Datenschutzprobleme mit Facebook Seiten

Aufgrund von Urteilen wurde bekannt, dass Facebook Seiten nicht rechtssicher betrieben werden können. Die Gründe: Die DSGVO fordert eine Einwilligung für das Tracking von Nutzerverhalten bzw. eine (einfach zugängliche) Abwahlmöglichkeit für jegliche Analysevorgänge und generell eine Information des Nutzers über Datenverarbeitungsvorgänge.

All das ist auf Facebook Seiten nicht möglich, da das Tracking-Tool Facebook Insights immer aktiv ist, nicht deaktiviert werden kann und der Nutzer vom jeweiligen Seitenbetreiber nicht adäquat informiert werden kann, geschweige denn um seine Einwilligung gebeten oder eine geeignete Abwahlmöglichkeit gegeben wird.

Facebook selbst ist übrigens der Ansicht, dass ein Nutzer, der Inhalte ausschließich mit seinen Facebook-Freunden teilt, sein Recht auf Privatsphäre verwirkt. Siehe hierzu das Transkript eines Gerichtstermins in kalifornien vom 29. Mai 2019, ab S. 4 unten.

Auf S. 6 fragt der Richter die Facebook-Anwälte zu dem Fall, wenn ein Facebook-Nutzer ein Foto (mit entsprechenden bewußt vorgenommenen) Privatheitseinstellungen so teilt, dass es ausdrücklich nur seine 100 Freunde sehen können/dürfen. Facebooks Anwalt Mr. Snyder antwortet auf S. 7, dass dieses Teilen nur unter Freunden ein sozialer Akt sei, mit dem jegliches Recht auf Privatheit erloschen sei.

Soviel zur Rechtsauffassung von Facebook, die auf S. 34 in einem Satz zusammengefasst wird:

There is no expectation of privacy

Quelle: Aussage von Facebook-Anwalt Mr. Snyer im Gerichtsverfahren gegen Facebook, siehe S. 34: www.documentcloud.org/documents/6153329-05-29-2019-Facebook-Inc-Consumer-Privacy.html

Außerdem haben deutsche Datenschutzbehörden angekündigt, gegen deutsche Unternehmen vorzugehen, die Facebook Seiten betreiben. Auf diesem Wege wollen die Behörden Facebook zum Einlenken zwingen. Die irische Behörde wäre für Facebook mit Sitz in Dublin zuständig, will es sich aber anscheinend nicht mit diesem wichtigen Unternehmen und Steuerzahler verderben.

Dies scheint auch Ulrich Kerber, der Bundesdatenschutzbeaufragte so zu sehen und sieht einen Streit mit Irland als notwendig.

Rechtliche Hintergründe

Die Datenschutzkonferenz vertritt bereits seit dem 5. September 2018 die Auffassung, dass Facebook Fanpages kritisch zu beurteilen sind.

Tracking ist nur nach voriger Einwilligung durch den Nutzer erlaubt. Das ist schon seit dem 25.05.2018 Konsens. Siehe hierzu beispielsweise das Positionspapier der Datenschutzkonferenz. Auf S. 20 heißt es dort etwa:

Verarbeitung personenbezogener Daten
„Werden personenbezogene Daten verarbeitet, die Rückschlüsse auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO zulassen, bedarf es in jedem Fall einer Einwilligung“.

Seit dem Urteil des EuGH vom 01.10.2019 ist es Gewissheit, dass Tracking Cookies nur nach voriger Einwilligung zulässig sind. Auch für Tracking ohne Cookies gilt diese Vorschrift, weil Tracking ohne Cookies ebenso möglich ist.

Seit dem 25.05.2018 gilt, dass für Analyse- und Tracking-Aktivitäten eine einfache Abwahlmöglichkeit für den Nutzer geschaffen werden muss.

Beide Vorgaben, die Einwilligungsabfrage und auch die Abwahlmöglichkeit, können auf Facebook Unternehmensseiten (Fan Pages) NICHT realisiert werden. Der Grund: Facebook bietet diese Möglichkeiten nicht an.

Zusätzlich wird zwangsweise für jede Facebook Fan Page das Facebook Tracking Tool namens Facebook Insights geladen und verfolgt alle Nutzeraktivitäten auf der Fan Page, aber auch darüber hinaus.

Weiterhin findet ein Tracking angenmeldeter Facebook Nutzer mit Hilfe zweier Google Werbetools statt (für die es immerhin eine versteckte Abwahlmöglichkeit gibt).

