Facebook Seiten von öffentlichen Stellen auf dem Prüfstand

estimated reading time: 7 min

Viele Unternehmen, aber auch Behörden, Kommunen und andere öffentliche Stellen betreiben eigene Facebook-Seiten, mit denen sie sich und ihre Arbeit in dem sozialen Netzwerk präsentieren. Allerdings ist es gegenwärtig nicht möglich, solche Facebook-Seiten in datenschutzkonformer Weise zu betreiben. Die öffentlichen Stellen in Hessen sind an Recht und Gesetz gebunden und tragen daher eine besondere Verantwortung gegenüber den Besucherinnen und Besuchern ihrer Facebook-Seiten.

Zum Hintergrund

Facebook bietet neben den sog. Profilen, die nur natürliche Personen erstellen und nutzen können, auch sog. Seiten (= Pages, früher Fanpages genannt) an, mit denen Institutionen wie z.B. Unternehmen, Vereine oder staatliche Stellen eigene Präsenzen im Facebook-Netzwerk betreiben können. Sie können darüber insbesondere Mitteilungen und sonstige Inhalte wie Fotos oder Videos teilen, mit Facebook-Nutzern direkt kommunizieren oder interagieren oder Facebook-Werbedienste nutzen.

Auch in Hessen betreiben viele Behörden, Kommunen und andere öffentliche Stellen zusätzlich zu einer klassischen Website eine solche Seite auf Facebook. Diese wird häufig dazu genutzt, um Informationen aus dem eigenen Geschäftsbereich zu verbreiten, allgemeine Öffentlichkeitsarbeit zu betreiben oder eine niedrigschwellige Kontaktmöglichkeit für Bürgerinnen und Bürger anzubieten.

Mit dem Betrieb von Facebook-Seiten gehen jedoch einige datenschutzrechtliche Probleme einher. So können z.B. beim Teilen bestimmter Inhalte oder der öffentlichen Kommunikation auf Facebook personenbezogene Daten gegen den Willen oder sogar ohne das Wissen der Betroffenen weltweit verbreitet werden. Aus datenschutzrechtlicher Sicht noch weitaus problematischer ist jedoch die Verarbeitung von Nutzerdaten im Hintergrund.

Facebook sammelt mittels Cookies und ähnlicher Technologien Daten der Nutzer und Besucher von Facebook-Seiten – unabhängig davon, ob sie selbst ein Facebook-Konto besitzen. Ein Teil dieser Daten wird im Rahmen der von Facebook „Insights“ genannten Funktion den Seiten-Betreibern für Zwecke der Webanalyse zur Verfügung gestellt. Diese erhalten so statistische Informationen über die Besucher der jeweiligen Seite. Darüber hinaus erhebt Facebook vor allem aber auch für eigene Zwecke Daten, erstellt umfangreiche Nutzerprofile und nutzt sie gewinnbringend, vor allem zur Vermarktung individualisierter Werbung. Der Umfang und das persönlichkeitsrechtliche Risiko dieser Datenverarbeitung sind größer, als den meisten Nutzern und Betreibern von Facebook-Seiten vermutlich bewusst ist. Facebook kann mehrere hundert Arten von persönlichen Merkmalen erfassen, speichern, auswerten und zu Werbezwecken nutzen. Schon der Besuch weniger Facebook-Seiten und mit Facebook verknüpfter Webseiten ermöglicht präzise Rückschlüsse auf beispielsweise Alter, Geschlecht, Herkunft, persönlichen Geschmack und möglicherweise sogar sensible Informationen wie sexuelle Orientierung oder politische Einstellung eines einzelnen Nutzenden. Je länger entsprechende Daten gesammelt werden, desto umfassender und genauer werden die Profile zur einzelnen Person.

Zur Rechtslage

Lange war umstritten, ob der Betrieb von Facebook-Seiten/Fanpages gegen datenschutzrechtliche Vorgaben verstößt. Dies zu beurteilen ist nicht zuletzt deshalb schwierig, weil Facebook weder den Betreibern und Nutzern von Seiten noch den Aufsichtsbehörden gegenüber offenlegt, welche Datenverarbeitungsvorgänge genau mit Facebook-Seiten verbunden sind.

Inzwischen ist die Rechtslage jedoch durch ein Urteil des EuGH (Urteil vom 05.06.2018, C-210/16) sowie mehrere Urteile deutscher Gerichte (insb. BVerwG, Urteil vom 11.09.2019, 6 C 15.18) geklärt. In diesen Verfahren ging es um eine Verfügung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH), das einem Unternehmen den Betrieb seiner Fanpage untersagt hatte. Diese Verfügung wurde vom OVG Schleswig-Holstein mit inzwischen rechtskräftigem Urteil schlussendlich für rechtmäßig befunden (Urteil vom 25.11.2021, 4 LB 20/13).

Von den Gerichten wurde insbesondere festgestellt, dass die datenschutzrechtliche Verantwortung für den Betrieb einer Facebook-Seite nicht alleine bei Facebook liegt. Vielmehr sind auch die Betreiber der Seiten gemeinsam mit Facebook gem. Art. 26 der Datenschutz-Grundverordnung (DS-GVO) rechtlich verantwortlich für die damit verbundene Datenverarbeitung.

Aus dieser gemeinsamen Verantwortlichkeit ergeben sich für beide Verantwortliche verschiedene datenschutzrechtliche Pflichten, beispielsweise hinsichtlich der Transparenz und der Rechtmäßigkeit der Datenverarbeitung. Facebook kommt seinen diesbezüglichen Pflichten aber weder selbst in ausreichendem Umfang nach, noch stellt es den mitverantwortlichen Seiten-Betreibern die notwendigen Informationen zur Verfügung, die diese benötigen, um wiederum ihren Verpflichtungen nachkommen zu können. So genügt z.B. die von Facebook nach dem Urteil des EuGH bereitgestellte Vereinbarung („Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) nicht den Anforderungen des Art. 26 DS-GVO (s. auch Beschluss der Datenschutzkonferenz vom 01.04.2019Öffnet sich in einem neuen Fenster). Auch können die Seiten-Betreiber ihre Informationspflichten nach Art. 13 DS-GVO nicht erfüllen, da Facebook auch ihnen gegenüber nicht transparent macht, welche Datenverarbeitung mit dem Betrieb und der Nutzung von Facebook-Seiten genau verbunden ist.

Zudem ergeben sich auch aus der Übermittlung von Daten in die USA sowie durch den möglichen Zugriff auf Daten europäischer Nutzer durch US-Sicherheitsbehörden datenschutzrechtliche Probleme. Zwar ist die Meta Platforms Ireland Ltd. (zuvor: Facebook Ireland Ltd.) mit Sitz in der EU Vertragspartner der europäischen Facebook-Kunden, diese ist aber Tochterunternehmen des US-Unternehmens Meta Platforms, Inc. (bis 2021: Facebook Inc.). Beide Unternehmen tauschen permanent Daten aus und es ist davon auszugehen, dass dies auch personenbezogene Daten europäischer Nutzender betrifft. Da die weitreichenden Befugnisse amerikanischer Sicherheitsbehörden auch auf Tochterunternehmen von US-Unternehmen mit Sitz im Ausland Anwendung finden, ist zudem ein Zugriff auf bei Meta Platforms Ireland Ltd. gespeicherte Daten durch US-Behörden zumindest möglich. Bisher ist nicht ersichtlich, dass Facebook hinreichende Maßnahmen im Sinne des EuGH (Urteil vom 16.07.2020, C 311/18 – „Schrems II“) getroffen hätte, um die Rechte der Betroffenen in einer solchen Konstellation zu schützen.

Die ergangenen Urteile beziehen sich grundsätzlich auf den o.g. Bescheid des ULD SH aus dem Jahr 2011 und damit auf die zu diesem Zeitpunkt geltende Rechtslage sowie auf den Dienst „Fanpage“, in der Form, in der er damals von Facebook angeboten wurde. Eine von der Datenschutzkonferenz beauftragte Taskforce bestehend aus spezialisierten Mitarbeitern mehrerer deutscher Datenschutzaufsichtsbehörden hat jedoch gutachterlich festgestellt, dass sich die in den Urteilen getroffenen Feststellungen auch auf den aktuellen Facebook-Dienst „Seiten“, der den damaligen „Fanpages“ weitgehend entspricht, sowie die heutige RechtslageÖffnet sich in einem neuen Fenster übertragen lassen. Obwohl seither mehr als 10 Jahre vergangen sind, hat die Meta Platforms Ireland Ltd. den Dienst nicht an geltendes Recht angepasst.

Das Gutachten der Taskforce kommt darüber hinaus zu dem Schluss, dass auch die seit dem 01.12.2021 geltenden Anforderungen an das Setzen und Auslesen von Cookies aus dem Telekommunikation‐Telemedien‐Datenschutzgesetz (TTDSG) von den gemeinsam verantwortlichen Seiten-Betreibern und Facebook nicht eingehalten werden.

Alle diese datenschutzrechtlichen Defizite können ohne die aktive Unterstützung durch Facebook von den Seiten-Betreibern alleine weder ausgeräumt, noch – beispielsweise durch das Einholen von Einwilligungen – umgangen werden.

Zu den Folgen:

Solange Facebook die Datenverarbeitung bei seinen „Seiten“ nicht

• ausreichend transparent macht,
• den Seiten-Betreibern eine Vereinbarung zur Verfügung stellt, die den Ansprüchen des Art. 26 DS-GVO genügt,
• nachweisbar die Anforderungen des § 25 TTDSG erfüllt,
• sich nachweisbar an die Grenzen zulässiger Datenverarbeitung hält und
• nachweisbar notwendige Schutzmaßnahmen zur Absicherung des Datentransfers in die USA ergreift,

begegnet der Betrieb von Facebook-Seiten erheblichen datenschutzrechtlichen Bedenken.

Die Betreiber von Facebook-Seiten können daher ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nicht nachkommen. Nach der Feststellung des OVG Schleswig-Holstein ist das Betreiben einer Facebook-Seite somit ein „schwerwiegender Verstoß gegen datenschutzrechtliche Vorschriften“.

Daher hat die Datenschutzkonferenz am 23.03.2022 einen BeschlussÖffnet sich in einem neuen Fenster getroffen, der bundesweit Grundlage für ein gemeinsames und einheitliches Vorgehen der Aufsichtsbehörden darstellt. Dieser folgt auf mehrere Veröffentlichungen, mit denen die Datenschutzkonferenz bereits seit Jahren auf die bestehenden Defizite hinweist (u.a. Entschließung vom 06.06.2018Öffnet sich in einem neuen Fenster, Beschluss vom 05.09.2018Öffnet sich in einem neuen Fenster, Beschluss vom 01.04.2019Öffnet sich in einem neuen Fenster).

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit ist sich der großen Bedeutung von Facebook-Seiten für die Öffentlichkeitsarbeit von Behörden und anderen öffentlichen Stellen bewusst. Dennoch sind die Datenschutzaufsichtsbehörden und damit auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit verpflichtet, dafür Sorge zu tragen, dass die Seitenbetreiber ihrer Verantwortung gerecht werden und die Grundrechte der Besucherinnen und Besucher ihrer Seiten nicht gefährden. Gerade öffentliche Stellen sind an Recht und Gesetz gebunden und erfüllen eine Vorbildfunktion. Daher müssen sie auch in diesem Punkt den Bedenken und der eindeutigen Rechtsprechung Rechnung tragen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit weist daher ausdrücklich auf die nunmehr geklärte Rechtslage hin und erwartet, dass die öffentlichen Stellen in Hessen keine neue Facebook-Seiten erstellen und von den Facebook-Seiten, die sie betreiben, zu alternativen, datenschutzrechtlich unbedenklichen Wegen für ihre Öffentlichkeitsarbeit wechseln. Bei einem Wechsel müssen sie sicherstellen, dass die gewählte Alternative keine vergleichbaren Datenschutzprobleme verursacht. Bis dieser Wechsel vollzogen ist, dürfen sie keine Informationen exklusiv auf Facebook anbieten, sondern müssen für die Veröffentlichung dieser Informationen immer auch min destens einen zweiten Kommunikationskanal nutzen, der keine datenschutzrechtlichen Bedenken hervorruft und auf diesen ausdrücklich hinweisen.

Stand: 06.04.2022