In vielen Bereichen besteht zurzeit rechtliche Unsicherheit im Hinblick auf den Datenschutz, vor allem im Zuge der Einführung der neuen  Datenschutzgrundverordnung (DSGVO). Nicht davon verschont, sondern im Gegenteil besonders betroffen, ist dabei das weite Feld der sozialen Medien. Im folgenden Artikel, sollen die neuen Entwicklungen zum Themenkomplex Facebook Fanpages und Facebook Custom Audiences kurz dargestellt und rechtlich eingeordnet werden.

Facebook Fanpages

Zunächst zu den Facebook Fanpages: Bezüglich der rechtlichen Zulässigkeit dieser im Hinblick auf den Datenschutz hat der Europäische Gerichtshof (EuGH) mit einem Beschluss aus dem Juni 2018 (EuGH, Beschluss vom 05.06.2018, Az. C – 210/16) große Aufregung ausgelöst. Die Richter vertraten in diesem die Meinung, dass sowohl Facebook, als auch der Seitenbetreiber für Verstöße gegen den Datenschutz verantwortlich seien und bei Nichteinhaltung der entsprechenden rechtlichen Vorgaben belangt werden können.

Daraufhin hat im September 2018 auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) den Beschluss des EuGH bestätigt und darüber hinaus festgestellt, dass die Fanpages sogar rechtswidrig seien, solange nicht die erforderliche Vereinbarung zwischen Facebook und dem Seitenbetreiber nach Art. 26 DSGVO vorliege. Nach dieser Vorschrift müssen gemeinsam Verantwortliche in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen gemäß der Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht und wer welchen Informationspflichten nachkommt.

Daraufhin hat Facebook am 11.09.2018 mit einer Änderung beziehungsweise entsprechenden Ergänzung der Allgemeinen Geschäftsbedingungen reagiert. Im sogenannten „Page Controller Addendum“ ist nun festgelegt, dass Facebook und der Seitenbetreiber gemeinsam verantwortlich sind und Facebook insbesondere Verantwortung für die in Art. 12-13 DSGVO geregelten Informationspflichten, die Betroffenenrechte aus Art. 15-22 DSGVO und die Datensicherheit und Meldung von Datenschutzverletzungen nach Art. 32-34 DSGVO übernimmt.

Festzuhalten ist also, dass nun erstmal eine geforderte Vereinbarung existiert. Ob diese den Ansprüchen jedoch genügt, insbesondere da sie sehr kurz ist, wird erst eine zukünftige Überprüfung durch die zuständige Aufsichtsbehörde zeigen.

Hinweis: Wie nun bekannt wurde hat die Verbraucherzentrale Sachsen nun gegen Facebook Klage erhoben. Facebook müsse im Hinblick auf eine etwaige Mitverantwortung seiner Nutzer bzgl. einer gemeinsamen Datenverarbeitung Klarheit schaffen. Den Vorwurf wies Facebook daraufhin mit dem Hinweis auf die Vereinbarung mit den Fanpagebetreibern zurück. Eine erste Entscheidung in dieser Sache wird innerhalb eines Jahres erwartet. Eine abschließende Entscheidung kann mehrere Jahre auf sich warten lassen.

Doch was ist nun noch für die Seitenbetreiber zu tun?

Es muss eine umfassende Datenschutzinformation in die Seite integriert werden. In dieser sollte unter andere darauf hingewiesen werden, dass Facebook und der Seitenbetreiber gemeinsam verantwortlich für datenschutzrechtliche Verstöße sind. Zudem sollte auch ein Hinweis auf das „Page Controller Addendum“ erfolgen und ein entsprechender Link eingerichtet werden. Zudem sind die Besucher beziehungsweise Nutzer der Seite auch darüber zu informieren, welche Rechte ihnen gegenüber Facebook zustehen und wie sie diese geltend machen können.

Facebook Custom Audiences

Neue Entwicklungen gibt es auch zum Facebook Custom Audiences. Dabei handelt es sich um ein Marketing-Werkzeug, mit dessen Hilfe der Werbende eine Zielgruppe definiert und es ihm so möglich ist Werbung zielgerichtet nur an diejenigen zu verschicken, bei denen ein Interesse am entsprechenden Produkt vermutet wird. Dabei ist zwischen zwei unterschiedlichen Arten zu unterscheiden.

