Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Facebook Fanpages immer noch rechtswidrig und ohne echten Datenschutz, dafür auf Profit für Meta optimiert

5

Laut Gutachten der Datenschutzkonferenz von Bund und Ländern (DSK) sind Facebook Fanpages (oder Facebook Unternehmensseiten) rechtswidrig. Öffentliche Betreiber solcher Facebook Seiten müssen den Betrieb einstellen, sofern sie die Rechtmäßigkeit nicht überraschenderweise irgendwie nachweisen können.

Die DSK widmet sich in einem Gutachten den Fanpages auf Facebook. Insbesondere geht sie auf die Verantwortlichkeit von öffentlichen Stellen für deren Fanpages ein.

Was für öffentliche Stellen als besondere Vorbilder gilt, gilt in diesem Fall auch für alle anderen, nämlich für jedes Unternehmen und jede Privatperson. Wer eine Facebook Fanpage betreibt, muss wissen, ob dies rechtskonform ist oder nicht. Kann die Rechtmäßigkeit nicht plausibel gemacht werden, darf die Fanpage bei Facebook nicht betrieben werden.

Eine Facebook Fanpage ist eine Art Mini-Webseite, die ein Unternehmen oder eine Einzelperson mit eigenen Inhalten betreiben kann. Wenn Unternehmen solch Fanpages betreiben, spricht man auch von Facebook Unternehmensseiten oder einer Unternehmenspräsenz.

Wer sich die Mühe sparen und Ärger vermeiden will, für den gibt es hier eine Abkürzung:

Mein Leben ist so viel produktiver, seit ich von der Verblödungsplattform namens Facebook verschwunden bin. Für Unternehmer lohnt sich Facebook meist sowieso nicht. Was für manche im Privaten nützlich erscheint, etwa Tierhilfegruppen, könnte auch anderswo stattfinden. Am besten aber nicht auf Facebook, einem profitgetriebenen Unternehmen ohne jegliche soziale Verantwortung, wie ich finde. Dass die Amerikaner gerne alles aus Europa mitlesen, dürfte kein Geheimnis mehr sein.

Das stundenlange Scrollen durch den Facebook News Feed, ob partiell nützlich oder nicht, sorgt jedenfalls an sich schon für schlechtere Augen, weniger Bewegung und somit für maximale Degeneration. Facebook setzt dem Nutzer die Inhalte vor, die der Nutzer am ehesten liest. Und das sind laut Facebook, soweit ich gelesen habe, polarisierende oder die eigene Meinung verstärkende Inhalte. Wer schon mal Kommentarschlachten unterhalb von Beiträgen erlebt hat, weiß: Auf Faceblöd kann eine vernünftige Diskussion nicht zustande kommen.

Wer Facebook immer noch gut findet, sollt sich die Aussage der Whistleblowerin Frances Haugen, einer ehemaligen Facebook-Mitarbeiterin vor dem Deutschen Bundestag am 06.05.2022 ansehen.

Sie hatte zu Facebook im Rahmen des Digital Service Act (DSA) ausgesagt. Frau Haugen arbeitete auch bei Google und Yelp, bevor sie zu Facebook kam. Sie verließ Facebook, weil sie die Profitgier des Konzerns zulasten der Rechte der Nutzer nicht ertragen konnte. Sie spricht auch von Informationskrieg, der durch Plattformen wie Facebook begünstigt wird. Laut ihrer Aussage kennt Facebook zahlreiche Möglichkeiten, Desinformationen und Falschinformationen zu unterbinden. Diese Möglichkeiten möchte Faceblöd aber nicht einsetzen, weil dann der Gewinn darunter leiden würde. Lieber Menschen verachten als Profit. Vor allem, wenn sie nicht in englischer Sprache kommunizieren. Laut Frau Haugen hat Facebook 87% des Aufwands für die Sicherstellung einer angemessenen Sprache für englische Texte betrieben, und sehr wenig für andere Sprachen (Russisch, Deutsch, Spanisch, Chinesisch und was es sonst noch so an unbedeutenden Sprachen gibt).

Die DSK hat ein Gutachten erstellt, wonach Facebook Fanpages rechtswidrig sind. Das Gutachten ist als Kurzgutachten gekennzeichnet. Es trägt den Titel „Kurzgutachten zur datenschutzrechtlichen Konformität
des Betriebs von Facebook‐Fanpages“.

