Der Bundesdatenschutzbeauftragte Ulrich Kelber schreitet erneut zur Tat und untersagt dem Presse- und Informationsamt der Bundesregierung (BPA) das Betreiben einer Facebook-Fanpage der Bundesregierung.
Der Inhalt im Überblick
Betrieb von Facebook-Fanpages zurzeit nicht datenschutzkonform möglich
Datenschützer mahnen schon sehr lange die fehlende Vereinbarkeit von Facebook-Fanpages mit dem Datenschutz an – und zwar aus folgenden Gründen:
Verstöße gegen die DSGVO
Das grundlegende Problem besteht schon darin, dass beim Aufruf einer Internetseite, die mit einem Like- oder Share-Button von Facebook ausgestattet ist oder die über eine eingebettete Facebook-Fanpage verfügt, auf dem Computer des Nutzers ein Cookie abgelegt wird, der sein gesamtes Surfverhalten durch das Internet verfolgt – unabhängig davon, ob der Nutzer einen Facebook-Account hat oder nicht. Das bedeutet, grundsätzlich erfolgt eine Verarbeitung personenbezogener Daten ohne Kenntnis der Nutzer bzw. ohne Einwilligung oder einer anderen Rechtsgrundlage, sodass bereits aus diesen Gründen keine DSGVO-Konformität gegeben ist.
EuGH-Urteil zur „Gemeinsamen Verantwortlichkeit“ bei Facebook
Zudem betonte der EuGH in einem Urteil aus dem Jahre 2018 bereits, dass die Hürden für eine datenschutzkonforme Facebook-Nutzung für öffentliche Stellen hoch sind, da sie gemeinsam mit (nunmehr) Meta datenschutzrechtlich als Verantwortliche einzustufen sind.
Mit Stellungnahme der Datenschutzkonferenz (DSK) zu dem Urteil erklärte diese dann auch, „die Zeit der Verantwortungslosigkeit“ sei vorbei und das Urteil bedeute dringenden Handlungsbedarf für die Betreiber von Fanpages. Allerdings stellte sie auch klar, dass die Probleme nur dann überwunden werden könnten, wenn Meta selbst an der Lösung mitwirken würde und ein DSGVO-konformes Produkt anbieten würde.
Zusammen mit dem sog. „Schrems II“-Urteil des EuGHs vom 16.07.2020, seit dem u. a. ein angemessenes Datenschutzniveau in den USA eindeutig zu verneinen ist, ergibt sich das Bild, dass der Betrieb von Facebook-Fanpages datenschutzrechtlich mehr als schwierig bis unmöglich ist.
Facebook-Fanpage der Bundesregierung
Das Bundespresseamt (BPA) betreibt eine Facebook-Fanpage der Bundesregierung. Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), gestützt auch durch das Kurzgutachten der DSK zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18. März 2022 ist ein datenschutzkonformer Betrieb von Fanpages nicht möglich. Auch eine zwischenzeitliche Änderung der Datenschutzrichtlinie, der Nutzungsbedingungen und des Cookie-Banners änderte nichts an dem Ergebnis des Kurzgutachtens, welches am 10. November 2022 aktualisiert wurde.
Der BfDI hat am 20. Mai 2019 und 16. Juni 2021 Rundschreiben an öffentliche Stellen versandt und auf diesen Umstand hingewiesen. Nachdem auch hiernach das BPA den Betrieb der Fanpage nicht unterließ, hat der BfDI die Behörde im Juni 2022 förmlich zu der Frage angehört. Nach Angaben des BfDI hat das BPA die Aufsichtsbehörde allerdings auch im Rahmen der Anhörung nicht von einem datenschutzkonformen Betrieb der Fanpage überzeugen können. Der Datenschutzbeauftragte erließ unter dem 17. Februar 2023 einen Bescheid gegen das BPA.
Bescheid an das BPA
Nach Darstellung des BfDI stehen gerade Behörden in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Insbesondere kritisiert wird, dass eine wirksame Rechtsgrundlage für die Datenverarbeitung im Rahmen der Fanpage nicht existiert. Darüber hinaus fehlt eine Einwilligung in die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz. Gegen diese Pflichten habe die Behörde ausweislich des Tenors fahrlässig verstoßen. Mit dem vorgenannten Bescheid wird das BPA daher verwarnt sowie verpflichtet, den Betrieb der Fanpage innerhalb von vier Wochen nach Bekanntgabe des Bescheides zu unterlassen. In diesem Zeitraum kann das BPA gegen den Bescheid Klage erheben.
