Skip to main content

Social Media Aktivitäten, Facebook Pixel und die DSGVO – wie passt das noch zusammen?

Im Mai ist es soweit – die neue Datenschutz-Grundverordnung, kurz DSGVO, ist gültig.Bereits vor zwei Jahren begann die Übergangsfrist vom bisherigen Bundesdatenschutzgesetz, ab dem 25. Mai wird die neue Datenschutz Grundverordnung angewendet. Das einheitliche Datenschutzgesetz für alle EU-Mitgliedsstaaten verursacht Verunsicherung bei vielen Unternehmen. Viele Vorgaben müssen nun umgesetzt und eingehalten werden. Daher gleich zu Beginn: wir raten euch, einen Rechtsanwalt zu konsultieren. Denn jedes Unternehmen muss andere Vorgaben erfüllen und es gibt ganz einfach keine Pauschalantworten. Dieser Beitrag ist keine Rechtsberatung, sondern soll euch eher als Orientierungshilfe für den Bereich Social Media dienen.

Hohe Strafen für die Verarbeitung von personenbezogenen Daten

Eine große und vor allem schmerzhafte Neuerung bei der DSGVO sind die zu erwartenden Bußgelder bei Nichteinhaltung. Diese erhöhen sich auf bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Neu ist auch, dass nicht nur die geschädigte Person abmahnen kann, sondern jeder Betroffene. Das bedeutet, Wettbewerber oder Verbraucherschützer haben jetzt auch das Recht dazu. Das heißt, die Unternehmen haben nun die Nachweispflicht, was sie mit den personenbezogenen Daten machen.

Die DSGVO kommt nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Nicht nur Name, Telefonnummer oder E-Mail-Adressen, sondern auch IP-Adressen, Cookies oder andere digitale Fingerprints. Als Verarbeitung wird unter anderem das Speichern, Auswerten oder auch die Gewährung einer Zugriffsanfrage durch Dritte gewertet.

Die DSGVO gilt für alle Unternehmen in der EU. Zum Beispiel auch für Facebook oder WhatsApp. Denn auch wenn die Unternehmen nicht in Europa sitzen, verarbeiten sie personenbezogene Daten von EU Bürgern.

Das große ABER – gesetzliche Erlaubnis oder Einwilligung

Laut DSGVO ist die Verarbeitung von Daten verboten. Das war auch bisher beim Bundesdatenschutzgesetzt, kurz BDSG, schon so. Doch die Nicht-Verarbeitung ist unmöglich. Daher können weiterhin Daten verarbeitet werden, allerdings nur mit einer gesetzlichen Erlaubnis oder Einwilligung. Mindestens einer der nachfolgenden Bedingungen muss dabei erfüllt werden (Art. 6 Abs 1 DSGVO):

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Berechtigtes Interesse = Direktmarketing?

Als berechtigtes Interesse (Art. 6 Abs 1 lit. f. DSGVO) werden unter anderem auch Marketing Maßnahmen angesehen. Dabei darf das wirtschaftliche Interesse nicht dem schutzwürdigen Interesse des Nutzers überwiegen. Wie diese beiden Interessen dann tatsächlich gewichtet werden, ist pauschal nicht zu sagen. Dennoch sprechen einige Aspekte dafür, dass das berechtigte Interesse am Onlinemarketing die Schutzinteressen der Nutzer überwiegt. Zumindest unter den folgenden Umständen könnte das so ausgelegt werden:

  • wenn die Maßnahmen erwartbar sind
  • wenn die Nutzer ausführlich und transparent über den Datenschutz aufgeklärt werden
  • wenn keine spezifischen Daten wie Name oder IP-Adresse verarbeitet werden
  • wenn es eine Widerspruchsoption für die Datenverarbeitung gibt
  • wenn es nur eine geringe Beeinträchtigung der Nutzer ist

Wie diese Aspekte dann aber tatsächlich gewertet werden, wird sich erst im Einzelfall zeigen. Das geht nicht aus der DSGVO hervor.

Facebook Pixel und die DSGVO

Facebook Pixel und die DSGVO

Anwälte gehen davon aus, dass die Nutzung des Facebook Pixel ebenfalls ein berechtigteres Interesse darstellt und die Nutzer mit dieser Art der Datenverarbeitung rechnen könnten. Doch diese Annahmen bieten einen großen Streitpunkt.

