Facebook und Datenschutz: Alles zu Like-Button, Fanpage, Hinweispflichten und Custom Audience

facebook 10
Fachbeitrag

Keine andere Plattform bietet die Möglichkeit, allein in Deutschland 27 Millionen Menschen zu erreichen. Bei Facebook findet der Nutzer alte Bekannte, neue Freunde und Unternehmen. Bei jeder Neuerung, die Facebook seinen Nutzern anbietet, stellt sich die Frage: Ist dieses Mittel mit den Anforderungen des Datenschutzrechtes vereinbar. Im Folgenden werden die populärsten datenschutzrechtlichen Probleme für Unternehmen bei der Nutzung von Facebook aufgezeigt, aber auch Lösungen wie Anleitungen für die Einbindung von Like-Button und Muster für Ihre Webseite.

Marketing bei Facebook – Was sind Social Plugins, Like-Button, Fanpage und Custom Audience?

Facebook ist ein wahres Mekka fürs Marketing. Bei dem Einsatz von Facebook ist immer neben dem wirtschaftlichen Nutzen auch auf die Einhaltung von rechtlichen Bestimmungen zu achten. Social-Plugins wie der Like-Button ermöglichen es Inhalte einer Webseite mit dem Freundeskreis auf Facebook zu teilen und so einen großen Adressatenkreis zu erreichen. Eine Unternehmens-Fansite oder Fanpage informiert Kunden über ein bestimmtes Unternehmen. Mit Hilfe von Facebook-Apps können Unternehmen auf Ihrer Fanpage einfach Gewinnspiele veranstalten. Mit Custom Audience können Unternehmen ihre Kunden finden, die Facebook verwenden.

Welche Datenschutz-Probleme gibt es bei Facebook?

Like-Button, Fanpage, Facebook-App und Custom Audience werfen datenschutzrechtliche Probleme auf. Die von Facebook vorgeschlagene Einbindung von Like-Button stellt in Deutschland einen Datenschutzverstoß dar. Die Fanpage muss mit einem Impressum versehen werden. Bei Gewinnspielen müssen neben datenschutzrechtlichen auch wettbewerbsrechtliche Vorgaben beachtet werden.  Es gibt zahlreiche Fallstricke, bei denen Abmahnungen und Bußgelder drohen. Wie Sie Facebook datenschutzkonform einsetzen können, erfahren Sie hier.

Welche Informationspflichten sind zu erfüllen?

Ein Unternehmen, das eine Facebook Page betreibt, gilt mit dem Webauftritt als Diensteanbieter im Sinne des § 2 Nr. 1 TMG und ist daher verpflichtet, ein eigenes vollständiges Impressum (§ 5 TMG) sowie Datenschutzhinweise (§ 13 Abs. 1 i.V.m. Abs. 3 S. 1 und Abs. 6 S. 2 sowie § 15 Abs. 3 S. 2 TMG) vorzuhalten. Dies gilt sowohl für die über den Webbrowser abrufbare Version als auch die mobile Facebook App (OLG Hamm, Urteil v. 20.05.2010, Az.: I-4 U 225/09).

Allgemeine Hinweispflichten

Facebook bietet neuerdings für die Facebook Pages ein Feld für das Impressum, so dass die Schwierigkeiten mit den Impressumsangaben bzw. Verlinkungen unter der „Info“-Box entfallen. (LG Aschaffenburg, Urteil v. 19. August 2011, Az.: 2 HK O 54/11, OLG Düsseldorf, Urteil v. 13.8.2013, Az.: I-20 U 75/13).

Hinweise zum Datenschutz

Um die entsprechenden Informationspflichten zu erfüllen, können die Datenschutzhinweise entweder als separate Hinweise auf der Facebook Page eingestellt oder eine Verlinkung und den Datenschutzhinweisen auf der Website des Unternehmens vorgenommen werden.

Das vormalige Problem der Platzierung des Impressums stellt sich weiterhin in Bezug auf die Datenschutzhinweise. Zum Teil trifft man auf den Vorschlag,  die “Info“-Box mit der Kurzbeschreibung zu nutzen, um dort einen Link auf die Datenschutzhinweise auf der Website zu platzieren. Sofern der Link selbst nicht den Begriff z.B. Datenschutz oder Datenschutzhinweise etc. enthält, sollte ein entsprechender Begriff, der auf Informationen zum Datenschutz hinweist, dem Link vorangestellt werden.

Bei Verlinkung maximal 2 Klicks

Bezüglich einer möglichen Verlinkung der Datenschutzhinweise ist nach der Rechtsprechung des BGH zu beachten, dass die erforderlichen Informationen nach max. 2 Klicks erreichbar sei müssen, um die Anforderungen an eine leichte Erkennbarkeit und unmittelbare Erreichbarkeit zu erfüllen.

Sofern die Informationspflicht über eine Verlinkung realisiert werden soll, ist darüber hinaus notwendig, bereits in den Datenschutzhinweisen auf der Unternehmens-Webseite Informationen zum Datenschutz bzgl. der Facebook Page aufzuführen und darauf hinzuweisen, dass diese auch für die Facebook Page gelten.

Ist die Einbindung des Social Plugin datenschutzkonform?

Problematisch bei der Einbindung des Facebook Like-Button ist unter Datenschutzgesichtspunkten, dass nicht eindeutig nachvollziehbar ist, welche Daten konkret betroffen sind. Der Website-Betreiber selbst hat keinen Einfluss darauf, welche Daten überhaupt durch den Like-Button erhoben werden, was nicht nur (gleichzeitig im Facebook-Netzwerk eingeloggte) Facebook-Mitglieder, sondern gleichermaßen auch solche User betrifft, die gar nicht über einen Facebook-Account verfügen.

Nach Auffassung der Aufsichtsbehörden erfolgt auch bzgl. der eingeloggten Facebook-Mitglieder keine ausreichende Information über die Datenerhebung und -verarbeitung, so dass daher infolge mangelnder Transparenz auch mittels einer etwaig verwendeten 2-Klick-Lösung die erforderliche informierte Einwilligung der Betroffenen möglich ist.
Nach dem Beschluss des Düsseldorfer Kreises vom 08.12.2011 sind deutsche Website-Betreiber „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“

Wie weit ist das Unternehmen datenschutzrechtlich verantwortlich?

Facebook Page

Deutsche Betreiber von Facebook Pages sind nach Auffassung des VG Schleswig-Holstein (Urteil vom 09.10.2013, Az.: 8 A 218/11 sowie Az. 8 A 37/12 und 8 A 14/12) und des OVG Schleswig-Holstein, Urteil vom 04.09.2014, Az.: 4 LB 20/13 (nicht rechtskräftig) für die bei Facebook infolge des Besuchs der Facebook Page ausgelösten Datenverarbeitung datenschutzrechtlich in keiner Weise verantwortlich. Grund hierfür ist nach Ansicht des Gerichts eine fehlende Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung sowie der direkte Datenfluss zu Facebook bei Besuch der Page. Hiervon abzugrenzen ist die Verantwortlichkeit für die Gestaltung der Facebook Page und die auf der Page geführten Inhalte (z. B. Gewinnspiele), für welche der Facebook Page-Betreiber wohl verantwortlich sein dürfte, da er insoweit auch Einfluss nehmen kann. Insoweit bleibt die allgemeine Hinweispflicht.

Facebook Like-Button

Aufsichtsbehördlich wird eine eigene Verantwortlichkeit des Betreibers einer Unternehmens-Website für die Datenverarbeitung angenommen, welche aufgrund der Einbindung des Like-Buttons erfolgt, und zwar unabhängig davon, ob dies über eine 2-Klick-Lösung realisiert ist.

Die Begründung hierfür ist, dass der Websitebetreiber durch die Einbindung des Social Plugin in die eigene Website sehr wohl Einfluss auf den Datenverarbeitungsprozess hat. Wird durch die Konfiguration z. B. einer Webseite ein Datenverarbeitungsprozess bei einem weiteren Dienstleister (hier Facebook) ausgelöst, trägt der Websitebetreiber die datenschutzrechtliche (zumindest Mit-)verantwortung für die dadurch ausgelöste (unzulässige) Verarbeitung.

