linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
30.Juni 2022 | Team Datenschutz | Thema: Datenschutz

Facebook-Fanpages weiterhin rechtswidrig

Schlagwörter: Aufsichtsbehörden | Datenschutzverstoss | DSGVO

Die Datenschutzkonferenz (DSK) hat im März einen Beschluss zum Einsatz von Facebook-Fanpages veröffentlicht, der sich auf die Ergebnisse einer eingesetzten internen Task Force „Facebook-Fanpages“ stützt. Die Task Force macht in ihrem Kurzgutachten deutlich, dass der Einsatz von Facebook-Fanpages weiterhin nicht rechtmäßig erfolgen kann. Wir haben uns das Gutachten genauer angeschaut.

Historie Facebook-Fanpages und Datenschutz

Zur Datenschutzkonformität von Facebook-Fanpages sind in der Vergangenheit schon mehrere Urteile ergangen. Kurz nach Einführung der DSGVO entschied der Europäische Gerichtshof (EuGH) im Juni 2018 (Az. C-210/16), dass bei dem Betrieb einer Facebook-Fanpage eine gemeinsame Verantwortlichkeit von Seitenbetreiber und Facebook vorliegt. Im Nachgang folgten weitere Urteile, die sich der Auffassung des EuGHs anschlossen. Das Problematische an diesen Fällen ist allerdings, dass die Urteile meistens nicht den aktuellen Stand betrachten, sondern sich überwiegend mit den Gegebenheiten der Thematik zum Zeitpunkt der ersten Klageerhebung beschäftigen. Deshalb bleibt trotz der Gerichtsurteile eine gewisse Unsicherheit bestehen.

Die DSK hat bereits nach dem EuGH-Urteil eine Task Force gegründet, in der die spezifischen Fragestellungen rund um die Facebook-Fanpages detailliert beleuchtet wurden. Positionierungen der DSK zu dem Thema wurden ebenfalls bereits im Juni 2018 und im April 2019 veröffentlicht. Die aktuelle Sicht der DSK kommt also keinesfalls überraschend, erläutert nun aber die genauen Hintergründe der Entscheidung.

Problemfelder „Cookies“ und „gemeinsame Verantwortlichkeit“

Die DSK begutachtet in ihrem Kurzgutachten insbesondere die zwei Problemfelder „Cookies“ und „Gemeinsame Verantwortung“. Bei beiden Themen kommt die DSK zu keinem positiven Ergebnis im Hinblick auf eine mögliche datenschutzkonforme Umsetzung.

Problemfeld 1: Cookies

Das Kurzgutachten betrachtet insbesondere die Änderungen der Cookie-Situation durch das am 01.12.21 in Kraft getretene TTDSG. Im Rahmen von mehreren Prüfungen konnte die Task Force insgesamt zehn verschiedene Cookies identifizieren, die zu verschiedenen Zwecken eingesetzt werden. Allerdings gelang es der Task Force nicht, den Zweck jedes einzelnen Cookies eindeutig zu identifizieren. Im Rahmen des Gutachtens werden nun drei zentrale Cookies näher geprüft, und zwar der „datr“-Cookie, welcher auch solche Besucher*innen trackt, die kein Nutzerkonto bei Facebook haben, sowie den „c_user“-Cookie, der zur eindeutigen Identifizierung von Usern dient und den „fr-„Cookie, der wohl vor allem zum Zweck der Werbung und Profilerstellung eingesetzt wird. Für alle drei Cookies kommt die Task Force zu dem Schluss, dass sie nicht als technisch notwendig im Sinne des § 25 Abs. 2 TTDSG angesehen werden können. Es bedarf dementsprechend für alle dieser Cookies eine wirksame Einwilligung gem. § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit a) DSGVO.

Die notwendigen Einwilligungen werden auch direkt durch Facebook eingeholt. Ist doch super, mag man jetzt denken – das ist es aber leider nicht. Denn das durch Facebook implementierte Einwilligungsbanner entspricht nicht den Vorgaben der DSK. Hinzu kommt, dass die Datenverarbeitung so intransparent ist, dass man in keinem Fall von einer voll informierten Einwilligung sprechen kann. Der Fakt, dass nicht einmal eine extra für die Prüfung eingesetzte Task Force der Datenschutzbehörden genau herausfinden kann, welche Cookies für welche Zwecke gesetzt werden, bestätigt dieses Ergebnis nochmal eindrücklich. Es ist daher kaum anzunehmen, dass normale Nutzer*innen die notwendigen Informationen überblicken würden. Die durch Facebook eingeholten Einwilligungen sind daher unwirksam, die Verarbeitung folglich unrechtmäßig.