Datenschutzkonform ließe sich der Facebook Pixel nur mit einer Opt-Out Funktion nutzen. Hier bietet Facebook jedoch noch keine Lösung und Webseitenbetreiber müssten diese selber programmieren. Das ist jedoch risikoreich. Das Problem dabei ist, dass der Facebook Pixel die Daten trackt, sobald man eine Webseite aufruft und nicht erst, wenn man der Datenübertragung an Facebook zustimmt bzw. widerspricht. Es müsste also, bevor die Daten gespeichert werden, ein aktiver Widerspruch (Opt-Out) erfolgen. Zum Beispiel über eine Seite die vorgeschaltet wird und den Nutzer erst nach einer Einwilligung auf die eigentliche Webseite mit dem Facebook Pixel leitet. Der Einsatz vom Facebook Pixel und die DSGVO sind also nicht so einfach unter einen Hut zu bringen.

Ein Hinweis in der Datenschutzerklärung über den Facebook Pixel reicht nicht aus. Nichtsdestotrotz darf dieser auf keinen Fall fehlen, wenn der Facebook Pixel genutzt wird. Außerdem sind Custom Audiences, die auf E-Mail-Adressen beruhen, nicht datenschutzkonform. Es sei denn, hier wird vorab eine zusätzliche Einwilligung (Opt-In) eingeholt.

Chat Bots im Messenger datenkonform nutzen

Viele Unternehmen nutzen mittlerweile Chat Bots für den Facebook Messenger. Auch diese müssen nun datenschutzkonform angelegt werden. So ist unter anderem bei Newslettern, die per Messenger versendet werden, ein Opt-In mit Widerrufshinweis nötig. Außerdem müssen bei einer Nachricht das Impressum und die Datenschutzerklärung sichtbar sein. Hier soll es möglich sein, das über eine Verlinkung zu lösen. Wie bei anderen Drittanbietern auch, sollte ein Auftragsverarbeitungsvertrag und wenn möglich eine zusätzliche Garantie für Drittländer eingeholt werden. Im Auftragsverarbeitungsvertrag werden die Rechte, Pflichten und Maßnahmen zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) geklärt.

Sollte das neue Facebook Customer Chat Plugin auf der Webseite eingebunden sein, dann muss die Einbindung mit der 2-Klick-Lösung erfolgen. Das heißt, es werden erst Daten verarbeitet, wenn der Nutzer aktiv der Kommunikation per Messenger zustimmt. Danach wird der Chat-Button aktiviert und eine Verbindung hergestellt. Zudem sollte es eine Widerrufsmöglichkeit (Opt-Out) geben. Gleiches gilt übrigens auch für andere Social Plugins wie z. B. den Like Button.

Dennoch ist auch dieses Verfahren risikoreich. So könnten auch minderjährige Nutzer dieser Datenverarbeitung zustimmen, obwohl die Altersgrenze für solch eine Einwilligung bei 16 Jahren liegt. Außerdem herrscht keine Transparenz, was genau mit den Daten passiert. Dennoch sollte bei der Nutzung des Plugins auch hier der Hinweis in der Datenschutzerklärung und ein Auftragsverarbeitungsvertrag mit dem Messenger-Anbieter nicht fehlen.

WhatsApp ohne Einwilligung nun rechtswidrig

Immer mehr Unternehmen nutzen WhatsApp, um mit ihren Kunden zu kommunizieren. Das ist aber ohne Einwilligung eindeutig rechtswidrig. Daher müsste diese im ersten Schritt zunächst einmal eingeholt werden. Zudem ist auch hier der Hinweis auf die Datenschutzerklärung so schnell wie möglich von Nöten.

Einwilligung als letzten Schritt nutzen

Eine Einwilligung, egal für welche Form der Datenverarbeitung, sollte die letzte Wahl sein. Denn die gesetzlichen Erlaubnisse sind festgelegt, eine Einwilligung hingegen muss auch datenschutzkonform gestaltet werden. Und hier lauern weitere Tücken für Unternehmer. So muss beispielsweise die einwilligungsfähige Person mindestens 16 Jahre alt sein, die Abgabe muss freiwillige erfolgen oder es darf keine unmissverständliche Erklärung geben.

Zwei Ausnahmen gibt es bei der Einwilligung jedoch. Sowohl beim E-Mail-Marketing als auch bei besonderen Datenkategorien ist eine Einwilligung gesetzlich vorgeschrieben.

Die DSGVO ist sehr umfangreich und sollte in ihrer Fülle auch beachtet und vor allem umgesetzt werden. Dieser Blogbeitrag zeigt nur einen kleinen Auszug aus den neuen Bestimmungen. Lasst daher eure gesamten Maßnahmen zum Datenschutz rechtlich prüfen, um hohe Bußgelder zu vermeiden.



Ähnliche Beiträge


Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*
*

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.