Neue Gremien zum Datenschutz in Sozialen Medien
Den Facebook-Datenskandal um Cambridge Analytica
hat die Artikel‑29‑Gruppe zum Anlass genommen, im
April 2018 eine Social Media Working Group ins Leben
zu rufen. Diese setzt ihre Arbeit nun als Unterarbeits‑
gruppe des Europäischen Datenschutzausschusses
fort und wird künftig, neben den Betreibern Sozialer
Medien, auch andere Akteure – wie App-Entwickler oder
Daten-Broker – in den Blick nehmen. In diesem Sinne
verfolgt die Social Media Working Group einen auf den
Social-Media-Bereich bezogenen ganzheitlichen Ansatz.
Ich rate den öffentlichen Stellen des Bundes dazu, die
Erforderlichkeit des Einsatzes Sozialer Medien kritisch zu hinterfragen. Wichtige Informationen sollten
nicht ausschließlich über Soziale Medien bereitgestellt
werden. Sensible personenbezogene Daten haben in Sozialen Medien nichts zu suchen; weder sollten öffentlichen Stellen selbst solche Daten einstellen, noch sollten
sie Bürger dazu ermuntern, diese dort preiszugeben.
Für die vertrauliche Kommunikation gibt es geeignete
sicherere Kommunikationskanäle, auf die verwiesen
werden sollte, etwa SSL-verschlüsselte Formulare, verschlüsselte E-Mails oder De-Mail.
Soziale Medien bei den Bundesbehörden
Im Berichtszeitraum habe ich mich auch mit der Nut‑
zung von Sozialen Medien bei den meiner Zuständigkeit
unterliegenden öffentlichen Stellen des Bundes beschäf‑
tigt, denn auch dort erfreut sich der Einsatz solcher
Kommunikationskanäle wachsender Beliebtheit. Dabei
ist unbestritten, dass Behörden auch medial nach außen
vertreten sein müssen. Bürgerinnen und Bürger fragen
diese Dienste nach und erwarten, aktuelle Informatio‑
nen über die unterschiedlichsten Kanäle abrufen zu kön‑
nen. Gleichwohl darf dies nicht auf Kosten der Privatheit
der Nutzer gehen.
Angesichts der vielen gravierenden Datenschutzvorfälle
bei Sozialen Medien, sowie dem Risiko, für Datenschutz‑
verstöße rechtlich gegebenenfalls mit verantwortlich zu
sein (vgl. u. Nr. 15.2.8), rate ich den öffentlichen Stellen
des Bundes dazu, die Erforderlichkeit des Einsatzes
Sozialer Medien kritisch zu hinterfragen. Wichtige In‑
formationen dürfen nicht exklusiv über Soziale Medien
bereitgestellt werden. Sensible personenbezogene Daten
haben in Sozialen Medien nichts zu suchen; weder
sollten öffentlichen Stellen selbst solche Daten einstel‑
len, noch sollten sie Bürger dazu ermuntern, diese dort
preiszugeben. Ein Negativbeispiel bietet sich etwa, wenn
Geflüchtete mit Behörden über deren Facebook-Fan‑
pages kommunizieren und hierbei ihre Verfolgungsge‑
schichte für jedermann einsehbar schildern. Für die
vertrauliche Kommunikation gibt es geeignete sicherere
Kommunikationskanäle, auf die verwiesen werden
sollte, etwa SSL-verschlüsselte Formulare, verschlüsselte
E-Mails oder De-Mail.
Ergänzende Informationen zum Datenschutz bei
Sozialen Medien sind auf meiner Internetseite unter
www.datenschutz.bund.de zu finden.
15.2.8 EuGH nimmt Fanpage-Betreiber in die Pflicht
Anfang Juni 2018 hat der EuGH ein wegweisendes Urteil
zur datenschutzrechtlichen Verantwortlichkeit beim
Betrieb von Facebook-Fanpages getroffen (EuGH, Urteil
vom 05.06.2018, Az. C-210/16).
Bei einer Facebook-Fanpage handelt es sich um eine
Art Homepage, die von den Fanpage-Betreibern, z. B.
Bundesbehörden, eingerichtet und durch Facebook
publiziert (gehostet) wird. Fanpage-Betreiber können
die Fanpages dazu nutzen, sich den Facebook-Nutzern
sowie Personen, die die Fanpage besuchen, zu präsen‑
tieren und Äußerungen aller Art in den Medien- und
Meinungsmarkt einzubringen. Beim Aufruf der Fa‑
cebook-Fanpages werden personenbezogene Daten
der Besucher verarbeitet, u. a. durch den Einsatz von
Cookies. Facebook nutzt diese Daten zum Teil für eigene
Zwecke, stellt das Ergebnis der Verarbeitung aber auch
den Fanpage-Betreibern in Form einer konfigurierbaren
Statistikfunktion („Seiten-Insights“) zur Verfügung. Der
EuGH hat entschieden, dass für diese im Zusammen‑
hang mit den Fanpages stattfindenden Verarbeitun‑
gen die Fanpage-Betreiber gemeinsam mit Facebook
verantwortlich sind. Dem vorausgegangen war eine
Vorlage des Bundesverwaltungsgerichts an den EuGH
in einem Verfahren zwischen der Wirtschaftsakademie
Schleswig-Holstein GmbH und dem Unabhängigen Lan‑
deszentrum für Datenschutz Schleswig-Holstein. Soweit
die gemeinsame Verantwortlichkeit reicht, müssen sich
Fanpage-Betreiber etwaige Datenschutzverletzungen
Facebooks als eigene zurechnen lassen. Darüber hinaus
sind Fanpage-Betreiber verpflichtet, mit Facebook eine
Vereinbarung zur gemeinsamen Verantwortlichkeit zu
schließen, in der geregelt ist, wer von beiden welche
Pflichten nach der DSGVO erfüllt (Artikel 26 DSGVO).
Die Datenschutzbehörden aus Bund und Ländern be‑
fassen sich in einer extra dafür gegründeten Taskforce
Fanpages intensiv mit dieser Thematik, den Folgen des
EuGH-Urteils sowie den zwischenzeitlich von Face‑
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
111