DSGVO – Facebook rechtssicher nutzen

48 Das Thema DSGVO lässt uns gerade alle etwas zappeln und es ist Vieles unklar. Was du im Bezug auf Facebook alles beachten musst, erfährst du hier!

Wichtige Links aus diesem Beitrag:

Disclaimer

Dieser Blog-Beitrag ist keine Rechtsberatung! Ich habe mich intensiv mit der DSGVO auseinander gesetzt, bin allerdings kein Anwalt oder Datenschutz-Experte. Ich kann dementsprechend für die Inhalte in diesem Beitrag keine Haftung übernehmen und nicht sicherstellen, dass die Informationen korrekt sind.

Facebook hat seine Nutzungsbedingungen, die Cookie-Richtlinie und die Datenrichtlinie aktualisiert. Jeder Nutzer konnte entweder zustimmen oder deinen Account auf Facebook löschen. Mit der Zustimmung erklären sich Nutzer damit einverstanden, dass ihre Informationen genutzt werden, um den Newsfeed zu personalisieren, relevante Werbung auszuspielen oder Veranstaltungen vorzuschlagen.

Die DSGVO gibt vor, welche der Daten als sensibler eingestuft werden. Die ZEIT berichtet:

  • „Sensible Daten: Wer Angaben zu seiner politischen Einstellung, seinem Glauben oder seinem Beziehungsstatus gemacht hat, der wird gefragt, ob er oder sie das wirklich so gemeint hat und diese Daten mit anderen Menschen teilen will. Für die Werbung werden diese Merkmale nicht benutzt, sagt Facebook, allerdings zur „Personalisierung von Features und Produkten“. Die Nutzerinnen können dem entweder zustimmen oder die entsprechenden Informationen aus ihrem Profil löschen. Die Möglichkeit, die Angaben im Profil zu behalten und sie nicht mit Facebook zu teilen, gibt es nicht.“
  • Daten von Partnerfirmen: Facebook sammelt Daten nicht nur auf der eigenen Website. Über Like-Buttons und andere Tricks wie Conversion Tracking erfährt die Firma auch, auf welchen anderen Seiten man sich herumtreibt und was man dort zum Beispiel kauft. Diese Datensammelei kann man nicht abstellen, aber man kann verhindern, dass die Daten bei der Präsentation von Anzeigen berücksichtigt werden. „Wenn wir diese Sorte Daten nicht benutzen“, sagt Facebook dem User lapidar, „dann sehen Sie genauso viele Anzeigen, sie sind nur nicht so relevant.“ Die Daten werden weiterhin dafür genutzt, den Newsfeed zu personalisieren. Das lässt sich auch nicht ausstellen.

Die Plattform ist allerdings vorsichtig. „So verschiebt Facebook derzeit die Daten von mehr als 1,5 Milliarden Nutzern von Irland in die USA. Damit will Facebook verhindern, dass Daten von Nutzern unter die neue europäische Datenschutzgrundverordnung fallen, obwohl sie nicht aus Europa stammen. Bislang war Facebook Irland zuständig für alle Nutzer, die nicht aus den USA oder Kanada stammen.“ laut Heise.

Facebook Privatsphäre anpassen (aus Nutzersicht)

Werbepräferenzen bearbeiten

Du kannst direkt auf Facebook deine Werbepräferenzen für Anzeigen auf Facebook bearbeiten.

Deine Daten auf Facebook einsehen

Du kannst auf Facebook deine Daten herunterladen oder auch das Aktivitätenprotokoll einsehen für eine bessere Übersicht deiner Aktivitäten auf Facebook.

Mit diesem Formular kannst du deine Daten verwalten und „Einspruch gegen gewisse Arten der Weiterverarbeitung der persönlichen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) einlegen“.

Gesichtserkennung deaktivieren. Wenn du der Gesichtserkennung zugestimmt hast, gibt es im Nachhinein noch die Möglichkeit diese Zustimmung zu widerrufen unter Einstellungen > Gesichtserkennung. Ich selbst habe diese Funktion deaktiviert.

Welche Rechte und Pflichten habe ich als Facebook-Seitenbetreiber?

