OVG Schleswig: Betreiber von Facebook-Seiten haften nicht für Facebooks Datenschutzverstöße – Rechtliche Stolperfallen im Facebook Marketing Teil 16

Beginnend mit diesem Teil der Beitragsreihe, werde ich mich den Datenschutzfragen beim Facebookmarketing widmen. Es handelt sich um einen Rechtsbereich, der am häufigsten diskutiert wird und am wenigsten zu überblicken ist.

Das beginnt schon bei der ersten Frage, ob man überhaupt eine Facebook-Seite betreiben darf. Bereits im Jahr 2011 erklärte der Datenschutzbeauftragte Thilo Weichert vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein den Betrieb von Facebook-Seiten für datenschutzrechtlich rechtswidrig und verschickte entsprechend Verbotsverfügungen an öffentliche Stellen und Unternehmen.

Nach seiner Ansicht verstößt Facebook gegen die deutschen Datenschutzvorschriften und die Betreiber von Facebook-Seiten sind für die Verstöße mitverantwortlich. Einige Unternehmen wehrten sich dagegen und zogen vor Gericht.

Vorwürfe der Datenschutzbeauftragen

facebook_registrierung

Facebook wird seitens der Datenschutzbehörde eine unerlaubte Nutzung von Nutzerdaten zu Werbezwecken vorgeworfen. Facebook ist zwar vordergründig eine Kommunikationsplattform, das Geschäftsmodell basiert jedoch auf zielgenauer Aussteuerung von Werbung.

Facebook kennt die Interessen, das Verhalten und soziale Beziehungen der eigenen Nutzer sehr genau und bildet diese in dem so genannten „Social Graph“ ab. Unternehmen können auf dieser Grundlage bei Facebook Anzeigeplätze buchen, die zielgerichtet und möglichst frei von Streuverlusten zugeschnitten auf ihre Zielgruppe sind.

Dieses sogenannte „Targeting“ ist den Datenschützern jedoch ein Dorn im Auge. Denn das deutsche Datenschutzrecht verlangt, dass eine personenbezogene Werbung grundsätzlich nur mit Einwilligung der Nutzer erfolgt. Zwar meint Facebook, dass die Nutzer bei der Anmeldung die Datenverwendungsrichtlinien akzeptieren, doch dies halten die Datenschützer für nicht ausreichend.

Nach deren Ansicht lassen die Datenverwendungsrichtlinien nicht hinreichend erkennen, wie die Daten verwendet werden (z. B. müssen Einwilligungen gem. § 4a Abs.1 S.3 BDSG deutlich hervorgehoben sein) und beinhalten Blankoeinwilligungen, mit denen Facebook sich vorbehält, Daten noch für unbekannte Zwecke zu nutzen. Zum anderen müssten Einwilligungen aktiv angegeben, also aktiv per Kontrollkästchen akzeptiert werden. Ebenso müssten die Nutzer dem Targeting widersprechen können, was nicht möglich ist.

Hinzu kommt, dass Facebook auch pseudonyme Daten von Besuchern der Facebook-Seiten erhebt, die keine Facebook-Mitglieder sind. Auch das ist gem. § 15 Abs.3 TMG  nur zulässig, wenn es eine Widerspruchsmöglichkeit gibt, die Facebook nicht bietet.

Doch bisher beschrieb ich, dass Facebook die Daten erhebt. Warum sollen die Seitenbetreiber dafür haften?

Haftung für Datenschutzverstöße von Facebook

Die Insights-Statistiken von Facebook zeigen den Seitenbetreibern keine Nutzerdaten an. Diese kann nur Facebook erkennen, dennoch sollen die Seitenbetreiber für die Datenerhebung mitverantwortlich sein.
Die Insights-Statistiken von Facebook zeigen den Seitenbetreibern keine Nutzerdaten an. Diese kann nur Facebook erkennen, dennoch sollen die Seitenbetreiber für die Datenerhebung mitverantwortlich sein.

Die Mithaftung  verwundert zuerst, denn als Seitenbetreiber bekommen Sie die Daten der Nutzer nicht zu sehen. Die Insights-Statistiken enthalten nur aggregierte Daten ohne jeglichen Personenbezug.

