Drucksache 17/13000
76 ––
–– 76
Gesetzen entstanden sind, sollen durch die EU-Datenschutz-Grundverordnung gelöst werden (vgl. Nr. 2.1), die
ja einen stärker harmonisierten Rechtsrahmen gewährleisten soll.
Um seine „Namensrichtlinie“ durchzusetzen, hat Facebook die Nutzer aufgerufen, solche Nutzer zu melden, die
unter falschem Namen angemeldet sind. Die Folge einer
solchen Meldung ist eine Sperre des Accounts, bis der
Betroffene seine (wahre) Identität durch die Übersendung
einer Ausweiskopie offenlegt. Dieses „harte Durchgreifen“ war Anlass für eine deutsche Aufsichtsbehörde, gegen Facebook eine Anordnung zu erlassen, durch die
Facebook verpflichtet werden soll, die pseudonyme Nutzung zu ermöglichen und gesperrte Accounts wieder freizuschalten. Das Verfahren war bei Redaktionsschluss
noch nicht abgeschlossen.
Möglicherweise lässt sich im weiteren Diskussionsprozess mit Facebook ein Kompromiss durchsetzen, der von
der Artikel-29-Gruppe in ihrer Stellungnahme zu sozialen
Netzwerken (WP 163) als datenschutzfreundliche Lösung
vorgestellt wurde: Bei der Registrierung müssen die richtigen Daten angegeben werden, der Nutzer kann sich aber
im Netzwerk unter einem Pseudonym bewegen.
Die irische Datenschutzbehörde veröffentlichte im Dezember 2011 den Bericht über das Audit, das in Anwendung des irischen und EU-Rechts über mehrere Monate
durchgeführt worden war. Danach hatte Facebook die
Möglichkeit, Stellung zu nehmen und Änderungen und
Nachbesserungen durchzuführen. Eine Überprüfung
durch die irische Datenschutzbehörde schloss sich an und
der entsprechende abschließende Bericht wurde im September 2012 veröffentlicht.
Insgesamt hat die Prüfung zu Verbesserungen für die Nutzer geführt. So wurden die Nutzungsbedingungen und
Datenverwendungsrichtlinien im Sinne einer größeren
Transparenz übersichtlicher und detaillierter gestaltet, die
Kontrolle des Nutzers über seine Einstellungen erhöht
und die Zugriffsmöglichkeit des Nutzers auf seine Daten
verbessert. Ein großer Erfolg ist das Abschalten der Gesichtserkennung für alle Nutzer in der EU. Dies geht
jedoch nicht nur auf das Konto der irischen Datenschutzbehörde, sondern ist auch dem Einsatz hiesiger Aufsichtsbehörden zu verdanken.
Neben dem Problem der Klarnamenpflicht gibt es die
Forderung, datenschutzfreundliche Voreinstellungen anzubieten. Dies ist zwar gesetzlich nicht festgeschrieben,
wird aber auch von der Artikel-29-Gruppe als wesentliches Element einer vorbildlichen Datenschutzpolitik angesehen und sollte daher zur Unterstützung der Nutzer
umgesetzt werden. Die irische Datenschutzbehörde wird
sich bei den weiteren Beratungsgesprächen mit Facebook
dafür einsetzen. Denn leider tut sich (auch) Facebook
noch schwer. Also doch (noch) nicht alles gut?
5.8.2
Dürfen Behörden Facebook-Fanpages
nutzen?
Immer wieder erreichen mich Anfragen nach der Zulässigkeit behördlicher Fanpages. Leider ist eine pauschale
Antwort nicht möglich.
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Viele private Firmen und Unternehmen betreiben mittlerweile auf Facebook eigene Fanpages, um z. B. neue Produkte vorzustellen oder für sich zu werben. Von besonderem öffentlichen Interesse war im Berichtszeitraum die
Verwendung von Fanpages durch Polizeibehörden für
Fahndungszwecke (vgl. Nr. 7.4.7). Dabei scheint Facebook für die Verantwortlichen das geeignete Medium zu
sein, um ganz gezielt ein jüngeres Publikum zu erreichen
und interaktiv mit den Nutzern in Verbindung zu treten.
Diese neuen Möglichkeiten werden auch zunehmend von
den Bundesbehörden entdeckt, die entweder bereits eigene Fanpages betreiben oder dies planen. Bei allem Verständnis dafür, über Fanpages ein spezielles Zielpublikum
erreichen zu wollen, muss natürlich der Datenschutz beachtet werden.
Bei einer Fanpage handelt es sich um eine Art von Homepage, die durch Facebook publiziert („gehostet“) wird.
Für den Inhalt dieser Fanpage ist nicht Facebook, sondern
deren Betreiber, also die jeweilige Behörde, verantwortlich. Zur Erstellung dieser Seite muss sich der potentielle
Fanpagebetreiber zunächst als Nutzer bei Facebook anmelden. Erst dann kann seine Seite erstellt und auch betreut werden. Somit ist die bei Facebook registrierte Person bzw. Stelle einerseits Nutzer von Facebook und durch
den Betrieb der Fanpage andererseits Diensteanbieter im
Sinne des Telemediengesetzes.
Bei der Prüfung der Zulässigkeit solcher Fanpages ist zu
beachten, dass es sich bei Facebook zwar um ein USamerikanisches Unternehmen handelt, der europäische
Markt jedoch von Facebook Ireland Limited bedient
wird. Insoweit liegt die Datenschutzaufsicht für Facebook
beim irischen Datenschutzbeauftragten. Dieser hat im
Rahmen eines Datenschutzaudits sowie einer Nachprüfung die Einhaltung des Datenschutzes überprüft bzw.
wirkt auf diese hin (vgl. Nr. 5.8.1). Obwohl im Zuge dieses Audits Facebook wesentliche datenschutzrechtliche
Anpassungen vorgenommen bzw. die Umsetzung zugesagt hat, sehe ich einige Punkte wie z. B. die Übertragung
von Nutzerdaten in die USA kritisch. Sobald die datenschutzrechtliche Anpassung des Internetangebotes von
Facebook abgeschlossen ist, werde ich prüfen, ob und unter welchen Rahmenbedingungen der Betrieb von Fanpages durch Bundesbehörden unter datenschutzrechtlichen Gesichtspunkten akzeptabel ist.
Unabhängig von der grundsätzlichen Zulässigkeit müssen
die Behörden ihre Angebote auf sozialen Netzwerken datenschutzgerecht ausgestalten. Dies bedeutet etwa, dass
eine Bundesbehörde oder Krankenkasse die Nutzer nicht
dazu einladen dürfen, sensible Informationen über die
Fanpage beim sozialen Netzwerk preiszugeben. Manche
Probleme lassen sich auch dadurch vermeiden, dass die
Nutzer von der Fanpage direkt auf ein von der Behörde
gehostetes eigenes Angebot weitergeleitet werden. Auf
jeden Fall sollte die direkte Kommunikation mit dem
Bürger über sichere Kanäle abgewickelt werden, etwa
über ssl-verschlüsselte Formulare oder über De-Mail
(vgl. Nr. 3.2.4). „Persönliche Mitteilungen“ über ein technisch außerhalb Europas abgewickeltes System sollten
dabei nach Möglichkeit vermieden werden.