Sie sind hier: > Start > Tätigkeitsberichte > 26. TB 2014 > 12. E-Government, Telemedienrecht, Soziale Medien
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015
12. E-Government, Telemedienrecht, Soziale Medien
12.1. E-Government Gesetze
Im Berichtszeitraum sind neue Regelungen zum E-Government geschaffen bzw. entsprechende Initiativen gestartet worden.
So ist auf Bundesebene das Gesetz zur Förderung der elektronischen Verwaltung sowie zur Änderung weiterer Vorschriften (BGBl. l 2013, Seite 2749) in seinen wesentlichen Teilen am 01.08.2013 in Kraft getreten. Ziel des Gesetzes ist es, durch den Abbau bundesrechtlicher Hindernisse die elektronische Kommunikation mit der Verwaltung zu erleichtern. Dadurch soll es Bund, Ländern und Kommunen ermöglicht werden, einfachere, nutzerfreundlichere und effizientere elektronische Verwaltungsdienste anzubieten.
Es beinhaltet insbesondere das Gesetz zur Förderung der elektronischen Verwaltung (E-Government-Gesetz - EGovG), das auch Regelungen für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der Länder, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts enthält, wenn sie Bundesrecht ausführen.
Das Gesetz hat zudem bestehende Vorschriften geändert, beispielsweise sind mit ihm weitere Regelungen zum Ersatz der Schriftform durch bestimmte elektronische Formen eingeführt worden.
Im Rahmen meiner Stellungnahme zum Gesetzesentwurf habe ich insbesondere hervorgehoben, dass die Veröffentlichung personenbezogener Daten im Internet weltweit einen ungleich größeren Personenkreis als jede auflagenbegrenzte schriftliche Veröffentlichung erreicht. Darüber hinaus können im Internet veröffentlichte Daten grundsätzlich auf einfache Weise beliebig verknüpft werden. Im Grunde wird dabei das datenschutzrechtlich zentrale Zweckbindungsprinzip gelockert, weil die veröffentlichten Daten letztlich in persönlicher, räumlicher und zeitlicher Hinsicht allgemein verfügbar werden. Sind die Veröffentlichungen überdies suchmaschinenfähig, werden betroffene Personen insoweit zu einem allgemein verfügbaren Rechercheobjekt.
Die Veröffentlichung personenbezogener Daten im Internet beeinträchtigt das informationelle Selbstbestimmungsrecht Betroffener daher deutlich stärker als bei einer Veröffentlichung in Papierform. Dies ist schon bei der Frage relevant, ob personenbezogene Daten überhaupt im Internet veröffentlicht werden. Bejahendenfalls müssen aber auch der Umfang, die Dauer und die technische Ausgestaltung der Veröffentlichung einbezogen werden.
In Bayern hat die Staatsregierung die Gestaltung der mit der Digitalisierung einhergehenden politischen, gesellschaftlichen und rechtlichen Veränderungen zu einem Schwerpunkt des Regierungsprogramms der laufenden Legislaturperiode gemacht.
Ergänzend zu bzw. über das oben angesprochene E-Government-Gesetz hinaus wurde daher ein Referentenentwurf eines Gesetzes zum Ausbau der elektronischen Verwaltung in Bayern und zur Änderung anderer Rechtsvorschriften erarbeitet.
Ich wurde bereits im Vorfeld der Entwurfserstellung eingebunden und konnte datenschutzrechtliche Positionen aus meiner Sicht einbringen. Auch anlässlich der Ressortanhörung zum Gesetzentwurf beabsichtige ich, meine datenschutzrechtlichen Standpunkte geltend zu machen.
Der Entwurf sieht auch Änderungen des Bayerischen Datenschutzgesetzes vor. Hier wäre es angezeigt, bei dieser Gelegenheit schon länger von mir erhobenen Forderungen nachzukommen, also etwa die Grundsätze der Datenvermeidung und der Datensparsamkeit ausdrücklich im Gesetz zu verankern (siehe 24. Tätigkeitsbericht 2010 Nr. 1.2.6).
