Facebook und Datenschutz - Facebook-Dienste und Tools rechtssicher nutzbar?

Aktuell beschäftigt der Social-Media-Gigant Facebook wieder einmal aus datenschutzrechtlicher Sicht Behörden, Gerichte und die Netzgemeinde. Aus zweierlei Gründen:

1. Facebook-Fanseite
Am 05.06.2018 entschied der EuGH in einem viel beachteten Urteil - Az.: C-210/16 - dass auch der Betreiber einer Facebook-Fanpage Verantwortlicher im Sinne des Datenschutzrechtes sei, da er durch die Einrichtung der Fanpage Facebook erst die Möglichkeit eröffnet, Daten über die Besucher der Seite zu sammeln. Hintergrund des Verfahrens war die Frage, ob die datenschutzrechtliche Aufsichtsbehörde aus Schleswig-Holstein (ULD) einer von den IHK in Schleswig-Holstein beauftragen Wirtschaftsakademie den Betrieb einer Facebook-Seite im Jahr 2011 untersagen durfte.
Die Behörde konnte damals nicht direkt gegen Facebook vorgehen, die die irischen Datenschutzbehörden für Facebooks EU-Niederlassungen tätig sind. Hauptverantwortlicher für die Datenerfassung sei aber Facebook selbst. Durch die Tracking-Funktion "Facebook Insight" erhalten die Seitenbetreiber anonyme Statistiken, die vorteilhafte Informationen für die Seitenbetreiber darstellen – so z.B. die Alters- oder Geschlechterverteilung oder Standortangaben, die dann dazu  benutzt werden können, um gezieltes Marketing zu betreiben.
 
Das Urteil bezieht sich zwar auf die in 2011 geltende EU-Datenschutzrichtlinie, jedoch findet sich die Regelung der Verantwortlichkeit wortgleich in Art. 4 Nr. 7 DSGVO wieder, sodass das Urteil auch auf die neue Rechtslage anwendbar sein dürfte.
Der EuGH begründete seine Entscheidung damit, dass der Datenschutz darauf abziele, die Privatsphäre betroffener Personen umfassend zu schützen – dazu gehöre auch ein weitreichendes Verständnis der datenschutzrechtlichen Verantwortlichkeit. Wie weit die Verantwortlichkeit nun reicht, hat nun das Bundesverwaltungsgericht zu entscheiden, an das die Sache zurückverwiesen wurde. Dort könnte entschieden werden, dass Facebook der richtige Adressat in dieser Datenschutzfrage ist, womit der „Umweg“ über die Seitenbetreiber nicht mehr nötig wäre, um sich gegen Facebook zu richten. Der EuGH verwies nämlich in seinem Urteil auf seine Rechtsprechung gegen Google (C-131/12), in der er entschieden hat, dass auch eine spanische Niederlassung von Google datenschutzrechtlich in Verantwortung genommen werden durfte, obwohl sie selbst keine Daten verarbeitet.

So könnte entschieden werden, dass das ULD sich zuerst gegen die Facebook Deutschland GmbH wenden muss und nicht direkt gegen die Facebook-Seitenbetreiber.
 

Handlungsempfehlung
Es sind bereits eine Reihe an Handlungsempfehlungen veröffentlicht worden, die sich teils aber deutlich voneinander unterscheiden. Der sicherste Weg scheint, die Fanpage zu löschen oder offline zu nehmen, bis geklärt ist, wie die Verantwortlichkeit im Einzelnen ausgestaltet werden wird. An anderer Stelle wird empfohlen, die Facebook-Seiten offline zu nehmen und abzuwarten, wie sich die Rechtslage weiter entwickelt.
Im Endeffekt bleibt es eine unternehmerische Risikoabwägung, ob angesichts der Unwägbarkeiten im Bereich Facebook der Verlust der Seite hinzunehmen ist oder der Nutzen daraus überwiegt.
 
Es ist wohl davon auszugehen, dass auch die Datenschutzbehörden die Entscheidung des BVerwG abwarten werden, bevor sie sich gegen weitere Seitenbetreiber wenden werden. Heise etwa geht davon aus, dass dem Urteil auch keine Abmahnwelle folgen wird, da die Rechtslage auch für Abmahnanwälte zu unsicher ist.
 

2. Facebooks „Custom Audiences“
Auch der Einsatz von Facebooks „Custom Audiences“ ist nach Einschätzung des Bayrischen Landesamts für Datenschutzaufsicht als datenschutzwidrig anzusehen, was zu einem Untersagungsbescheid gegenüber einem Online-Shop führte.
Dagegen klagte der Shop-Betreiber vor dem Verwaltungsgricht Bayreuth. Dieses wies mit Beschluss vom 08.05.2018 die Klage gegen den Untersagungsbescheid des BayLDA ab. Die Klägerin konnte nicht mit der Argumentation überzeugen, dass aufgrund einer Auftragsdatenvereinbarung zwischen ihr und Facebook gar keine Datenübermittlung vorläge.


