DSGVO: Ist Ihre Unternehmensseite bei Facebook noch legal?

avatar

André Gotzens - 9 Min. Lesezeit

header-picture

Für die meisten Unternehmen ist Social Media elementarer Bestandteil ihres Marketings und der Unternehmenskommunikation. Neben der Business-Kontaktpflege auf LinkedIn & Xing ist es vor allem das Zuckerberg-Universum, welches Markenpräsenz und durch Abverkaufs-Kampagnen sogar direkte Umsatzsteigerungen garantiert. Traffic, Lead-Generierung, Service-Dialog und Fan-Loyalität sind die am häufigsten genannten Gründe, warum sich Unternehmen im Social Network tummeln.

Vor rund einem Jahr entschied jedoch der Europäische Gerichtshof, dass die Betreiber sogenannter Fanpages für mögliche Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sind. Und was ist in der Zwischenzeit passiert? Wie ist es um den Einsatz von Facebook Pixel, Social Plugins, Google Analytics und die Datenschutzkonformität nach DSGVO bestellt? Ist bspw. die eigene Unternehmensseite bei Facebook legal zu betreiben? (tsc, ago)

Wie die Studie (PDF) des Deutschen Instituts für Marketing zeigt, sind rund 80 Prozent der (befragten) deutschen Firmen in den sozialen Netzwerken aktiv. Reichweite und präzises Targeting machen hier vor allem Facebook & Co. auch zur attraktiven Werbeplattform.

Eine Facebook-Unternehmensseite hilft Ihnen, Ihrer Marke ein sympathisches Gesicht zu geben und mit Kunden und Interessenten ins Gespräch zu kommen. Nicht wenige Unternehmen bauen sogar eigene Communities auf.

Facebook stellt Ihnen mit seinen Seiten-Insights sogar ein eigenes Analysetool zur Verfügung. Verläuft eine Media Journey über mehrere Geräte, stößt Tracking typischerweise an seine Grenzen. Eine Kundenreise nachzuvollziehen ist kaum noch möglich. Ist ein Nutzer dagegen bspw. auf Facebook eingeloggt, kann die Plattform dessen Customer Journey begleiten: von einer mobilen Recherchephase auf dem Smartphone oder Tablet bis hin zum Kaufabschluss auf Notebook und Desktop. Somit kann auch eine Conversion dem Werbekontakt zugeordnet werden.

Was müssen Unternehmen im Detail beachten?

Anfang Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass die Betreiber sogenannter Fanpages für mögliche Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sind. Das Urteil EuGH C-210/16 war deshalb auch der entscheidende Grund für viele Unternehmen, ihre Fanpages zu schließen.

Kurz darauf (am 05.09.2018) teilte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit, dass Fanpages in der zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, solange kein sogenannter „Joint-Controller-Vertrag“ vorliegt. Dieser soll klären, welche Seite die Pflicht zur Umsetzung der DSGVO übernimmt. Darauf reagierte das soziale Netzwerk wiederum mit einer Änderung seiner AGBs, die den „Joint-Controller-Vertrag“ bereits umfasste, welcher vor allem die Speicherung und Verwendung von Insights regelt (z. B. Alters- & Geschlechterverteilung, Beruf sowie weitere demografische Daten).

Was bedeutet das Urteil für Fanpages?

Sind Social Plugins und das Facebook Pixel auf der eigenen Website zukünftig nicht mehr tragbar? Oder sieht es vielleicht doch nicht ganz so düster aus?

Klar ist erst einmal, dass Facebook durch die AGB-Änderung den Großteil der Pflichten für die Datenverarbeitung übernimmt. Diese umfassen sowohl die Informationspflichten (Art. 12-13 DSGVO), als auch die Betroffenenrechte (Art. 15-22 DSGVO) sowie die Datensicherung und die Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).

Fakt ist: Ein effizienter Einsatz von Facebook- oder Instagram-Werbeanzeigen ist ohne den Einsatz eines Facebook Pixels nicht möglich. Optimierung und Targeting, Conversion Tracking, die Nutzung von Lookalike Audiences (erweitertes Targeting), die Sequenzierung von Werbeanzeigen oder die Messung eines ROI via Facebook Analytics sind komplett von ihm abhängig.

Der Marketing-Spezialist Thomas Hutter gilt als einer der renommiertesten Facebook-Experten im deutschsprachigen Raum. Er berät große und mittelständische Unternehmen, Organisationen und Agenturen und hat im Rahmen des Kölner Ads Camps (Mai 2019) die Möglichkeiten, welche die Pixel-Daten (Basis Code & Events) in der Anwendung mitbringen, vorgestellt und eingeordnet.

