In einem Rundschreiben vom 20. Mai 2019 an alle obersten Bundesbehörden hatte der BfDI bereits betont, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage derzeit nicht möglich sei. Hierbei hat er auf die Erforderlichkeit hingewiesen, dass öffentliche Stellen, die eine Fanpage betreiben, mit Facebook eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen des Art. 26 DSGVO entspricht.
Da das Presse- und Informationsamt der Bundesregierung (BPA) Facebook diesbezüglich kontaktierte, hat der BfDI unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes zunächst von Abhilfemaßnahmen abgesehen. Dies galt allerdings nur unter der Prämisse, dass die Verhandlungen mit Facebook nachweisbare Fortschritte machen und erkennbare Aussicht auf einen zeitnahen Erfolg haben.
Im Ergebnis hat Facebook auch dem BPA nur das „Addendum“ von Oktober 2019 übersandt (hier abrufbar). Aus Sicht der Datenschutzbehörden von Bund und Ländern ist das „Addendum“ jedoch weiterhin unzureichend, was sich nach Ansicht des BfDI darin zeige, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit sei.
Rundschreiben an alle Bundesministerien
Daher stellte der BfDI in seinem erneuten Rundschreiben an alle Bundesministerien und obersten Bundesbehörden vom 16. Juni 2021 klar, dass ihm ein längeres Abwarten angesichts der fortdauernden Verletzung des Schutzes personenbezogener Daten der Nutzerinnen und Nutzer nicht möglich sei.
Die Betreiber von Facebook-Fanpages könnten ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO weiterhin nicht nachkommen. Es sei insbesondere nicht ausreichend, die Nutzer in Bezug auf Informationen zur Verarbeitung ihrer personenbezogenen Daten im Rahmen einer Facebook-Fanpage allein pauschal auf Facebook zu verweisen.
Dabei enthält das Rundschreiben (Juni 2021) folgende Kernaussagen:
- Der BfDI empfiehlt ausdrücklich, die Facebook-Auftritte von öffentlichen Stellen des Bundes bis Ende des Jahres 2021 abzuschalten.
- Ab Januar 2022 beabsichtigt der BfDI – im Interesse der betroffenen Bürgerinnen und Bürger – schrittweise von den nach Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen Gebrauch zu machen.
Hierbei betonte der BfDI, dass die öffentlichen Stellen des Bundes in besonderem Maße an Recht und Gesetz gebunden seien und ihnen im Hinblick auf die Einhaltung des Datenschutzrechts eine Vorbildfunktion zukomme, weshalb er sie besonders in der Pflicht sehe, sich datenschutzkonform zu verhalten.
Prüfung weiterer Dienste
Im gleichen Zuge gab der BfDI bekannt, dass er derzeit auch die Apps von Instagram, Tiktok und Clubhouse überprüfe. Die Auswertung der technischen Prüfung seien zwar noch nicht abgeschlossen, erste Ergebnisse zeigten aber bereits, dass auch hier datenschutzrechtliche Defizite bestünden.
Drittlandproblematik
Des Weiteren hat der BfDI noch einmal auf die Drittlandproblematik hingewiesen:
Der EuGH hat in seinem Schrems II-Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn in dem jeweiligen Drittstaat ein der DSGVO gleichwertiges Datenschutzniveau gewährleistet ist. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint. Zu beachten ist dabei, dass die nicht nur personenbezogene Daten betrifft, die Verantwortliche aus dem Europäischen Wirtschaftsraum direkt an Partner in Drittstaaten übermitteln, sondern auch personenbezogene Daten, die bei der Nutzung bestimmter IT-Verfahren an ein Drittland abfließen.
Der zweite Fall spielt gerade bei Diensten wie Facebook eine Rolle, da auch hier trotz Rechenzentren in der EU ein Abfluss von Daten in die USA (Facebook Inc.) nicht ausgeschlossen ist.
Fazit:
Es bleibt abzuwarten, wie die öffentlichen Stellen des Bundes auf die nun angekündigten Maßnahmen des BfDI reagieren werden. Dies auch vor dem Hintergrund, dass einzelne Ressorts, die Facebook-Fanpages betreiben, dem BfDI bereits mitgeteilt haben, dass die Fanpages ein wichtiges Element ihrer Öffentlichkeitsarbeit darstellen. Sofern Facebook seine Haltung zu den datenschutzrechtlichen Vorgaben der DSGVO nicht ändert, könnte hier in näherer Zukunft, zumindest für öffentliche Stellen des Bundes, die Ära Facebook zu Ende gehen.
Auch wenn der BfDI sich vorliegend nur an öffentliche Stellen wendet, so bedeutet dies jedoch nicht, dass private Stellen zukünftig von Maßnahmen der Aufsichtsbehörden nach Art. 58 DSGVO verschont bleiben werden. Die angesprochene rechtliche Problematik betrifft grundsätzlich private und öffentliche Fanpage-Betreiber gleichermaßen.