Doch die Datenschützer argumentieren, dass die Betreiber selbst „datenschutzrechtlich verantwortliche Stellen“ gem. § 3 Abs.7 BDSG sind. Denn mit dem Betrieb der Facebook-Seiten eröffnen sie Facebook erst die Möglichkeit, auf die Daten der Nutzer zuzugreifen.

Das sah das Verwaltungsgericht Schleswig-Holstein anders und urteilte gegen die Datenschutzbehörde (Urteile v. 09.10.2013, Az. 8 A 37/128 A 14/ 12 und 8 A 218/11). Diese legte jedoch Berufung ein und scheiterte erneut, diesmal am 04.09.2014 vor dem Oberverwaltungsgericht Schleswig-Holstein.

Das OVG war der Ansicht, dass die Datenschützer sich zuerst gegen Facebook und nicht gegen die Seitenbetreiber wenden müssen. Denn anders als die letztgenannten bestimmt Facebook nicht nur über das „ob“, sondern auch das „wie“  der Datenerhebung. Facebook verarbeitet die Daten ebenfalls nicht im Auftrag der Seitenbetreiber sondern für eigene Geschäftszwecke (das auch, wenn die Seitenbetreiber die Daten mittelbar für eigene Werbezwecke nutzen). Auch seien die Betreiber keine „Störer„, die alleine aufgrund der Kenntnis und Verfügungsmöglichkeit über deren Website haften.

Fazit

Ich begrüße die Entscheidung. Erstens, da die Nutzer entlastet wurden und zweitens, da es nicht eindeutig ist, ob die Datenerhebung durch Facebook rechtswidrig ist.

Allerdings ist es schwer, direkt gegen Facebook vorzugehen, da dessen europäischer Sitz sich in Irland befindet und daher die irischen Datenschutzbehörden zuständig sind (was jedoch auch umstritten ist).

Was den Datenschutz angeht, befinden wir uns derzeit in einer Umbruchphase, in der es immer deutlicher wird, dass die bestehenden Gesetze nicht die Realität und auch nicht die Wünsche der Nutzer widerspiegeln. Ich denke, die Zukunft des Datenschutzes liegt eher in technischen Konzepten und der Erziehung zum bewussten Datenumgang, als in Alleingängen deutscher Behörden.

Solange können wir unsere Facebook-Seiten erst einmal weiter nutzen, sollten aber wachsam bleiben, da die Revision schon vorab angekündigt wurde.

In der Zwischenzeit werden Sie in den nächsten Teilen der Beitragsreihe u. a. erfahren, wie gefährlich die Nutzung des Like– und Sharingbuttons und einzelner Marketingmaßnahmen wie der „Benutzerdefinierten Zielgruppen“ ist.

Hinweis: Die Urteilsgründe sind noch nicht veröffentlicht, die Angaben beruhen auf den Tweets von Sönke E. Schulz und Christian Hoffmann, die beim Prozess zugegen waren (#UldFb).

Bildquelle: Hans-Joerg Nisch / Shutterstock.com

Rechtsanwalt Dr. Thomas Schwenke
Rechtsanwalt Dr. Thomas Schwenkehttps://drschwenke.de
Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen sowie Agenturen im Marketingrecht, und Datenschutzrecht, Vertragsrecht und E-Commerce, ist Datenschutzsachverständiger, zertifizierter Datenschutzbeauftragter sowie Referent, Blogger, Podcaster und Buchautor. Podcast: Rechtsbelehrung, DSGVO-Datenschutzerklärung: Datenschutz-generator.de.

Neueste Artikel

Weekly Newsletter abonnieren. Kostenlos. Jederzeit kündbar!

Ähnliche Artikel

1 Kommentar

  1. Hallo, für einen Verein bin ich dabei, deren Website in Kürze auf WordPress umzustellen und wir würden im Sinne der Arbeitserleichterung dann gern ein Plugin einsetzen, das die Blogbeiträge automatisch auf unserer Facebook-Seite postet. Ist ein solches WordPress-Plugin datenschutzrechtlich mit dem Einsatz eines SocialPlugins von Facebook auf der Website gleichzusetzen oder können wir das entspannter angehen? Danke für einen Tipp! Claudia Siebert

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein