– Gastbeitrag von RA Dr. Thomas Schwenke –
Mit dem Facebook Customer Chat Plugin (Artikel bei Allfacebook), bietet Facebook seinen Messenger als attraktives Kunden-Kommunikations-Tool für Websites und Apps an. Das könnte vor allem für die Chatbots einen Durchbruch bedeuten. Denn nunmehr könnten Sie Fragen der Kunden direkt dort beantworten, wo sie entstehen.
Rechtlich betrachtet ist das Customer Chat Plugin allerdings mit demselben Makel, wie der Like-Button und das Facebook-Pixel behaftet. Es baut beim Aufruf eine Verbindung zu Facebook auf und erlaubt es Facebook die personenbezogenen Daten der Websitebesucher auszulesen. Damit stellt das Plugin ein datenschutzrechtliches Haftungsrisiko dar.
In diesem Beitrag erfahren Sie, wie Sie das Customer Chat Plugin dennoch nutzen können. Am Ende finden Sie die Zusammenfassung in einer Checkliste, doch zuerst beginne ich mit der Darstellung möglicher Risiken.
Facebooks Geschäftsmodell ist Targeting
Facebooks Geschäftsmodell basiert auf der Nutzung von Daten der Mitglieder und anderer Nutzer zu Werbezwecken. Dazu möchte Facebook möglichst viel über die Nutzer erfahren und deren Verhalten, Interessen oder soziale Beziehungen kennenlernen. Davon profitieren wiederum Unternehmen, die mit Facebook-Ads ohne Streuverluste die passenden Werbeempfänger erreichen können.
Gegen diese Art der Direktwerbung ist grundsätzlich nichts zu sagen, sie findet sogar in der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO, Erwägungsgrund 47) Anklang.
Hinweis: Beitrag des Autors zur Vertiefung der rechtlichen Hintergründe: „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies„).
Intransparentes Profiling
Das Problem ist jedoch der Umfang und die Intransparenz dieser als Profiling bezeichneten passgenauen Definition von Nutzern als Zielobjekte von Werbemaßnahmen.
So bemängelte das Bundeskartellamt zuletzt die für Nutzer nicht nachvollziehbaren Sammlung von Daten außerhalb der Facebook-Plattform selbst (Hintergründe im Podcast des Autors). Die Nutzer wüssten nicht, welche Daten, wo, von wem und im welchem Umfang gesammelt werden. Auch die Datenverwendungsrichtlinie von Facebook bietet nach Ansicht des Kartellamtes keine ausriechende Transparenz.
Diese Vorwürfe sind zwar zuerst ein Problem für Facebook. Allerdings werden sie zu Ihrem Problem, wenn Sie an dieser als unzulässig betrachteten Datensammlung maßgeblich mitwirken und damit für sie mithaften.
Haftung für Facebooks (potentielle) Datenschutzverstöße
Bereits 2016 entschied das LG Düsseldorf (Az. 12 O 151/15), dass das Unternehmen Peek & Cloppenburg für Facebooks Datenschutzverstöße durch die Einbindung von Social-Plugins auf der eigenen Website haftet (es ging um das Page– und das Like-Plugin).
Damit schloss sich das Gericht den Ansichten der schleswig-holsteinischen Datenschutzbehörde an, die bereits im Betrieb einer Facebookseite eine Mitverantwortung für Facebooks Datenverarbeitung sah.
Es sieht nicht gut aus, die Mithaftung ist wahrscheinlich
Ohne allzu tief in die rechtlichen Details einzusteigen lautet die Überlegung der Behörde und des Gerichts wie folgt: Wer eine Facebook-Seite betreibt oder ein Social-Plugin auf der Website einbindet, der ermöglicht Facebook überhaupt auf die Daten der Nutzer zuzugreifen. Darin ist ein wesentlicher Beitrag und damit eine Mitverantwortung zumindest in der Phase der Datenerhebung zu sehen.
Ob die Behörde und das LG Düsseldorf mit dieser Recht bekommen werden, wird gerade vor dem Europäischen Gerichtshof (EuGH) verhandelt (Aktenzeichen C‑210/16 und C-40/17). Mit einem ersten Urteil ist in den nächsten Wochen zu rechnen.