Das ist die große Frage. Generell gilt bisher, dass es in der Verantwortung von Facebook liegt wie Daten erhoben werden. Wir als Unternehmer werden erst belangt, wenn wir an der Datensammlung maßgeblich mitwirken. Dann haften wir auch wir! Das geschieht zum Beispiel sobald wir Facebook auf unserer Webseite einbinden (Chat-Funktion, Like-Button oder Kommentar-Funktion wären hier Beispiele).

Im Moment läuft ein Verfahren am EuGH, das klären soll wo die Verantwortung der Unternehmer beginnt (z.B. bereits durch das Erstellen einer Facebook-Seite). Eine Entscheidung gibt es hier noch nicht. (Stand 22.5.2018)

Facebook auf der Webseite rechtssicher einbinden

Generell rate ich davon ab Facebook-eigenen Code in der Webseite einzubinden (z.B. die Like-Box). Du kannst selbstverständlich ganz normal auf deiner Webseite einen Link zu Facebook einbinden. Durch einen Link werden nämlich keine Daten übermittelt.

Facebook-Teilen-Buttons

Die meisten Teilen-Buttons sind nicht zulässig. Zu fast 100% alle die, bei denen man sieht wie oft bereits geteilt wurde. Trotzdem kann man Teilen-Buttons einfügen (aber eben ohne den Social Proof), z.B. mit dem Shariff Plugin für WordPress.

Facebook-Kommentar-Funktion

Facebook-Kommentare einzubinden ist leider nicht DSGVO-konform. Ich würde davon abraten und eine andere Kommentar-Funktion verwenden.

Facebook Custom Audiences für Werbeanzeigen

Facebook stellt uns die Custom Audiences zur Verfügung mit der wir gezielt Kunden oder potenzielle Kunden über Facebook erreichen können. Eine Custom Audience ist eine Zielgruppe, die durch uns definiert wird. z.B. alle Kunden; alle Newsletter-Abonnenten; alle, die unsere Facebook-Videos gesehen haben oder unsere Webseite besucht haben… um nur einige zu nennen.

E-Mail Liste als Custom Audience

Die E-Mail Liste bzw. Kundenliste auf Facebook hochzuladen war schon immer im schwarzen Bereich und nicht zulässig. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

sagt Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.“ (Quelle BayLDA)

Es gibt allerdings die Möglichkeit über eine informierte Einwilligung des Betroffenen die Liste als Custom Audience zu verwenden. Neben der Einwilligung muss man außerdem das Opt-Out anbieten und die Custom Audience schnellstmöglich aktualisieren, wenn sich jemand austrägt. Was genau benötigt wird, siehst du auf der Seite vom BayLDA auf Seite 4.

Fazit: Vorhandene Custom Audiences aus deiner E-Mail-Liste würde ich an deiner Stelle löschen.

Das Facebook-Pixel (Custom Audience)

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auch hierzu eine Entscheidung getroffen. Demnach müssen für die Nutzung des Pixels 3 Bedingungen erfüllt sein:

a) Erweiterter Abgleich deaktivieren. Das geht zum Glück ganz leicht und ist bei den meisten Accounts bereits so voreingestellt. Dafür gehst du in den Werbeanzeigenmanager auf den Reiter Pixel und klickst dort auf den Namen des Pixels. Anschließend klickst du auf Einrichten.

b) Des Weiteren sind folgende Hinweise in der Datenschutzerklärung nötig laut BayLDA:

  • wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook)
  • welches Verfahren zum Einsatz kommt (Produktname),
  • welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
  • für welchen Zweck die Datenverarbeitung erfolgt,
  • dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen und
  • dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

c) Opt-Out Verfahren muss bereitgestellt werden. Wie in der Datenschutzerklärung erwähnt, muss auch technisch das Opt-Out Verfahren angeboten werden. Hierfür gibt es beispielsweise für WordPress das Plugin PixelMate*, das außerdem Google-Analytics und den Cookie-Banner abdeckt.

Fazit: Ich werde das Pixel weiterhin nutzen – allerdings mit dem Plugin PixelMate und ohne den erweiterten Abgleich.

Bei der Nutzung des Facebook Pixels MIT dem erweiterten Abgleich benötigst du eine AV (Auftragsverarbeitung).