„Kundenliste“

Bei der Variante der „Kundenliste“ lädt der Werbetreibende eine Liste mit Kundendaten bei Facebook hoch, diese werden mit Hilfe eines speziellen Verfahrens „gehasht“ und sodann verschlüsselt an Facebook weitergeleitet. Facebook gleicht diese Daten daraufhin mit den vorhandenen Nutzerdaten ab. Die Übereinstimmungen werden dann zu einer „Custom Audience“ gebündelt und dem Werbenden zur Verfügung gestellt, dem es sodann möglich ist gezielt Werbung zu schalten.

Wer diese Variante nutzen möchte, sollte in jedem Falle eine vorherige Einwilligung des betroffenen Nutzers einholen. Dies bestätigte das VG Bayreuth in einem Beschluss aus dem Mai 2018 (VG Bayreuth, Beschluss v. 08.05.2018, Az. B 1 S 18.105). Die Richter vertraten die Ansicht, dass das Hochladen von gehashten E-Mail-Adresslisten an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerkes und gehashten Daten und der Erstellung einer Ausgangsaudience für Werbezwecke rechtswidrig sei, wenn keine Einwilligung des Betroffenen gegenüber demjenigen vorliegt, der die gehashten Daten hochgeladen habe. Insbesondere handele es sich auch bei gehashten E-Mail-Adressen um personenbezogene Daten, da das Hashen keine Anonymisierung darstelle.

Zwar erging das Urteil noch zum alten Bundesdatenschutzgesetz (BDSG), doch ist davon auszugehen, dass diese Ansicht auch in Zukunft für die Rechtslage nach der DSGVO vertreten werden wird, da die Regelungen der DSGVO im Vergleicht zum alten BDSG eher strenger ausfallen. Das Urteil dürfte somit zumindest eine Tendenz für die Entwicklung der zukünftigen Rechtsprechung aufzeigen. Für eine wirksame Einwilligung dürfte es dabei allerdings nicht ausreichen, einen entsprechenden Absatz in die Allgemeinen Geschäftsbedingungen oder die Datenschutzerklärung aufzunehmen, vielmehr dürfte eine separate Erklärung erforderlich sein

„Pixel-Verfahren“

Die zweite Variante Facebook Custom Audiences zu nutzen ist über das sogenannte „Pixel-Verfahren“. Bei diesem wird ein sogenanntes „Tracking-Pixel“ auf der entsprechenden Webseite platziert, durch das wiederum Cookies gesetzt werden. Mit Hilfe dieser Cookies ist es wiederum möglich zielgruppenorientierte Werbung zu schalten. Zusätzlich gibt es noch die Möglichkeit des „erweiterten Datenabgleichs“. Bei dieser Erweiterung werden zusätzliche Informationen über die Webseite, etwa E-Mail-Adressen oder Daten über das Nutzerkonto, an Facebook übertragen.

Ist der „erweiterte Datenabgleich“ gewählt, so ist auch im Fall des „Pixel-Verfahrens“ in jedem Falle eine Einwilligung des betroffenen Nutzers, wie bei der „Kundenliste“ erforderlich.

Zu der rechtlichen Zulässigkeit des „Pixel-Verfahrens“ ohne Zusatzfunktion existiert zwar bisher noch keine Rechtsprechung, doch hat zu diesem Themenkomplex die Datenschutzkonferenz am 26. April 2018 Stellung genommen und einen Einsatz ohne vorherige Einwilligung für unzulässig erklärt. Begründet wurde dies damit, dass generell jeder Einsatz von Tracking-Tools eine solche Einwilligung erfordere.

Zwar könnte in dieser speziellen Konstellation ein berechtigtes Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f) DSGVO vorliegen und eine Einwilligung so, entgegen der Auffassung der Datenschutzkonferenz, entbehrlich sein, doch um rechtlich auf der sicheren Seite zu sein, sollte beim Einsatz von Facebook Custom Audiences, egal in welcher Variante und ob mit oder ohne Zusatzfunktion eine vorherige Einwilligung des betroffenen Nutzers eingeholt werde.

In jeder der oben aufgezeigten Varianten des Custom Audiences erforderlich ist es jedoch, dass in der Datenschutzerklärung umfassend auf den Einsatz der entsprechenden Dienste hingewiesen wird.