Handlungsrahmen des LfDI zur Nutzung von Social Media durch öffentliche Stellen

Der LfDI Rheinland-Pfalz veröffentlichte am 06.03.20 einen Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen. Dieser soll im Hinblick auf die datenschutzrechtlichen Anforderungen an die Nutzung von Social Media-Angeboten Klarheit und Rechtssicherheit schaffen.

Social Media Relevanz

Die Nutzung von Social Media-Diensten wird sowohl im privaten als auch im beruflichen Informations- und Kommunikationsverhalten immer relevanter. Daher nutzen auch öffentliche Stellen vermehrt Facebook, Twitter, Instagram und Co. Viele haben bereits eine Fanpage eingerichtet, auf der sie Informationen teilen oder Events erstellen.

Bei dem Besuch durch Nutzerinnen und Nutzer gelangen dabei personenbezogene Daten nicht nur an die jeweiligen Plattformbetreiber, sondern auch an den Betreiber der Fanpage.

Facebook-Fanpages

Die soziale Plattform „Facebook“ verarbeitet in seinen „Seiten-Insights“ eine Reihe von personenbezogenen Daten der Seitenbesucher.

Am 05.06.2018 entschied der Europäische Gerichtshof (C-210/16), dass neben Facebook auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verantwortlich ist, soweit durch den Besuch Daten verarbeitet werden.

Damit gelten öffentliche Stellen, die eine Fanpage betreiben, als Verantwortlicher im Sinne der DSGVO und müssen auch die Informations- und Nachweispflichten als Verantwortliche erfüllen. Ergänzend stellte das Bundesverwaltungsgericht klar (Az.: 6 C 15.18), dass sich die Datenschutzaufsichtsbehörden bei Verstößen direkt an den Fanpage-Betreiber wenden können und nicht gegen den Plattformbetreiber vorgehen müssen.

Um ihre Social Media-Angebote datenschutzkonform zu betreiben, müssen öffentliche Stellen nach der DSGVO (Art. 26) einen Vertrag über die gemeinsame Verantwortlichkeit mit dem Plattformbetreiber schließen. Der Plattformbetreiber muss wiederum Informationen zur Verfügung stellen, die die Beantwortung der Fragen aus dem DSK-Beschluss vom 05.09.2018 ermöglichen.

Rechtsgrundlage für ein Social Media-Angebot

Gemäß Art. 6 Abs. 1 DSGVO benötigt jeder Verantwortliche für Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen eine Rechtsgrundlage. Im Rahmen eines Social Media-Angebots erfolgt die Verarbeitung personenbezogener Daten grundsätzlich nur auf Grundlage einer Einwilligung der betroffenen Personen.

Einwilligung der Nutzer

Laut LfDI sei davon auszugehen, dass Nutzer, die sich bei Anmeldung bei einem Social Media-Anbieter grundsätzlich mit der Verarbeitung ihrer Nutzerdaten einverstanden erklärt haben, dieser auch im Zusammenhang eines bestimmten Angebots auf der Plattform zustimmen. Das gilt jedoch nicht für Besucher der Fanpage, die nicht bei der Social Media-Plattform registriert oder angemeldet sind. In diesem Fall ist daher eine zusätzliche Einwilligungsmöglichkeit notwendig, um Datenverarbeitung ohne Rechtsgrundlage zu vermeiden.

Ein wichtiges Merkmal der Einwilligung ist, dass diese freiwillig erfolgt. Das heißt, dass Nutzer die Einwilligung auch verweigern zu können, ohne dadurch Nachteile zu erleiden. Verantwortliche müssen demnach bereitgestellte Informationen immer auch auf einem alternativen Weg verfügbar machen (z.B. auf der Website) und über die Alternative beim Einholen der Einwilligung informieren.

Laut LfDI ist ein rechtskonformer Betrieb einer Fanpage ohne Einwilligung nicht möglich.

Technisch-organisatorischer Datenschutz

Zu den Pflichten der öffentlichen Stellen als Verantwortlicher gehört auch, die Verarbeitung der Nutzerdaten in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen. Weiterhin müssen sie gem. Art. 24, 25 und 32 DSGVO für technische und organisatorische Maßnahmen sorgen, um die Anforderungen der DSGVO einzuhalten. Im Rahmen der Social Media-Angebote bezieht sich dies hauptsächlich auf die Auswahl der Social Media-Angebote und die organisatorische Einbettung des Angebots sowie in dem Erstellen eines Social Media-Konzepts.

Social Media-Konzept

Das Konzept sollte schlüssig darlegen, weshalb ein Verzicht auf das gewählte Social Media-Angebot zu einer Beeinträchtigung der Aufgabenerfüllung führen würde. Außerdem solle der Zweck, die Art und der Umfang der Datenverarbeitungen beschrieben und eine redaktionelle/technische Betreuung festgelegt werden.

Fazit

Die Rechtsprechung des EuGH zieht für den Betrieb von Social Media-Angeboten auch die Fanpage-Betreiber in die Verantwortung. Um auch zukünftig ihr Angebot betreiben zu können, müssen diese mit den Plattformbetreibern in Kontakt treten und auf die Herstellung rechtmäßiger Zustände und eine technische Lösung für eine einwilligungsbasierte Nutzung hinwirken.

Bei schwerwiegenden datenschutzrechtlichen Mängeln liegt es im pflichtgemäßen Ermessen der Datenschutzbehörden, die Außerbetriebnahme des Angebots anzuordnen. Daneben steht betroffenen Personen nach § 82 DSGVO ein Recht auf Schadensersatz zu, wenn ihnen ein materieller oder immaterieller Schaden entstanden ist.

Für nicht-öffentliche Stellen dürfte im Ergebnis nichts anderes gelten.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Facebook veröffentlicht aktualisierte „Seiten-Insights-Ergänzung“
Etwa ein Jahr nachdem die deutschen Datenschutzbehörden die „Seiten-Insight-Ergänzung als nicht datenschutzkonform abgelehnt haben, bessert Facebook nach. Damit dürfte sich das Risiko für Fanpage-Betreiber verringern, gleichwohl noch nicht gänzlich auszuschließen sein.
Zur Notwendigkeit der Einwilligung in das Speichern von Cookies
Am 1. Oktober 2019 hat der EuGH zur Cookie-Thematik entschieden (Az. C-673/17). Rechtssicherheit besteht dadurch immer noch nicht. Das Risiko beim Setzen von Cookies ohne Einwilligung des Nutzers dürfte aufgrund des Urteils jedoch erheblich gestiegen sein.