Wie Du Social Media Fanpages rechtlich richtig nutzt

EuGH, Social Mediaphoto: thought catalog

Was Du für Impressum und Datenschutz auf Social Media einstellen musst, um nicht abgemahnt zu werden. Erfahre hier alles über Impressum und Datenschutz auf Facebook, Instagram, Twitter, Pinterest, YouTube, Xing, Linkedin und Co. Welche rechtlichen Anforderungen bestehen und wie Du sie schnell und einfach erfüllen kannst. Dein Impressum und Deine Datenschutzerklärung für Fanpages.

von Dr. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

 

I. Wie Du schnell die Lösung findest

Dieser Beitrag hat drei Teile: einen ersten über Deine rechtlichen Pflichten für Dein Impressum, einen zweiten über Deine rechtlichen Pflichten für Deine Datenschutzerklärung (da hat sich unlängst Durch den EuGH eine deutliche Änderung ergeben) und einen dritten über Deine Lösung, wie Du Dein Impressum und Datenschutzerklärung für Deinen Social Media Account schnell und einfach erhältst. Hier: direkt zu Teil 3!

II. Wann bist Du betroffen oder was sind Fanpages eigentlich?

Fanpage(s) sind alle Konten, Mitgliedschaften oder Unternehmensseiten, auf denen in irgendeiner Form auch bezahlte Leistungen angeboten oder auch nur beworben werden. Es genügt also auch ein privater Account, wenn Du da etwa (auch) Deine (gewerblichen) Blogposts oder Angebote oder sonstige Inhalte bewirbst. Reine Public Relations reicht aus, die schon beginnen kann, wenn etwa nur das Firmenlogo oder ein Bild von einem Unternehmen gezeigt wird. Rein private Seiten ohne jeden gewerblichen Hintergrund sind aber nicht betroffen.

Inhaltsverzeichnis

Teil 1: Dein Impressum auf Social Media (Facebook, Instagram, Pinterest, YouTube, Twitter, Linkedin, Xing & Co)

Teil 2: Nach dem neuen Urteil des EuGH brauchst Du auch eine Datenschutzerklärung

Teil 3: Wie Du nach dem EuGH Urteil Deine Fanpage gegen Abmahnungen sichern kannst

 

Teil 1: Dein Impressum auf Social Media (Facebook, Instagram, Pinterest, YouTube, Twitter, Linkedin, Xing & Co)

Zusammenfassendes Ergebnis zu Teil 1: Du brauchst für jeden Deiner (gewerblichen) Social Media Accounts ein Impressum. Das kannst Du mit dem easyRechtssicher Fanpage Generator für Impressum und Datenschutzerklärung schnell erledigen.

    Zum Komplett Schutz   

I. § 5 TMG (Telemediengesetz)

Sicher weißt Du bereits, dass jede Unternehmenswebsite (sog. Fanpage) auf einer Social Media Plattform nach § 5 TMG ein Impressum benötigt. Ein solches kannst Du etwa mit dem Impressumsgenerator auf easyRechtssicher schnell und einfach erstellen.

Dieses Impressum musst Du direkt bei dem Social Media Account eingeben. Oft hast Du dafür aber nicht genug Platz zur Verfügung. Platzsparender ist es, wenn Du auf ein bestehendes Impressum verweisen kannst, wie etwa das auf Deiner Website.

II. Sprechender Link

Der Link auf das Impressum muss immer einfach ersichtlich sein. Erforderlich ist daher ein sogenannter sprechender Link. Es muss bei dem Link ersichtlich sein, dass es sich um einen Link auf ein Impressum und eine Datenschutzerklärung (siehe sogleich in Teil 2, warum Du auch die brauchst) handelt. Schreibe bitte direkt vor den Link:

„Impressum und Datenschutzerklärung:“

damit immer ersichtlich ist, dass der Link auf ein Impressum und eine Datenschutzerklärung geht.

Mit dem  Social Medie Generator von easyRechtssicher ist das schnell durchgeführt, mehr dazu in Teil 3.

Teil 2: Nach dem neuen Urteil des EuGH brauchst Du auch eine Datenschutzerklärung

Zusammenfassendes Ergebnis zu Teil 2: Nach dem neuesten Urteil des EuGH haften Betreiber von Unternehmensseiten auf Social Media Plattformen insbesondere Facebook Fanpages für dort vorkommende Datenschutzverstöße mit. Nutzer müssen überlegen, ob sie deshalb derartige Fanpages schließen. Um eine solche Haftung weniger wahrscheinlich zu machen, sollte die Datenschutzerklärung auf der eigenen Website angepasst und auf dem Social Media Profil verlinkt und möglichst sogar wiederholt werden.

I. Die Haftung für alle Fanpages auf Social Media Plattformen

1. Das Urteil des EuGH

Am 5. Juni 2018 hat der EuGH entschieden, dass der Betreiber einer Facebook Fanpage für Datenschutzverstöße von Facebook mitverantwortlich ist (hier der Link zum Urteil). Da Facebook weder vor Erlass der Datenschutzgrundverordnung noch danach dem europäischen Datenschutz entsprochen hat, drohen jedem Unternehmen allein aufgrund einer Unternehmensseite bei Facebook Untersagungsverfügungen, Buß- und Zwangsgelder sowie Abmahnungen.

Anlass war der Betrieb einer Unternehmensseite durch eine Bildungseinrichtung. Das Landesamt für Datenschutz beanstandete diese und forderte den Bildungsträger auf, die Fanpage zu deaktivieren. Die Begründung dafür war, dass Facebook von den Nutzern der Fanpage personenbezogene Daten erhebe und weder Facebook noch der Bildungsträger die Besucher der Fanpage (mittels einer Datenschutzerklärung) darauf hingewiesen habe.

Gegen die Untersagungsverfügung und das zu seiner Durchsetzung angedrohte Zwangsgeld legte die Bildungseinrichtung Widerspruch ein. Sie sei für die Datenverarbeitung von Facebook nicht verantwortlich. Das Argument hat der EuGH in konsequenter Auslegung des Verantwortlichen nach der vorherigen Datenschutzrichtlinie zurück gewiesen. Durch die Eröffnung der Fanpage hat die Bildungseinrichtung den Missbrauch der Daten ermöglicht und haftet so auch für die Folgen.

2. Geltung unter der DSGVO

Das Urteil des EuGH gilt auch für die neue Datenschutzgrundverordnung. Zwar ist es noch zu der vorigen Richtlinie ergangen, doch ist der Begriff des Verantwortlichen nach der DSGVO weitgehend gleich geblieben.

3. Einstellung der Social Media Plattformen

Gegen diese Mithaftung lässt sich praktisch nichts unternehmen. Derzeit ist Facebook in vielerlei Hinsicht nicht datenschutzkonform und lässt sich auch kaum derart einstellen. Facebook ist zudem noch nicht einmal hinreichend transparent. Es ist bereits unmöglich, die genaue Verwendung von Daten durch Facebook auch nur fest zu stellen. Damit scheint es nur noch die Alternative zu geben, eine Facebook Fanpage abzustellen.

4. Alle Unternehmensseiten bei Social Media Plattformen betroffen

Das allein würde jedoch nicht reichen. Das Urteil gilt für alle anderen Social Media Auftritte entsprechend. Ob Instagram, Pinterest, LinkedIn, Twitter, Google +, YouTube, Medium, Reddit, Steemit oder Quora, bei jeder Social Media Plattform wäre zuerst zu prüfen, ob sie

a) DSGVO konform betrieben wird und
b) alle Vorkehrungen möglich sind, die die DSGVO erforderlich macht (Cookie Hinweis, Datenschutzerklärung etc.).

Selbst für deutsche oder europäische Social Media Plattformen wie Xing wäre das noch im Einzelnen zu prüfen.

5. Der Grund für die Haftung bei Fanpages

Im Ergebnis haftet damit jedes Unternehmen für Datenschutzverstöße jeder von ihm verwendeten Social Media Plattform. Aus datenschutzrechtlicher Sicht bleibt das konsequent. Jedes Unternehmen muss seine Software und Partner so auswählen, dass der Datenschutz gewährleistet ist.

In Zeile 40 stellt der Gerichtshof dementsprechend fest:

„Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

easyRechtssicher – Fanpage Social Links

 

II. Ungerechtes Ergebnis

1. Bauernopfer: Nutzer von Facebook Fanpages?

Damit bleibt aber die berechtigte Frage: Kann es sein, dass die Datenschutzverstöße der großen Social Media Plattformen wirklich auf dem Rücken von deren Nutzern ausgetragen wird? Sollen diese tatsächlich das Bauernopfer sein, um die Social Media Plattformen zum Datenschutz zu verpflichten? Um es auf die Spitze zu treiben, soll jetzt wirklich eine alte Dame, die Strickanleitungen auf Facebook darstellt, für die Verfehlungen von Facebook zahlen?

Hat der EuGH also unrichtig entschieden? Ich glaube erst mal nicht. Die Auslegung des Verantwortlichen ist datenschutzrechtlich konsequent.

Bleibt man aber bei dem Urteil und der reinen Verantwortlichkeit stehen, sind viele kleine Unternehmen praktisch erledigt. Anders als Großkonzerne haben sie nicht die finanziellen Ressourcen, sich teure Werbung in den Medien zu leisten und auf engen Kontakt zu ihren Kunden auf den Social Media Plattformen angewiesen. Das unmöglich zu machen, war und ist sicher nicht der politische Wille der Kommission oder des europäischen Parlaments.

Daher bleibt es primäre Aufgabe der Rechtsanwender, die allgemeinen Rechtsgedanken zu untersuchen, ob sich daraus nicht doch Grenzen dieser Verantwortlichkeit der Fanpage-Betreiber ergeben. Um es vorweg zu nehmen, das ist nach diesseitiger Auffassung durchaus der Fall.

