Das Katz-und-Maus-Spiel zwischen den Aufsichtsbehörden, Gerichten und Facebook geht in die nächste Runde. Vermutlich als Reaktion auf die zahlreichen behördlichen Beanstandungen im Hinblick auf die Umsetzung der datenschutzrechtlichen Vorgaben und die aktuellen höchstrichterlichen Entscheidungen änderte Facebook Anfang Juli die Allgemeinen Geschäftsbedingungen, die zum 31.08.2020 in Kraft getreten sind.
Diese Änderungen betreffen nicht nur die Verantwortlichen, die Facebook-Produkte nutzen, sondern auch Dienstleister, die im Auftrag von Verantwortlichen tätig werden. Dies können zum Beispiel Marketingagenturen, Software-Entwickler und andere Dienstleister sein.
Nach Angaben von Facebook wurden die Änderungen an den Nutzungsbedingungen vorgenommen, „um diese klarer und leichter verständlich zu machen“. Wir wagen es zu bezweifeln, dass es dem Unternehmen gelungen ist, dieses lobenswerte Vorhaben zu verwirklichen. Leider gibt es nicht die Nutzungsbedingungen als ein konsistentes Dokument, welches klar und aus sich heraus leicht verständlich ist. Stattdessen existiert ein Konvolut an sehr umfangreichen Dokumenten mit zahlreichen Querverweisen, die das Ganze eher unübersichtlich und schwer verständlich machen.
Im vorliegenden Beitrag unternehmen wir unsererseits daher den Versuch, das Zusammenspiel und die Systematik dieser einzelnen Dokumente und die wesentlichen Inhalte der geänderten Nutzungsbedingungen aus datenschutzrechtlicher Perspektive zu beleuchten, um denjenigen, die von den Änderungen betroffen sind, eine erste Orientierung im Dickicht der aktuellen Regelungen zu geben und die primär zu ergreifenden Maßnahmen aufzuzeigen.
Was wurde im Wesentlichen geändert bzw. ergänzt?
Änderung der Plattform-Nutzungsbedingungen von Facebook im Businessbereich
Zunächst ändert Facebook die allgemeinen Plattform-Nutzungsbedingungen. Dieses Dokument enthält die grundlegenden Bestimmungen, die durch Businesskunden von Facebook, Entwickler und Dienstleister zu beachten sind. Übrigens ersetzt dieses Dokument gleichzeitig auch die veralteten Instagram-Plattform-Richtlinien.
Über die Ziffern 1 lit. b und c der neuen Plattform-Nutzungsbedingungen stimmen die Nutzer der Facebook-Plattform und der Facebook-Produkte allen anderen Bedingungen und Richtlinien zu, die anwendbar sind, und verpflichten sich, die dort enthaltenen Bedingungen und Regelungen zu erfüllen. Diese werden in den neuen Nutzungsbedingungen jedoch nur exemplarisch genannt.
In den neuen Plattform-Nutzungsbedingungen gibt es neben den Regelungen, die die geistigen Eigentumsrechte betreffen, im Wesentlichen Festlegungen und Regelungen bezüglich der Datenverarbeitung und zwar insbesondere hinsichtlich der folgenden unseres Erachtens besonders relevanten Punkte:
- Datennutzung (Ziff. 3):
Hier werden verbotene Praktiken und zusätzliche Bestimmungen für sogenannte „Eingeschränkte Plattformdaten“ (bzgl. der Definition vgl. Ziff. 12 der neuen Plattform-Nutzungsbedingungen), sowie Aufbewahrung, Löschung und Zugänglichkeit von Plattformdaten geregelt. - Datenschutzhinweise (Ziff. 4):
Gemäß Ziff. 4 der neuen Plattform-Nutzungsbedingungen müssen Datenschutzhinweise gem. Artt. 12 bis 14 DSGVO seitens der Verantwortlichen den betroffenen zur Verfügung gestellt werden, soweit die Facebook-Plattform zu Verarbeitung von Plattformdaten genutzt wird. - Beauftragung der Dienstleister und Technik-Anbieter
(Ziff. 5):
Gemäß Ziff. 5 der neuen Plattform-Nutzungsbedingungen dürfen Dienstleister und Technik-Anbieter nicht mehr verwendet werden, ohne dass diese sich schriftlich zur Einhaltung der in den Plattform-Nutzungsbedingungen enthaltenen Vorgaben (Ziff. 5 lit. a und b) verpflichtet haben. - Datensicherheit (Ziff. 6):
