19. April 2023
Facebook-Fanpages der Bundesregierung: Klage gegen den Bundesbeauftragten für Datenschutz
Inhaltsverzeichnis
- Wie funktionieren Facebook-Fanpages?
- Facebook legt Cookies bei Usern ab
- Was bedeutet gemeinsame Verantwortlichkeit bei der Facebook Fanpage der Bundesregierung?
- Facebook Fanpage der Bundesregierung: Rechenschaftspflicht der Betreiber
- Ist die Auswertung persönlicher Daten jenseits der Öffentlichkeitsarbeit rechtens?
- Betreiber schließen derzeit unzureichende Vereinbarung mit Facebook
- Unsere Einschätzung
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber verbietet der Bundesregierung die Nutzung ihrer Facebook-Fanpage. Die Seite mit über 1 Mio Followern betreibt das Bundespresseamt (BPA). Am 17.02.23 ist dort ein Bescheid eingegangen, der die Abschaltung der Seite innerhalb von vier Wochen vorsieht und das BPA offiziell verwarnt. Das Bundespresseamt erhob Klage gegen den Bescheid vor dem Verwaltungsgericht in Köln. Die zugrunde liegende Rechtsfrage nach einer möglichen gemeinsamen Verantwortlichkeit geht über diesen Einzelfall hinaus. Die generelle Nutzung von Facebook-Fanpages steht auf dem Prüfstand.
Wie funktionieren Facebook-Fanpages?
Privatpersonen legen klassische Nutzer-Profile bei sozialen Netzwerk an. Facebook, das zur Meta Platforms Inc. gehört, bietet Organisationen, Unternehmen oder Personen des öffentlichen Lebens Fanpages an. Wer eine solche anlegt, nutzt die Netzwerkeffekte Facebooks, erhöht die Reichweite und adressiert die gewählte Zielgruppe direkt. Das Bundespresseamt informiert Nutzer und Nicht-Nutzer von Facebook über die Fanpage regelmäßig über aktuelle politische Tätigkeiten der Bundesregierung. Genutzt werden Texte, Bilder oder Videos.
Facebook legt Cookies bei Usern ab
Die datenschutzrechtliche Problematik entsteht nicht nur beim Liken oder Teilen von Beiträgen. Beim Aufruf einer Internetseite, die mit einem Like- oder Share-Button von Facebook ausgestattet ist oder in die eine Facebook-Fanpage eingebettet ist, werden auf dem Endgerät des Nutzers zahlreiche Cookies abgelegt. Der Facebook Mutter-Konzern Meta sammelt und analysiert so Daten über die Internetaktivität der Nutzer. Das passiert auch, wenn Nutzer gar kein eigenes Facebook-Profil besitzen und nicht bei Facebook eingeloggt sind. Hierbei handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Diese ist aber nur beim Vorliegen einer Einwilligung der betroffenen Person oder aufgrund einer sonstigen zulässigen Rechtsgrundlage rechtmäßig.
Was bedeutet gemeinsame Verantwortlichkeit bei der Facebook Fanpage der Bundesregierung?
In der DSGVO ist geregelt, wer für die Einhaltung der Datenschutzrechtlichen Vorschriften verantwortlich ist.
Art. 4 Nr. 7 DSGVO lautet:
„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“
Das Bundespresseamt ist der Ansicht, dass es sich dabei nur um Facebook als Plattform-Betreiber handeln kann.
Anders sieht das der Europäische Gerichtshof (EuGH), der im Jahr 2018 urteilte, dass neben Facebook auch das jeweilige Unternehmen „gemeinsam“ verantwortlich ist, das eine Fanpage betreibt. Für die Frage der Verantwortlichkeit sei nicht notwendig, dass jeder Beteiligte Zugriff auf alle verarbeiteten Daten habe. Es sei vielmehr ausreichend, dass der jeweilige Betreiber durch das Errichten der Fanpage mitursächlich für die Verarbeitung der Daten sei.
Bereits 2019 und 2021 wies der BfDI die Bundesministerien und obersten Bundesbehörden auf die fragliche Datenschutzkonformität von Fanpages hin. Ein datenschutzkonformer Fanpage-Betrieb sei nicht möglich. Zu diesem Ergebnis kam auch ein zuvor erstelltes Kurzgutachten der Datenschutzkonferenz (DSK), die das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Facebook Fanpage der Bundesregierung: Rechenschaftspflicht der Betreiber
Gemäß Artikel 5 Absatz 2 DSGVO ist der (gemeinsame) Verantwortliche für die Einhaltung der Vorschriften der DSGVO mitverantwortlich und muss dessen Einhaltung auch nachweisen können. Dies bedeutet, dass ein Verantwortlicher sowohl Kenntnis von allen Datenverarbeitungen haben muss als auch die Rechtmäßigkeit der jeweiligen Verarbeitung prüfen und diese nachweisen können muss. Die Anforderungen an eine Einwilligung seien laut BfDI nicht erfüllt. Es werde keine wirksame Einwilligung über das Einwilligungsbanner eingeholt, das unmittelbar nach dem Aufruf der Fanpage des BPA angezeigt wird. Das Banner entspreche nicht den Datenschutzrechtlichen Anforderungen. Auch eine Rechtfertigung der Datenverarbeitung aufgrund der Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen (Artikel 6 Absatz 1 DSGVO), sei nicht gegeben.
Ist die Auswertung persönlicher Daten jenseits der Öffentlichkeitsarbeit rechtens?
Diese Rechtsgrundlage, in Verbindung mit den jeweils einschlägigen bundes- oder landesrechtlichen Vorschriften, die für die Ausübung von Öffentlichkeitsarbeit grundsätzlich in Betracht komme, könnten nur so weit reichen, wie personenbezogene Daten auch tatsächlich in eigener oder gemeinsamer Verantwortlichkeit ausschließlich zu Zwecken der Öffentlichkeitsarbeit verarbeitet werden. Darüber hinausgehende Verarbeitungen, wie beispielsweise die Anreicherung von Werbeprofilen, seien nicht von dieser Rechtsgrundlage gedeckt.
Betreiber schließen derzeit unzureichende Vereinbarung mit Facebook
Als gemeinsam Verantwortlicher wäre das Bundespresseamt (BPA) zudem nach Artikel 26 DSGVO verpflichtet, eine Vereinbarung mit Facebook abzuschließen, die in transparenter Form festlegt, wer von den beiden Verantwortlichen welche Verpflichtungen gemäß der DSGVO erfüllt. Das gilt insbesondere für die Wahrnehmung der Rechte betroffener User und wer welchen Informationspflichten nachkommt. Zwar reagierte Facebook auf die anhaltende Kritik durch die Ergänzung ihrer Allgemeinen Geschäftsbedingungen mit einem Addendum bezüglich der gemeinsamen Verantwortlichkeit, jedoch ist der BfDI der Ansicht, dass dieses den datenschutzrechtlichen Anforderungen nicht hinreichend nachkomme. Insbesondere versetze es Fanpage-Betreiber nicht in die Lage, ihren Informations- und Nachweispflichten nachzukommen.
Unsere Einschätzung
Ob sich die Rechtsauffassung des Bundespresseamts im Verwaltungsgerichtsverfahren durchsetzen wird, ist aus juristischer Perspektive höchst fraglich. Zu deutlich ist die Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit. Das Verfahren hat Signalwirkung: Mit der Bundesregierung hat der BfDI einen der bekanntesten politischen Akteure in Deutschland adressiert. Die eigentliche Rechtsfrage nach dem Umfang gemeinsamer Verantwortlichkeit ist aber von allgemeiner Bedeutung und geht über diesen Einzelfall hinaus. Sie betrifft auch privatrechtliche Akteure und Unternehmen. Für sie alle steht die Nutzung von Facebook-Fanpages auf dem Prüfstand.