Das Gericht war der Auffassung, dass das Vorliegen einer datenschutzrechtlichen Auftragsdatenvereinbarung unabhängig von der konkreten Rechtsnatur der Beauftragung sei. Entscheidend sei vielmehr, ob dem Auftragnehmer ein eigener Wertungs- und Entscheidungsspielraum zustehe, da dann gerade keine Auftragsdatenvereinbarung vorliegen würde. Da es allein im Ermessen von Facebook läge, wer beworben werde und wer nicht, sei im konkreten Fall von einer Funktionsübertragung auszugehen und nicht von einer Auftragsdatenvereinbarung. Facebook würde damit selbstständig tätig.

Für eine daraus folgende Datenübermittlung im Rahmen von Facebook Custom Audiences existiere daher keine ausreichende Rechtsgrundlage. Der Beschluss erging im einstweiligen Rechtsschutz, weswegen das Gericht nur summarisch geprüft hat. Es gilt, die weitere Rechtsprechung im Auge zu behalten.
 

Prüfung durch das BayLDA
Mit Pressemitteilung vom 04. Oktober 2017 hatte das BayLDA seine Ergebnisse der Prüfung der beiden Varianten des Facebook-Werbetools "Custom Ausdience" veröffentlicht. Dabei untersuchte das BayLDA sowohl die Nutzung des Tools über den Upload von Kundenlisten wie auch über die Einbindung eines Pixels.

a.    Facebook Custom Audience über die Kundenliste
Bei Facebook Custom Audience über die Kundenliste kann ein Unternehmen eine Kundenliste im Facebook-Konto seines Unternehmens hochladen, nachdem die Daten unter Einsatz eines Hash-Verfahrens in feste Zeichenketten umgewandelt wurden. Danach gleicht Facebook diese Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Das Unternehmen startet dann eine Werbekampagne für eine von ihm ausgewählte Zielgruppe. Es erhalten dann nur die Facebook-Nutzer Werbung, auf die bestimmte Merkmale oder Interessen dieser Zielgruppe zutreffen. Also entscheidet Facebook selbst, welcher Nutzer zu der vom Unternehmen gewählten Zielgruppe gehört.
 
Das BayLDA stellte fest, dass beim Einsatz von Facebook Custom Audience das eingesetzte Hashverfahren nicht geeignet ist, um anonyme Zeichenfolgen zu generieren, soweit über die Kundenliste Kundendaten direkt an Facebook übermittelt werden. Es sei mit geringem Aufwand möglich, die Hash-Werte wieder in die ursprünglichen E-Mail-Adressen und Telefonnummern zurückzurechnen. Somit werden personenbezogene Daten an Facebook übermittelt.
Der Einsatz über die Kundenliste ist nach dem BayLDA nur aufgrund einer ausdrücklichen und informierten Einwilligung des Kunden zulässig und kann auf keine andere Rechtsgrundlage gestützt werden.
 
b.    Facebook Custom Audience über das Pixel-Verfahren
Bei dieser Vorgehensweise bindet ein Unternehmer auf seiner Webseite ein unsichtbares Facebook-Pixel ein, womit dann das Online-Verhalten des Nutzers durch Facebook nachvollzogen werden kann. Der Unternehmer ist hier Verantwortlicher im datenschutzrechtlichen Sinne, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.
Verwendet ein Seitenbetreiber das Facebook-Pixel, das es ermöglicht, Kundendaten an Facebook zu übermitteln und mit bestehen Tracking-Daten anzureichern, muss vorab eine informierte Einwilligung aller Webseitenbesucher eingeholt werden. Denn die erweiterte Funktion ermöglicht es, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind.
 
Der Verantwortliche ist verpflichtet, den Nutzer im Rahmen der Datenerhebung darauf hinzuweisen:
-  wer für die Erhebung und Verarbeitung zuständig ist (Seitenbetreiber und Facebook),
-  welches Verfahren zum Einsatz kommt (Produktname),
-  welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
-  für welche Zwecke die Datenverarbeitung erfolgt,
-  dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen sowie
-  dass dem Nutzer ein Opt-Out-Verfahren zur Verfügung steht.
 
In dem zuvor dargestellten vor dem VG Bayreuth verhandelten Fall hatte der betroffene Online-Shop Facebook Custom Audience über Kundenlisten genutzt. Dabei lag zu keinem Zeitpunkt eine informierte Einwilligung der Betroffenen vor, die jedoch Voraussetzung für die Datenverarbeitung ist, da Facebook sich trotz eines formalen Auftragsdatenverarbeitungsvertrages faktisch nicht als Auftragsdatenverarbeiter darstellt, sondern als sog. "Dritter". Facebook hat nämlich einen eigenen Beurteilungs- und Ermessensspielraum durch das Unternehmen eingeräumt bekommen, da Facebook selbst bestimmt, welche seiner Mitglieder beworben werden. Das Unternehmen legt vorab nur eine zu bewerbende Zielgruppe fest.
Es ist auch rein faktisch nicht in der Lage, die Betroffenenrechte zu wahren, da es nicht weiß, welche konkret Betroffenen von Facebook beworben werden. Es kann dementsprechend nicht ausreichend über die konkrete Datenverarbeitung informieren.
 