Und was ist mit Google Analytics?

Wie Sie als Website-Betreiber Google Analytics legal einsetzen: eigentlich und lange Zeit ein Widerspruch: Google Analytics und Datenschutz nach der DSGVO. Allerdings hat sich der Konzern nach zahllosen Streitigkeiten mit Datenschützern auf eine rechtskonforme Nutzung seines Analyse-Dienstes verständigen können. Die wichtigste Voraussetzung dafür ist, dass alle personenbezogenen Daten wie Name, E-Mail, IP-Adresse oder Kontaktdaten pseudonymisiert werden, so dass Drittanbieter sie nicht mehr zurückverfolgen können.

Wie wird Google Analytics rechtskonform eingesetzt?

Vertrag zur Datenverarbeitung: Um mit erhobenen Daten arbeiten zu können, muss jeder Webseiten-Betreiber einen Vertrag mit Google abschließen.

IP-Daten anonymisieren: Da IP-Adressen nach deutschem Recht als persönliche Daten gelten, müssen sie anonymisiert werden. Bei einer anonymisierten Mask-IP besteht kein Personenbezug mehr, da hier die IP-Adresse gekürzt ist. Wird die ungekürzte IP-Adresse genutzt oder auf andere Weise mit einem Login oder einem Identifier versucht, Nutzer zu tracken, liegt hingegen Personenbezug vor.

Widerspruchsrecht: Jederzeit muss der Webseitenbesucher dem Tracking durch Google Analytics widersprechen können. Dazu muss der Betreiber innerhalb seiner Datenschutzerklärung mehrere Optionen anbieten: Durch einen Direktlink zum offiziellen Opt-out Plugin von Google Analytics – und da das Plugin auf Smartphones nicht funktioniert, durch einen zusätzlichen Link auf einen Opt-out Cookie, der das Tracking blockiert. 

Angepasste Datenschutzerklärung: In dieser sollte ausführlich dargelegt sein, wie und auf welche Weise Google Analytics genutzt wird.

 RA_schwenke-Profil-150x150

Datenschutzerklärungen sollten auf Webseiten vollständig und richtig sein. Sie sind die für jedermann sichtbaren Fassaden des internen Datenschutzmanagements und werden z. B. bei Beschwerden von den Datenschutzbehörden geprüft. Das gilt auch im Hinblick auf Abmahnungen von Mitbewerbern, die z.B. bei fehlenden Angaben zu eingesetzten Trackingtools oder Belehrungen der Nutzer ein leichtes Spiel haben.

Dr. jur. Thomas Schwenke, Rechtsanwalt

Rechtsanwalt Dr. jur. Thomas Schwenke berät international Unternehmen sowie Agenturen im Marketing- sowie Vertragsrecht, ist Datenschutzsachverständiger, zertifizierter Datenschutzauditor sowie Datenschutzbeauftragter und Betreiber von https://datenschutz-generator.de.

Den Referenten, Podcaster und Buchautor finden Sie auch in den sozialen Netzwerken:
Facebook: fb.com/raschwenke, Instagram: @tschwenke und auf Twitter: @thsch

 

Fanpages, Social Plugins, Facebook Pixel

  • Betreiber von Fanpages sind für die Verarbeitung der Besucherdaten dann mitverantwortlich, wenn sie der Erstellung von Insights-Statisiken dienen. Die weitere Verarbeitung der Daten durch Facebook selbst ist allerdings kein Bestandteil der Mithaftung.
  • Innerhalb von sieben Tagen müssen Anfragen der Nutzer oder Aufsichtsbehörden an Facebook weitergeleitet werden.
  • Die eigene Datenschutzerklärung sollte Datenschutzhinweise zur Rechtsgrundlage der Fanpage-Nutzung mit einem Verweis auf den Datenschutzhinweis von Facebook beinhalten. Das sollte bereits auf der Startseite der Fanpage geschehen. Auch sollte hier stehen, für welchen Teil der Datenverarbeitung und Speicherung Facebook zuständig ist und wie die Benutzer ihre Rechte gegenüber Facebook wahrnehmen können.
  • Ein Facebook Pixel oder Social Plugin darf erst dann eingesetzt werden, wenn der Besucher der Website dafür seine Einwilligung gegeben hat. Zu beachten ist, dass die Plugins meist bereits mit dem Aufruf der Website aktiv sind, meist noch bevor eine aktive Einwilligung erfolgen kann.
  • Besucher müssen ihre Einwilligungen widerrufen und auch sonst der Verarbeitung ihrer Daten zu Marketingzwecken widersprechen können (Art. 7 Abs. 3, 21 Abs. 2 DSGVO). Falls das Social Plugin schon beim Aufruf der Website ausgeführt wird, sollte eine eigene Opt-Out-Lösung angeboten werden, welche die Ausführung verhindert.
  • Für die Nutzung von Social Plugins und des Facebook Pixels sollte eine explizite Einwilligung eingeholt werden, denn dann ist sie am sichersten – diese kann z. B. über ein Cookiebanner geschehen.
  • Hinweise zur Funktion sowie zu Rechtsgrundlagen der eingesetzten Facebook-Dienste wie z. B. Facebook Pixel oder Social Plugin sollten in den eigenen Datenschutzhinweisen eingearbeitet sein. Auch darf die Widerspruchsmöglichkeit des Nutzers nicht fehlen.