12.2. Plattformen und Verfahren
Da die Verwaltung den Ausbau von E-Government vorantreibt (siehe Nr. 12.1), hatte ich im Berichtszeitraum zu diversen Projekten aus diesem Bereich zu beraten. Zu nennen sind unter anderem ein De-Mail-Pilotierungstest (siehe Nr. 2.2.5) und die Plattform für sichere Kommunikation in Bayern - BayMail (siehe Nr. 2.2.6).
Auch zum Bürgerservice-Portal bin ich um eine Einschätzung bzw. um Beratung gebeten worden. Dabei handelt es sich um eine E-Government-Plattform für digitale Verwaltungsdienstleistungen im Internet. Eine abschließende Bewertung konnte ich bislang noch nicht vornehmen.
Entsprechende Projekte und Verfahren sind zudem bei Inkrafttreten eines Gesetzes zum Ausbau der elektronischen Verwaltung in Bayern und zur Änderung anderer Rechtsvorschriften (siehe Nr. 12.1) unter Berücksichtigung der dann geltenden Regelungen zu beurteilen.
Schon seit geraumer Zeit nutzen viele Bürgerinnen und Bürger Apps etwa Sozialer Netzwerke oder anderer Online-Plattformen. Unter einer App ist hier eine "Mobile App" zu verstehen, also eine spezielle Anwendungssoftware für mobile Endgeräte wie insbesondere Smartphones.
Auch so manche Behörde will eine App anbieten, um interessierten Bürgerinnen und Bürgern den Zugriff auf Web-Inhalte der Verwaltung über Smartphones zu erleichtern. Dabei findet die Entwicklung bzw. Programmierung der Software meistens nicht durch die Behörde, sondern durch einen externen Dienstleister statt. Entscheidend ist, dass bereits hier darauf geachtet wird, die App so zu gestalten, dass die für die App-anbietende Behörde geltenden Datenschutzvorschriften beachtet sind. Die Inhalte werden regelmäßig von der Behörde bereitgestellt.
Im Berichtszeitraum habe ich bayerische Behörden verschiedentlich zu den datenschutzrechtlichen Aspekten beraten. Wenn eine bayerische öffentliche Stelle eine App anbietet, ist sie auch für die Zulässigkeit ihrer damit verbundenen Datenerhebungen, -verarbeitungen und -nutzungen verantwortlich. Zum einen wird hier das Telemediengesetz relevant, zum anderen - im Hinblick auf die Inhaltsdaten - grundsätzlich das Bayerische Datenschutzgesetz. Allerdings können Letzterem gegenüber spezielle Datenschutzvorschriften vorrangig zu beachten sein, etwa im Anwendungsbereich des Sozialgesetzbuchs.
Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter erarbeitet, die im Juni 2014 veröffentlicht wurde. Sie bezieht sich allerdings auf nicht-öffentliche Stellen und dementsprechend bei den Inhaltsdaten auf das Bundesdatenschutzgesetz.
Diese Orientierungshilfe ist auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abrufbar und enthält auch für bayerische öffentliche Stellen hilfreiche Ausführungen. Allerdings geht sie nicht detailliert auf speziell von öffentlichen Stellen zu beachtende Vorschriften ein.
12.4. Soziale Medien, insbesondere Soziale Netzwerke
Auf die steigende Bedeutung und Entwicklung des "Social Web" sowie auf die datenschutzrechtlichen Konsequenzen für die bayerische Verwaltung bin ich bereits im 25. Tätigkeitsbericht 2012 unter Nr. 1.3 eingegangen.
Soziale Medien sind inzwischen fester Bestandteil des Alltags vieler Menschen, zudem steigt die Zahl der Nutzer weiter an. Die Angebote Sozialer Medien, deren Nutzungsbedingungen und Datenschutzerklärungen sowie Umfang und Zweck der Datenverarbeitungen können sich dabei immer wieder ändern.