Derzeit sieht es leider so aus, dass der EuGH sich für eine Mithaftung entscheiden wird. So lautet zumindest die Empfehlung des Generalanwalts, der dem EuGH Entscheidungen vorschlägt und diese in den meisten Fällen übernommen werden.
Mithaftung auch für das Customer Chat Plugin
Für das Customer Chat Plugin gilt nichts anderes als für die Facebook-Seite und einen Like-Button. Wenn Sie ihn in die Website einbinden und der EuGH die Mithaftung bejaht, sehen Sie sich einer Phalanx an möglichen und kostspieligen Gefahren ausgesetzt:
- Untersagungsverfügungen der Behörden gehören dabei noch zu den milderen Rechtsfolgen.
- Bußgelder können Sie nach der DSGVO ab Mai mit bis zu 4 % des Weltjahresumsatzes des letzten Jahres treffen.
- Abmahnungen können von Mitbewerbern oder klagebefugten Organisationen (wie der vzbv NRW im Fall von Peek & Cloppenburg) kostenpflichtig ausgesprochen werden und zu einer Vertragsstrafe von ca. 5.000 Euro im Wiederholungsfall führen.
- Schmerzensgeldansprüche für Datenschutzverstöße sind neu und werden Abmahnungen auch für Ihre Websitebesucher weitaus attraktiver machen. Hier wird sogar Teil mit dem „Aufblühen“ eines neuen Abmahngeschäfts gerechnet.
Angesichts dieser Risiken rechne ich damit, dass Facebook Maßnahmen ergreifen wird um die Nutzer seiner Produkte nicht zu gefährden. Denn wer möchte schon ein Plugin auf der Website nutzen, wenn er eine hohe Gefahrenquelle darstellt?
Nicht auf Facebook warten – Risiken selbst minimieren
Bevor Facebook tätig wird, sollten Sie jedoch schon heute die Risiken beim Einsatz des Customer-Chat-Plugins mindern. Die Lösung dazu ist bereits als die „2-Klick-Lösung“ für Like-Buttons bekannt.
Dabei handelt es sich um eine sog. „Opt-In-Lösung“, also um eine Einwilligung. Die Websitebesucher werden zuerst darüber aufgeklärt, dass Facebook deren Daten verarbeitet und dies Risiken mit sich bringt. So aufgeklärt, entscheiden sie sich für oder gegen die Nutzung des Customer-Chat-Plugins.
Restrisiken bleiben
Zugegeben, die Wirksamkeit dieser Einwilligung ist umstritten. Sie wird aus folgenden Gründen angezweifelt:
- Generelle Intransparenz – Aufgrund des Umfangs der Datenverarbeitung können Nutzer praktisch nicht nachvollziehen was mit deren Daten passiert und somit keine aufgeklärte und damit freie Entscheidung treffen.
- Unkenntnis des Websitebetreibers – Auch wenn die Nutzer Facebooks Datenverarbeitung vielleicht nachvollziehen könnten, kennen die Websitebetreiber selbst deren Umfang nicht und können dementsprechend die Nutzer nicht hinreichend aufklären.
- Kein wirksamer Widerspruch – Facebook bietet den Nutzern nach Ansicht der Datenschützer keine wirksame Möglichkeit, der Verarbeitung ihrer Daten zu widersprechen. Zwar kann man bei Facebook der Nutzung der Einblendung von verhaltensbezogener Werbung widersprechen, aber nicht dem Sammeln der Daten.
- Minderjährige Nutzer – Die DSGVO führt eine Altersgrenze für Einwilligungen ein, die bei 16 Jahren liegt. Eine Senkung auf bis zu 13 Jahren ist möglich und wurde z.B. in Österreich mit 14 Jahren wahrgenommen. In Deutschland sollten daher Minderjährige ausdrücklich darauf hingewiesen werden, dass sie nicht einwilligen dürfen (ob diese Beschränkung ausreicht, wurde bisher jedoch nicht geklärt).