Lead Ads

Im Falle der Lead Ads sind Facebook UND der Werbetreibende als Datenverantwortliche anzusehen. Das bedeutet wir als Werbetreibende müssen alle Voraussetzungen erfüllen, die mit der DSGVO gefordert sind. „Das Lead Ads-Produkt bietet Werbetreibenden die Möglichkeit, einen Link auf den Abschnitt ihrer Datenschutzrichtlinien und Nutzungsbedingungen bereitzustellen, der die Erhebung und Verwendung von Nutzerdaten beschreibt.“ (Quelle Facebook) Auch hier darf – wie beim Newsletter – ein Freebie-Download nicht automatisch zur Anmeldung in den Newsletter erfolgen (Kopplungsverbot). Es gelten dieselben Richtlinien wie für die Newsletter-Anmeldung.

Messenger Bots

Auftragsverarbeitung (AV, früher Auftragsdatenverarbeitung) mit ManyChat

Hier kannst du das „Data Processing Agreement“ = AV unterzeichnen. Du benötigst etwa 5 Minuten, um es online auszufüllen und eine unterschriebene Kopie per Mail anzufordern.

ManyChat bietet außerdem neuerdings grundlegende Funktionen an, die für die DSGVO entscheidend sind.

Es ist nun möglich:

  • Nutzerdaten herunterzuladen
  • Einen Nutzer abzumelden
  • alle Daten eines Nutzers zu löschen

WICHTIG: Was genau du beachten muss, wenn du mit dem Messenger-Bot Nachrichten verschickst, erkläre ich in meinem Facebook-Messenger-Bot Kurs. Der Kurs basiert auf ManyChat und ich freue mich daher sehr, dass auch sie der DSGVO entsprechen. Entscheidend ist nämlich vor allem wie DU den Bot nutzt, um dich an die DSGVO zu halten. Es gibt einige wenige wichtige Dinge die du beachten musst. In meinem Kurs hast du eine Schritt für Schritt Anleitung und kannst damit deinen ersten Bot bauen und z.B. Newsletter über den Facebook-Messenger schicken. Bessere Öffnungsraten gibt es nicht 😉

Impressum und Datenschutz im Bot angeben

Auch bei Messenger Bots müssen – wie im Newsletter – Impressum und Datenschutzerklärung bei jeder Nachricht mitgeschickt werden. Theoretisch. Ich löse es so, dass ich in meinem Menü (von ManyChat) beides angegeben habe und in der ersten Willkommens-Nachricht empfehle ich es außerdem zu schicken.

Chat-Plugin auf der Webseite einbinden

Das Chat-Plugin ist eine wunderbare Möglichkeit für Besucher der Webseite mit uns zu interagieren (z.B. Fragen zu stellen) ohne die Webseite verlassen zu müssen. Der Nachteil: Facebook greift durch das Einbinden des Plugins auf unsere Daten zu.

Es gibt trotzdem noch eine Möglichkeit das Plugin zu nutzen laut Rechtsanwalt Dr. Thomas Schwenke durch das Opt-in Verfahren. Das Chat-Fenster darf also nicht direkt nach Besuch der Webseite geladen werden, sondern der Besucher muss es aktivieren (und jederzeit wieder deaktivieren können). Das geht derzeit nur mit einem Drittanbieter. Wie genau das aussehen muss und was du in der Datenschutzerklärung beachten musst, kannst du auf allfacebook nachlesen.

Häufig gestellte Fragen

Benötige ich für Facebook ein Verarbeitungsverzeichnis (VV)?

Du benötigst nur ein VV, wenn du Werbeanzeigen schaltest.

Wo füge ich mein Impressum ein auf der Seite und im Profil?

Auf der Seite UND im Profil würde ich das Impressum unter „Info“ einbinden. Alle Infos dazu findest du in den Videos zu Rechtsthemen und Facebook mit Sabrina Keese-Haufs.

Kann ich in einer persönlichen Nachricht auf Facebook Werbung verschicken?