Exkurs: Anforderungen an ein Cookie-Consent-Banner

Die Task Force geht in ihrem Kurzgutachten netterweise auch darauf ein, welche Mindestinhalte in einem ersten Layer des Cookie-Consent-Banners enthalten sein sollten. Anzugeben sind demnach:

      • die konkreten Zwecke der Verarbeitung,
      • die Information, dass individuelle Profile angelegt werden,
      • dass die Profile ggf. mit Daten von anderen Webseiten angereichert werden,
      • dass Daten auch außerhalb des EWR verarbeitet werden,
      • an wie viele Verantwortliche die Daten offengelegt werden,
      • Hinweis auf das Widerrufsrecht gem. Art. 7 Abs. 3 DSGVO

Problemfeld 2: Gemeinsame Verantwortlichkeit

Kommen wir zu Problemfeld zwei, der gemeinsamen Verantwortlichkeit. Dass eine solche besteht, hat der EuGH bereits entschieden. Problematisch ist aber weiterhin die Umsetzung. Facebook hat zwar im Nachgang des Urteils eine Art Joint Control-Vereinbarung im Sinne des Art. 26 DSGVO veröffentlicht. Allerdings dauerte es nicht lange, bis die Aufsichtsbehörden diese als unzureichend bewerteten. Facebook steuerte zwar immer wieder nach und aktualisierte die Vereinbarung; ein positives Votum der Aufsichtsbehörden gab es bis heute allerdings nicht.

Das ändert sich auch durch das Kurzgutachten nicht, denn auch die Task Force weist auf die Problematiken im Hinblick auf die fehlende wirksame Vereinbarung gem. Art. 26 DSGVO hin. Im Gutachten wird die von den Gerichten nur für bestimmte Bereiche angenommene gemeinsame Verantwortlichkeit sogar noch erweitert. Die Task Force vertritt die Ansicht, dass auch für den Einsatz von Werbecookies auf der Fanpage eine gemeinsame Verantwortung vorliegt. Das erhöht das Risiko noch einmal.

Ergebnis des Kurzgutachtens

Die DSK bringt es im Kurzgutachten auf den Punkt:

Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer*innen und den Zugriff auf Informationen, die bereits in den Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Zusammengefasst fehlt es insbesondere an der notwendigen Transparenz, um die Datenverarbeitung zu legitimieren. Die Nutzer*innen wissen beim Besuch einer Fanpage nicht, welche Daten von ihnen verarbeitet werden und können diese Informationen auch nicht ohne Weiteres abrufen. Es fehlt daher an wirksamen Rechtsgrundlagen für die Erhebung und Übermittlung der Daten sowie an einer notwendigen Joint Control-Vereinbarung. Auch das Thema Drittstaatentransfers spielt in die Thematik hinein, wird von der Taskforce aber nur kurz angesprochen.

Ankündigung der Datenschutzkonferenz

Die DSK hat das Kurzgutachten der Taskforce angenommen und will dieses nun umsetzen. Aufgrund der Vorbildfunktion werden nun zuerst die öffentlichen Stellen informiert und bundesweit geprüft, das hat auch die Berliner Behörde bereits angekündigt.

Das bedeutet aber nicht, dass nicht-öffentliche Stellen sich nun entspannt zurücklehnen können. Das Gutachten sowie der Beschluss sollten vielmehr als ein erneuter Warnschuss aufgenommen werden. Die Sicht der Behörden auf den Einsatz von Facebook-Fanpages ist seit Jahren klar und wurde nun erneut bestätigt. Viel Argumentationsspielraum bleibt den Unternehmen daher nicht mehr. Der Einsatz von Facebook-Fanpages sollte daher in jedem Unternehmen erneut geprüft und sorgsam abgewogen werden.

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Arbeitgeber als Diensteanbieter im Sinne des TKG?20. Berliner Firmenlauf – procado dabei für den Frieden