Facebook „Custom Audiences“

Eine noch relativ neue Möglichkeit Kunden mit Werbung zu überschwemmen,  heißt Facebook  “Custom Audiences“. Mittels dieses Dienstes kann ein Unternehmen einen Abgleich seiner Kundendaten mit Facebook vornehmen, um bei den betroffenen Kunden, die zugleich Facebook-Nutzer sind, von Facebook entsprechend beworben zu werden. Auch hier steht die Frage nach dem rechtskonformen Einsatz im Raum. Die Übermittlung personenbezogener Daten an Dritte ist jedenfalls nur dann zulässig, wenn der Betroffene wirksam eingewilligt hat oder eine Rechtsvorschrift dies legitimiert (§ 4 Abs. 1 BDSG).

Bei Facebook „Custom Audiences“ ist mangels entsprechender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den rechtskonformen Einsatz. Fehlt diese Voraussetzung für die Datenerhebung und -verarbeitung, drohen gem. § 43 BDSG zumindest Bußgelder. Daneben können Schadenersatzansprüche Betroffener begründet werden.

Facebook Connect

Durch die Einbindung von Facebook Connect ist es möglich die Registrierung für einen Dienst zu beschleunigen. Durch die Verknüpfung des Dienstes mit Facebook ist die Eingabe der Daten nicht mehr notwendig. Die benötigten Daten werden dem Anbieter von Facebook mitgeteilt. Im Gegenzug erhält Facebook aber auch Informationen zu der Nutzung des neuen Dienstes durch den User. Zur datenschutzkonformen Anwendung ist eine Einwilligung des Nutzers notwendig und eine entsprechende Ergänzung der Datenschutzerklärung.

16 Kommentare zu diesem Beitrag

  1. Sehr geehrtes Team
    Mit dem Facebook komme ich überhaupt nicht zurecht. Nun habe ich 2 – 3 Konti, eines unter einer E-Mail-Adresse die nicht mehr existiert und ich mich daher nicht anmelden kann.Überhaupt klappt die Anmeldung meistens auch bei France Laguna nicht.
    Bitte stellen Sie mir eine Anleitung zu, wie ich sämtliche Konti und Daten löschen kann. Ich möchte nicht mehr auf Facebook zugreifen.
    Herzlichen Dank für Ihre Bemühungen.
    Susanne Vogel

  2. Toll – jemand erstellt eine Seite auf Facebook, kann dort schreiben was er will, kann Schaden anrichten ohne Ende (in meinem Fall verunglimpft er meine eigene Firma) und das tollste: ICH KANN DIES ALLES NICHT LÖSCHEN, da ich keinerlei Zugangsdaten habe und bei Facebook keinerlei Hilfe bekomme. Klicke dort nur im Kreis rum und ein Impressum (Ansprechpartner)gibt es auch nicht. Freiraum für alle Internetwahnsinnigen, die Jemanden schaden wollen. Weiter so, aller erste Sahne – und das anscheinend mit rechtlichem Segen!

  3. Vielen Dank für diesen tollen und umfangreichen Artikel. Ich habe ein konkrete Frage, die hierin nicht beantwortet wurde: Ich betreibe eine Webseite und hierzu auch ein passendes Facebookprofil. Auf meiner Webseite habe ich keinen Like-Button eingebunden, sondern lediglich das Facebook-Logo als Grafik und habe dieses mit der URL meiner Facebook-Seite verlinkt (das gleiche mit Twitter und Instagram). Benötige ich in meiner Datenschutzerklärung dann einen Hinweis auf ein Facebook-Plugin, denn dieses ist ja meiner Meinung nach nicht installiert? Und wie verhält sich das bei Share-Buttons? Ich habe einen recht umfangreichen Passus in meiner Datenschutzerklärung, der sich auf Facebook-Plugins bezieht, würde also gern wissen, ob dieser überhaupt nötig ist und ob er auch drin bleiben kann, wenn er gar nicht zum Tragen kommt.

