Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat das Bundespresseamt (BPA) mit Bescheid vom 17. Februar 2023 angewiesen, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Begründet wurde dies mit den fahrlässigen Verstößen gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, gegen die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie gegen § 25 Abs. 1 TTDSG. Prof. Ulrich Kelber betont in diesem Zusammenhang: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Die Hintergründe.
Die Problematik mit Facebook-Fanpages
Auch wenn die Mitteilung über die Untersagungsverfügung für den einen oder anderen vielleicht überraschend kam, so war die Entscheidung des BfDI abzusehen: Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenannten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Meta besteht.
Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sogenannten „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO.
Am 20. Mai 2019 richtete sich der BfDI in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor. Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte die DSK erneut in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der BfDI noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages.
Zur Begründung des Bescheids
Auf den insgesamt 44 Seiten des Bescheids lassen sich zur Begründung die bereits mehrfach aufgeführten Rechtsauffassungen der Datenschutzbehörden sowie Zitationen bisherig in dieser Sache ergangener Urteile wiederfinden.
Nicht überraschend, aber dennoch besonders erwähnenswert und für die Beratungspraxis besonders relevant sind darüber hinaus die Ausführungen des BfDI zur datenschutzrechtlichen Verantwortlichkeit bei Deaktivierung der Insights-Funktionen: „Eine gemeinsame Verantwortlichkeit besteht auch dann, wenn die Statistiken für das BPA deaktiviert werden. Durch die Deaktivierung verändert sich nämlich die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum. Den Betreibern werden lediglich aus den – nach wie vor – verarbeiteten Nutzungsdaten keine Statistiken mehr ausgespielt. Das BPA hat auch bei abgeschalteter Insight-Funktion zumindest für die nachgelagerte Datenverarbeitung auf Basis des Setzens und Auslesens von Cookies eine gemeinsame Verantwortlichkeit mit Meta inne.“
Im Ergebnis führt der BfDI an: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, durch das c_user-, das datr- und das fr-Cookie keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist. […] Darüber hinaus hat das BPA fahrlässig gegen Artikel 5 Absatz 1 littera a in Verbindung mit Artikel 6 Absatz 1 DSGVO verstoßen, da es an einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Betrieb der Fanpage durch das BPA mangelt.“
Zur Fahrlässigkeit des BPA nimmt der BfDI Bezug auf die einschlägigen Urteile, die Stellungnahmen der DSK sowie die Anschreiben des BfDI selbst und führt aus: „Indem das BPA die Facebook-Fanpage der Bundesregierung trotz all der genannten Informationen weiterhin betrieben hat, hat es zumindest fahrlässig, das heißt ohne die im Verkehr erforderliche Sorgfalt, und damit schuldhaft gegen seine Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO verstoßen.“
Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI vor dem Verwaltungsgericht Köln Klage einzureichen.
Bedeutung des Bescheids für andere Verantwortliche
Der Bescheid des BfDI wirft nun die Frage auf, welche Auswirkungen dieser auf den Betrieb von Facebook-Fanpages anderer Verantwortlicher hat. Zunächst ist anzumerken, dass der Bescheid noch keinerlei Rechtskraft entfaltet. Dass das BPA gegen den Bescheid beim Verwaltungsgericht Köln Klage einreichen wird, gilt als nicht unwahrscheinlich.
Weiterhin ist abzusehen, dass sich die Aufsichtsbehörden aufgrund der Vorbildfunktion von Behörden und anderen öffentlichen Stellen, zunächst auf den Betrieb der Facebook-Fanpages dieser Stellen fokussieren werden. Ein zum Bescheid des BfDI vergleichbarer Sachverhalt deutet sich bereits in Bezug auf die sächsische Landesregierung an.
Festzuhalten ist jedoch, dass ein rechtskonformer Betrieb von Facebook-Fanpages durch keinen Verantwortlichen möglich sein wird. Insoweit ergeben sich auch unabhängig von etwaigen aufsichtsbehördlichen Verfahren für sämtliche Verantwortliche datenschutzrechtliche Risiken. Insoweit gilt: Wer auf Nummer sicher gehen möchte, sollte sich zeitnah nach rechtskonformen Alternativen umsehen – Instagram, Twitter und Telegram zählen da übrigens ausdrücklich nicht dazu.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