Exkurs Kurzgutachten: Soweit ich weiß, gibt es kein Kurzgutachten. Entweder handelt es sich um ein Gutachten oder nicht. Ein Gutachten, egal ob es als Kurzgutachten bezeichnet wird oder nicht, muss die strengen Anforderungen an ein Gutachten erfüllen. Durch eine Änderung der Bezeichnung kann diese Verantwortung nicht abgeschoben werden. Ich würde also empfehlen, den Begriff „Kurzgutachten“ zu vermeiden. Er ist genauso unsinnig wie der Disclaimer im Impressum.

Das Dokument zum Gutachten datiert auf den 18. März 2022. Hauptaugenmerk ist die Speicherung von Informationen in der Endeinrichtung von Nutzern und der Zugriff auf diese Informationen. Ebenso werden Folgeverarbeitungen, die auf Cookies basieren, untersucht.

Exkurs Gendern: Ich verzichte hier auf die Genderisierung und Verunstaltung der Sprache, die im DSK Gutachten leider Einzug erhielt. Dafür spreche ich auch weiterhin „nur“ von „Mördern“ anstatt von “Mördern und Mörderinnen“ oder gar von „Möderinnen und Mördern“ (meine Rechtschreibprüfung kennt nicht mal den Begriff der Mörderin. Jetzt aber schon, denn ich habe den Begriff zum online allgemein verfügbaren Wörterbuch der Korrekturhilfe hinzugefügt). Auch akzeptiere ich dafür, dass viele weiterhin hemmungslos von „Krankenschwestern“ sprechen anstatt von „Krankenpflegern oder -innen“. Hoffentlich wird bei der Wiedereinführung der Wehrpflicht an alle Geschlechter gedacht (ja, ich war bei der Bundeswehr und habe mich nicht der Wehrpflicht verweigert).

Auswertung des Gutachtens

Auf Seite 5 des DSK-Gutachtens werden Cookies genannt, die beim Besuch von Fanpages gesetzt werden. Leider hat Facebook vergessen, die Zwecke vieler Cookies zu erwähnen. Deshalb musste die DSK wie jeder andere auch raten und sich unzuverlässiger sogenannter Cookie-Datenbanken Dritter bedienen. Diese Dritten können es kaum besser wissen als wir alle, sondern haben wohl ebenfalls nur spekuliert und ihre Spekulation schriftlich festgehalten. Gleich verhält es sich übrigens mit sämtlichen Datenschutztexten zu Plugins von Google, Facebook, Twitter etc.

Auszug aus entdeckten Cookies auf Facebook Fanpages laut DSK. Die Zwecke bleiben unklar, wie so oft bei Facebook, Meta und WhatsApp.

Damit bleibt Facebook seiner Linie treu, am besten nicht zu viel preiszugeben, auch wenn es gesetzlich vorgeschrieben ist. Vgl. hierzu Art. 12 DSGVO sowie das EuGH-Urteil zu Planet49.

Die DSK stellt fest, dass Anbieter von Facebook Unternehmensseiten, um mal ein anderes Wort als Fanpages zu verwenden, als Anbieter von Telemedien anzusehen sind.

Bei Betreibern von Facebook‐Fanpages handelt es sich um Anbieter von Telemedien im Sinne des § 2 Abs. 2 Nr. 1 TTDSG.

S. 7 des DSK-Gutachtens, um die Genderisierung bereinigt.

Die Impressumspflicht gemäß § 5 TMG ist also laut DSK einzuhalten.

Außerdem dürfen Zugriffe auf das Endgerät eines Besuchers einer Facebook Fanpage nur erfolgen, nachdem eine Einwilligung gemäß § 25 TTDSG eingeholt wurde.

Die DSK unterscheidet zwischen eingeloggten Facebook-Nutzern und nicht angemeldeten Nutzern, die ich hier als Nichtnutzer bezeichne, um eine analoge Sprache zum WhatsApp-Fall zu haben.

Die DSK stellt fest, dass Facebook Insights bei Besuch einer Fanpage Daten über den Besucher sammelt und dass Insights kein vom Nutzer ausdrücklich gewünschter Dienst ist. Das ist richtig, denn mindestens für mich trifft das zu, wahrscheinlich auch für sehr, sehr viele andere Nutzer. Ich möchte nicht analysiert werden, wenn ich eine Facebook Fanpage aufrufe.

Bei angemeldeten Nutzern verwendet Facebook ein Cookie, welches für die Sitzungsverwaltung verwendet wird, aber auch für alles andere, was Facebook möchte. Nicht anders ist der folgende Passus zu verstehen, den die DSK auf S. 9 des Gutachtens zitiert:

Wir verwenden Cookies, um dein Konto zu verifizieren und um festzustellen, wann du angemeldet bist, damit wir dir den Zugriff auf die Meta‐Produkte erleichtern und dir das passende Nutzererlebnis sowie geeignete Funktionen bereitstellen können.

Facebook veräppelt seine Nutzer, indem alle möglichen, nahezu beliebigen Zwecke der Datenverarbeitung in einer menschenverachtenden Weise angeführt werden.

Danke Facebook, dass die aus Eurer Sicht geeigneten Funktionen bereitgestellt werden und dass ihr nicht verratet, welche das sind. Die DSK hat geschildert, dass diese Zwecke unter anderem personalisierte Werbung und Statistiken für Insights beinhalten.

Bei Nichtnutzern verwendet Facebook laut DSK das datr-Cookie. Facebook wollte laut DSK (S.9) anscheinend nicht genau verraten, wofür dieses Cookie verwendet wird. Damit könnte man schon aufhören, weiter zu analysieren, denn das ist meines Erachtens rechtswidrig (vgl. Art. 13 DSGVO).

Die sogenannte Cookie-Abfrage von Facebook (in einer Version, die es seit kurzem nicht mehr zu geben scheint) erschien mir selbst als maximal menschenverachtend. Auch bei WhatsApp findet sich eine solche Abfrage, die keine Abfrage ist. Ich habe es als promovierter Informatiker mit 30 Jahren Technikerfahrung nicht hinbekommen, nach einer Minute Suchen eine Möglichkeit zu finden, keine Einwilligung zu erteilen, sondern nicht notwendige Datenverarbeitungen abzulehnen.

Mittlerweile erfragt Facebook eine Erlaubnis für „notwendige Cookies“. Dass dies falsch ist, hat auch die DSK geschrieben. Denn hierfür ist keine Erlaubnis notwendig. Die DSK hält die Einwilligungsabfrage aus diesem und anderen Gründen für rechtswidrig, ebenso sehe ich das. Hat man seine „Erlaubnis“ für „nur technisch notwendige Cookies“ gegeben, wird übrigens dann erst das datr-Cookie gesetzt und nicht vorher schon. Ich vermute, Facebook tut dies, um seine maximale Angriffsfläche ein klein wenig zu verringern, aber wohl eher nicht aus Datenschutzgründen.

Gemäß meines Tests hat das datr-Cookie eine Lebensdauer von zwei Jahren, was ziemlich lange und in meinen Augen inakzeptabel ist. Der Wert des Cookies ist geeignet, um Nutzer eindeutig zu identifizieren.

Facebook selbst wälzt diese rechtswidrigen Machenschaften auf die Betreiber von Fanpages ab und erklärt gemäß DSK-Gutachten (S. 17):

Seitenbetreiber: Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights‐Daten hast….

Quelle: DSK sowie https://www.facebook.com/legal/terms/page_controller_addendum (nachgeprüft von mir).

Danke, Facebook, danke. Seitenbetreiber: Macht Euch an die Arbeit und erfindet irgendwelche Rechtsgrundlagen. Vielleicht wollt Ihr mal das Legitimate Interest Assessment (LIA) ausprobieren, wenn Euch langweilig ist.

Die DSK stellt fest, dass Seitenbetreiber von Fanpages die Pflichten aus Art. 13 DSGVO zu erfüllen haben. Das wird landläufig als „Datenschutzerklärung“ bezeichnet.

Die DSK kommt zu folgendem Schluss:

Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.

DSK-Gutachten, S.20, bereinigt um Genderisierung (beim Wort “Seitenbetreibern” hatte die DSK die Genderisierung vergessen).

Fazit

Facebook ist ein Konzern, der sich überhaupt nicht um Datenschutzgesetze kümmert, sondern einfach nur seinen Umsatz maximieren will. Wer etwas anderes glaubt, sollte seinen Arzt nach anderen Tabletten fragen.

Wer eine Facebook Fanpage betreibt, sollte sich schämen wegen der somit nun bekannten und in Kauf genommenen Datenschutzverstöße.

Mein Fazit.

Wer als Argument nichts besseres weiß als „Aber alle machen es doch auch so“, der ist ein Verlierer und sollte sich am besten nur mit anderen Verlierern abgeben. Wer trotz der Kenntnis über die Datenschutzverstöße weiter eine Fanpage betreibt, sollte sich schämen. Unternehmen, die auf Facebook vertreten sind, haben immer noch nicht verstanden, was Nachhaltigkeit bedeutet. Facebook ist nicht gut, für die meisten Unternehmen nicht einmal kurzfristig.

Ich werde entweder demnächst in diesem Artikel oder in einem gesonderten Beitrag etwas zur gemeinsamen Verantwortlichkeit von Seitenbetreibern und Facebook ausführen.

Die DSK hat sehr konkret dargestellt, warum der Betrieb einer Facebook Seite rechtswidrig ist. Auch wenn ich mich nebenbei über die Genderisierung der Sprache im Gutachten mockiert habe, finde ich das Gutachten substanzvoll. Endlich mal ein Gutachten, dass konkrete technische Sachverhalte ausreichend würdigt und nicht im Wagen bleibt.

Die Österreichische Datenschutzbehörde stellte übrigens im Teilbescheid vom 22.04.2022 fest, dass Art. 44 DSGVO keinen risikobasierten Ansatz kennt. Das bedeutet: Was verboten ist, ist verboten, egal, wie klein angeblich das Risiko für betroffenen Personen sein mag. Nur zur Erinnerung: Facebook ist eine Plattform des amerikanischen Unternehmens Meta.

Der Nutzen von Facebook-Seiten ist oft überschaubar und meiner Meinung nach meistens erheblich überbewertet. Ich bin sicher, dass selbst „Hart aber Fair“ von der ARD eine Publikumsbeteiligung ganz ohne Facebook Chat oder Twitter Nachrichten hinbekommen würde. Der Kommentar von heinzelmaennchen53 würde es sicher auch ohne menschenverachtende Plattformen wie der von Facebook zu Frank Plasberg ins Studio schaffen. Nur ein kurzes Gedankenexperiment: Einen Kommentar auf Faceblöd zu schreiben, ist sehr schnell möglich. Tendenziell kommen so mehr, aber im Schnitt auch qualitativ schlechtere Kommentare heraus. Wer sich die Mühe machen muss, 20 Sekunden mehr Zeit zu investieren, um auf einer ARD Seite oder per Mail ein und denselben Kommentar zu schreiben, wird nicht so einfach spontan seinen Müll loslassen, sondern nur schreiben, wenn er ausreichend motiviert ist.

Ich rege an, eine eigene datenschutzfreundliche Plattform zu bauen, die ganz ohne Facebook auskommt und Nachrichten aufgrund von eigens definierten Interessensgruppen ausgibt, anstatt negative Meinungen zu verstärken. Eine solche Plattform aufzubauen, ist für eine potente Stelle im Land meines Erachtens keine wirklich große Herausforderung. Man muss nur wollen. Aber bitte nicht die Telekom und SAP fragen. Die United Internet AG geht auch nicht, denn die ist möglicherweise mit dem Bau einer Lösung zum Verwalten von Problemen und dem Akquirieren von Lobbyisten beschäftigt (siehe zentrale Einwilligungsverwaltung nach § 26 TTDSG).

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/facebook-fanpages-immer-noch-rechtswidrig
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Susa

    Hallo Herr Dr. Meffert,
    vielen Dank für den tollen Beitrag. Hatten Sie in diesem Zusammenhang schon mal mit Mastodon zu tun?
    Beste Grüße
    Susa

  2. D.

    Alternativen? Auf Mastodon kann man sich eine passende Instanz suchen oder selber eine basteln und jederzeit über den Tellerrand zu den anderen schauen. Leider noch zu viele Retweets von der anderen Plattform. (Der mit dem Vogel.)

    D., der bei der nächsten DSGVO-Evaluation einen Vorschlag zum “Schämen” einbringen könnte. Dass man sich vielleicht ein bisschen freikaufen kann, wenn man einen Drittel seines Auftritts (oder anderer Betätigungsfelder) zum Pranger umbaut, den man mit Beiträgen füllt, wie wenig einem seine Besucher wert sind.

  3. R.

    Ein wirklich spannender und hilfreicher Beitrag. In meinem Unternehmen sind Datenschutz und Digitale Souveräntität mit die wichtigsten Faktoren. Daher verlassen wir nach und nach alle “bösen” Plattformen oder Dienste. Und wir arbeiten auch selbst an einer Alternative zu Facebook: We.Network

    Jetzt habe ich auf jeden Fall noch mehr Futter für die Entscheidung als Unternehmen Facebook zu verlassen!

  4. Anonymous

    Sehr schön der kleine Seitenhieb auf die Platzhirsche Telekom, SAP und United Internet. Die Corona-Warn-App zeigt, wie desaströs Staatsaufträge an solche Konzerne verlaufen, die in erster Linie viele Steuergelder absaugen.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Automatisierter Webseiten-Check: Webseite automatisiert geprüft, jetzt nur noch Behebung der Datenschutz-Probleme nötig?