Wenn du in einer Nachricht unaufgefordert Werbung verschicken möchtest, musst du dir erst das Einverständnis holen. Du könntest also vorher fragen: „hättest du gerne weitere Infos zu meinem Business/Thema?“ Erst dann kannst du beispielsweise einen Link verschicken. Das ist die Theorie.

Wie kann ich auf meiner Seite die Datenschutzerklärung angeben?

In deinem Info-Bereich ist ein Feld, um die Datenschutzerklärung deiner Webseite zu verlinken.

Wie kann ich auf meiner Seite die Datenschutzerklärung angeben ohne eine Webseite?

Du könntest einen Beitrag erstellen auf Facebook mit den Angaben der Datenschutzerklärung und dann im Info-Bereich diesen Beitrag verlinken. Alternativ kannst du eine Notiz auf Facebook erstellen oder öffentlich zugängliches Dokument (z.B. in der cloud) ablegen und verlinken.

Kann ich andere Personen Markieren oder Nennen auf meiner Seite?

Laut Giga ist das weiterhin möglich: „Das Markieren von Personen, das Verlinken und Nennen von Namen der Facebook-Nutzer fällt unter die Nutzungsbedingungen von Facebook. Wer nach dem 25. Mai Facebook weiter nutzen will, muss ihnen zustimmen. Insofern kann sich niemand beschweren, der diesen Regeln zugestimmt hat.

*Affiliate-Links. Durch Klick auf diese Links erhalte ich eine Provision. Ich verwende ausschließlich Affiliate-Links für Produkte, die ich getestet und für gut befunden habe.

Hast du weitere Fragen? Dann stelle diese gerne im Kommentar!

26 Kommentare
  1. Marc sagte:

    Darf ich die Custom Audience aus meiner Kundendatei importieren bei Facebook, wenn das in meiner Datenschutzerklärung steht, der user diese allerdings nicht zwingend bei der Bestellung in meinem Shop bestätigen muss?

    Antworten
  2. Inga Dalhoff sagte:

    Liebe Katrin,

    ganz herzlichen Dank für deinen wundervollen Beitrag! Wo finde ich denn den Auftragsdatenverarbeitungsvertrag bei Facebook?

    Lieben Dank!
    Inga

    Antworten
    • Heike sagte:

      Hallo Inga, diese Frage kann ich dir leider nicht beantworten.
      Liebe Grüße,
      Heike
      (Team Katrin Hill)

      Antworten
  3. Antje sagte:

    Hallo 🙂

    ergänzend zu meinem Kommentar hätte ich noch eine Frage bezüglich des FB-Pixel:

    1. Muss das alles in die Datenschutzerklärung meiner Webseite… die ich ja verlinke auf FB… oder muss ich extra eine erstellen lassen?
    2. Brauche ich das auch alles, wenn ich keine Custom Audience nutze?
    3. „…dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.“
    Wie ist das gemeint bezüglich des Pixel? Wo genau tritt dann dieses Opt-Out-Verfahren ein?

    Vielen Dank für diese tolle Unterstützung durch diesen DSGVO-Dschungel.

    LG Antje Jacobs

    Antworten
  4. Antje sagte:

    Vielen Dank Kathrin. Du gehst immer sehr genau auf die Themen ein. 🙂
    Meine Fragen dazu wären noch:

    1. Was für Nachteile habe ich, wenn ich das Pixel rausnehme bei den Werbeanzeigen?
    2. Brauche ich diesen Vertrage mit ManyChat auch, wenn ich nur ganz normale Messages mit jemand / Kunden austausche?
    3. Ich biete auf meiner Webseite (mit Link von FB) einen Gratis E-Mail Kurs mit Newsletter-Formular an. Geht das jetzt auch nicht mehr?

    Vielen Dank!

    VG Antje Jacobs

    Antworten
  5. Deju sagte:

    Hallo Katrin,
    deine Infos sind schon sehr hilfreich.
    Ich habe allerdings noch Fragen zur Datenschutzerklärung. Ich habe eine Facebook Fanpage für mein Unternehmen und würde gerne wissen, was diese Datenschutzerklärung beinhalten muss? Kannst du mir weiterhelfen?
    Vielen Dank!