2. Rechtsfolgen

Konsequenz des Urteils ist, dass jedes Unternehmen, welches eine Facebook Fanpage oder einen Account auf einer anderen Social Media Plattform hat, mit in der Haftung steht. Diese Haftung kann sich vor allem in drei Hinsichten auswirken:

  • a) Untersagungsverfügung und Bußgeld
    Zunächst einmal kann die zuständige Behörde das Unternehmen auffordern, die Social Media Präsenz zu schließen und ein Zwangs- oder ein Bußgeld verhängen.
  • b) Abmahnung von Nutzern
    Weiter können Nutzer der Fanpage die Rechte aus der DSGVO gegen das Unternehmen geltend machen, von Abmahnung über Auskunft bis Schadensersatz.
  • c) Abmahnung von Konkurrenten oder Abmahnvereinen
    Abmahnvereine oder Konkurrenten könnten beanstanden, dass die Nutzung einer Social Media Präsenz mit Datenschutzverstößen ein ungerechtfertigter Vorteil im Wettbewerb ist, die rechtstreue Konkurrenten wettbewerbswidrig benachteiligt. Konsequenz wäre dann ebenfalls vor allem eine (kostenpflichtige) Abmahnung.

3. Argumente gegen ein Bußgeld

Eine Behörde kann nicht einfach ein Bußgeld verhängen. Die Entscheidung darüber muss vielmehr ermessensgerecht erfolgen. Das bedeutet im Verhältnis zu der Social Media Plattform vor allem, dass die Behörde prüfen muss, ob sich der Datenschutz nicht besser durch Inanspruchnahme der Social Media Plattform erreichen lässt. Dafür spricht grade seit der DSGVO vieles.

Zu beachten ist, dass das Landesamt für Datenschutz damals gegen die Bildungseinrichtung vorgegangen ist, weil sie nach dem damaligen Recht kaum erfolgversprechend gegen Facebook vorgehen konnte. Genau das hat sich durch die Datenschutzgrundverordnung aber deutlich verbessert. Die DSGVO ist grade erlassen worden, um (auch) die großen Internetunternehmen (faktisch häufig aus den USA) zum Datenschutz zu verpflichten. Deshalb ist sie gem. Art. 3 Abs. 2 DSGVO auch für jede Datenverarbeitung anwendbar, die außerhalb der EU erfolgt, wenn sie sich nur auf Daten von EU-Bürgern bezieht (oder gar nur Daten, die in der EU gewonnen wurden).

Die rechtlichen Instrumentarien, auch die großen Internet-Unternehmen zu erreichen, sind spätestens jetzt vorhanden. Eine Strafe von bis zu 20 Mio. Euro oder gar 4 % des weltweiten Jahresumsatzes wie in Art. 83 Abs. 5 DSGVO vorgesehen, ist ausreichend, um jedes Unternehmen zum Datenschutz zu bewegen.

Dementsprechend stellt auch der EuGH in Zeile 43 fest, dass die Social Media Plattformen stärker in der Verantwortung stehen können:

„Klarzustellen ist, dass …. die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein“ können, „dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“

Von daher läßt sich gegen jede Inanspruchnahme einer Behörde einwenden, dass diese sich zuerst an den Social Media Anbieter zu wenden hat.

Ob das Argument wirklich sticht, bleibt abzuwarten. Nach dem EuGH wird nunmehr das deutsche Bundesverwaltungsgericht abschließend über den Fall entscheiden. Es wird Gelegenheit haben, sich mit diesem Argument auseinanderzusetzen. Es ist anzunehmen, dass die Behörden wenigstens dieses Urteil abwarten werden, ehe gegen Unternehmen mit einer Fanpage vorgegangen wird.

4. Argumente gegen eine Abmahnung von Nutzern

Soweit Nutzer eine Abmahnung oder Schadensersatz geltend machen, weil bei dem Besuch der Fanpage ihr Recht auf Privatsphäre verletzt wurde, liegt das Gegenargument auf der Hand. Zumindest Personen, die zuvor Nutzer der Social Media Plattform waren, haben sich (bewusst) bereits selbst in die Gefahr von Datenschutzverletzungen begeben. Sie könnten unter dem Gesichtspunkt des Widerspruchs gegen das eigene Verhalten (venire contra factum proprium) an einer Abmahnung gehindert sein. Es erscheint nicht gerechtfertigt, einerseits seine Daten der gesamten Social Media Plattform auszusetzen und andererseits einen Betreiber einer Fanpage für die damit zusammenhängenden (viel geringeren) Datenschutzverstöße verantwortlich zu machen. Auch Schadensersatzansprüche von Nutzern können nach § 254 BGB aufgrund eigenem Mitverschulden eingeschränkt oder ganz ausgeschlossen sein.

Diese Argumente verfangen aber nicht gleichermassen, wenn es um Nutzer geht, die noch gar nicht Kunden der Social Media Plattform sind, die also erstmals diese Plattform nutzen, nur weil sie auf die Fanpage eines Unternehmens gelangen wollen.

In Zeile 41 betont das europäische Gericht besonders den Schutz des noch nicht bei Facebook angemeldeten Nutzers:

„Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“

Im Normalfall werden natürlich nur solche Nutzer einem Link zu einer Social Media Plattform folgen, die bereits selbst Kunde dieser Plattform sind. Auszuschließen ist der Fall eines neuen Nutzers aber nicht. Dieser neue Nutzer kommt aber wenigstens vornehmlich dann über die Website des Unternehmens zu der Social Media Plattform, für das er sich interessiert (sofern er es nicht über eine Suchmaschine findet).