Das Gericht bestätigt also die vom BayLDA genannten Zulässigkeitsvoraussetzungen für die Nutzung von Custom Audience und fordert eine informierte Einwilligung des Betroffenen, die zum jetzigen Zeitpunkt ohne Mithilfe von Facebook nicht gewährleistet werden kann. Die Entscheidung ist zwar nach alter Rechtslage ergangen, dürfte aber auch bei jetziger Betrachtung nicht anders ausfallen. Eine gesetzliche Grundlage könnte zwar Art. 6 Abs. 1 lit f DSGVO darstellen, aber eine Abwägung könnte eher zugunsten des Betroffenen ausgehen, da der Schutz personenbezogener Daten sowie das Recht auf informationelle Selbstbestimmung wahrscheinlich schwerer wiegt als das Interesse an zielgerichteter Werbung in sozialen Netzwerken.
 

Die (mögliche) Lösung:
Das Facebook-Pixel lässt sich technisch so implementieren, dass es dann aufgrund einer Benutzer-Eingabe deaktiviert werden kann bzw. nicht aktiv ist, solange der Nutzer es nicht aktiviert.
Denn: das FB-Pixel ist - wie jedes andere Pixel auch - schlicht ein Javascript-Code, den der Webseitenbetreiber auf seiner Seite einbaut. Je nach Benutzereingabe (Klick auf Opt-Out-Button) wird dieser Code aktiv (kein Opt-Out-Klick) oder nicht aktiv (Opt-Out-Klick).

Wie das dann aus Benutzersicht aussehen könnte kann man hier in einer Demo ansehen.

In diesem Blog finden sich auch weitere Beschreibungen dazu, wie vom Webseitenbetreiber gespeichert werden kann, dass es einen Opt-Out-Klick gab: entweder wieder per Cookie oder im “local storage”. Wichtig aber ist vor allem, dass überhaupt “irgendwie” im Browser des Benutzers dauerhaft gespeichert wird, ob bzw. dass es einen Klick auf den Opt-Out-Button gab.

Letztlich muss zwar festgestellt werden, dass diese gespeicherte Information verloren geht, wenn der Benutzer plötzlich einen anderen Browser oder ein anderes Zugangsgerät zum Internet benutzt. Dann müsste er erneut den Facebook-Pixel deaktivieren. Es macht also Sinn, die Information, ob der Pixel aktiv ist oder nicht, für den Benutzer sichtbar zu machen - auch das beschreibt der Blog recht anschaulich.

Weitere Hinweise, wie man das Facebook-Pixel datenschutzkonform nutzen kann finden sich in dem Dokument "FACEBOOK-PIXEL - Überblick über die Datensicherheit", das vom Facebook-Team für Datensicherheit bereitgestellt wurde.

Update vom 21.06.2018:

Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) hat konkrete Handlungsempfehlungen für Facebook Fanpage-Betreiber nach dem EuGH-Urteil ausgesprochen. Diese finden sich hier.

Diese spricht nun ganz konkrete Handlungsempfehlungen aus:
"Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 05.06.2018 - C-210/16 - die Auffassung der deutschen Datenschutzaufsichtsbehörden bestätigt: Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein. Spätestens jetzt müssen alle Fanpage-Betreiber aktiv werden. Die Pflichten sind:

Transparente Information: Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. (vgl. Art. 13 Datenschutz-Grundverordnung (DS-GVO))

Einwilligungen: Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

Vereinbarung mit Facebook: Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. (vgl. Art. 26 DS-GVO)

Diese Pflichten sind derzeit aber nicht erfüllbar, da Facebook bislang jede weitergehende Mitarbeit ablehnt. Der Betrieb von Facebook Fanpages ist daher aktuell rechtssicher nicht möglich.

Dies sieht auch die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) so:
"Diese Anforderungen können Fanpage-Betreiber nicht ohne die Mitwirkung von Facebook erfüllen. Da sie aber selbst rechtlich dazu verpflichtet sind, müssen Sie sich um die Einhaltung der Anforderungen kümmern. Das bedeutet, dass Fanpage-Betreiber sich nun an Facebook wenden sollten, um die erforderlichen Informationen zu erhalten und eine Vereinbarung abzuschließen.
Hat das keinen Erfolg, sollten Fanpage-Betreiber entscheiden, ob sie ihre Fanpage einstellen."

Die Behörde lässt offen, wie in der nächsten Zeit gegen Betreiber von Fanpages zukünftig vorgegangen wird, wenn diese sich nicht an die geltende Rechtslage halten:
"Derzeit prüft die LDI - wie andere Datenschutzbehörden in Deutschland und in Europa - wann und mit welchen Mitteln sie das Datenschutzrecht bei Fanpages durchsetzt. Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt.

Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.
Schon bislang hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen den nordrhein-westfälischen öffentlichen Stellen wie auch den Unternehmen, Vereinen und anderen Stellen von der Nutzung Sozialer Medien dringend abgeraten, wenn sie weder feststellen noch beeinflussen können, was mit den personenbezogenen Daten der Nutzerinnen und Nutzer geschieht, gesetzlich aber dazu verpflichtet sind, über die Datenverarbeitungsprozesse umfassend zu informieren."