Icons von Social-Media-Apps auf einem Bildschirm

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Nutzung von Facebook-Seiten durch öffentliche Stellen auf dem datenschutzrechtlichen Prüfstand

Dürfen öffentliche Stellen mit eigenen Seiten noch auf Facebook und anderen Social-Media-Kanälen präsent sein? Mit dem Betrieb von Facebook-Seiten gehen schwerwiegende datenschutz-rechtliche Probleme einher.

Hierbei geht es um die Art und Weise, wie Facebook mit den Daten der Nutzer umgeht. Aus datenschutzrechtlicher Sicht sehr problematisch ist besonders die Verarbeitung von Nutzerdaten im Hintergrund. Mittels Cookies und ähnlicher Technologien sammelt Facebook Daten der Besucherinnen und Besucher von Facebook-Seiten - unabhängig davon, ob sie ein Facebook-Konto besitzen oder nicht. Aus den gesammelten Daten erstellt Facebook umfangreiche Nutzerprofile und nutzt diese gewinnbringend zur Vermarktung individualisierter Werbung. Schon der Besuch weniger Facebook-Seiten und mit Facebook verknüpfter Webseiten ermöglicht präzise Rückschlüsse auf beispielsweise Alter, Geschlecht, Herkunft, persönlichen Geschmack und möglicherweise sogar sensible Informationen wie sexuelle Orientierung oder politische Einstellung eines einzelnen Nutzenden.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Professor Dr. Alexander Roßnagel sagt hierzu: „Die Rechtslage war lange unklar, nun steht spätestens mit dem Urteil des OVG Schleswig vom 25.11.2021 rechtskräftig fest, dass der Betrieb einer Seite bei Facebook einen ‚schwerwiegenden datenschutzrechtlichen Verstoß‘ darstellt.“

Das bestätigt auch ein Kurzgutachten der Task Force Facebook Fanpages der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Diese hatte geprüft, welche Feststellungen des Urteils der derzeitigen Praxis von Facebook entsprechen. Das Kurzgutachten hat die Feststellungen des OVG Schleswig bestätigt und neuere gesetzliche Regelungen wie zum Beispiel § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) berücksichtigt. Es kommt unter anderem zu dem Ergebnis: „Für die bei Besuch einer Facebook-Seite ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen (…) sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt“.

Die DSK hat in ihrer 103. Konferenz das Kurzgutachten zur Frage der fehlenden datenschutzrechtlichen Konformität zustimmend zur Kenntnis genommen und im Beschluss vom 23. März 2022 das weitere gemeinsame Vorgehen der Datenschutzaufsichtsbehörden in Deutschland beschlossen.

Der HBDI prüft, welche Landesbehörden Facebook-Seiten betreiben. Der HBDI wirkt darauf hin, dass die von Landesbehörden betriebenen Facebook-Seiten deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können. Dieser zu erbringende Nachweis umfasst vor allem den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit für die Datenverarbeitung, die Facebook bisher verweigert. Außerdem müssen die Seitenbetreiber ausreichend die Facebook Nutzenden gemäß Art. 13 DSGVO darüber informieren, welche Daten über sie von ihnen und Facebook für welche Zwecke verarbeitet werden. Sie müssen sicherstellen, dass sie und Facebook nicht ohne die nach § 25 TTDSG erforderliche Einwilligung Cookies in den Endgeräten der Nutzenden setzen und auslesen oder ihr Verhalten auf andere Weise verfolgen und auswerten. Schließlich müssen sie gewährleisten, dass keine personenbezogenen Daten in Drittstaaten übertragen werden und dort in den Zugriffsbereich von Behörden geraten.

Roßnagel anerkennt „die Aufgabe der öffentlichen Stellen, die Bürgerinnen und Bürger zu Informieren und erkennt auch die Reichweite dieser Medien. Ich betone aber auch die besondere Verantwortung öffentlicher Stellen, ihre Informationsaufgabe ohne Verletzung der Grundrechte der Bürgerinnen und Bürger zu erfüllen. Daher erwarte ich, dass die öffentlichen Stellen in Hessen keine neuen Facebook-Seiten erstellen und sich auf den Weg machen, von den Facebook-Seiten, die sie betreiben, zu datenschutzrechtlich unbedenklichen Alternativen für ihre Öffentlichkeitsarbeit zu wechseln. Grundlage der Öffentlichkeitsarbeit kann auch eine gut gepflegte Homepage sein.“

Bei einem Wechsel müssen die öffentlichen Stellen sicherstellen, dass die gewählte Alternative keine vergleichbaren Datenschutzprobleme verursacht. Bis dieser Wechsel vollzogen ist, dürfen sie keine Informationen exklusiv auf Facebook anbieten, sondern müssen für die Veröffentlichung dieser Informationen immer auch mindestens einen zweiten Kommunikationskanal nutzen, der keine datenschutzrechtlichen Bedenken hervorruft und auf diesen ausdrücklich hinweisen.

Der HBDI informiert die seiner Aufsicht unterstehenden öffentlichen Stellen über das Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages.

Links: 

Beschluss der DSK v. 23. März 2022Öffnet sich in einem neuen Fenster

Kurzgutachten der DSKÖffnet sich in einem neuen Fenster