Daher empfiehlt es sich im Grundsatz, auch bei einer an sich freien Verlinkung auf den eigenen Social Media Auftritt, einen zugehörigen Text in die Datenschutzerklärung aufzunehmen. Das ist auch eine der ersten Handlungsempfehlungen nach dem Urteil des EuGH. Bei easyRechtssicher war dies bereits vor dem Urteil vorgesehen. Wir haben aber als Reaktion auf das Urteil den Text nochmals deutlicher geschrieben. Mit dem easyRechtssicher Plugin zur Datenschutzerklärung lässt sich der neue Text jetzt ganz einfach generieren.

5. Argumente gegen eine Abmahnung von Konkurrenten

Daneben kommt auch eine Abmahnung von Konkurrenten oder Abmahnvereinen wegen Vorteilen im Wettbewerb durch Rechtsbruch in Betracht. Der Verstoß, um den es geht, ist jedoch primär ein Verstoß gegen die Datenschutzvorschriften. Diese dienen jedoch nicht in erster Linie dem Schutz des Wettbewerbs, sondern vielmehr dem Schutz einer individuellen Privatsphäre. Es ist bis heute ungeklärt, ob solche Verstöße tatsächlich von Konkurrenten abgemahnt werden können. Das und die noch einigermaßen ungeklärte Rechtslage sollte übermäßige Abmahnungen also verhindern.

III. Lösungen auf der Social Media Plattform

Auf der eigenen Website kann man also bereits versuchen, durch eine entsprechende Anpassung der Datenschutzerklärung für eine bessere Aufklärung zu sorgen. Hierbei stehen insbesondere solche Nutzer im Vordergrund, die noch nicht auf der entsprechenden Social Media Plattform angemeldet sind.

Man kann jedoch noch mehr unternehmen. Kurz nach dem Urteil hat die Datenschutzkonferenz (der Zusammenschluss der deutschen Datenschutzbehörden) getagt und dazu eine Einschätzung unter dem vielversprechenden Titel: „Die Zeit der Verantwortungslosigkeit ist vorbei“ veröffentlicht. Darin werden vor allem drei Punkte angesprochen, um einen rechtmäßigen Betrieb einer Social Media Seite sicher zu stellen:

  • „Wer eine Fanpage besucht, muss transparent und in verständlicher Form … informiert werden ….
  • Soweit Facebook …. trackt …. ist … eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt
  • … Facebook und Fanpage- Betreiber (haben)… eine …. Vereinbarung festzulegen“

Davon lässt sich eine Anforderung einigermassen erfüllen, eine nicht ohne Facebook erfüllen und die dritte ist tatsächlich streitig, von hinten nach vorne:

a) Eine gemeinsame Vereinbarung

Mit der gemeinsamen Vereinbarung ist ein Dokument ähnlich dem Auftragsverarbeitungsvertrg gemeint, in dem zwischen Facebook und Nutzer festgelegt wird, wer von beiden welche der Verpflichtungen aus der DSGVO übernimmt. Diesen Vertrag kann faktisch nur Facebook anbieten. Ob ein solcher kommt, bleibt abzuwarten.

b) Eine Einwilligung der Nutzer

Ob es wie die Datenschutzkonferenz meint, wirklich einem Opt In Bedarf, um rechtswirksam trocken zu dürfen, ist deutlich streitig. Die Datenschutzkonferenz ist in keiner Weise bindend für die Gerichte und in der Rechtswissenschaft ist durchaus umstritten, ob sich nicht auch ein Tracking auf die berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO stützen lässt und damit grade kein Opt In benötigt. Hier ist nach wie vor große Rechtsunsicherheit, die erst durch ein höchstrichterliches Urteil ausgeräumt werden dürfte. Aber auch hier bestehen jedenfalls Argumente, warum auch ohne Opt In (möglichst aber unter Angebot eines Opt Out aus dem Tracking) ein Tracking möglich ist. Eine eindeutige Abmahnung ergibt sich jedenfalls durch das Fehlen eines Opt In erneut nicht. Aus höchster anwaltlicher Vorsorge bleibt aber auch hier nur der Rat, ein Opt In zu installieren. Risikofreudigere Naturen können mit diesem Tool ein Opt Out* generieren.

c) transparente Information

Am ehesten umzusetzen dürfte die Forderung nach einer transparenten Aufklärung zu erfüllen sein. Gefordert ist damit für jede Unternehmensseite eine Datenschutzerklärung. Hier hängt es natürlich von der jeweiligen Social Media Plattform ab, wie gut und sinnvoll die platziert werden kann. Bei Facebook, kann etwa unter Informationen auf die Datenrichtlinie verwiesen werden. Weiter kann man in der Story noch auf Datenschutzbestimmungen hinweisen, ersatzweise kommt auch ein angepinnter Post ganz oben auf der Seite in Betracht. Für alle anderen Social Media Plattformen sind entsprechend sinnvolle Darstellungen zu suchen und umzusetzen.

