Seit Jahren gibt es Konflikte um die Seite der Bundesregierung auf Facebook. Diese erfüllt laut Ansicht des Bundesdatenschutzbeauftragten Ulrich Kelber nicht alle Vorgaben der DSGVO und des TTDSG. Nun hat er der Regierung verboten, die Seite weiter zu betreiben.   

Screenshot der Facebook-Fanpage, 23.2.23

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat das Bundespresseamt (BPA) nach Art. 58 Absatz 2 Datenschutzgrundverordnung (DSGVO) angewiesen, den Betrieb der Facebookseite der Bundesregierung einzustellen. Zu Beginn der Woche hat der BfDI einen entsprechenden 44-seitigen Bescheid versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit, diesen umzusetzen.

Verstoß gegen die DSGVO und TTDSG

Der Konflikt um die Facebook-Seite der Regierung mit aktuell über einer Million Followern besteht schon seit 2019. Nach Ansicht des BfDI verstößt der Betrieb der Seite gegen geltendes Datenschutzrecht. Daran müssten sich vor allem staatliche Behörden wie das BPA vorbildlich halten.

Die DSGVO der EU verpflichtet das BPA, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO nachzuweisen (Rechenschaftspflicht). Einen solchen Nachweis habe das BPA nicht überzeugend erbringen können und so fahrlässig gegen diese Pflicht verstoßen, so Kelber.

Außerdem verstoße die Regierung mit ihrer Seite auch fahrlässig gegen Art. 5 Abs. 1 lit. 1 i.V.m. Art. 6 Abs. 1 DSGVO, da für die Übermittlung der Nutzerdaten an Meta, der Muttergesellschaft von Facebook, keine Rechtsgrundlage existiere. Insbesondere fehle es an einer wirksamen Einwilligung der Nutzer.

Schließlich müsse nach § 25 Abs. 1 S. 1 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebookseite werde eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.  

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Gemeinsame Verantwortlichkeit des BPA und Facebook (Meta)

Die Frage, ob es überhaupt datenschutzkonform möglich ist, Fanpages auf Facebook und anderen sozialen Medien zu erstellen, beschäftigt die Datenschutzbehörden und Gerichte schon seit Jahren. Am 5. Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass der Betreiber einer Facebook-Fanpage als gemeinsam Verantwortlicher im Sinne des Art. 26 Abs. 1 DSGVO mit Meta anzusehen ist (Rechtssache C‑210/16). Wer eine Seite bei Facebook betreibt, muss also auch für Datenschutzverstöße mithaften. Darüber hinaus entschied der EuGH, dass deutsche Datenschutzbehörden zuständig sind und z.B. die Nutzung von Facebook-Fanpages untersagen dürfen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) führte in ihrem Beschluss vom 5. September 2018 zunächst aus, dass für Fanpage-Betreiber ohne eine Vereinbarung nach Art. 26 DSGVO der Betrieb einer Fanpage rechtswidrig sei. Facebook legte in der Folge zwar das sog. „Seiten Insights-Ergänzung“ (sog. Addendum) vor. Das reichte dem BfDI jedoch nicht aus. Insbesondere, weil Facebook selbst nicht dazu bereit war, Änderungen an der eigentlichen Datenverarbeitung vorzunehmen, um bestehende Datenschutzverstöße abzustellen. Außerdem sei es nicht ausreichend sei, dass Fanpage-Betreiber die Besucher der eigenen Seite einfach nur pauschal auf das Facebook-Addendum verweisen. Als mit Facebook gemeinsam Verantwortlicher habe der Seitenbetreiber mehr Pflichten, denen er aber nicht nachkommen könne. Der BfDI informierte daher per Rundschreiben vom 20. Mai 2019 alle Bundesministerien und obersten Bundesbehörden darüber, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage gegenwärtig nicht möglich sei.

Zwar hat das BPA in der Folge die Statistikfunktion von Facebook-Insights abgeschaltet. Doch auch das reichte dem BfDI nicht aus. Denn eine gemeinsame Verantwortlichkeit bestehe zumindest weiterhin für die Datenerhebung durch das Setzen von verschiedenen Cookies. So finde beim Aufrufen der Fanpage eine Erhebung personenbezogener Daten der Fanpage-Besucher und deren Übermittlung an Facebook statt. Hierzu fehle es jedoch an einer wirksamen Einwilligung. Auch bei diesem Prozess seien Fanpage-Betreiber und Facebook gemeinsam verantwortlich. Zu diesem Ergebnis kommt auch ein Kurzgutachten einer „Taskforce Facebook-Fanpages“ der DSK vom 10. November 2022.

Weil Facebook (Meta) also umfassend in nicht zulässiger Weise personenbezogene Daten der Nutzenden verarbeitet und der Fanpage-Betreiber dafür mitverantwortlich sei, sei der datenschutzkonforme Betrieb einer Regierungsseite auf dieser Plattform aktuell nicht möglich, so der BfDI im aktuellen Bescheid. Deshalb müsse der Betrieb der Seite gestoppt werden. Es sei zwar wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Allerdings nur, wenn auch die Rechte der Bürgerinnen und Bürger gewahrt bleiben, so Kelber in dem Bescheid.

Das BPA hat die Möglichkeit, innerhalb eines Monats gegen den Bescheid des BfDI zu klagen. Das Verbot kann – anders als bei Unternehmen – bei Behörden nicht direkt vollzogen werden, weshalb es denkbar ist, dass der Konflikt sich in die Länge zieht und die Facebook-Seite der Bundesregierung noch länger zugänglich bleibt.

Sie haben Fragestellungen im Datenschutzrecht? Unsere erfahrenen Fachanwälte beraten Sie gerne. Wir erarbeiten mit Ihnen schnell und zuverlässig eine sachgerechte Lösung für Ihre datenschutzrechtlichen Anliegen. Rufen Sie uns jederzeit unter 0221 / 951 563 0 (Beratung bundesweit) an.

mha/ahe