Mit diesen Punkten dürften die Forderungen der Datenschutzkonferenz durch den Abschluss des „Joint-Controller-Vertrags“ gem. 26 DSGVO erfüllt sein. Da diese Vereinbarung aber nur eine administrative Datenschutzvorgabe erfüllt, bleibt auch immer ein gewisses Restrisiko bestehen. Durch die ergänzten Nutzungsbedingungen von Facebook vermindert sich aber zumindest das Risiko beim Betrieb der Fanpage enorm. Sollte der EuGH in Zukunft wie bei Fanpages auch für Social Plugins eine gemeinsame Verantwortlichkeit annehmen, sprechen derzeit viele Gründe dafür, dass dies auch für das Facebook Pixel gelten wird. Bleibt die Frage, wie Facebook dann reagieren wird – wird das soziale Netzwerk eine weitere zusätzliche Vereinbarung über die gemeinsame Verantwortlichkeit stellen? Ob dann wirklich alle Regelungslücken durch sie geschlossen und die deutschen Datenschutzbehörden zufrieden gestellt werden, bleibt erst einmal abzuwarten.

Datenschutz als Standortfaktor: Vorbild DSGVO?

Das Spannungsfeld zwischen Datenschutz und der rechtskonformen B2B Lead-Generierung und Kommunikation liefert den Unternehmen immer wieder neue Anforderungen. Es bietet durch neue Datenschutz-Technologien gleichzeitig aber eine stärkere Unterstützung an. Aktuelles zum Themenfeld Data Economy und viele Detailfragen werden regelmäßig vom Bundesverband Digitale Wirtschaft (BVDW) e.V. diskutiert und vermittelt. 

Durch den Skandal um Cambridge Analytica war seinerzeit der unbemerkte Zugriff auf Daten von 87 Millionen Facebook-Nutzern möglich. Aus diesem und auch anderen Gründen will der amerikanische Kongress handeln und den datenschutzrechtlichen Regulierungs-Flickenteppich vereinheitlichen. Bereits im Juni 2018 boxte Kalifornien ein strengeres Datenschutzgesetz durch – ab Januar 2020 soll es mit der Möglichkeit greifen, dass Konsumenten Auskunft über die Erfassung und Verwendung ihrer Daten wie auch die Löschung verlangen können. Andere Staaten wie Washington oder New York planen ähnliche Gesetze. Die General Data Protection Regulation (wie die DSGVO auf Englisch heißt) ist dafür weltweit zum De-facto-Standard geworden. Unter anderem gerade deshalb, weil die strengen Regeln auch für ausländische Firmen gelten, die in Europa tätig sind.

Und unser redaktioneller Newsroom hält Sie hier weiterhin auf dem Laufenden: relevante Fachartikel und Themen-Updates für die Medien-, Daten-, Sales- & Marketing-Branche. Auf Wunsch, wöchentlich oder monatlich per E-Mail.

Themen: datenbasiertes Marketing, Datenanalyse, Database Services, EU-DSGVO, DSGVO, Web Tracking, User Tracking, Datenschutz-Grundverordnung, Datenschutz, Datenintelligenz, Social Media, Intent Scoring, GDPR, Data Mining, Smart Data

Jetzt Downloaden: Whitepaper DSGVO aktuell - Ausgabe 2

Aktuelle Beiträge

DSGVO: Ist Ihre Unternehmensseite bei Facebook noch legal?

read more

Wie Natural Language Understanding Ihren Content automatisiert

read more

SEO- & Content-Strategie: Themen-Cluster

read more