  4. Sehr geehrtes Team,
    ich habe eine Werbeagentur und eine passende Facebookseite dazu. Jetzt wurde ich von einer mir unbekannten Person aufmerksam gemacht, dass es 2 Profile bei Facebook gibt die angeben, dass Sie in meiner Firma tätig sind. Das ist allerdings nicht zutreffend. Zudem gibt sich eine dieser Person als ehemaliger Waffen-SS Soldat aus und verbreitet in Foren rassistische Äusserungen und Beleidigungen. Wir möchten mit dieser Art politischen Einstellung nichts zutun haben und möchte von Ihnen gerne wissen wie wir dagegen vorgehen können. Fällt das auch unter Missbrauch des Datenschutzes? Vielen Dank!

    • Als erster Schritt ist zu empfehlen, die entsprechende Person zu kontaktieren und zu bitten die unrichtige Information zu löschen. Bei Erfolglosigkeit wenden Sie sich an Facebook direkt, https://de-de.facebook.com/help/, um etwaige Unrichtigkeiten durch Facebook selbst berichtigen zu lassen. Sollte dies auch kein Erfolg versprechen, empfehlen wir die Beauftragung eines Rechtsanwalts, um diesen Sachverhalt abschließend zu klären und etwaig bestehende Unterlassungsansprüche durchzusetzen.

  5. Sehr geehrtes Team,
    wie sieht es denn aus, wenn auf einer Homepage nur Links auf Facebook und Twitter verwendet werden: Sie finden uns auch auf: Facebook, Twitter.
    Grüße

    • Wenn auf der Website nur auf die jeweilige Seite verlinkt wird, ohne deren Social Plugins zu verwenden, dann werden von den Besuchern keine personenbezogenen Daten erhoben, solange Sie nicht den Link aktiv anklicken. Die Einbindung von bloßen Links ist datenschutzrechtlich unbedenklich.

  6. Like-Buttons sind mit diesem Artikel ja erschöpfend behandelt, aber wie steht es mit „Share this on Facebook“ buttons? Gilt das über die „Like-Buttons“ Gesagte analog?

  7. Wie sieht das bei einer Übernahme einer automatisch generierten Seite aus?
    Die Seite um die es geht ist eine städtische Schule und wir würden diese Seite als Fanseite nutzen. Gibt es einen Unterschied von Fanseiten öffentlicher Schulen und Unternehmen?
    Was ist zu beachten?

  8. Wie ist denn das Tracking bei Werbeanzeiten auf Facebook zu bewerten. Wer auf Facebook Werbung schaltet, erhält eine Tracking Code, den er auf seine Webseite einbauen kann. Damit wird eine Werbeerfolgskontrolle sichergestellt.
    Allerdings liefert dieser Tracking Code doch von jedem Besucher der Webseite auf der der Code eingebaut ist Daten an Facebook. Dafür muß der Webseitenbesucher weder Mitglied bei Facebook noch angemeldet bei Facebook sein.

    • Hier ist der Umstand zu berücksichtigen, dass der Nutzer, der eine Werbeanzeige bei Facebook anklickt, selbst bei Facebook Mitglied sein muss. Nach unserem Kenntnisstand werden nicht angemeldeten Nutzern keine Facebook-Werbeanzeigen gezeigt. Für diesen Fall weist Facebook in seinen Datenschutzbestimmungen darauf hin, dass auch Daten über den Besuch von Webseiten gesammelt werden, die am Facebook-Werbenetzwerk teilnehmen vgl. https://www.facebook.com/about/privacy.

      Da der Nutzer mit der Anmeldung die Datenschutzbestimmungen / Nutzungsbedingungen von Facebook akzeptiert, könnte hier also eine Einwilligung vorliegen. Eine genauere Einschätzung würde allerdings den Rahmen einer Antwort allerdings sprengen. Wir befassen uns aber regelmäßig mit Fragen rund um Datenschutz & Facebook – siehe z.B. Facebook Cookies: Hintergrund und Maßnahmen und kommen vielleicht auch auf diese Frage zurück.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.