Als Text sollte man die Datenverwendung auf der Plattform möglichst sinnvoll beschreiben, auf die jeweiligen Datenschutzerklärungen der Social Media Plattform verweisen und möglichst noch ein Opt Out anbieten. Muster hierzu sind in den easyRechtssicher Kursen enthalten, entweder kann man den Zugang direkt über unser WordPress Plugin erhalten oder auch – wer etwa kein WordPress nutzt – durch den Erwerb des kleinen Kurses mit den Themen Impressum und Datenschutz.

IV. Zwischenergebnis

Insgesamt kommen Betreiber einer Website grade kaum zur Ruhe. Nach der DSGVO der nächste Schock. Die Konsequenzen des Urteils können für Fanpages durchaus erheblich sein und aus höchster anwaltlicher Vorsorge muss man jetzt empfehlen, solche Seiten (über alle nicht DSGVO konformen Social Media Plattformen hinweg) zu schließen.

Dennoch, es gibt einige Argumente, warum die Rechtsfolgen vielleicht weniger dramatisch ausfallen. Gegen jede Rechtsfolge kann man sich zumindest mit guten Gründen verteidigen, ohne dass klar ist, wie die Rechtsfrage im konkreten Fall dann entschieden wird.

Man kann jedenfalls versuchen, sich weniger angreifbar zu machen. Das betrifft klare Hinweise in der Datenschutzerklärung zu den Gefahren der Social Media Plattformen und eine soweit als möglich datenschutzkonforme Einstellung von Social Media Auftritten. Sinn macht natürlich auch, die eigenen Social Media Profile auf Ihren Nutzen hin zu untersuchen und wenig genutzte Profile zu löschen. Der einfachste Datenschutz ist immer noch, keine Daten zu haben.

V. Was machen Facebook, Twitter, Instagram, Google+, YouTube, Pinterest, Linkedin, Xing seit dem?

Das Urteil ist vor allem deshalb bedauerlich, weil insbesondere Facebook, aber auch viele andere Social Media Plattformen weder vor Erlass der Datenschutzgrundverordnung noch danach dem europäischen Datenschutz entsprochen haben. Google hat (zumindest nach außen) viel unternommen, um die DSGVO umzusetzen. Kaum ein anderes Unternehmen hat so viele neue Features für den Datenschutz neu eingeführt, doch schon Tochter YouTube profitiert davon nicht in gleichem Maße. Die anderen Social Media Plattformen sind oft auch nicht viel besser. Grade im Bereich des Tracking zu Werbezwecken erlauben die Plattform häufig mehr, als die DSGVO zulässt. In der Konsequenz droht Dir also immer, dafür zu haften, dass die Social Media Plattform nicht DSGVO konform ist.

1. Welche Rechtsfolgen Dir drohen?

Von daher drohen jedem Unternehmen allein aufgrund einer Unternehmensseite bei Facebook oder Konten bei anderen Social Media Plattformen wie Twitter, Instagram, Google+, YouTube, Pinterest, Linkedin, Xing und Co. folgende Konsequenzen:

a) Untersagungsverfügung und Bußgeld

Als erstes kann die Datenschutz-Behörde das Unternehmen auffordern, die Social Media Fanpage zu schließen und deswegen ein Zwangs- oder ein Bußgeld verhängen (das war der Ausgangspunkt des EuGH-Urteils).

b) Abmahnung von Nutzern

Weiter können Besucher der Fanpage die Rechte aus der DSGVO gegen das Unternehmen geltend machen. Das kann eine kostenpflichtige Abmahnung und ein Schadensersatzanspruch sein.

C) Neueste Entwicklungen: Erste Verfahren

Nach dem Urteil des EuGH geht die Rechtsverfolgung jetzt langsam los. Die Berliner Datenschutzbehörde hört Fanpage-Betreiber jetzt zu Datenschutz-Verstößen auf Social Media Fanpages an.

Nach diesem Tweet mit einer Abbildung

verschickt die Berliner Datenschutzbehörde Anhörungen zu Social Media Fanpages.

Seit dem Urteil des EuGH im Juni hat sich nach Einschätzung jedenfalls der Berliner Behörde auf Seiten der Unternehmen praktisch nichts getan. Deshalb hat die Berliner Datenschutzbehörde Anhörungsverfahren gegen viele Unternehmen eingeleitet. Die Unternehmen werden in dem Brief dazu befragt, wie sie die Voraussetzungen des EuGH Urteils zur gemeinsamen Haftung von Social Media Fanpages erfüllen.

D) Abmahnung von Konkurrenten oder Abmahnvereinen

Abmahnvereine oder Konkurrenten könnten eine Abmahnung erteilen, weil die Nutzung einer Social Media Präsenz mit Datenschutzverstößen ein ungerechtfertigter Vorteil im Wettbewerb ist, die rechtstreue Konkurrenten wettbewerbswidrig benachteiligt. Konsequenz wäre vor allem eine Verpflichtung, die Kosten der Abmahnung zu erstatten.

