Viele Unternehmen, Vereine, Gruppen und Personen des öffentlichen Lebens präsentieren sich auf der Social-Media-Plattform Facebook über Facebook-Seiten, früher auch Fanpages genannt. Im Gegensatz zu Facebook-Profilen, die Privatpersonen und privaten Zwecken vorbehalten sind, werden Facebook-Seiten im nicht-privaten, geschäftlichen Kontext betrieben. Während viele Unternehmen ihren offiziellen Webauftritt mit einer Facebook-Seite ergänzen, wird gerade bei Kleinstunternehmen in nicht wenigen Fällen die klassische Unternehmenswebsite durch einen Facebook-Auftritt ersetzt.

Warum ist der Betrieb von Facebook-Seiten datenschutzrechtlich problematisch?

Das Unternehmen Meta Platforms, das Facebook betreibt, verarbeitet die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung seines Netzwerks. Für Werbezwecke erstellt Meta Platforms detaillierte Profile der Nutzer:innen, die eine auf das jeweilige Profil passgenau ausgerichtete Werbung im Auftrag von Unternehmen, Verbänden, Parteien etc. erlauben. Welche personenbezogenen Daten hierbei in welcher Art und Weise konkret verarbeitet werden, bleibt allerdings weitestgehend unklar.

Mit seinem Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) hat der Europäische Gerichtshof (EuGH) die Auffassung der Aufsichtsbehörden bestätigt, dass die Betreibenden von Facebook-Seiten (mit)verantwortlich für die Verarbeitung der Daten ihrer Nutzer:innen sind. Über die Funktion „Insights“ wird den Betreibenden eine Nutzeranalyse für ihre Seiten bereitgestellt. Außerdem ermöglichen sie durch die Erstellung ihrer Facebook-Seite überhaupt erst die Verarbeitung der personenbezogenen Daten der Nutzer:innen. Deshalb nimmt der EuGH für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit zwischen Seiten-Betreibenden und Meta Platforms als Plattformbetreiber an.

Als gemeinsam mit Meta Platforms Verantwortliche müssen Seiten-Betreibende die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten und zudem mit Meta Platforms eine Vereinbarung über die gemeinsame Verantwortung schließen, die die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms dazu vorgelegte Dokument, das sogenannte Addendum, erfüllt diese Anforderungen nicht.

Da nicht bekannt ist, welche Datenverarbeitung Meta Platforms genau vornimmt, können Seiten-Betreibende als Verantwortliche eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener Daten in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben nach Art. 44 ff. DSGVO eingehalten werden (siehe dazu Datenexporte). Die genauen rechtlichen Probleme beim Betrieb einer Facebook-Seite sind auch in einem Kurzgutachten der Datenschutzkonferenz (DSK) vom 15. November 2022 dargestellt.

Was wäre für einen datenschutzkonformen Einsatz von Facebook-Seiten erforderlich? Was können die Verantwortlichen tun?

Seiten-Betreibende müssen die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können (siehe dazu auch den Beschluss der DSK vom 23. März 2022). Dies ist für den Betrieb von Facebook-Seiten zurzeit nicht möglich. Verantwortliche können in dieser Situation nur eine Deaktivierung ihrer Seiten vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DSGVO zu erfüllen. Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta Platforms notwendig.

Betreiber:innen von Facebook-Seiten und Meta Platforms müssen gemeinsam sicherstellen, dass die Nutzenden von Facebook über die Verarbeitung ihrer Daten beim Aufruf von Facebook-Seiten informiert sind und alle gemeinsam Verantwortlichen für die Verarbeitung über eine Rechtsgrundlage verfügen. Die gemeinsam Verantwortlichen müssen gemäß Art. 26 DSGVO in einer Vereinbarung intern festlegen, wie die Einhaltung der DSGVO gewährleistet wird und das Wesentliche dieser Vereinbarung den betroffenen Personen zur Verfügung stellen.

Müssen Facebook-Seiten jetzt sofort deaktiviert werden?

Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Seite rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen, so auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihren Pressemitteilungen vom 16. November 2018 und 31. Juli 2019. Übergangsfristen kennt die DSGVO nicht.

Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten wie Instagram, Twitter oder TikTok?

In der Tat dürften viele der in Bezug auf Facebook-Seiten festgestellten datenschutzrechtlichen Probleme auch andere Social-Media-Auftritte betreffen. Das Vorgehen der Plattformen ist häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bislang nur für den Betrieb von Facebook-Seiten.

Gelten diese Hinweise nur für öffentliche Stellen und dürfen Unternehmen ihre Facebook-Seiten weiterbetreiben?

Das jüngste und abschließende Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts vom 25. November 2021 (4 LB 20/13) hat eine Anordnung der Landesbeauftragten Schleswig-Holstein zur Deaktivierung einer Facebook-Seite gegenüber einer nicht-öffentlichen Stelle bestätigt. Sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt: Facebook-Seiten dürfen nur dann betrieben werden, wenn die Datenschutzrechtskonformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Öffentliche Stellen sind in besonderem Maße verpflichtet, rechtskonform zu handeln. Auch aufgrund ihrer Vorbildfunktion nehmen die Datenschutzaufsichtsbehörden diese nun vorrangig in die Pflicht.

Dürfen öffentliche Stellen nun keine Öffentlichkeitsarbeit im Internet mehr betreiben?

Natürlich dürfen und sollen öffentliche Stellen im Rahmen ihrer Aufgaben auch Öffentlichkeitsarbeit leisten. Dies darf allerdings nicht unter Verwendung rechtswidriger Mittel geschehen.

Darf eine Facebook-Seite weiterbetrieben werden, wenn bestimmte Grenzen eingehalten werden (z. B. Publikation aller dort veröffentlichten Informationen auch über einen anderen Kommunikationskanal, Verzicht auf neue Postings bzw. Kommentare)?

Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen die DSGVO und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) dar. Da die datenschutzrechtlichen Probleme bei Facebook-Seiten weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, können sie auch nicht durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite gelöst werden. Sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, könnte eine Facebook-Seite wieder in Betrieb genommen werden.

Müssen Seiten-Betreibende nun mit Bußgeldern oder Maßnahmen der Aufsichtsbehörden rechnen?

Die Aufsichtsbehörden haben die Aufgabe, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen. Dafür können sie sich verschiedener Maßnahmen bedienen, beispielsweise anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat. Auch können sie gegenüber nicht-öffentlichen Stellen Bußgelder verhängen. Öffentliche Stellen können derzeit nach geltendem deutschen Recht nicht mit Bußgeldern belegt werden. Sie müssen sich aber selbstverständlich an Recht und Gesetz halten.

Darüber hinaus besteht nach Art. 82 DSGVO für jede betroffene Person die Möglichkeit, wegen etwaig entstandener Schäden Schadensersatzansprüche gegen die Verantwortlichen geltend zu machen. Dies gilt ausdrücklich auch für immaterielle Schäden (sogenanntes Schmerzensgeld).

Warum gehen die Aufsichtsbehörden nicht direkt gegen Meta Platforms vor?

Da Meta Platforms seinen europäischen Hauptsitz in Irland hat, ist die irische Datenschutzaufsichtsbehörde gemäß DSGVO für die Aufsicht über Meta Platforms und dessen Dienste zuständig. Für die Betreibenden von Facebook-Seiten sind jedoch die jeweiligen Aufsichtsbehörden am Sitz der Seiten-Betreibenden zuständig. Daher gehen die deutschen Aufsichtsbehörden – im Einklang mit dem Gebot der Effektivität der Gefahrenabwehr – gegen die hiesigen Betreiber:innen von Facebook-Seiten vor. Bei grenzüberschreitenden Fällen – wie im Fall von Meta Platforms – arbeiten die deutschen Aufsichtsbehörden allerdings über den Europäischen Datenschutzausschuss (EDSA) auch mit der irischen Aufsichtsbehörde zusammen. Sie sind über das sogenannte Kooperationsverfahren der DSGVO unter bestimmten Umständen an Entscheidungen der irischen Aufsichtsbehörde zu Facebook und anderen Diensten von Meta Platforms zu beteiligen.