Dementsprechend haben mich vermehrt Beratungsanfragen von bayerischen Behörden erreicht, die Soziale Medien nutzen wollen. Auch die inhaltliche Bandbreite der Anfragen hat zugenommen. Zwar ging es häufig um die Einrichtung einer Fanpage auf Facebook zum Zweck der Öffentlichkeitsarbeit (siehe Nr. 12.4.1). Darüber hinaus wurden aber verschiedene andere Themen angesprochen, wie beispielsweise die Nutzung einer Blogplattform eines außereuropäischen Anbieters.
Die anfragenden Stellen haben die aus ihrer Sicht bestehende Erforderlichkeit der Nutzung Sozialer Medien dabei regelmäßig sehr engagiert dargestellt. Vielfach wurden Bürgernähe, Serviceorientierung und ein zeitgemäßes Image angeführt, "die Menschen sollen dort abgeholt werden, wo sie sind".
Und wo befinden sich viele Internetnutzer? In Sozialen Netzwerken. Allein bei Facebook gibt es in Deutschland mehr als 27 Millionen Nutzer, die man dort - möglicherweise - erreichen und "abholen" könnte.
Aber selbst wenn Soziale Medien die Chance eröffnen sollten, auch Menschen anzusprechen, die eine Behörde ansonsten möglicherweise nicht oder nicht so erreichen würde, bleibt Folgendes entscheidend:
Grundlage und Maßstab für das Handeln bayerischer öffentlicher Stellen ist das im Grundgesetz verankerte Rechtsstaatsprinzip.
Die jeweilige Behörde ist also dafür verantwortlich, dass sie rechtmäßig handelt, auch und gerade soweit es um die Erhebung, Verarbeitung und Nutzung personenbezogener Daten geht. Dies gilt unabhängig davon, wie "in" die Nutzung Sozialer Medien ist, ob diese "Chancen" eröffnen oder ob diese von anderen Stellen oder Personen genutzt werden. Hier kann es grundsätzlich auch keine Abwägung zwischen der Einhaltung datenschutzrechtlicher Vorschriften einerseits und der Anzahl der erreichbaren Personen oder dem vermeintlichen Image einer "zeitgemäßen, innovativen Behörde" andererseits geben. Die rechtliche Zulässigkeit darf nicht als ein (abwägbarer) Entscheidungsfaktor unter vielen angesehen werden.
Bei allem Verständnis für vorgetragene Motive wie etwa Serviceorientierung blieb Maßstab meiner Beratungen und Prüfungen daher die Einhaltung datenschutzrechtlicher Vorschriften durch bayerische öffentliche Stellen.
Im Berichtszeitraum gab es bei meinen Beratungen und Prüfungen im Zusammenhang mit der Nutzung Sozialer Medien drei Schwerpunkte, auf die ich nachfolgend näher eingehe.
12.4.1. Soziale Netzwerke, Fanpage zum Zweck der Öffentlichkeitsarbeit
Zahlreiche Behörden wandten sich mit der Frage an mich, ob und inwieweit sie zum Zweck der Öffentlichkeitsarbeit bei Facebook eine Fanpage einrichten und betreiben könnten. Bereits im 25. Tätigkeitsbericht 2012 unter Nr. 1.3.2 hatte ich empfohlen, von der Einrichtung einer Fanpage abzusehen und dabei auf noch strittige Rechtsfragen hingewiesen. Sie betrafen und betreffen immer noch die Anwendbarkeit des deutschen Datenschutzrechts auf Facebook und die (Mit-)Verantwortlichkeit der Fanpagebetreiber für eine unzulässige Verarbeitung von Nutzungsdaten durch Facebook.
Angesichts der zahlreichen Anfragen habe ich im März 2013 die Orientierungshilfe "Fanpages bayerischer öffentlicher Stellen in Sozialen Netzwerken zum Zweck der Öffentlichkeitsarbeit" veröffentlicht. Die Orientierungshilfe habe ich unter anderem allen Ressorts und den kommunalen Spitzenverbänden mit der Bitte übersandt, sie im jeweiligen Verantwortungsbereich bekannt zu machen.
