Rückzug der öffentlichen Stellen aus den sozialen Medien?

Betreibt ein privatwirtschaftliches Unternehmen oder eine öffentliche Stelle einen Account, so kommt es zur Verarbeitung von Nutzerdaten durch den Accountinhaber, wie auch durch den Plattformbetreiber. Der EuGH stellte in seiner Entscheidung (C-210/16) daher fest, dass der Betrieb einer Facebook-Fanpage zu einer gemeinsamen Verantwortlichkeit zwischen dem Fanpage-Betreiber und dem Plattformbetreiber Facebook im Sinne des § 26 DSGVO führt. Dieses Urteil bestätigte das Bundesverwaltungsgericht für das deutsche Recht im Oktober 2019 (BVerwGE 6 C 15.18). Da Facebook durch den Betrieb der Fanpage die Möglichkeit erhalte, auf dem Endgerät des Fanpagebesuchers Cookies zu platzieren, sei es Facebook unbeschränkt möglich, personenbezogene Daten der Fanpagebesucher zu verarbeiten. Da der Fanpage-Betreiber ebenfalls von der Datenverarbeitung profitiere, etwa indem ihm eine Statistik mit den ausgewerteten Ergebnissen zur Verfügung gestellt wird, um seine Fanpage optimieren zu können, bestehe auch ein nach Art. 26 DSGVO erforderlicher gemeinsamer Zweck.

Die Mitverantwortlichkeit hat zur Folge, dass den Fanpage-Betreiber - gemeinsam mit Facebook - die Pflichten der DSGVO vollumfänglich treffen. Doch ist eine Erfüllung der datenschutzrechtlichen Anforderungen in diesen Fällen in der Praxis tatsächlich umsetzbar? Die nachfolgenden Beispiele sollen die Diskrepanzen von Theorie und Praxis verdeutlichen:

Gesetzliche Rechtsgrundlage

Der LfDI Rheinland-Pfalz (LfDI) geht in seinem Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen davon aus, dass der Betrieb einer Facebook-Fanpage nur unter bestimmten Voraussetzungen als datenschutzkonform angesehen werden kann. In dem Leitfaden geht der LfDI dabei auf verschiedene Punkte ein. Unter anderem wird die Frage erörtert, ob für die Datenverarbeitung beim Betreiben einer Fanpage überhaupt eine Rechtsgrundlage vorhanden ist. Der LfDI geht schließlich davon aus, dass sich die öffentlichen Stellen nicht auf Art. 6 Abs. 1 S. 1 lit. e) DSGVO und ihre Öffentlichkeitsarbeit berufen können, sondern allein eine Einwilligung des Nutzers im Sinne von Art. 6 Abs. 1 S. 1 lit. a) DSGVO in Betracht komme.

Einwilligung durch den Nutzer

Bei der Frage nach dem Vorliegen einer wirksamen Einwilligung differenziert der LfDI zunächst zwischen registrierten und nicht registrierten Nutzern. Bei den registrierten Nutzern lasse sich eine Einwilligung durch die Anmeldung bei dem sozialen Netzwerk und die Zustimmung zu den Nutzungsbedingungen fingieren. Allerdings sei dabei entscheidend, dass die entsprechenden Nutzungsbedingungen diejenigen Informationen enthalten, die zur Einhaltung der Informationspflichten nach der DSGVO erforderlich sind und die Nutzungsbedingungen auch sonst den Grundsätzen der DSGVO genügen. Gerade mit Blick auf das Transparenzgebot dürfte dies jedoch häufig fraglich sein.

Bei nicht registrierten Nutzern erfolgt zunächst keinerlei Zustimmung beim Aufruf der Webseite, sodass eine gesonderte Einwilligungserklärung eingeholt werden muss. Wird eine solche nicht eingeholt und ist der Besuch der Fanpage dennoch möglich, ist nach Auffassung des LfDI die Datenverarbeitung rechtswidrig und der Betrieb der Fanpage somit nicht datenschutzkonform.

Der Fanpage-Betreiber hat jedoch in der Regel keine Möglichkeit, die technischen Voraussetzungen der Plattform anzupassen, um auf diese Weise die erforderlichen Einwilligungserklärungen einzuholen. Zudem fehlt dem Betreiber schlichtweg der Einfluss auf die vom Plattformbetreiber gegenüber dem Nutzer gestellten Nutzungsbedingungen.

Joint-Controller-Vereinbarung

Sind zwei oder mehr Parteien für die Datenverarbeitungsprozesse gemeinsam verantwortlich, so ist der Abschluss einer Joint-Controller-Vereinbarung gemäß Art. 26 DSGVO zwingend – fehlt es an dieser Vereinbarung, ist die Datenverarbeitung rechtswidrig.

Der EuGH hat im Fall von Facebook entschieden, dass es sich beim Plattformbetreiben und den jeweiligen Fanpage-Betreibern um gemeinsame Verantwortliche im Sinne der DSGVO handelt (die zu den Facebook-Fanpages dargestellte Problematik lässt sich grundsätzlich auch auf andere Social Media-Angebote übertragen, wird hier aber zunächst weiter anhand von Facebook erläutert).

Facebook stellte den Fanpage-Betreibern seinerzeit eine Informationen zur Datenverarbeitung („Insights“) zur Verfügung, mit der die rechtlichen Anforderungen erfüllt sein sollten. Nach Auffassung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) sind diese Informationen jedoch gerade nicht ausreichend, um den Anforderungen der DSGVO zu genügen. Auch nach einer Beanstandung durch die DSK und eine daraufhin erfolgte Überarbeitung der Vereinbarung sind noch immer nicht alle Fragen der DSK umfassend geklärt. Für den Fanpage-Betreiber bedeutet dies, dass er die fehlenden Informationen letztlich bei Facebook einholen und eine Vereinbarung gemäß Art. 26 DSGVO schließen muss.

Aufgrund der fehlenden Kooperationsbereitschaft von Facebook ist der Abschluss einer individuellen Vereinbarung aktuell allerdings sehr unwahrscheinlich, weswegen ein datenschutzkonformer Betrieb von Facebook-Fanpages wohl weiterhin nicht möglich sein wird.

Wie wir bereits vor kurzem berichtet haben kam der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI)Baden-Württemberg, Stefan Brink, aufgrund datenschutzrechtlichen Bedenken zu dem Entschluss, seinen amtlichen Twitter-Account zum 31. Januar 2020 aufzugeben. Seiner Auffassung nach gelten für den Betrieb eines Twitter-Accounts ähnliche Voraussetzungen wie bei einer Facebook-Fanpage: Twitter Inc. bilde umfassende Profile durch Tracking und werte das Verhalten seiner Nutzer und übrigen Twitter-Leser aus, was einen erheblichen Eingriff in die informationelle Selbstbestimmung der Betroffenen bedeute. Der Nutzer könne das Tracking und Analysieren seiner Follower bei Twitter auch nicht unterbinden. Daher komme es auch in dieser Konstellation zu einer Mitverantwortlichkeit zwischen Account-Inhaber und Netzwerkbetreiber. Allerdings gibt es keine Joint-Controller-Vereinbarung im Sinne von Art. 26 DSGVO zwischen dem Inhaber des Accounts und Twitter. Nach vergeblichen Verhandlungen mit Twitter über eine entsprechende Vereinbarung verwirklichte der LfDI Baden-Württemberg sein Vorhaben, gab seinen Account auf und kündigte darüber hinaus an, auch von anderen öffentlichen Stellen offiziell zu fordern, ihre Social-Media-Accounts zu deaktivieren. Der LfDI Baden-Württemberg betont jedoch, dass er nicht bezwecke, die Kommunikation zwischen Behörden und Bürgern bzw. Unternehmen und Kunden zu unterbinden. Vielmehr wolle er mittelbar Druck auf die in der Regel im Ausland sitzenden Plattformbetreiber ausüben, gegenüber denen die deutschen Aufsichtsbehörden aufgrund ihres Sitzes keine unmittelbaren Anordnungen erlassen können.

Die Entscheidung des LfDI Baden-Württemberg, seinen Twitter-Account zu löschen, basiert letztlich auf dem Grundsatz der rechtsstaatlichen Bindung von Behörden. Behörden sind als vollziehende Gewalt nach Art. 20 Abs. 3 Grundgesetz an Recht und Gesetz gebunden und stehen aufgrund ihrer gesellschaftlichen Vorbildfunktion in einer besonderen Verantwortung. Daher sollte eine Nutzung von sozialen Netzwerken von Behörden erst dann in Betracht gezogen werden, wenn dies auch rechtskonform möglich ist. Somit ist der Entschluss des LfDI Baden-Württemberg, Twitter im Rahmen seiner Vorbildfunktion nicht weiter zu nutzen, zu begrüßen; ebenso seine Ankündigung, ein solches Vorgehen auch von anderen öffentliche Stellen zu fordern.

Auch private Unternehmen sollten bereits über Alternativen und Möglichkeiten nachdenken, die sozialen Medien rechtskonform zu nutzen. Denn die datenschutzrechtlichen Anforderungen für öffentliche Stellen lassen sich auch auf privatwirtschaftliche Unternehmen übertragen. Daher ist auch für sie aktuell ein datenschutzkonformer Betrieb in den meisten Fällen nicht möglich. Ob die Aufsichtsbehörden sich künftig einzelne Unternehmen oder öffentliche Stellen vornehmen, oder umfassend in einer „großen Aufräumaktion“ tätig werden, bleibt abzuwarten. Es gilt jedoch der Grundsatz „keine Gleichheit im Unrecht“, was bedeutet, dass sich (einzelne) Unternehmen und/oder Stellen im Falle einer behördlichen Überprüfung nicht darauf berufen können, dass andere Unternehmen und/oder öffentliche Stellen ebenfalls rechtswidrig handeln. Ein Grund mehr, sich frühzeitig mit dem Thema zu befassen.

Besonders spannend wird letztlich die Frage sein, ob sich durch den schrittweisen Rückzug der Unternehmen und öffentlichen Stellen die großen Plattformbetreiber nun doch in Richtung DSGVO-Konformität bewegen lassen.