Nach einer Stellungnahme der BPA-Sprecherin gegenüber heise online werde der Bescheid „eingehend und sorgfältig“ geprüft werden. Sodann werde eine Entscheidung über die weiteren Schritte getroffen. Bis dahin betreibt das Amt die Seite mit über einer Million Follower weiter.
Datenschutz und Medienkommunikation – Reformbedarf?
Wenngleich das BfDI formaljuristisch recht behält, hinterlässt diese Entscheidung einen unangenehmen Nachgeschmack im Hinblick auf einer demokratietheoretischen Meta-Ebene. Denn diese Entscheidung gilt nicht nur für die Facebook-Fanpage der Bundesregierung, sondern auch für die Präsenz in den sozialen Medien generell. Ungeachtet der datenschutzrechtlichen Fragestellung und der darüber hinausgehenden Vorbildfunktion des BPA, bleibt aus dem Prisma der politischen Kommunikation in einer Demokratie fraglich, wie sonst wichtige Kommunikationskanäle von staatlichen Institutionen genutzt werden dürfen.
Mit Spannung ist aber erst mal die Entscheidung über etwaige Rechtsmittel und insbesondere die entsprechende Klagebegründung abzuwarten.
Update: Das Bundespresseamt hat mittlerweile Klage beim VG Köln eingereicht.
Ein Teil der Ministerien und Behörden nebst Parteien sind bereits auf Mastodon. Im Fediverse gibt es keine kommerziellen, trackenden US-Medien. Das Fediverse ist der Weg für „social networking“.
Sie schreiben: „Das grundlegende Problem besteht schon darin, dass beim Aufruf einer Internetseite, die mit einem Like- oder Share-Button von Facebook ausgestattet ist oder die über eine eingebettete Facebook-Fanpage verfügt…“
Was ist, wenn diese Voraussetzungen gar nicht gegeben sind (z.B. bei unserer Fanpage)? Dann hat man doch gar kein Problem mit Cookies & Co. und kann die Page weiter betreiben, oder?
Der Fokus unseres Artikels lag nicht auf eine datenschutzrechtliche Beeurteilung von Facebook Fanpages, sondern über den aktuellen Stand im Verfahren zwischen dem BfDI und dem BPA. Deshalb erfolgte hier nur eine generische Analyse.
Zur Vollständigkeit: Die datenschutzrechtliche Problematik ist insbesondere auf die Funktionsweise von Facebook zurückzuführen. Um Facebook Nutzern maßgeschneiderte Werbung zu präsentieren, sammelt das Unternehmen so viele Daten wie möglich. Dabei werden zwischen 2 Gruppen differenziert werden: Facebook-Mitglied: Übertragung der IP-Adresse und Setzen/Übertragung des datr-Cookie und Übertragung des c_user-Cookies. Nicht-Facebook-Mitgliedern oder ausgeloggtes Facebook-Mitglied: Übertragung der IP-Adresse und Setzen/Übertragen des datr-Cookie. Der c_user-Cookie enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Dadurch wird es möglich das Mitglied identifizieren, den Aufruf der Webseite mit der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage zu personalisieren.
Was ist eigentlich mit Twitter, Instagram, TikTok, Jira, Confluence, Github, Slack und den Adobe-Cloud-Produkten? Im Fokus ist hier mW nur MS Office 365 bzw. MS Teams.
Da stellen sich mE in aller Regel die gleichen grundsätzlichen Probleme – gemeinsame Verantwortlichkeit bei fehlender Vereinbarung, mangelnde Transparenz, problematische Rechtsgrundlage usw. usf.. Dennoch ist es verdächtig still.
Vielleicht ein besserer Weg aber halt in der Form aktuell keine wirkliche Alternative. Zumal es vom Handling her weiterhin sehr nutzerunfreundlich wirkt und einfach keine Reichweite hat. Themen spezifisch Netzwerken kann man hier und da vielleicht, aber viele Menschen flächendeckend hinsichtlich wichtiger Themen informieren oder warnen, keine Chance.