Anhand dieser Tatsachen kann man die Rechtswidrigkeit von Facebook Fan Pages ableiten. Siehe auch das EuGH-Urteil zu Facebook Fan Pages, wonach der Seitenbetreiber zusammen mit Facebook haftet.

Wer von einer Datenschutzbehörde wegen seiner Facebook Fan Page kontaktiert wird, ist von der Firma Facebook verpflichtet, innerhalb von 7 Tagen nach Kontaktaufnahme alle relevanten Informationen an Facebook weiterzuleiten:

Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten.

Quelle: https://www.facebook.com/legal/terms/page_controller_addendum

Die Nutzereinwilligung auf Facebook

Ob ein Nutzer in eine Datenerhebung (Tracking) eingewilligt hat oder nicht, hängt zunächst davon ab, ob er auf Facebook registriert und zugleich angemeldet ist, wenn er eine Facebook Fan Page besucht.

Unangemeldeter Nutzer

Der erste Fall ist, wenn der Nutzer nicht bei Facebook angemeldet ist. Entweder, weil er sich irgendwann zuvor ausgeloggt hat oder weil er gar kein Konto bei Facebook hat.

Eine Einwilligung kann also nicht über eine Registrierung erfolgt sein.

Dennoch ist es möglich, beliebige (öffentliche) Unternehmensseiten zu öffnen. Dabei werden allerdings nicht die bei angemeldeten Nutzern geladenen Tracking-Tools von Google geladen (s.u.). Facebook selbst stellt über einen Link beim Besuch einer Facebook Seite „Informationen zu Daten für Seiten-Insights“ zur Verfügung. Dort heißt es:

Wenn du Facebook-Produkte wie u. a. Seiten nutzt, erfasst und verwendet Facebook die in der Facebook- Datenrichtlinie unter „Welche Arten von Informationen erfassen wir?“ beschriebenen Informationen

Quelle: https://www.facebook.com/legal/terms/information_about_page_insights_data

In der verlinkten Datenrichtlinie sind dann zahlreiche Informationen genannt, die vom Nutzer erfasst werden, u.a. Geräteinformationen.

Hier liegt ein Tracking vor, weil ein Nutzer über mehrere Seiten hinweg nachverfolgt wird. Es sind mehrere Seiten i.S.v. Webseiten, weil einzelne Unternehmensseiten auf Facebook eigenständige Einheiten sind und weil Facebook darüber hinaus über sein Social Media Plugin, den Facebook Pixel und Facebook Connect Nutzer über Drittwebseiten hinweg nachverfolgt.

Auf den Facebook Fan Pages fehlt die vorige Einwilligungsabfrage, ebenso fehlt eine Abwahlmöglichkeit. Die Abwahlmöglichkeit ist, zumindest scheinbar, unter dem Link „Facebook-Einstellungen“ nur für angemeldete Facebook Nutzer zugänglich.

Angemeldeter Nutzer

Als angemeldeter Nutzer hat man möglicherweise durch die Registrierung in die Verwendung von Facebook Insights eingewilligt. Wir wollen diese Frage hier nicht thematisieren, weil sie einerseits irrelevant ist (siehe oben: Die Verwendung von Facebook Insights ist aus anderen Gründen rechtswidrig) und weil sie andererseits erst nach längerer Recheche zu beantworten wäre. Wir tragen dies nach, sobald weitere Erkenntnisse hierzu vorliegen.

Für eine Abwahlmöglichkeit (Opt-Out) besuchten wir die in der Datenrichtlinie genannten Facebook Einstellungen. Diese zu erreichen, war nach drei Klicks möglich. In diesen Einstellungen finden man allerdings keine Abwahlmöglichkeit für Facebook Insights, sondern kann nur auswählen, Werbung aufgrund bestimmter Kriterien nicht mehr zu erhalten:

Werbeeinstellungen für Facebook-Nutzer

Aus Erfahrung können wir behaupten, dass Facebook dennoch zahlreiche Werbeeinblendungen im News Feed in Facebook Konten mit deaktivierten Einstellungen einblendet. Unabhängig davon ist eine Abwahl von Facebook Insights hier nicht möglich.

Tracking außerhalb von Fan Pages

Viele Webseitenbetreiber binden das Social Media Plugin von Facebook ein. Dabei wird Facebook Connect, ein Tracking Tool von Facebook geladen. Dies ist ohne vorige Einwilligung des Nutzers unzulässig. Siehe hierzu das Urteil des Europäischen Gerichtshofs.

Ferner bindet Facebook auf seinen eigenen Informationsseiten seinen Tracker Facebook Connect ein, etwa hier. Dort wird zusätzlich ein zweiter Tracker von Google geladen.

