BfDI ermittelt wegen Facebook-Fanpage gegen Bundespresseamt

facebook scrabbelDer Bundesbeauftragte für Datenschutz forderte bereits in der Vergangenheit Bundesministerien und oberste Bundesbehörden per Rundschreiben dazu auf, Facebook-Fanpages zu deaktivieren (wir berichtetet im Juli 2021 u.a. hier: https://www.dury.de/datenschutzrecht-blog/behoerden-sollen-ihre-facebook-seite-abschalten). Nun ermittelt er gegen das Presse- und Informationsamt der Bundesregierung (BPA), das die Facebook-Fanpage der Bundesregierung betreibt.

Warum Facebook-Fanpages datenschutzrechtlich höchst bedenklich sind

Ein Problem ist bereits das Cookie-Tracking durch den Aufruf einer Internetseite, die einen Like- oder Share-Button von Facebook enthält oder die über eine Facebook-Fanpage verfügt. Unabhängig davon, ob der Websitebesucher einen Facebook-Account besitzt oder nicht, kann der Websitebetreiber so sein Surfverhalten verfolgen. Im Datenschutzjargon spricht man hierbei von einer „Verarbeitung personenbezogener Daten ohne Einwilligung“ oder sonstiger Rechtsgrundlage.

Doch das ist nicht das einzige datenschutzrechtliche Problem. Öffentliche Stellen, die eine Facebook-Fanpage betreiben, müssen eine Vereinbarung mit Facebook zur gemeinsamen Verantwortlichkeit schließen, die den Voraussetzungen des Art. 26 DSGVO entspricht. Diese Vereinbarung liegt bis heute jedoch nicht vor. Facebook hat dem Bund lediglich ein „Addendum“ von Oktober 2019 übersandt.

Dieses Addendum hält der Bundesdatenschutzbeauftragte nach wie vor für unzureichend. Deshalb können Behörden, die Fanpages betreiben, ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nicht nachkommen. Darüber hinaus reicht es in einem solchen Fall nicht aus, die Nutzer der Fanpage bezüglich des Datenschutzes auf Facebook zu verweisen. Der aktuelle Zustand verletzt daher nach Auffassung von Prof. Kelber (Anm.: Bundesbeauftragter für Datenschutz) den Schutz personenbezogener Daten der Nutzer der Fanpages und darf nicht weiter aufrechterhalten bleiben. Deshalb forderte er alle Bundesministerien und obersten Bundesbehörden dazu auf, ihre Facebook-Fanpages bis Ende des Jahres 2021 abzuschalten.

Bundesbeauftragter hat Anhörungsschreiben bereits versandt

Prof. Kelber versendete bereits ein Anhörungsschreiben an das BPA zur Nutzung der Facebook-Fanpage. Der BfDI kündigte an, ab Januar 2022 die Nutzung von Facebook Fanpages durch die Bundesbehörden zu prüfen. Gespräche mit dem BPA und Facebook führten jedoch zu keiner Lösung der datenschutzrechtlichen Probleme. So geht es aus einer offiziellen Kurzmeldung hervor (https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2022/07_Anhoerung-BPA.html).

Auch die Landesbeauftragten wirken auf eine Deaktivierung von Facebook-Fanpages hin

Erst im April 2022 hat der hamburgische Landesbeauftragte für Datenschutz und Informationssicherheit ein Statement abgegeben, in dem es heißt:

„Die Datenschutzbeauftragten der Länder und des Bundes haben beschlossen, die jeweiligen obersten Bundes- und Landesbehörden über das Kurzgutachten der DSK zu informieren, über die Rechtslage aufzuklären und auf eine Deaktivierung der Seiten durch die betroffenen Behörden hinzuwirken, soweit Nachweise für die datenschutzrechtliche Konformität der Fanpage-Nutzung nicht gelingen. Der HmbBfDI hat bereits in der letzten Woche die Senatskanzlei der Freien und Hansestadt Hamburg dementsprechend informiert.“

(vgl. https://datenschutz-hamburg.de/pressemitteilungen/2022/04/2022-04-04-fb-pages)

Wie geht es weiter?

Das BPA hat die Facebook-Fanpage noch nicht deaktiviert. Der Bundesbeauftragte macht nun von seinen Abhilfemaßnahmen gemäß Art. 58 DSGVO Gebrauch und fordert das BPA zu einer Stellungnahme unter einer Fristsetzung von einem Monat auf. Sollte das BPA nicht reagieren, könnte ggf. ein Verbot der Facebook-Fanpage drohen.

Auf datenschutzkonforme Alternativen ausweichen

Jeder, der sich datenschutzkonform verhalten möchte, kann in der Angelegenheit auf datenschutzfreundliche Plattformen ausweichen.

Der europäische Datenschutzbeauftragte betreibt beispielsweise seit April 2022 eine Mastodon-Instanz unter dem Namen „EU-Voice“, eine Art Twitter-Alternative. Auch den Bundes- und Landesbehörden steht eine solche nun zur Verfügung. Das Land Baden-Württemberg hat seinen Mastodon-Server bereits eingerichtet. Bei Mastodon handelt es sich um eine dezentrale Open-Source-Software, die nicht an Nutzerdaten interessiert ist. Somit gibt es auch keine problematischen Drittstaatentransfers.

Co-Autor: Wissenschaftlicher Mitarbeiter - Philipp Schmelz

Bildquelle: Bild von Firmbee auf Pixabay 

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de