2. Was sagt die Datenschutzkonferenz?

Soeben hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) des Bundes und der Länder (am 5. September 2018) einen Beschluss zu Facebook Fanpages getroffen.  Darin wird fest gestellt, dass Facebook trotz der seit dem Urteil vergangenen drei Monate praktisch keine Maßnahmen ergriffen hat, um dem Datenschutz nach dem Urteil des EuGH genüge zu tun. Immer noch würden – stellt die DSK fest – bei Personen, die nicht Nutzer von Facebook sind, Cookies mit Identifikatoren gesetzt, jedenfalls, wenn sie auf Facebook mehr als nur die Startseite der Fanpage aufrufen. Weiter beanstandet die DSK, dass nach wie vor die Fanpage-Besuche im Rahmen von Facebook Insights ausgewertet und den Betreibern der Fanpage zur Verfügung gestellt werden.

Weiter vermisst die DSK eine Vereinbarung zur gemeinsamen Vereinbarung zwischen Facebook (oder der sonstigen Social Media Plattform) und dem Fanpage-Betreiber gem. Art. 26 Abs. 1 S. 1 DSGVO. In einem solchen Fall sieht die DSGVO gem. Art. 26 Abs. 1 S. 2 DSGVO vor:

„Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“

Anschließend folgt ein Katalog mit acht Fragen, die Facebook und die gemeinsam mit Ihnen verantwortlichen Fanpage-Betreiber jetzt erfüllen müssen:

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook- Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?

3. Welche Antwort gibt Facebook mit der gemeinsamen Vereinbarung zur datenschutzrechtlichen Verantwortung?

Darauf hat Facebook dann doch am 11. September 2018 überraschend schnell reagiert und ein Update for Page admins in the EU and the EEA angekündigt. Damit wird in einem sog. Page Insights Controller Addendum eine Vereinbarung über der gemeinsamen Verantwortung nach der DSGVO getroffen. Diese wird voraussichtlich einfach den Betreibern der Fanpage bekannt gegeben und dann durch Nutzung akzeptiert. Derzeit ist ein formaler Vertragsschluss nicht erforderlich.

In dieser Vereinbarung erkennt Facebook die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Verpflichtungen an, insbesondere bzgl. Information und Rechte der Nutzer. Damit ist Facebook in jedem auf dem richtigen Weg. Dennoch musst auch Du als Betreiber einer Facebook Fanpage noch diverse Pflichten erfüllen, um die Fanpage einigermaßen rechtssicher nutzen zu können.

Ob Facebook damit ausreichend gehandelt hat, ist natürlich noch nicht geklärt. Das Addendum ist noch sehr rudimentär. Von den acht Fragen, die die Datenschutzkonferenz aufgestellt hat, lassen sich mit der Vereinbarung zur gemeinsamen Verantwortung aber wenigstens die Fragen 1, 2, 4 und 8 beantworten. Die Fragen 3 und 5 kann man auch als Seitenbetreiber durch eine eigene Datenschutzerklärung zur Social Media Fanpage .beantworten. Damit ist man zumindest nahe an den rechtlichen Anforderungen.

4. Muss man dann nicht seine Social Media Fanpage abschalten?

Gegen die Haftung für Facebook, Instagram, Linkedin, YouTube, Google+, Pinterest und Co. kannst Du als bloßer Nutzer nichts unternehmen. Viele Social Media Plattformen sind derzeit in vielerlei Hinsicht nicht datenschutzkonform. Es bieten sich immer noch nicht genug Einstellungen, um eine datenschutzkonforme Nutzung der Plattform zu ermöglichen. Facebook und die anderen Social Media Plattformen sind zudem nicht hinreichend transparent. Es ist praktisch nicht möglich, die genaue Verwendung von Daten durch Facebook und Co. auch nur fest zu stellen.

Damit kannst Du die rechtlichen Anforderungen allein nicht erfüllen, haftest also im Grundsatz. Wie im ersten Teil begründet, ist das Abmahnrisiko vielleicht nicht ganz so groß. Dennoch, wer ganz sicher sein will, der schaltet seine Social Media Präsenz ab – ein Weg, den bisher aber nur wenige gegangen sind.

Teil 3: Wie Du nach dem EuGH Urteil Deine Fanpage gegen Abmahnungen sichern kannst

Zusammenfassendes Ergebnis zu Teil 3: Mit easyRechtssicher kannst Du schnell, einfach und dauerhaft aktuell ein Impressum und eine Datenschutzerklärung für Deinen Social Media Account auf Facebook, Instagram, Pinterest, YouTube, Twitter, Linkedin, Xing & Co. erstellen. Wir hosten Dein Impressum und Deine Datenschutzerklärung für Dich. Das ist in unserem Komplett Schutz enthalten.

    Zum Komplett Schutz   

Hast Du keine eigene Website, kannst Du auch nur den Social Media Fanpage Generator mit gehosteter Datenschutzerklärung und Impressum bestellen

I. Welche Maßnahmen kann ich treffen, um meine Fanpage abzusichern?

Der EuGH hat vor allem beanstandet, dass die Nutzer nicht aufgeklärt werden, welche Datenerhebungen auf der Social Media Plattform erfolgen. Das ist allein durch die Vereinbarung, die Facebook jetzt veröffentlicht hat, noch nicht sicher gestellt. Hier gilt vielmehr immer noch die Maßgabe der ersten Reaktion der Datenschutzkonferenz aus Juni 2018, die unter dem unheilversprechenden Titel:

„Die Zeit der Verantwortungslosigkeit ist vorbei“

veröffentlicht wurde.

