Die EuGH Rechtsprechung zu den „Facebook Fanpages“ ist rund 9 Monate her und sorgte für reichlich Aufsehen unter den Datenschützern, veranschaulichte dieses doch ein weites Verständnis der gemeinsamen Verantwortlichkeit für eine Datenverarbeitung im Sinne von Art. 26 DSGVO. Es folgten ein DSK-Beschluss sowie das Urteil vom BVerwG zu dieser Rechtsfrage. Dennoch präsentieren sich (weiterhin) viele öffentliche Stellen in den sozialen Netzwerken und sind auf Facebook, Twitter und Co. aktiv oder planen einen solchen Auftritt.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof Dr. Dieter Kugelmann veröffentlichte vor wenigen Tagen den aktualisierten „Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen“, der einmal genauer betrachtet werden sollte.
Einwilligung als Ausweg?
Zunächst stellt der LfDI im ca. 11 Seiten umfassenden Dokument dar, dass als Rechtsgrundlage für die Datenverarbeitung innerhalb der sozialen Netzwerke allein die Einwilligung der Nutzer in Betracht komme (S. 4), wobei diese unter den angemeldeten Mitgliedern des Netzwerkes durch die dortige Anmeldung „fingiert“ werde (S. 5).
Hierzu wird in dem Papier etwas selbstkritisch ausgeführt:
„Dies ist formalrechtlich zwar nicht restlos korrekt, denn das Akzeptieren der Nutzungsbedingungen der Plattform stellt nicht automatisch eine Einwilligung gegenüber der öffentlichen Stelle dar. Allerdings sieht der LfDI es nach aktuellem Erkenntnisstand (vorbehaltlich weiterer Diskussionen innerhalb der DSK und mit den anderen Datenschutzaufsichtsbehörden in der EU) als akzeptabel an, davon auszugehen, dass Nutzer, die sich grundsätzlich mit der Verarbeitung ihrer Nutzungsdaten durch den Social Media-Anbieter einverstanden erklären, dies auch für die Verarbeitung im Zusammenhang mit bestimmten Angeboten innerhalb der Plattform erklären wollen.“
Wenige Sätze später werden jedoch kleinere Zweifel an den Nutzungsbedingungen und der vollständigen Umsetzung der Informationspflichten einiger Anbieter aufgeworfen. Ob dies bereits zur Rechtswidrigkeit der Datenverarbeitung führt, sei einmal offen gelassen.
Bei allen weiteren Nutzern, die nicht Mitglied der jeweiligen Social Media Dienste sind und auf dem Angebot der öffentlichen Stelle auf Facebook und Co. unterwegs sind oder jedenfalls seien wollen, fehle es jedoch deshalb an der Einwilligung. Es müsse daher explizit eine gesonderte Einwilligung der Personen eingeholt werden. So wird formuliert: „In diesem Fall ist daher eine zusätzliche Einwilligungsmöglichkeit notwendig. Liegt diese nicht vor, ist ein rechtskonformer Betrieb nicht möglich. [..] Ohne eine wirksame Einwilligung erfolgt die Datenverarbeitung insoweit ohne Rechtsgrundlage und ist somit rechtswidrig.“ (S. 5)
Wie innerhalb der Social Media Seiten eine Nutzereinwilligung eingefügt werden soll, lässt die Aufsichtsbehörde offen. Öffentliche Stellen als Betreiber dieser Angebote werden lediglich vor diesem Hintergrund aufgefordert, entsprechende technische Möglichkeiten vom Anbieter der Plattform konkret und deutlich einzufordern, um durch Anpassung der Plattform einen Einwilligungsprozess wirksam zu implementieren.
Gleichwohl heißt es: „Die technische Möglichkeit, eine Einwilligung einzuholen, wird zum Beispiel von Facebook derzeit nicht bereitgestellt.“
Der Tenor lautet daher: Macht das Unmögliche möglich – oder mit anderen Worten: Ein Einsatz von Facebook ist derzeit wohl nicht datenschutzkonform (für öffentliche Stellen) für jedermann zu gestalten.
Gemeinsame Verantwortlichkeit
Und auch auf einer weiteren Eben der datenschutzrechtlichen Anforderungen werden derzeitige Probleme aufgerissen:
Ausgehend von dem besagten EuGH-Urteil und dem DSK-Beschluss vom 5. September 2018 müssen die öffentlichen Stellen als Betreiber eines entsprechenden Social Media Angebots mit dem Plattformbetreiber eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO schließen. Obwohl exemplarisch diesbezüglich leider nur Facebook erwähnt wird, dürften diese Anforderungen grundsätzlich für weitere, vergleichbare Social Media Dienste gelten.
Es wäre aber wünschenswert gewesen, wenn die Kriterien zur Annahme der gemeinsamen Verantwortlichkeit hinsichtlich anderer Plattformen wie z.B. linkedin, instagram oder tiktok etwas ausführlicher besprochen worden wären. Nicht jede Präsenz auf derartigen Plattformen bietet dem Betreiber so umfassende Steuerungs- und Analysemöglichkeiten bezüglich der Aktivitäten und Profile der Nutzer, wie es bei Facebook vorliegt.
Weitere Probleme
Sodann wird die Regelung durch Facebook zur alleinigen Zuständigkeit der irischen Aufsichtsbehörde kritisiert, die auch in der Vereinbarung zwischen dem Betreiber und dem gleichnamigen Plattformbetreiber Einzug hält.
Ein weiteres Thema ist die Umsetzung der Informationspflichten aus Art. 13 und Art. 14 DSGVO, die zumeist mit der Datenschutzerklärung auf der jeweiligen Plattform durch die öffentliche Stelle erfolgt. Unter anderem wird empfohlen, die Datenschutzerklärung als solche zu bezeichnen und – wie das Impressum – mit maximal zwei Klicks (Schritten) vom Angebot erreichbar einzubinden (S. 6f).
Im Rahmen eines zu veröffentlichenden Konzepts für Social Media Angebote hat die öffentliche Stelle darzulegen, “welche fundierten Erwägungen die Entscheidung für das gewählte Social Media-Angebot begründen. Dabei muss erkennbar sein, warum ein Verzicht zu einer ernsthaften Beeinträchtigung der Aufgabenerfüllung führen würde. Ein Element der Prüfung ist, ob die zu erwartende Zahl der Nutzerinnen und Nutzer des Social Media Angebots verglichen zu bestehenden Informationskanälen (z.B. Internetseite) so hoch sein wird, dass ein weiteres Informationsangebot über Social Media gerechtfertigt ist. Im Fall bestehender Angebote ist die Beibehaltung begründungsbedürftig.“ (S. 7). Daran müssen sich die Stellen messen lassen. So könnte beispielsweise die Feuerwehr ein dringendes Interesse daran haben, per Twitter auf besondere Gefahrensituationen hinzuweisen. Selbstverständlich kann das Vorhalten eines solchen Konzepts die mangelnde Einwilligungsfunktion einer Facebook Fanpage nicht heilen.
Es folgen weitere Vorgaben und Einschränkungen für den Einsatz von Social Media Angebote:
So soll auf den Dienst verzichtet werden, wenn dabei sensible Bereiche oder besondere personenbezogene Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen seien, worunter als Beispiele Veranstaltungen „zu sensiblen Bereichen (z.B. Kinder- und Jugendfürsorge, Sozialhilfe, Gesundheitsvorsorge)“ aufgeführt werden (S. 8).
Mithin sollen die in den sozialen Netzwerken bereitgestellten Informationen immer auch auf alternativen Wegen verfügbar sein, wie z.B. auf der Webseite der Verwaltung, worauf deutlich hinzuweisen sei. Ebenso seien auch alternative Kommunikationsmöglichkeiten zum Bürgeraustausch anzuzeigen.
Für alle öffentlichen Stellen gilt ausweislich des Dokuments, dass sie ihren Rechenschaftspflichten nachzukommen haben und deshalb die Verarbeitungstätigkeiten und Dienste entsprechend zu prüfen bzw. dokumentieren und ggfs. vorab einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu unterziehen sind. Auch die Anforderungen an die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO müssen berücksichtigt werden.
Was droht?
Kommen die öffentlichen Stellen in Rheinland-Pfalz den oben genannten Vorgaben nicht nach, droht die Anordnung einer Außerbetriebnahme des Angebots. Die Aufsichtsbehörde behält sich jedoch auch vor, zunächst Beanstandungen und Verwarnungen auszusprechen. Es wird zudem darauf hingewiesen, dass betroffene Personen einen Anspruch auf Schadensersatz aus Art. 82 DSGVO gegenüber dem Betreiber fordern können.
Ein Bußgeld darf übrigens grundsätzlich nicht gegen eine öffentliche Stelle hierzulande verhängt werden (Vgl. § 43 Abs. 3 BDSG).
Fazit
Der aktualisierte Handlungsrahmen zeichnet die derzeitigen Rechtsfragen auf und veranschaulich, wie schwierig die rechtskonforme Gestaltung des Einsatzes von Social Media Angeboten für öffentliche Stellen ist. Das Einwilligungserfordernis für nichtregistrierte Nutzer sowie die Erreichbarkeit der Informationen für ebendiese stellt die öffentlichen Stellen derzeit vor eine unlösbare Aufgabe. Werden die öffentlichen Stellen dem Appell folgend Facebook nun in die Zange nehmen, indem Sie Cookie-Banner auf Fanpages einfordern? Oder werden öffentliche Stellen die eigenen Webseiten nun attraktiver gestalten und sich aus Social Media weitgehend zurückziehen? Die Stellungnahme aus Rheinland-Pfalz wirft mehr Fragen auf als sie beantwortet. Wir halten Sie auf dem Laufenden.