In einer Zeit, in der das Internet und die sozialen Medien als zentrales Element des Informationsaustausches den direkten Draht der Regierung zur Bevölkerung bilden und durch Zeitung, Radio und Fernsehen – jedenfalls Teile der Bevölkerung – -zunehmend nicht mehr erreicht werden, müssen auch datenschutzrechtliche Herausforderungen berücksichtigt werden.
Mit knapp 1,1 Millionen Followern auf Facebook ist die Fanpage der Bundesregierung sehr aktiv und macht den Zugang zu Informationen für einen großen Teil der Bevölkerung einfacher. Diese Art von Facebook-Profilen bieten Unternehmen und öffentlichen Stellen Vorteile, die das offene Internet nicht bzw. nur bedingt bietet. Allerdings ist bis heute ein datenschutzkonformer Betrieb von Fanpages nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nicht möglich.
Das Wichtigste in Kürze
- Der BfDI, Herr Prof. Ulrich Kelber, hat das Bundespresseamt (BPA) aufgefordert, den Betrieb der Facebook Fanpage der Bundesregierung aufgrund mangelnder Datenschutzkonformität einzustellen.
- Der Vorwurf des BfDI stützt sich auf die Rechtsprechung des Europäischen Gerichtshofes (EuGH) aus dem Jahr 2018, wonach der Bertreiber der Facebook Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich ist.
- Der BfDI bemängelt bei Facebook Fanpages insbesondere die fehlende Rechtsgrundlage für die Datenverarbeitung.
Betrieb von Facebook Fanpages nicht datenschutzkonform
Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.
Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.
Die Problematik der gemeinsamen Verantwortlichkeit
Definiert wird die gemeinsame Verantwortlichkeit in Art. 26 I 1 DSGVO und liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Datenverarbeitung festlegen. Das bedeutet, dass sie tatsächlich Einfluss auf die Entscheidung nehmen können, wie und zu welchen Zwecken Daten verarbeitet werden.
Für die Entscheidung des BfDI ist unter anderem ein Urteil des Europäischen Gerichtshofes vom 5. Juni 2018 (Rechtssache C210/16, „Wirtschaftsakademie“) mitverantwortlich. Darin stützt sich der EuGH maßgeblich auf die Erwägung, dass der Betreiber einer Facebook Fanpage mit der Einrichtung der Seite Meta die Möglichkeit gibt, auf dem Endgerät der Besucher Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt oder nicht. Damit leistet laut dem EuGH der Betreiber – in diesem Fall das Bundespresseamt – einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage. Durch das Setzen bestimmter Cookies (sogenannte „datr-Cookies“) auf dem Computer des Nutzers wird sein gesamtes Surf-Verhalten verfolgt. Laut Facebook sollen die datr-Cookies zur Verhinderung von Cyber-Attacken und zum Herausfiltern von Fake-Profilen eingesetzt werden.
Aufgrund dieser Funktion sieht der EuGH eine gemeinsame datenschutzrechtliche Verantwortlichkeit im Verhältnis zwischen dem Betreiber der Fanpage und Meta, da beide Verantwortliche Daten im jeweils eigenen Interesse verarbeiten und gemeinsam die Mittel und Zwecke der Verarbeitung im Sinne des Art. 26 DSGVO festlegen.
BfDI untersagt Betrieb von Facebook Fanpage der Bundesregierung
Nach Darstellung des BfDI stehen gerade Behörden in der Verantwortung, sich als Vorbild an Recht und Gesetz zu halten. Bereits 2019 hatte Prof. Kelber betont, dass der Betreib einer Facebook-Fanpage nicht datenschutzkonform sei. Dabei wies er auf die Erforderlichkeit hin, dass öffentliche Stellen, die eine Fanpage betreiben, mit Facebook eine Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen haben, die den Anforderungen des Art. 26 DSGVO entspricht. In diesem Verfahren sei es dem BPA allerdings nicht gelungen, den Bundesdatenschutzbeauftragten von der Datenschutzkonformität der Facebook Fanpage der Bundesregierung und der von Meta vorgelegten Vereinbarung über die gemeinsame Verantwortlichkeit zu überzeugen.
Mit einem Bescheid vom 17. Februar 2023 wies der Bundesdatenschutzbeauftragte das Bundespresseamt an, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen.
Das Bunfdespresseamt ist der Betreiber der Facebook Fanpage der Bundesregierung und somit Verantwortlicher im Sinne der DSGVO. Der BfDI erklärte, das BPA müsse als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Ein solcher Nachweis gem. Art. 5 Abs. 1DSGVO wurde derzeit jedoch noch nicht erbracht.
Kritisiert wird durch den BfDI vor allem die fehlende Rechtsgrundlage für die Datenverarbeitung im Sinne der Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 Abs. 1 DSGVO. Für den Einsatz von Cookies durch Facebook fehle es an einer wirksamen Einwilligung im Sinne des § 25 Abs. 1 S. 1 des1 Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). Außerdem würden die Betroffenen nicht ausreichend über die Verarbeitung ihrer Daten nach Art. 13 DSGVO informiert werden.
Grundlage für die Untersagung ist insbesondere ein Gutachten vom 18. März 2022 einer Taskforce der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Die Taskforce kritisierte auf Basis einer eingehenden Analyse die fehlende Rechtsgrundlage der Datenverarbeitung und unvollständige und intransparente Informationen gegenüber den Betroffenen, worin ein Verstoß gegen die Informationspflicht nach Art. 13 DSGVO zu sehen ist.
Was können Betreiber einer Facebook Fanpage tun?
Aufgrund der oben ausgeführten Punkte ist das Betreiben von Facebook Fanpages sowohl für öffentliche als auch private Stellen nicht mit der DSGVO vereinbar. Für Betreiber von Facebook Fanpages gibt es Maßnahmen, die umgesetzt werden können, damit sie als Mitverantwortliche im schlimmsten Fall Bußgelder und Schadensersatzansprüche betroffener Personen im Sinne des Art. 82 DSGVO vermeiden können. Hierzu gehört auch die Sicherstellung und der Nachweis der Rechtskonformität der von ihnen verantworteten Datenverarbeitung.
Ist eine rechtskonforme Verarbeitung der Nutzerdaten nicht möglich, ist der Betrieb der Facebook Fanpage sowohl für öffentliche als auch für nicht-öffentliche Stellen rechtswidrig. Die Datenschutzbehörden weisen hierauf bereits seit langem hin. Deshalb müssen Sie jederzeit mit einer Abmahnung rechnen, sollten Sie Ihre Fanpage weiter betreiben.
Empfehlenswert ist es, die Besucher der Seite in transparenter und verständlicher Form darüber zu informieren, welche Daten zu welchen Zwecken durch Facebook und die Bertreiber verarbeitet werden. Dazu eignet sich eine Datenschutzerklärung auf der Fanpage und eine auf der eigenen Webseite.
Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta notwendig. Betreiber von Facebook Fanpages und Meta müssen gemeinsam sicherstellen, dass die Nutzenden von Facebook über die Verarbeitung ihrer Daten beim Aufruf von Facebook-Fanpages informiert sind und die Verarbeitung auf Basis einer wirksamen Rechtsgrundlage stattfindet. Die gemeinsam Verantwortlichen müssen gem. Art. 26 DSGVO in einer Vereinbarung intern festlegen, wie die Einhaltung der DSGVO gewährleistet wird. Ob dies in der Praxis in Zusammenarbeit mit Meta tatsächlich umsetzbar ist, kann jedoch bezweifelt werden.
Ausblick
Das Bundespresseamt ist nun aufgefordert, die Fanpage der Bundesregierung innerhalb von vier Wochen einzustellen. Es besteht auf Seiten des Bundespresseamtes die Möglichkeit, gegen den Bescheid vorzugehen, indem innerhalb eines Monats verwaltungsgerichtliche Klage eingereicht wird. In diesem Fall könnte eine Klärung noch länger dauern. Es ist zu bezweifeln, dass die Bundesregierung kampflos einen ihrer wichtigsten Kommunikationskanäle aufgeben wird.
Für private Unternehmen ist die Gefahr, dass die Aufsichtsbehörden gegen den Betrieb von Facebook-Fanpages ebenfalls weiterhin sehr hoch. Die Tatsache, dass nun zunächst gegen Behörden vorgegangen wird, kann nicht als Freifahrtsschein verstanden werden. Vielmehr dient das jüngste Vorgehen des BfDI als Warnschuss, um die Notwendigkeit des Betriebs der Fanpage zu überdenken und diese auf Datenschutzkonformität zu überprüfen.
„>