Insbesondere im Online-Marketing Bereich wird von Webseitenbetreibern der sogenannte Facebook Pixel eingesetzt. Mit diesem kann sogar gemessen wie lange ein Nutzer auf einer Seite verweilte und wie viel er scrollte. Auch der Facebook Pixel bedarf einer Einwilligung durch den Nutzer, bevor er überhaupt geladen werden darf. Siehe hierzu das o.g. EuGH-Urteil, die Stellungnahme der DSK zum Thema Erhebung personenbezogener Daten sowie Analyse-Pixeln (ab S. 20), oder auch das Urteil des LG Dresden zu Google Analytics, welches ähnlich wie der Facebook Pixel arbeitet.

Facebook Insights

Ein Einblick in die Datenerhebung zu geben, die mit Facebook Insights stattfindet, wird folgend gegeben.

Allgemeine Informationen von Facebook selbst für Facebook Insights finden Sie hier:

https://www.facebook.com/business/learn/facebook-audience-insights

Wenn Sie bei Facebook mit Ihrem Fan Page Profil abgemeldet sind, führt folgender Link (der von voriger Seite aus erreichbar ist) zu den „Einsichten“ über Ihre Seitennutzer:

https://www.facebook.com/ads/audience-insights/

Die erste Wahl, die Facebook Insights gibt, lautet, ob man an allen Facebook-Nutzern interessiert ist oder nur mit den Nutzern, die mit der eigenen Seite verbunden sind.

Die direkt angezeigten Tracking-Daten sind hier dargestellt, um das Ausmaß der Analysetätigkeit von Facebook zu demonstrieren. Wir haben in diesen beispielhaften Screenshots, die echte Facebook-Daten zeigen, als Land die USA gewählt, um nicht über deutsche Bürger berichten zu müssen. Die Landesauswahl erlaubt Facebook Insights in beliebiger Form. Sogar die Selektion von Facebook-Nutzern nach Lebensereignissen oder politischer Gesinnung ist möglich.

Auswertemöglichkeiten mit Facebook Insights

Hier sieht man sehr schön, welche Selektionsmöglichkeiten es bereits auf recht abstrakter Ebene gibt.

Weitere Selektionsmöglichkeiten für Werbeanzeigen.

Der Filter, den das Facebook Analysewerkzeug anbietet, stellt allerdings einige weitere Möglichkeiten zur Verfügung:

Der mächtige Filter für Facebook-Analysen

Unter dem Menüpunkt »Erweitert« gelangt man sogar zur Auswahl der Lebensereignisse einzelner Personen:

Filtern von potentiellen Werbekunden nach Lebensereignissen.

Wer schon einmal von Cambridge Analytica gehört hat, kommt mit folgendem Angebot von Facebook möglicherweise eher darauf, wie die US-Präsidentschaftswahl damals beeinflusst wurde:

Der Politik-Filter, geeignet zu Beeinflussung von Wahlen durch gezielte Werbebotschaften.

Auch ohne tiefe Kenntnis der Datenschutzgesetze könnte man auf die Idee kommen, dass eine derartige Datenausbeute nicht in jedem Fall erlaubt ist.

Konsequenzen

Entscheiden Sie für Ihre Firma oder Organisation selbst, ob Sie Facebook für fragwürdige Datenerhebungen nutzen möchten:

Hat Ihre Facebook Fan Page für Ihr Unternehmen einen wirklichen Nutzen? Wie hoch ist Ihr Aufwand zur Pflege der Fan Page? Wenn Sie keinen weentlichen Nutzen haben, deaktivieren Sie die FB Page. Das können Sie auf Facebook in den Einstellungen tun. Sobald sich Facebook entschließt, den Datenschutz ernst zu nehmen, können Sie Ihre Unternehmensseite auf Facebook wieder aktivieren. Ihre Inhalte gehen also durch die Deaktivierung nicht verloren, sondern sind nur unsichtbar geschaltet.

Sichern Sie Ihre Facebook Seite so gut ab, wie es geht. Wie das funktioniert, erfahren Sie in unserem eBook.

Wir raten allerdings momentan (Stand Oktober 2019) dazu, Ihre Facebook Seite zu deaktivieren. Kontaktieren Sie uns bitte, wenn Sie einer der wenigen sind, der wirklich einen relevanten Nutzen von seiner Facebook Seite hat und diesen Nutzen auf anderem Wege nicht erreichen kann.

Siehe auch unser eBook zum Datenschutz auf Facebook Fan Pages für weitere Informationen zum Thema Datenschutz für dieses soziale Netzwerk.

2019-10-16T16:22:17+02:00