Darin wurde für einen rechtmäßigen Betrieb einer Social Media Seite gefordert:

„Wer eine Fanpage besucht, muss transparent und in verständlicher Form … informiert werden ….“

Damit ist wesentliche Konsequenz aus dem Urteil des EuGH: Sowohl in der Datenschutzerklärung auf der eigenen Website musst Du auf die Social Media Plattform hinweisen als auch auf der Social Media Plattform selbst, also an der eigenen Fanpage.

1. Ändere die Datenschutzerklärung auf Deiner Website!

Wenn Du keine Website hast, lies bitte gleich weiter zu 3.

Wenn Du einen Social Media Account hast, musst Du vor allem die Teilen oder Like Buttons, die Du verwendest, in der Datenschutzerklärung erwähnen. Dies sind in aller Regel Plugins, die an Facebook, Instagram, Pinterest, YouTube, Twitter, Linkedin und Xing Daten weitergeben. Das sollte allgemein bekannt sein.

easyRechtssicher – Facebook Likes

 

Eine neue Konsequenz aus dem Urteil ist aber, dass Du den Besucher selbst bei blossen links auf Deine Social Media Unternehmensseiten in der Datenschutzerklärung unterrichten musst. Das ist eine Option, die die mir bekannten Generatoren häufig nicht abbilden.

Eigentlich ist es ohne weiteres möglich, auf seinen eigenen Social Media Account zu verlinken. Doch nach dem Urteil des EuGH musst Du eben beachten, dass Du damit Deine Besucher „in die Gefahr begibst“, dass deren Daten von der Social Media Plattform verarbeitet werden. Darüber musst Du aufklären. Deshalb sind auch bloße Links auf Euren Social Media Account in der Datenschutzerklärung zu erwähnen.

Nur mit einer solchen Erweiterung Deiner Datenschutzerklärung informierst Du Deine Nutzer, dass deren Daten gegebenenfalls auch der Social Media Plattform zugänglich werden (ja, der EuGH orientiert sich hier an recht ahnungslose Nutzer Eurer Website).

Nutzt Du den Datenschutz-Generator oder das DSGVO Plugin für WordPress, findest Du dort die Abfrage für „Social Media Links“. Hier trägst Du einfach ein, auf welche Social Media Plattformen Du auf Deiner Website verlinkst, etwa auf Facebook, Instagram, Pinterest, YouTube, LinkedIn, Xing oder Twitter.

Dann generiert der Generator die erforderlichen Muster, die Du rechtlich brauchst. In Deiner Datenschutzerklärung informierst Du Deine Nutzer dann, was mit ihren Daten geschieht, wenn sie Deinem Link folgen und Deinen Social Media Account besuchen.

2. Datenschutzerklärung auf der Fanpage

Doch damit nicht genug. Der Nutzer kann schließlich nicht nur von Deiner Website auf die Social Media Plattform kommen, sondern auch direkt die Fanpage auf der Social Media Plattform aufrufen. Dann hat er vorher nicht die Möglichkeit, sich auf Deiner Seite über den Datenschutz zu informieren, sondern muss diese Informationen auf der Social Media Plattform auch finden können.

Diese Datenverarbeitung müsst Ihr in einer speziellen Datenschutzerklärung für die Social Media Plattform beschreiben (so gut das mangels Transparenz möglich ist) und auf Wege verweisen, wie der Besucher möglichst wenig Daten preisgeben kann (Hinweise dazu findest Du etwa hier).

In unserem Datenschutz Generator für Social Media Fanpages ist werden nach Angaben zu Deinem Impressum auch Deine „Social Media Fanpages“. abgefragt  Damit kannst Du gleichzeitig auch die Datenschutzerklärung generieren, die Du für Deinen Social Media Account benötigst.

a) Wo muss ich die Hinweise anbringen?

Örtlich sind die Datenschutzhinweise so deutlich wie möglich anzubieten, entweder an einem besonders vorgesehenen Ort für die Datenschutzerklärung (Facebook z.B. erlaubt einen Link auf die Datenrichtlinie unter „Info“) oder in den Unternehmensangaben (bei Facebook etwas Story) oder auch als gepinnter Post.

Zudem muss der Link auf das Impressum und die Datenschutzerklärung immer einfach ersichtlich sein. Erforderlich ist daher ein sogenannter sprechender Link. Es muss bei dem Link ersichtlich sein, dass es sich um einen Link auf ein Impressum und eine Datenschutzerklärung handelt. Schreibe bitte direkt vor den Link:

„Impressum und Datenschutzerklärung:“

damit immer ersichtlich ist, dass der Link auf Dein Impressum und Deine Datenschutzerklärung geht.

Wie Du konkret auf der jeweiligen Social Media Plattform den Link setzen kannst, ist hier beschrieben, bzw. hier für Pinterest.