Die Kernaussagen der Orientierungshilfe vom März 2013 sind,
- dass ich zu dieser Zeit nicht davon ausgehe, dass die Einrichtung bzw. Nutzung einer Fanpage bei Facebook (oder einem vergleichbaren Sozialen Netzwerk) datenschutzkonform ist
- dass ich empfehle, grundsätzlich keine entsprechende Fanpage einzurichten oder zu nutzen
- dass ich bayerische Behörden, die dieser Empfehlung nicht folgen, derzeit insbesondere angesichts noch umstrittener Fragen in bestimmten - in der Orientierungshilfe dargestellten - Konstellationen grundsätzlich nicht beanstande
- dass ich mir in darüber hinausgehenden Konstellationen ausdrücklich eine Beanstandung vorbehalte, insbesondere wenn eine bayerische öffentliche Stelle Bürgerinnen und Bürger zur Offenbarung besonders sensibler Daten auf der Fanpage ermuntern sollte.
Dementsprechend habe ich im Berichtszeitraum grundsätzlich Anfragen beantwortet und bayerische Behörden in Besprechungen beraten.
Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Orientierungshilfe ("Soziale Netzwerke") veröffentlicht. Sie soll die Einhaltung des Datenschutzes im Zusammenhang mit Sozialen Netzwerken unter-stützen und ist ebenfalls auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abrufbar.
Die 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat zudem folgende Entschließung verabschiedet:
Entschließung der 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 13./14.03.2013
Soziale Netzwerke brauchen Leitplanken - Datenschutzbeauftragte legen Orientierungshilfe vor
Angesichts der zunehmenden Bedeutung sozialer Netzwerke erinnert die Datenschutzkonferenz deren Betreiber an ihre Verpflichtung, die Einhaltung datenschutzrechtlicher Anforderungen sicherzustellen. Auch Unternehmen und öffentliche Stellen, die soziale Netzwerke nutzen, müssen diesen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Betreibern sozialer Netzwerke nicht immer hinreichend beachtet wird.
Häufig vertrauen die Nutzenden den Betreibern dieser Dienste sehr persönliche Informationen an. Auch die Vielfalt der Informationen, die innerhalb eines Netzwerkes aktiv eingestellt oder über die Nutzerinnen und Nutzer erhoben werden, ermöglicht einen tiefen Einblick in deren persönliche Lebensgestaltung.
Es zeichnet sich ab, dass die angekündigte Selbstregulierung für soziale Netzwerke - insbesondere auf Grund der mangelnden Bereitschaft einiger großer Netzwerk-Betreiber - den erforderlichen Datenschutzstandard nicht gewährleisten kann. Deshalb haben die Datenschutzbeauftragten des Bundes und der Länder die Orientierungshilfe "Soziale Netzwerke" erarbeitet. Sie soll die Betreiber sozialer Netzwerke und die die Netzwerke nutzenden öffentlichen und privaten Stellen bei der datenschutzgerechten Gestaltung und Nutzung der Angebote unterstützen. Die Konferenz weist darauf hin, dass der vorhandene Rechtsrahmen zur Gewährleistung eines angemessenen Datenschutzes bei sozialen Netzwerken weiterentwickelt werden muss, insbesondere in Bezug auf konkrete und präzise Vorgaben zu datenschutzfreundlichen Voreinstellungen, zum Minderjährigenschutz, zur Löschungsverpflichtung bei Dritten und zum Verhältnis von Meinungsfreiheit und Persönlichkeitsrecht. Ferner wird die Verantwortlichkeit für den Umgang mit Nutzungsdaten in Bezug auf Social Plug-Ins, Fanpages sowie für den Einsatz von Cookies von vielen Unternehmen und Behörden in Abrede gestellt. Der europäische und nationale Gesetzgeber bleiben aufgefordert, für die notwendige Klarheit zu sorgen und damit einen ausreichenden Datenschutzstandard zu sichern. Darauf weist die Konferenz der Datenschutzbeauftragten erneut nachdrücklich hin.
Die in meiner Orientierungshilfe angenommene (Mit-)Verantwortlichkeit eines Fanpagebetreibers insbesondere für Nutzungsdatenverarbeitungen von Facebook verneint das Oberverwaltungsgericht Schleswig in einem Urteil vom 04.09.2014 (Az.: 4 LB 20/13).
