Der Bundesdatenschutzbeauftragte schreitet zur Tat und ermittelt nach langem Mahnen in seinem Zuständigkeitsbereich gegen das Presse- und Informationsamt der Bundesregierung (BPA), das die Facebook-Fanpage der Bundesregierung betreibt. Wir skizzieren, was geschah und wohin die Reise führen könnte.
Der Inhalt im Überblick
Betrieb von Facebook Fanpages zurzeit nicht datenschutzkonform möglich
Datenschützer mahnen schon sehr lange die fehlende Vereinbarkeit von Facebook Fanpages mit dem Datenschutz an – und zwar aus folgenden Gründen:
Verstöße gegen die DSGVO
Das grundlegende Problem besteht schon darin, dass beim Aufruf einer Internetseite, die mit einem Like- oder Share-Button von Facebook ausgestattet ist oder die über eine eingebettete Facebook Fanpage verfügt, auf dem Computer des Nutzers ein Cookie abgelegt wird, der sein gesamtes Surfverhalten durch das Internet verfolgt – unabhängig davon, ob der Nutzer einen Facebook Account hat oder nicht. Das bedeutet, grundsätzlich erfolgt eine Verarbeitung personenbezogener Daten ohne Kenntnis der Nutzer bzw. ohne Einwilligung oder einer anderen Rechtsgrundlage, sodass bereits aus diesen Gründen keine DSGVO-Konformität gegeben ist.
EuGH-Urteil zur „Gemeinsamen Verantwortlichkeit“ bei Facebook
Zudem betonte der EuGH in einem Urteil aus dem Jahre 2018 bereits, dass die Hürden für eine datenschutzkonforme Facebook Nutzung für öffentliche Stellen hoch sind, da sie gemeinsam mit (nunmehr) Meta datenschutzrechtlich als Verantwortliche einzustufen sind.
Mit Stellungnahme der Datenschutzkonferenz (DSK) zu dem Urteil erklärte diese dann auch, „die Zeit der Verantwortungslosigkeit“ sei vorbei und das Urteil bedeute dringenden Handlungsbedarf für die Betreiber von Fanpages. Allerdings stellte sie auch klar, dass die Probleme nur dann überwunden werden könnten, wenn Meta selbst an der Lösung mitwirken würde und ein DSGVO-konformes Produkt anbieten würde.
Zusammen mit dem sog. „Schrems II“-Urteil des EuGHs vom 16.07.2020, seit dem u.a. ein angemessenes Datenschutzniveau in den USA eindeutig zu verneinen ist, ergibt sich das Bild, dass der Betrieb von Facebook-Fanpages datenschutzrechtlich mehr als schwierig bis unmöglich ist.
Nun unter der Lupe: Facebook Fanpage der Bundesregierung
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat nun Ermittlungen gegen das Bundespresseamt (BPA) bezüglich der Facebook Fanpage der Bundesregierung aufgenommen und ein entsprechendes Anhörungsschreiben versandt, wie er in seiner Pressemitteilung vom 03.06.2022 erklärt.
Letzte Warnung bereits vor einem Jahr
Letztmalig hatte Herr Kelber alle Bundesministerien und obersten Bundesbehörden vor ca. einem Jahr angeschrieben und sie dazu aufgefordert, ihre Facebook Fanpages spätestens bis zum Jahresende 2021 abzuschalten, außerdem wurden Prüfungen ab 2022 angekündigt.
Zur fehlenden DSGVO-Konformität des Betriebs einer Facebook Fanpage wird in diesem Schreiben ausgeführt, dass es weder eine DSGVO-konforme Vereinbarung zur gemeinsamen Verantwortlichkeit zwischen den Behörden und Meta geben würde, noch ausreichende Datenschutzinformationen für die Nutzer gem. Art. 13,14 DSGVO vorliegen würden. Danach folgt der Verweis auf die „Schrems II“-Entscheidung des EuGHs aus dem Jahre 2020. Herr Kelber betont schließlich die Vorbildfunktion der öffentlichen Stellen des Bundes hinsichtlich der Einhaltung des Datenschutzrechts.
Meta selbst beseitigte angemahnte Datenschutzmängel nicht
Gespräche zwischen dem Bundespresseamt und Meta hatten in der Folge zwar stattgefunden, jedoch laut BfDI nicht – kaum verwunderlich – zur Lösung der datenschutzrechtlichen Probleme geführt.
Eine bei der DSK eingerichtete Task-Force „Facebook Fanpages“ stellte dann auf deren 103. Sitzung im März 2022 ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vor, dem die DSK mit Beschluss vom 23.03.2022 zugestimmt hat. Auch dieses Gutachten kommt zu dem Ergebnis, dass eine DSGVO-konforme Nutzung von Facebook Fanpages zurzeit nicht möglich ist.
Facebook-Fanpages der Behörden im Fokus
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat daraufhin am 04.04.2022 eine Pressemitteilung veröffentlicht, in der es heißt:
„Die Datenschutzbeauftragten der Länder und des Bundes haben (nach der Veröffentlichung des o.g. Gutachtens) beschlossen, die jeweiligen obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK zu informieren, über die Rechtslage aufzuklären und auf eine Deaktivierung der Seiten durch die betroffenen Behörden hinzuwirken, soweit Nachweise für die datenschutzrechtliche Konformität der Fanpage-Nutzung nicht gelingen.“
Das bedeutet: Nun sitzen in einer „konzertierten Aktion“ alle Datenschutzaufsichtsbehörden im Boot und schreiten zur Tat.
Das Ende der Facebook-Seite der Bundesregierung?
Doch trotz alledem blieb das Bundespresseamt bezüglich der Facebook-Fanseite der Bundesregierung weiter untätig, und die Seite ist weiter zu erreichen. Herr Kelber macht nun von den ihm nach Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen Gebrauch und fordert zunächst das Bundespresseamt zu einer Stellungnahme auf, wofür der Behörde in der Regel einen Monat Zeit bleibt. Danach wird der BfDI weitere Schritte prüfen, ein Verbot der Facebook-Seite erscheint möglich.
So deutet sich an, was von den Datenschutzbehörden des Bundes und der Länder (zunächst) auf die Behörden zukommen wird. Noch findet man zahlreiche Akteure der betroffenen Behördenwelt auf Facebook, wie relativ leicht festzustellen ist bei der Eingabe entsprechender Suchbegriffe.
Der Ausweg: Schaffung von DSGVO-konformen Alternativen
Einerseits erhöhen die Aufsichtsbehörden den Druck auf die öffentlichen Stellen als „User“ von Facebook, andererseits gibt es viele Aktivitäten, die auf „datenschutzkonforme Alternativen“ aufmerksam machen und darüber hinaus aktiv einen Wechsel der Plattformen anregen.
Europäische Datenschutzbeauftragte und BfDI
So betreibt der Europäische Datenschutzbeauftragte (EDSB) seit dem 28.04.2022 u.a. eine Mastodon-Instanz unter dem Namen „EU Voice“, die sich als Twitter Alternative für europäische Behörden versteht und der BfDI hat ebenfalls eine Mastodon-Instanz, die Bundes- und Landesbehörden zur Nutzung zur Verfügung steht. Außerdem gibt er mit Pressemitteilung vom 26.04.2022, einen „Schnelleinstieg in das Mastodon-Netzwerk“.
Aktivitäten der Landesaufsichtsbehörden
Die Aufsichtsbehörden der Länder werden ebenfalls tätig. Beispielsweise betreibt auch Herr Brink mit seiner Aufsichtsbehörde Baden-Württemberg einen eigenen Mastodon-Server, auf dem bereits zahlreiche öffentliche Stellen einen Account eingerichtet haben. Dies erklärt er zuletzt in einer Pressemitteilung vom 04.05.2022 und regt an, sein „bekanntes digitales Umfeld zu verlassen“ und neue Plattformen auszuprobieren, die ohne das Erstellen von Profilen und die Herausgabe von Daten zu Werbezwecken auskommen – aus datenschutzrechtlicher Sicht mehr als zu begrüßen.
„Mastodon“ und das „Fediverse“
Bei genauerer Betrachtung von Mastodon wird schnell klar, dass es nur ein Teil einer Welt eines datenschutzkonformen Netzwerkes „von Nutzern für Nutzer“ ist:
„Mastodon ist Teil des sogenannten Fediverse, einem Netzwerk unterschiedlicher Plattformen. Zum Fediverse gehört auch PeerTube – eine Alternative zu YouTube und damit ein Ort, um Videos zu zeigen und diese Inhalte im Internet zu teilen. Auch können via PeerTube Livestreams angeboten werden. Pixelfed ist eine Alternative zu Instagram. Als Audiodienst steht Funkwhale zur Verfügung. Facebook-Alternativen sind etwa Hubzilla und Friendica.“
DSGVO-Konformität möglich
Anders als alteingesessene US-Social-Media-Plattformen handelt es sich bei Mastodon um eine Open-Source-Software, die nicht an den persönlichen Daten der Nutzer interessiert ist und die dezentral (also auf vielen Servern verteilt) organisiert ist. Hier gibt es „Toots“ (oder auf Deutsch „Tröts“) anstatt „Tweets“, und das Ganze dann datenschutzkonform und ohne problematische Drittstaatentransfers.
Die Zukunft gestalten
Der Grundgedanke gefällt – sicherlich nicht nur den zuständigen Datenschutzbeauftragten: Die öffentlichen Stellen des Bundes und der Länder kommen ihrer Vorbildfunktion nach und statuieren ein positives Exempel bezüglich der Einhaltung des Datenschutzrechts hinsichtlich einer datenschutzkonformen Social-Media-Nutzung. Denn natürlich trägt der Umgang der öffentlichen Hand mit dem Schutz der ihr anvertrauten personenbezogenen Daten zur Sensibilisierung der Gesellschaft hinsichtlich des Themas bei.
Die Vermutung liegt dennoch nahe, dass die größte praktische Herausforderung erst dann beginnen wird, wenn die Behörden mehr oder weniger vollständig „umgezogen sind“ bzw. „zum Umzug bewegt wurden“: Die Gesellschaft – und mit ihr die Influencer, Meinungstreiber und jeden Einzelnen – mitzunehmen in eine bessere, DSGVO-konforme Social-Media-Welt.
Es bleibt ein deutsches Thema und damit machen sich die Aufsichtsbehörden lächerlich.
Die französische Aufsichtsbehörde CNIL hat weiterhin eine Facebook Seite…
Wie soll also so etwas DSGVO verletzend sein, wenn Aufsichtsbehörden es selbst nutzen?
Ich hoffe, dass das ganze vor Gericht landet, um hier eine unabhängige Einschätzung zu bekommen.
Der Streit ging schon einmal durch den kompletten Instanzenzug wie Sie etwa unserem Beitrag Facebook Fanpage: Datenschutzprobleme und Lösungsansätze entnehmen können. Da Gerichte aber grundsätzlich nur über den vorliegenden, konkreten Sachverhalt entscheiden, stand am Ende das Urteil, dass im Dezember 2011 ein schwerwiegender Verstoß gegen die datenschutzrechtliche Vorschriften vorlag. Da während der Verfahren eine Menge grundsätzlicher datenschutzrechtlicher Fragen geklärt wurden, sollten zukünftige Gerichtsverfahren aber deutlich schneller entscheiden werden.
Ich hoffe, dass die Aufsichtsbehörden es endlich einmal schaffen auch da anzusetzen wo es sinnvoll ist: Bei Facebook selbst. Die Behörden, Vereine und Firmen sind gefangen im Zwiespalt zwischen DS-GVO Konformität und Monopolstellung der Social Media Seiten: Entweder du kassierst die Strafe von der Aufsicht oder du nimmst nicht mehr am Wettbewerb um Aufmerksamkeit teil und verlierst den Zugang zu deinen Kunden. Das ist kein gutes Umfeld für die Beteiligten.
Nicht das wir Ihnen bei der Problematik widersprechen würden, nur die deutschen Datenschutzaufsichtsbehörden können aufgrund des One Stop Shop nicht gegen Facebook vorgehen. Dafür ist die irische Aufsichtsbehörde zuständig. Deren Arbeit lässt aber mehr als zu wünschen übrig, was auch unsere Artikel Bußgelder nach DSGVO: Irland bezieht Stellung, Ist die irische Datenschutzaufsichtsbehörde absichtlich untätig? und Irland, der Flaschenhals des europäischen Datenschutzes über die Jahre festgehalten haben.
Daher versucht man hier über Bande zu spielen. Das Kalkül war, wenn Facebook droht, dass die europäischen Nutzer wegbrechen, würden diese die beanstandete Geschäftspraktik von sich aus ändern. Das dies grundsätzlich zulässig ist, hat das Bundesverwaltungsgericht bereits bestätigt (Leitsatz 2 und 3). Von der Drohung und den anschließenden Gesprächsbemühungen der Behörden hat sich Facebook bisher noch nicht sonderlich beindrucken lassen. Daher ist es folgerichtig nun mit der Durchsetzung zu beginnen, um den Druck auf Facebook zu erhöhen. Unseres Wissen nach fangen die Datenschutzbehörden dabei bewusst aus Fairness mit dem öffentlichen Bereich an, weil diese keine Bußgelder zu befürchten haben.
Ein Schritt in die richtige Richtung. Aber warum sind die Aufsichtsbehörden so langsam? Die verbreitete Nutzung anderer Dienste wie Twitter, WhatsApp, Instagram, etc. sollte ja auch eingeschränkt werden, ebenfalls Google Maps und Fonts etc. Wer sich mal den Spaß macht und ein paar Scanner über die Webseiten jagt, stellt schnell fest, dass es auch andere Behörden hier nicht so genau nehmen. Nicht nur auf Bundesebene sondern auch Kommunen, Landesbehörden, Schulen, Universitäten etc. Ganz abgesehen von der Nutzung von Microsoft 365 usw. Auch für die Digitalisierung der Behörden z.B. über ‚Service BW‘ gibt es von Seiten der Anbieter/Betreiber nur rudimentäre Infos zum Datenschutz. Da sind noch viele Lücken zu schließen, aber die öffentlichen zahlen ja auch keine Bußgelder.
Das eigentliche Problem ist doch was anderes: Der eigentliche Verursacher der Datenschutzverstöße ist Facebook. Die zu belangen wird aber nicht einmal versucht. Dass das den Datenschutz und letztendlich die ganze EU unglaubwürdig macht, scheint aber keiner zu bemerken.
Für die einzelnen Behörden stellt sich die Frage, warum sie auf Kanälen, die keiner wahrnimmt, kommunizieren sollen. Also werden sie es künftig ganz lassen. Und da wundert sich noch einer, dass die Digitalisierung des öffentlichen Bereichs in Deutschland nicht vorankommt?
Zu 1 siehe Antwort auf Stephan, zu 2 das ist so ein bisschen ein Henne Ei Problem. Wer muss zuerst die Plattform wechseln, die Behörden, Unternehmen und Influencer, damit die Nutzer nachkommen oder die Nutzer, damit die Behörden, Unternehmen und Influencer nachkommen. Und keiner möchte dabei den ersten Schritt machen, da man wohl möglich am Ende allein dastehen könnte, wodurch es dann zu dem Lock-In-Effekt großer Netzwerke kommt.
Ich stimme Ihnen zu, der Verursacher ist Facebook. Gehen die Unternehmen aber auf eine DSGVO beachtende Plattform, dann wird Facebook sich auch anders entscheiden, so ist der Wettbewerb nun einmal. Ein wenig Exklusivität läge darin ja auch, sich für eine andere Lösung zu entscheiden.