Hier ranken sich bereits je Plattformen viele Diskussionen um die besten Orte. Schreibt gerne Euren besten Ort als Kommentar. Oft gibt es nur wenig Raum und die Diskussion geht vor allem auch darum, ob man den für Rechtsangaben „verschwenden“ sollte oder nicht. Hierin wollen wir uns nicht einmischen. Je deutlicher, desto besser jedenfalls.

b) Wie soll ich den Hinweis erteilen?

Den Hinweis auf die spezielle Datenschutzerklärung für Eure Fanpage bei Facebook, Instagram, Google+, YouTube, Twitter, Pinterest und Co. könnt Ihr auf drei Weisen einbinden:

  • direkte Veröffentlichung auf der Social Media Plattform (mir ist aber keine bekannt, auf der das bereits geht)
  • Link auf eine eigene Seite mit der Datenschutzerklärung für die Fanpage (kann auch über den easyRechtssicher.de Hosting Service bestellt werden, dann braucht Ihr nicht mal eine eigene Website)
  • Veröffentlichung des Textes auf Eure Website, auf der Ihr dann von der Social Media Unternehmensseite aus verlinkt.

Die einfachste Lösung ist sicher, den Hosting Service von easyRechtssicher zu nutzen. Du erhältst in unserem Datenschutz Generator und in dem Datenschutz Plugin jeweils einen Link für ein Impressum und eine Datenschutzerklärung für Social Media Fanpage von Facebook, Instagram, Pinterest, YouTube, Twitter, Linkedin und Xing. Hier kannst Du Deinen Komplett Schutz bestellen, mit dem Du sowohl

  • den Datenschutzgenerator für Deine Website findest (soweit Du WordPress nutzt ist zusätzlich das Plugin enthalten)
  • den Impressums Generator für Deine Website
  • den Social Media Generator für Impressum und Datenschutzerklärung auf Deinen Fanpages
    Zum Komplett Schutz   

3. Datenschutzerklärung und Impressum ohne eigene Website

Hast Du keine eigene Website hilft der Weg über unseren Datenschutz-Generator oder über unser DSGVO Plugin nicht weiter, doch auch dafür haben wir eine Lösung: Den easyRechtssicher Datenschutz-Generator mit Hosting Service.

Hierfür rufe einfach unseren Social Media Fanpage Generator auf und wähle die von Dir verwendeten Social Media Plattformen an.

Mit der anschließenden Bestellung über Digistore 24 erwirbst Du:

  • Deinen Hosting Service für Dein Impressum
  • Deinen Hosting Service für die Datenschutzerklärung
  • Deine jeweilige Aktualisierung bei rechtlichen Änderungen

Nach Bestellung wird Dir der Link für Dein Impressum und Deine Datenschutzerklärung für Deine ausgewählten Social Media Fanpages angezeigt. Den musst Du dann nur noch auf Deiner Unternehmenswebseite bei Facebook, Instagram, Pinterest, YouTube, LinkedIn, Xing oder Twitter verlinken. Näher dazu sogleich zu IV.

Der Link zeigt – von uns gehostet – immer den aktuellen easyRechtssicher Mustertext für die jeweilige Social Media Plattform an. So ist Dein Impressum und Deine Datenschutzerklärung für Facebook, Instagram, Pinterest, YouTube, LinkedIn, Xing oder Twitter immer auf dem neuesten Stand. Dadurch hast Du eine Abmahngefahr bereits gebannt.

II. Ergebnis

Betreiber einer Website finden derzeit kaum Ruhe. Nach der DSGVO der nächste Schock. Die Konsequenzen des Urteils können für Fanpages durchaus erheblich sein und aus höchster anwaltlicher Vorsorge muss man jetzt empfehlen, alle Fanpages auf allen nicht DSGVO-konformen Social Media Plattformen zu schließen.

Dennoch, es gibt einige Argumente, warum die Rechtsfolgen vielleicht weniger dramatisch ausfallen. Zudem kann man versuchen, sich weniger angreifbar zu machen. Das betrifft klare Hinweise in der Datenschutzerklärung zu den Gefahren der Social Media Plattformen und eine soweit als möglich datenschutzkonforme Einstellung der jeweiligen Social Media Fanpage. Sinn macht natürlich auch, die eigenen Social Media Profile auf Ihren Nutzen hin zu untersuchen und wenig genutzte Profile zu löschen. Der einfachste Datenschutz ist immer noch, keine Daten zu haben.

Wenn Du Deine Fanpage jetzt nicht abschalten willst, solltest Du also 2 Maßnahmen treffen:

  1. Auf die Verwendung der Social Media Plattform (auch bei bloßen links auf Deinen Account) in Deiner Datenschutzerklärung hinweisen.
  2. In der Social Media Plattform auf eine Datenschutzerklärung für diese Plattform verweisen (dies kann auch ein Text sein, der am Ende Deiner Datenschutzerklärung steht, Du kannst also beide Dokumente in einem erstellen).

In unseren Social Media Generator Impressum und Datenschutzerklärung, im Komplett Schutz enthalten oder als Hosting Lösung auch einzeln erhältlich, findest Du beide Lösungen. Einfach, bequem und immer aktuell.

*Affiliate Link

 

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und
Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von
Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7
automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.