Bezüglich der Datensicherheit enthält Ziff. 6 der neuen Plattform-Nutzungsbedingungen weitere Pflichten: So müssen Sicherheitsvorfälle unverzüglich oder spätestens innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls an Facebook gemeldet werden. Ferner dürfen keine Nutzer-IDs oder Zugriffsschlüssel und geheimen Schlüssel übertragen werden. Hier sind jedoch Dienstleister, die die Verantwortlichen bei der Erstellung, Ausführung oder Betrieb von Software-Produkten unterstützen, ausgenommen. - Rechte bei der Überprüfung der Einhaltung der Nutzungsbedingungen (Ziff. 7):
Zur Überprüfung der Vorgaben behält sich Facebook umfangreiche Prüfungs- und Kontrollrechte vor und regelt gleichzeitig Sanktionen für die in den Nutzungsbedingungen bestimmten Fälle, wie zum Beispiel Verstöße gegen die Nutzungsbedingungen. - Internationale Datenweitergabe (Ziff. 10):
Es werden Regelung hinsichtlich der internationalen Datentransfers getroffen. Insbesondere wird bestimmt, dass für den Datentransfer zwischen der EU und den USA die Standarddatenschutzklauseln gelten sollen (hierzu mehr unterdem Punkt „Facebook-EU-Datenübermittlungszusatz“ weiter unten). - Weitere datenschutzrelevante Regelungen (z.B. Ziff. 11 lit. b und c):
Businesskunden und Entwickler haben gem. Ziff. 11 lit. b der Plattform-Nutzungsbedingungen alle geltenden Gesetze und Vorschriften einzuhalten, einschließlich des US-Gesetzes zum Schutz der Online-Privatsphäre von Kindern (Children‘s Online Privacy Protection Act – „COPPA“) und des US-Gesetzes zum Videodatenschutz (Video Privacy Protection Act – „VPPA“).
Die Datenverarbeitung im Zusammenhang mit der geschäftlichen Nutzung von Facebook wird in den Plattform-Nutzungsbedingungen allgemein geregelt und in den Bedingungen und Richtlinien, denen zugestimmt wurde (siehe oben), weiter spezifiziert.
Änderung bzw. Ergänzung einer Reihe an speziellen Regelungen für Businesskunden
Wie bereits erwähnt, gelten neben den Plattform-Nutzungsbedingungen auch weitere (spezielle) Bedingungen und Richtlinien, die im Zuge der Änderung der AGB für Businesskunden mitgeändert oder auch neu eingeführt wurden. Insbesondere geht es dabei um folgende Bestimmungen:
Nutzungsbedingungen für Facebook Business-Tools
Geändert wurden die Nutzungsbedingungen für die Facebook Business-Tools.
Die Facebook Business Tools stellen eine Untergruppe der Facebook-Produkte dar, welche Websitebetreibern, Entwicklern, Werbetreibenden, Geschäftspartnern (und ihren Kunden) sowie sonstigen Personen durch Facebook angeboten werden. Dabei geht es bei diesen Tools ganz konkret um die APIs und SDKs von Facebook, das Tool Facebook-Pixel, soziale Plugins, wie z.B. „Gefällt mir“- und „Teilen“-Buttons, Facebook Login und Account Kit sowie andere Plattform-Integrationen (zum Beispiel Codes, Spezifikationen, Dokumentationen, Technologien sowie Dienstleistungen).
Entsprechend den Bestimmungen der Nutzungsbedingungen für Facebook Business-Tools sichern die Vertragspartner (Unternehmen, Entwickler und Dienstleister) Facebook zu, dass der Einsatz der Business-Tools auf der Grundlage einer wirksamen Einwilligung erfolgt (Ziff. 1 lit. a der Nutzungsbedingungen für die Facebook Business-Tools). Zudem wird hier in der Ziff. 1 lit. d bestimmt, dass die sogenannten Event-Daten Gegenstand von Auskünften an betroffene Personen sein können (zur Definition „Event-Daten“ vgl. Ziff. 1 lit. a ii der Nutzungsbedingungen für die Facebook Business-Tools).
Gemäß Ziff. 2 lit. a i und ii der Nutzungsbedingungen für die Facebook Business-Tools wird geregelt, dass Facebook im Fall der Übermittlung der Kontaktinformationen für den Datenabgleich zur Bildung von Custom Audiences (s.u.) und im Rahmen der Erstellung von Kampagnenanalysen und -berichten die in diesem Zusammenhang an Facebook übermittelten Daten im Auftrag des jeweiligen Verantwortlichen verarbeitet (hierzu vgl. vorliegend ergänzende Ausführungen bzgl. der „Datenverarbeitungs- und Datensicherheitsbedingungen“).
Nutzungsbedingungen für sog. Custom Audiences mit Kundenliste
Ferner betrafen die Änderungen auch die Nutzungsbedingungen für Custom Audiences mit Kundenliste.
Durch das Feature „Custom Audiences mit Kundenliste“ ist es möglich, eine Zielgruppe unter Verwendung der personenbezogenen Daten, wie z.B. E-Mail-Adressen und Telefonnummern, zu erstellen (eine sog. „Audience“), indem Kundendaten an Facebook zur weiteren Datenverarbeitung übermittelt werden.
Auch im Rahmen der Nutzung des Features „Custom Audiences mit Kundenlisten“ sichern die Geschäftskunden und die Entwickler Facebook gegenüber gem. Ziff. 1 der Nutzungsbedingungen für Custom Audiences mit Kundenliste zu, dass sie die zum Upload der Daten erforderlichen Rechte besitzen. Das bedeutet konkret, dass auch hier zugesichert wird, dass insbesondere eine wirksame Einwilligungserklärung der betroffenen Personen vorliegt. Und auch hier behält sich Facebook gem. Ziff. 6 der einschlägigen Nutzungsbedingungen vor, die Personen, die Zielgruppenwerbung erhalten, darüber zu informieren, warum sie die jeweiligen Werbeinhalte zu sehen bekommen. Das heißt, dass Kunden von Unternehmen, die Custom Audiences mit Kundenlisten nutzen, (auch) auf diesem Wege erfahren können, dass und von wem deren Kontaktinformationen an Facebook zu Werbezwecken weitergeleitet wurden.
Entwickler-Richtlinien
Auch die Entwickler-Richtlinien haben eine Änderung erfahren. Diese Richtlinien sind ebenfalls Bestandteil der Plattform-Nutzungsbedingungen und regeln neben zahlreichen technischen Details hinsichtlich der Entwicklung ergänzend u.a. auch den Umgang mit Nutzerdaten. So regelt z.B. die Ziff. 2 Nr. 1 der Entwickler-Richtlinie, dass eine Einwilligung der betroffenen Personen einzuholen ist, bevor in ihrem Namen Inhalte veröffentlicht oder andere Handlungen in ihrem Namen vorgenommen werden.
Zudem gelten über die Einbeziehung all der anderen Bedingungen und Richtlinien auch weitere Pflichten hinsichtlich des Umgangs mit personenbezogenen Daten durch die Entwickler.
Datenverarbeitungs- und Datensicherheitsbedingungen
Diese Regelungen sind neu und stellen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO dar, der für den Fall gelten soll, wenn die Verantwortlichen im Rahmen der Nutzung von Facebook-produkten personenbezogene Daten im Rahmen der Bildung von Zielgruppen bei den Custom Audiences an Facebook übermitteln.
Facebook-EU-Datenübermittlungszusatz
Mit dem Facebook-EU-Datenübermittlungszusatz werden die Datenverarbeitungsbedingungen (s.o.) um die Standarddatenschutzklauseln ergänzt, da eine Datenübermittlung auf der Grundlage des Privacy-Shields nach dem Schrems II-Urteil des EuGH nicht mehr möglich ist. Zudem stellt der Facebook-EU-Datenübermittlungszusatz eine Grundlage zur Übermittlung von Event-Daten von EU-Bürgern in die USA zwecks Bildung von Zielgruppen (Custom Audiences) und zur Ausspielung einer an mutmaßlichen Interessen der Nutzer ausgerichteten Werbeinformationen und Inhalte dar.
Zusatz für Verantwortliche (bzgl. der gemeinsamen Verantwortlichkeit)
Der Zusatz für Verantwortliche regelt die sog. gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO und gilt im Fall, wenn er durch Bezugnahme ausdrücklich Bestandteil von Nutzungsbedingungen für Facebook-Produkte wird, wie z. B. das in den Nutzungsbedingungen für Facebook Business-Tools der Fall ist.
Der „Zusatz für Verantwortliche“ darf dabei nicht mit den sog. „Informationen zu Seiten-Insight“ verwechselt werden. Letzteres stellt eine weitere Vereinbarung hinsichtlich der gemeinsamen Verantwortlichkeit dar und gilt nur im Zusammenhang mit der Nutzung der sog. Facebook-Fanpages.
Facebook-Bedingungen für die gewerbliche Nutzung
Die Facebook-Bedingungen für die gewerbliche Nutzung wurden ebenfalls geändert und betreffen u.a. Fragen der Haftungsbeschränkungen und insbesondere Festlegungen bzgl. des anwendbaren Rechts (kalifornisches oder irisches Recht) und sind im Zusammenhang mit der Änderung der AGB zu beachten. Diese Bedingungen enthalten darüber hinaus auch einen Verweis auf den neuen Facebook-EU-Datenübermittlungszusatz.
Fazit
Wie man sieht, sind die neuen AGB sehr kompliziert aufgebaut und die Regelungen, die zu beachten sind, „verstecken“ sich in einer Vielzahl von verschiedenen Dokumenten. Inwiefern die durch Facebook vorgenommenen Änderungen und Ergänzungen die Aufsichtsbehörden und Gerichte überzeugen werden, wird sich noch zeigen müssen. Wir befürchten, dass die Behörden auch nach den vorgenommenen Anpassungen der AGB-Regelungen durch Facebook viele Gründe finden werden, um zu sagen, dass trotz dieser Anpassungen und Erweiterungen ein datenschutzkonformer Einsatz von Facebook-Produkten und Diensten nicht oder nur eingeschränkt möglich sei und weitere Änderungen bzw. Anpassungen vorzunehmen wären.
Vor allem ist fraglich, inwiefern die Aufsichtsbehörden und die Gerichte die Datenübermittlung anhand der Standarddatenschutzklauseln in die USA für datenschutzkonform erachten werden. Denn bzgl. der Möglichkeiten des internationalen Datentransfers hat beispielsweise der LfDI BW eine Orientierungshilfe veröffentlicht, die vorsieht, dass die Standarddatenschutzklauseln um bestimmte Inhalte zu erweitern wären, damit Datenübermittlung in die USA zulässigerweise stattfinden kann (hierzu vgl. auch unseren Beitrag zum Thema der internationalen Datenübermittlungen nach Schrems II-Urteil). Ob die Inhalte in den Ergänzungen, die in dem Facebook-EU-Datenübermittlungszusatz enthalten sind, der aufsichtsbehördlichen und/oder gerichtlichen Überprüfung Stand halten können, erscheint uns sehr fraglich.
Verantwortliche, die Facebook-Produkte und Dienste nutzen oder Entwickler, die im Auftrag der Verantwortlichen oder zu eigenen Zwecken Software für Facebook entwickeln, müssten jedoch ganz unabhängig von den behördlichen Einschätzungen prüfen, inwiefern die Vorgaben, die in den aktualisierten AGB von Facebook sowie allen anderen geltenden Bedingungen und Richtlinien enthalten sind, eingehalten werden.
Insbesondere sollten Vereinbarungen mit Dienstleistern im Hinblick auf die neuen Regelungen von Facebook und die darin enthaltenen Bestimmungen und Verpflichtungen aktualisiert werden. Zudem sollten die Facebook-Nutzer und andere betroffene Personen sich mit der Datenverarbeitung, die im Zusammenhang mit der Nutzung von Facebook-Produkten und Diensten stattfindet, einverstanden erklären. Diese Einwilligungen müssten dokumentiert werden (beispielsweise mit Hilfe eines Consent-Management-Tools). Auch müssten die Datenschutzhinweise für die Websites und Apps (beziehungsweise allgemein für Softwareprodukte) aktualisiert werden. Verantwortliche müssten auf die Art der Zusammenarbeit mit Facebook hinweisen und dabei insbesondere die verpflichtenden Vorgaben von Facebook (z.B. hinsichtlich der gemeinsamen Verantwortlichkeit entsprechend dem Dokument „Zusatz für Verantwortliche“) erfüllen und die erforderlichen Informationen in die Datenschutzhinweise aufnehmen.
In unseren nächsten Beiträgen werden wir auf besondere Datenverarbeitungssituationen wie die Anmeldung mit Facebook-Zugangsdaten – z.B. in einem Online-Shop – (Single-Sign-On-Verfahren) sowie auf die Nutzung der Facebook Business-Tools wie z.B. Custom Audiences mit Kundenliste etwas genauer eingehen, da man in diesem Zusammenhang insbesondere auch auf technische Feinheiten achten muss, um den neuen Vorgaben von Facebook und den datenschutzrechtlichen Anforderungen zu entsprechen.
Sie nutzen Facebook-Produkte oder sind evtl. für Kunden in diesem Bereich als Auftragnehmer tätig und benötigen Unterstützung in Sachen Datenschutz? Sprechen Sie uns an, wir helfen Ihnen gerne!