Sind die Restrisiken vertretbar?
Angesichts der strengen Datenschutzansichten der Datenschutzbehörden im Norden Deutschlands, überraschte die Ansicht der bayerischen Datenschutzbehörde. Sie befand, dass eine Einwilligung in Facebooks Datenverarbeitung zulässig sei (dazu der Beitrag des Autors „Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz„).
Auch das oben genannte LG Düsseldorf erwähnte in seinem Urteil, dass der Like-Button mit der 2-Klick-Lösung hätte eingesetzt werden können (Randnummer 20).
Diese beiden Ansichten sind zwar keine verbindlichen Garantien. Jedoch sind Meinungen von Aufsichtsbehörden und Gerichten in der Praxis Gradmesser für die Risikoeinschätzung.
Daher halte ich auf deren Grundlage die Nutzung des Customer-Chat-Plugins mit einer Opt-In-Lösung derzeit für vertretbar. Dass man (vor allem in Deutschland) alle Datenschützer zufrieden stellt, ist dagegen kaum möglich.
Opt-In-Lösung umsetzen
Der Nachteil der vorgeschlagenen „2-Klick-Lösung“ ist, dass Sie entweder selbst eine technische Lösung programmieren oder auf Drittanbieter ausweichen müssen.
Dabei sollten Sie sowohl eine Opt-In, als auch eine Opt-Out-Möglichkeit anbieten:
- Opt-In: Der Facebook-Code darf erst dann geladen werden, wenn die Nutzer informiert und ausdrücklich, z.B. per Mausklick die Einwilligung erklärt haben.
- Opt-Out: Nutzer müssen deren Entscheidung zumindest für Ihre Website rückgängig machen können. Entweder indem die Einwilligung bei jedem Websiteaufruf neu erklärt werden muss (also Nutzer das Laden des Facebook-Codes jedes Mal bestätigen müssen). Oder beim ersten Opt-In wird ein Cookie angelegt, das durch den Klick auf einen „Opt-Out“-Link in der Datenschutzerklärung gelöscht (d.h. die Einwilligung widerrufen) werden kann.
Die Datenschutzerklärung muss ergänzt werden
Unabhängig für welche Opt-In-Variante Sie sich entscheiden, in jedem Fall müssen Sie die Nutzer über den Einsatz des Customer-Chat-Plugins in der Datenschutzerklärung transparent aufklären.
Transparent bedeutet, dass Sie insbesondere die folgenden Punkte erläutern müssen:
- Die Funktionsweise des Opt-In- und des Opt-Out-Verfahrens.
- Profiling zu Werbe- und Marktforschungszwecken durch Facebook.
- Verweise auf Facebooks Datenschutzerklärung und (empfohlen auch auf Facebooks eigene, auch wenn von Datenschutzbehörden beanstandete Opt-Out-Verfahren).
- Nennung der Rechtsgrundlage auf der die Daten der Nutzer verarbeitet werden (Einwilligung gem. Art. 6 Abs. 1 lit. b., Art. 7 DSGVO).
- Daneben muss die Datenschutzerklärung auch die übrigen Hinweise auf die Betroffenenrechte, Widerspruch, etc. enthalten (Art. 12 Abs. 1 DSGVO).
- Ferner muss auf die Datenschutzerklärung bereits im Einwilligungsprozess, also in unmittelbarer Nähe der Customer-Chat-Plugin-Aktivierung, erwähnt werden.
Bitte auch an die Chatbots denken
Die vorstehenden Ausführungen betreffen nur das Customer-Chat-Plugins selbst. Die Datenverarbeitung, die im Chatbot selbst stattfindet, muss gesondert geprüft und in der Datenschutzerklärung erläutert werden.
Damit meine ich insbesondere Chatbots, bei deren Einsatz auch eine Reihe an Pflichten beachtet werden muss. Da diese Komplex den Rahmen dieses Beitrags sprengen würde, nenne ich nur in aller Kürze die wesentlichen Punkte:
- Opt-In und Opt-Out: Wenn der Bot Nutzern von sich aus Nachrichten zusenden soll, bedarf dies eines gesonderten Opt-Ins mit Opt-Out-Möglichkeit.
- Impressum und Datenschutzerklärung: Da der Bot z.B. auch ohne Bezug zu Ihrer Website oder Facebook-Seite in der Facebook-Messenger-App aufgerufen werden kann, muss er ein Impressum und eine Datenschutzerklärung enthalten.
- Verträge mit Bot-Dienstleistern: Werden Frame-Works oder Bot-Plattformen von Drittanbietern eingesetzt und dabei Nutzerdaten an diese transferiert, müssen mit den Drittanbietern spezielle Auftragsverarbeitungs-Verträge geschlossen werden. Befinden sich die Anbieter im EU-Ausland, müssen diese besondere Garantien bieten (z.B. Privacy-Shield bei US-Anbietern).
- Privacy by Design: Ohnehin müssen Sie die Grundsätze der Datenminimierung und Privacy by Design beachten und z.B. Eingaben der Nutzer vor deren Einsatz für Zwecke des Machine-Learnings (bei KI-gestützten Bots) von personenbezogenen Daten wie Namen, Facebook-IDs oder IP-Adressen bereinigen.
- Haftung für Bots: Hinzu kommen mögliche Haftungsfragen, wenn Bots Auskünfte erteilen oder gar Verträge schließen sollen.
Checkliste
Zusammenfassend müssen Sie beim Einsatz des Customer-Chat-Plugins auf Ihrer Website die folgenden Punkte beachten:
- Der Customer-Chat-Plugin-Code sollte nicht automatisch beim Aufruf geladen werden.
- Nutzer sollten um Einwilligung (Opt-In) gebeten werden („2-Klick-Regel“).
- Die Nutzer müssen bereits im Rahmen des Opt-Ins auf Detailangaben in der Datenschutzerklärung verwiesen werden.
- Die Einwilligung darf in einem Cookie gespeichert werden, solange Nutzern ein Opt-Out-Link angeboten wird.
- Wird ein Chatbot eingesetzt, muss neben einem Impressumshinweis, dessen Datenverarbeitung gesondert geprüft und in der Datenschutzerklärung erläutert werden.
Fazit
Der Einsatz des Facebook Messengers in Form des Customer-Chat-Plugins ist mit derzeit vertretbaren Restrisiken möglich. Eine vollständige Rechtssicherheit werden Sie dabei aufgrund der vielen Unwägbarkeiten rechtlicher und technischer Natur zwar nicht erreichen. Dass das gilt praktisch immer beim Einsatz neuartiger Technologien.
Umso wichtiger ist es, dass Sie über ein Grundwissen im Datenschutzrecht verfügen. Nur so können Sie die ständigen Änderungen, die sich aus ihnen ergebenden Risiken und den Anpassungsbedarf einschätzen.
Workshop- & Konferenz-Tipp
Diese Grundlagen vermittele ich Ihnen regelmäßig auf der AllFacebook Konferenz und gesondert in Workshops (München und Berlin).
Als Startpunkt für die DSGVO empfehle ich Ihnen zudem mein DSGVO-Guide für Unternehmen, bei dem es mir vor allem wichtig war die kommenden Änderungen verständlich zu erklären.
Danke für diesen Beitrag – sehr aufschlussreich. Ich hab mir letztens überlegt, wie ich damit umgehen und mich dann dazu entschlossen, statt des FB Chats eine selbstgehostete Lösung einzubauen. Derzeit versuch ich gerade, den Programmierer dazu zu überreden, eine Opt-In Checkbox für die Datenspeicherung einzubauen. Außerhalb von Europa ist das Interesse an GDPR ja sehr begrenzt – viele haben noch nie davon gehört.
Wie kann es sein, dass einerseits die EU den Anschluß an digitale Welten nicht verpassen will und auch gerade Deutschland aufgrund seiner Exportlastigkeit nicht verpassen darf und andererseits nicht nur für neue Techniken im Internet derart große rechtliche Hürden aufgebaut werden, dass man auf das vor Internet Niveau zurückfällt und viele StartUps wieder schließen können?