    Antworten
    • Heike sagte:

      Hallo Deju,
      die Frage können wir nicht pauschal beantworten. Hierzu holen wir uns auch Unterstützung. Hier sollte dich optimalerweise ein Anwalt beraten.
      Liebe Grüße,
      Heike
      (Team Katrin Hill)

      Antworten
  6. Kathrin sagte:

    Danke für deinen tollen Beitrag! Eine Frage hätte ich noch: „Normales“ Targeting bei den Werbeanzeigen ist ja weiterhin mit den Interessen, Land, Alter,… möglich. Wie sieht es mit einer Custom Audience aus, die ich zB. aus meinen Facebook-Seitenbesuchern oder Interagierenden Personen erstellt habe? Das müsste doch zulässig sein, da sich diese CA innerhalb von Facebook bewegt, oder?

    Antworten
  7. Steffi sagte:

    Hallo Katrin,
    Da WhatsApp ja mit Facebook verbunden.ist, kannst du mir sagen (oder einen Tipp zum Nachlesen geben) was dabei zu beachten ist?
    Manche stimmen sagen „WhatsApp löschen“. Manche.sagen „Zweithandy nutzen“. Manche sagen „alle Kontakte löschen, die kein.whatsapp benutzen“ damit deren Daten nicht von WA gesammelt werden.
    Darf ich dann.vom Handy aus auch keine Kundenmails.mehr.beantworten??? .

    Antworten
  8. Aaron sagte:

    Danke für den Artikel! Brauche ich für Facebook selbst dann ein Verarbeitungsverzeichnis, wenn ich nur mit dem „normalen“ Targeting Werbeanzeigen schalte? Also keine Custom-Audience etc.? Und gilt das auch Rückwirkend oder erst für Werbeanzeigen ab dem 25.05

    Antworten
      • Benjamin sagte:

        Hallo Katrin,

        hast du ein Beispiel, wie eine VV für die Verwendung des FB-Pixels auszusehen hat?
        Ich finde hierzu nicht wirklich etwas zielführendes.
        Ein Link würde mir hier schon weiterhelfen 🙂

        LG

        Antworten
        • Heike sagte:

          Hallo Benjamin, hier können wir dir keine Infos zu geben. Am besten wendest du dich an einen Anwalt, der dir hier 100% Auskunft geben kann.
          Liebe Grüße,
          Heike
          (Team Katrin Hill)

          Antworten
  9. Florian sagte:

    Hallo,
    wenn man eine Facebook-Seite eines Sportvereins betreibt, was muss man neues beachten? Bei den jeweiligen Beiträgen wurden die entsprechenden Personen bisher (meistens mündlich oder per Whatsapp) immer gefragt. Solllte ich nun die alten Beiträge und Fotos sicherheitshalber löschen? Muss ich ggf. auf der Facebook-Seite darauf aufmerksam machen, dass alle entsprechenden Personen die Veröffentlichungen erlauben oder muss ich diese in Zukunft schriftlich fragen und ein Formular als Beleg verwahren? Oder kann ich auch ab dem 25.5 so fortfahren, wie bisher?
    Freue mich über hilfreiche Resonanz.

    Antworten
    • Katrin
      Katrin sagte:

      Ich würde mir immer eine schriftliche Einwilligung einholen, um auf Nummer sicher zu gehen. WhatsApp, E-Mail oder so. Inwieweit das rückwirkend ein Problem werden kann, weiß ich leider nicht.
      Wenn du dir eine Einwilligung holst, würde ich sie für alle relevanten Kanäle einholen.

      Antworten
  10. Kerstin sagte:

    Liebe Katrin,
    wie sieht es aus, wenn man eine Tierschutzseite auf fb hat und dort Spendeneingänge posten möchte. Darf man dann die Spender nicht mehr makieren im Post oder Kommentar? Darf man überhaupt noch irgendjemanden in einem Beitrag auf fb makieren, ohne vorher zu fragen?

    Antworten
  11. Jennifer Brunzlow sagte:

    Danke für dien tollen Bericht..☺️..eine Frage habe ich aber noch…brauch ich als Blogger (rein auf Facebook) auch eine Datenschutzerklärung!? Ich meine nur weil meine Fans ja meine Beiträge kommentieren/teilen und liken können..🤔

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CommentLuv badge