Die Datenschutzaufsichtsbehörden haben in den letzten Monaten oftmals verlautbart: Facebook-Fanpages können kaum datenschutzkonform betrieben werden. Verfahren gab es bislang aber nicht. Das ändert sich jetzt: Der BfDI hat ein Verfahren gegen das Bundespresseamt (BPA) eröffnet, bezogen auf die vom BPA betriebene Facebook-Fanpage „Bundesregierung“. Damit ist der Startschuss für eine Überprüfung öffentlicher und im Anschluss daran womöglich auch privater Facebook-Fanpages gefallen. Zudem befasste sich die Datenschutzkonferenz (DSK) in ihrer Sitzung vom 22.06.2022 erneut mit der datenschutzrechtlichen Konformität von Facebook-Fanpages und verabschiedete ein „FAQ“ zu dieser Thematik. Diese werden deutlich: Betroffen sind nicht nur Facebook-Fanpages, sondern auch Präsenzen auf anderen Social Media Plattformen. Und die Verfahren gegen öffentliche Stellen markieren nur den Anfang.
Die Datenschutzkonformität von Facebook-Fanpages bereitet den Aufsichtsbehörden schon seit längerer Zeit Schwierigkeiten. Im März diesen Jahres stellte die „Taskforce Fanpages“ in einem Kurzgutachten die regelmäßig fehlende Konformität solcher Seiten mit DSGVO und TTDSG heraus (siehe dazu auch in unserem Loschelder-Newsletter vom Monat April 2022). Die Datenschutzkonferenz (DSK) beschloss daraufhin zu überprüfen, welche Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben, um darauf hinzuwirken, dass diese Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können. Bei der aufsichtsbehördlichen Tätigkeit sollten dabei zunächst die von öffentlichen Stellen betriebenen Pages in den Blick genommen werden.
Die DSK forderte in ihrem Beschluss vom März 2022 von den jeweiligen Behörden insbesondere den Nachweis
- über den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook
- ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO
- die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
- die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.
Auch der BfDI hatte angekündigt, ab Januar 2022 die Nutzung von Facebook Fanpages durch die in seinem Zuständigkeitsbereich liegenden Bundesbehörden auf ihre datenschutzrechtliche Zulässigkeit hin zu überprüfen. Hierzu ist nun der Startschuss gefallen, indem der BfDI, nach erfolglosen Gesprächen über die Zulässigkeit der vom BPA betriebenen Facebook-Fanpage „Bundesregierung“, ein Anhörungsschreiben an dieses versendete.
Die Anhörung durch den BfDI ist der erste Schritt in einem förmlichen Aufsichtsverfahren. Der Ausgang des Verfahrens bleibt abzuwarten. Nach den bisherigen Ausführungen der Aufsichtsbehörden dürfte allerdings einiges dafürsprechen, dass eine gerichtliche Prüfung folgen könnte.
Nach der bisherigen Kommunikation der Aufsichtsbehörden soll das Vorgehen gegen öffentliche Stellen der erste Schritt sein. Private Unternehmen, die Facebook-Präsenzen unterhalten, sind daher gut damit beraten, die Überprüfung öffentlicher Facebook-Fanpages und das weitere Verhalten der Behörden zu beobachten. Dies gilt auch für andere Social Media Präsenzen, die teils ähnlichen Bedenken unterliegen.
Jüngst hat denn auch die DSK in ihrer Sitzung vom 22. Juni 2022 eine Liste von oft gestellten datenschutzrechtlichen Fragen und den dazugehörigen Antworten (FAQ) veröffentlicht. In dem Beschluss wird unter anderen beantwortet, warum derzeit der datenschutzrechtskonforme Betrieb von Facebook-Fanpages nicht gewährleistet werden kann und, welche Schritte für einen dem Datenschutz entsprechenden Einsatz von Facebook-Fanpages notwendig wären.
Auch wenn die Aufsichtsbehörden nun zunächst Verfahren gegen Behörden eröffnen wollen, die Fanpages betreiben, sind private Unternehmen nicht ausgenommen. Es bleibt daher bei der Empfehlung, die Situation weiter eng zu beobachten und im Bedarfsfall den Facebook-Auftritt zu beenden. Die DSK schreibt dazu in ihren FAQ eindeutig:
- Zur Frage 4, ob Facebook-Fanpages „jetzt sofort deaktiviert werden“ müssen: „Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.“
- Zur Frage 6, ob dies nur für Behörden und Unternehmen in öffentlicher Hand gilt, verweist die DSK auf die gleiche Geltung der Regeln auch für private Unternehmen. Fanpages der öffentlichen Hand würden aufgrund der Vorbildfunktion nun aber vorrangig in den Blick genommen.
- Schließlich verweist die DSK auch darauf, dass die Erkenntnisse zu Facebook auf andere Social Media Anbieter (z.B. Instagram, Twitter, TikTok) übertragbar sein können, Unternehmenspräsenzen dort wären dann ebenfalls rechtswidrig, setzt sich die Ansicht der Aufsichtsbehörden durch.