Handlungsrahmen des LfDI zur Nutzung von Social Media durch öffentliche Stellen

Social Media Relevanz

Die Nutzung von Social Media-Diensten wird sowohl im privaten als auch im beruflichen Informations- und Kommunikationsverhalten immer relevanter. Daher nutzen auch öffentliche Stellen vermehrt Facebook, Twitter, Instagram und Co. Viele haben bereits eine Fanpage eingerichtet, auf der sie Informationen teilen oder Events erstellen.

Bei dem Besuch durch Nutzerinnen und Nutzer gelangen dabei personenbezogene Daten nicht nur an die jeweiligen Plattformbetreiber, sondern auch an den Betreiber der Fanpage.

Facebook-Fanpages

Die soziale Plattform „Facebook“ verarbeitet in seinen „Seiten-Insights“ eine Reihe von personenbezogenen Daten der Seitenbesucher.

Am 05.06.2018 entschied der Europäische Gerichtshof (C-210/16), dass neben Facebook auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verantwortlich ist, soweit durch den Besuch Daten verarbeitet werden.

Damit gelten öffentliche Stellen, die eine Fanpage betreiben, als Verantwortlicher im Sinne der DSGVO und müssen auch die Informations- und Nachweispflichten als Verantwortliche erfüllen. Ergänzend stellte das Bundesverwaltungsgericht klar (Az.: 6 C 15.18), dass sich die Datenschutzaufsichtsbehörden bei Verstößen direkt an den Fanpage-Betreiber wenden können und nicht gegen den Plattformbetreiber vorgehen müssen.

Um ihre Social Media-Angebote datenschutzkonform zu betreiben, müssen öffentliche Stellen nach Art. 26 DSGVO einen Vertrag über die gemeinsame Verantwortlichkeit mit dem Plattformbetreiber schließen. Der Plattformbetreiber muss wiederum Informationen zur Verfügung stellen, die die Beantwortung der Fragen aus dem DSK-Beschluss vom 05.09.2018 ermöglichen.

Rechtsgrundlage für ein Social Media-Angebot

Gemäß Art. 6 Abs. 1 DSGVO benötigt jeder Verantwortliche für Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen eine Rechtsgrundlage. Im Rahmen eines Social Media-Angebots erfolgt die Verarbeitung personenbezogener Daten grundsätzlich nur auf Grundlage einer Einwilligung der betroffenen Personen.

Einwilligung der Nutzer

Laut LfDI sei davon auszugehen, dass Nutzer, die sich bei Anmeldung bei einem Social Media-Anbieter grundsätzlich mit der Verarbeitung ihrer Nutzerdaten einverstanden erklärt haben, dieser auch im Zusammenhang eines bestimmten Angebots auf der Plattform zustimmen. Das gilt jedoch nicht für Besucher der Fanpage, die nicht bei der Social Media-Plattform registriert oder angemeldet sind. In diesem Fall ist daher eine zusätzliche Einwilligungsmöglichkeit notwendig, um Datenverarbeitung ohne Rechtsgrundlage zu vermeiden.

Ein wichtiges Merkmal der Einwilligung ist, dass diese freiwillig erfolgt. Das heißt, dass Nutzer die Einwilligung auch verweigern zu können, ohne dadurch Nachteile zu erleiden. Verantwortliche müssen demnach bereitgestellte Informationen immer auch auf einem alternativen Weg verfügbar machen (z.B. auf der Website) und über die Alternative beim Einholen der Einwilligung informieren.

Laut LfDI ist ein rechtskonformer Betrieb einer Fanpage ohne Einwilligung nicht möglich.

Technisch-organisatorischer Datenschutz

Zu den Pflichten der öffentlichen Stellen als Verantwortlicher gehört auch, die Verarbeitung der Nutzerdaten in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen. Weiterhin müssen sie gem. Art. 24, 25 und 32 DSGVO für technische und organisatorische Maßnahmen sorgen, um die Anforderungen der DSGVO einzuhalten. Im Rahmen der Social Media-Angebote bezieht sich dies hauptsächlich auf die Auswahl der Social Media-Angebote und die organisatorische Einbettung des Angebots sowie in dem Erstellen eines Social Media-Konzepts.

Social Media-Konzept

Das Konzept sollte schlüssig darlegen, weshalb ein Verzicht auf das gewählte Social Media-Angebot zu einer Beeinträchtigung der Aufgabenerfüllung führen würde. Außerdem solle der Zweck, die Art und der Umfang der Datenverarbeitungen beschrieben und eine redaktionelle/technische Betreuung festgelegt werden.

Fazit

Die Rechtsprechung des EuGH zieht für den Betrieb von Social Media-Angeboten auch die Fanpage-Betreiber in die Verantwortung. Um auch zukünftig ihr Angebot betreiben zu können, müssen diese mit den Plattformbetreibern in Kontakt treten und auf die Herstellung rechtmäßiger Zustände und eine technische Lösung für eine einwilligungsbasierte Nutzung hinwirken.

Bei schwerwiegenden datenschutzrechtlichen Mängeln liegt es im pflichtgemäßen Ermessen der Datenschutzbehörden, die Außerbetriebnahme des Angebots anzuordnen. Daneben steht betroffenen Personen nach Art. 82 DSGVO ein Recht auf Schadensersatz zu, wenn ihnen ein materieller oder immaterieller Schaden entstanden ist.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber