eindeutig nachvollziehbar ist, welche Daten konkret betroffen sind. Der Website-Betreiber selbst hat keinen Einfluss darauf, welche Daten überhaupt durch den Like-Button erhoben werden, was nicht nur (gleichzeitig im Facebook-Netzwerk eingeloggte) Facebook-Mitglieder, sondern gleichermaßen auch solche User betrifft, die gar nicht über einen Facebook-Account verfügen.

Nach Auffassung der Aufsichtsbehörden erfolgt auch bzgl. der eingeloggten Facebook-Mitglieder keine ausreichende Information über die Datenerhebung und –verarbeitung, so dass daher infolge mangelnder Transparenz auch mittels einer etwaig verwendeten 2-Klick-Lösung die erforderliche informierte Einwilligung der Betroffenen möglich ist.

Nach dem Beschluss des Düsseldorfer Kreises vom 08.12.2011 sind deutsche Website-Betreiber „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“

Wie weit ist das Unternehmen datenschutzrechtlich verantwortlich?

Facebook Page

Deutsche Betreiber von Facebook Pages sind nach Auffassung des VG Schleswig-Holstein (Urteil vom 09.10.2013, Az.: 8 A 218/11 sowie Az. 8 A 37/12 und 8 A 14/12) für die bei Facebook infolge des Besuchs der Facebook Page ausgelösten Datenverarbeitung datenschutzrechtlich in keiner Weise verantwortlich. Grund hierfür ist nach Ansicht des Gerichts eine fehlende Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung sowie der direkte Datenfluss zu Facebook bei Besuch der Page. Hiervon abzugrenzen ist die Verantwortlichkeit für die Gestaltung der Facebook Page und die auf der Page geführten Inhalte, für welche der Facebook Page-Betreiber wohl verantwortlich sein dürfte, da er insoweit auch Einfluss nehmen kann.

Facebook Like-Button

Aufsichtsbehördlich wird eine eigene Verantwortlichkeit des Betreibers einer Unternehmens-Website für die Datenverarbeitung angenommen, welche aufgrund der Einbindung des Like-Buttons erfolgt, und zwar unabhängig davon, ob dies über eine 2-Klick-Lösung realisiert ist.

Die Begründung hierfür ist, dass der Websitebetreiber durch die Einbindung des Social Plugin in die eigene Website sehr wohl Einfluss auf den Datenverarbeitungsprozess hat. Wird durch die Konfiguration z. B. einer Webseite ein Datenverarbeitungsprozess bei einem weiteren Dienstleister (hier Facebook) ausgelöst, trägt der Websitebetreiber die datenschutzrechtliche (zumindest Mit-)verantwortung für die dadurch ausgelöste (unzulässige) Verarbeitung.

Facebook „Custom Audiences“

Eine noch relativ neue Möglichkeit Kunden mit Werbung zu überschwemmen, heißt Facebook  Custom Audiences“. Mittels dieses Dienstes kann ein Unternehmen einen Abgleich seiner Kundendaten mit Facebook vornehmen, um bei den betroffenen Kunden, die zugleich Facebook-Nutzer sind, von Facebook entsprechend beworben zu werden. Auch hier steht die Frage nach dem rechtskonformen Einsatz im Raum.

Die Übermittlung personenbezogener Daten an Dritte ist jedenfalls nur dann zulässig, wenn der Betroffene wirksam eingewilligt hat oder eine Rechtsvorschrift dies legitimiert (§ 4 Abs. 1 BDSG).

Bei Facebook „Custom Audiences“ ist mangels entsprechender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den rechtskonformen Einsatz. Fehlt diese Voraussetzung für die Datenerhebung und -verarbeitung, drohen gem. § 43 BDSG zumindest Bußgelder. Daneben können Schadenersatzansprüche Betroffener begründet werden.

 

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.