Dieses Urteil des Oberverwaltungsgerichts Schleswig habe ich zur Kenntnis genommen und es bei meinen Beratungen und meiner Vorgehensweise ab dem 04.09.2014 auch nicht außer Betracht gelassen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat Revision gegen die Entscheidung des Oberverwaltungsgerichts eingelegt. Der Ausgang des Verfahrens bleibt daher abzuwarten.
Auch bei Zugrundelegung der Rechtsauffassung des Oberverwaltungsgerichts Schleswig wäre dies allerdings kein allgemeiner Freifahrtschein für die Nutzung einer Fanpage. Denn das Oberverwaltungsgericht geht im Kern nur auf die Frage ein, ob Stellen, die eine Fanpage auf Facebook betreiben, sich auch die Nutzungsdatenverarbeitung von Facebook zurechnen lassen müssen. Wie in meiner Orientierungshilfe dargestellt, gibt es für bayerische Behörden als Fanpagebetreiber - unabhängig von dieser Frage - einzuhaltende (Datenschutz-)Vorschriften bezüglich der Inhaltsdaten sowie auch nach dem Telemediengesetz zu beachtende Impressums- und Unterrichtungspflichten.
Außerdem bin ich weiterhin der Auffassung, dass bayerische öffentliche Stellen eine Vorbildfunktion haben (siehe 25. Tätigkeitsbericht 2012 Nr. 1.3.2). Bereits aus diesem Grund sollten bayerische öffentliche Stellen Soziale Netzwerke, die sich wiederholt bzw. dauerhaft nicht an europäische bzw. deutsche Datenschutzstandards halten, grundsätzlich nicht nutzen.
Dass deutsche Datenschutzstandards von international agierenden Sozialen Netzwerken als hinderlich angesehen werden, ist nicht verwunderlich. Das Geschäftsmodell Sozialer Netzwerke wie Facebook beruht darauf, mittels der Daten der Nutzer Geld zu verdienen, während die Datenschutzbestimmungen gerade den Schutz der personenbezogenen Daten gewährleisten sollen.
Bislang hat Facebook deutsches Datenschutzrecht auf seine Nutzungsdatenverarbeitungen bezüglich Nutzern in Deutschland allerdings grundsätzlich als nicht anwendbar angesehen. Auch das Oberverwaltungsgericht Schleswig hat bei seinen Beschlüssen vom 22.04.2013 (Az.: 4 MB 10/13, 4 MB 11/13) auf den Sitz der Facebook Ireland Limited in Irland abgestellt und insoweit nicht deutsches, sondern irisches Datenschutzrecht zugrundegelegt.
Demgegenüber hat das Landgericht Berlin in seinem Urteil vom 06.03.2012 (Az.: 16 O 551/10) ausdrücklich deutsches Datenschutzrecht angewandt, obwohl Facebook auch in diesem Verfahren vorgetragen hat, es gelte irisches Datenschutzrecht. Das Landgericht ging von einer wirksamen Rechtswahl (Vereinbarung) deutschen Datenschutzrechts aus. Das Kammergericht Berlin hat die hiergegen eingelegte Berufung mit Urteil vom 24.01.2014 (Az.: 5 U 42/12) zurückgewiesen und die Anwendbarkeit deutschen Datenschutzrechts zudem auch darauf begründet, dass insoweit auf den Sitz der Muttergesellschaft Facebook Inc. in den USA (und nicht auf den von Facebook Limited in Irland) abzustellen ist. Deutsches Datenschutzrecht hat das Landgericht Berlin auch in seiner Entscheidung vom 30.04.2013 (Az.: 15 O 92/12) angewandt.
Der Europäische Gerichtshof hat nunmehr in einem Verfahren zu Google als Suchmaschinenbetreiber (Urteil vom 13.05.2014, Az.: C - 131/12) die Formulierung "im Rahmen der Tätigkeiten einer Niederlassung" des Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG (Europäische Datenschutzrichtlinie) weit ausgelegt. Im Ergebnis nimmt der Europäische Gerichtshof in diesem Verfahren eine insofern relevante Niederlassung in einem Mitgliedstaat an, wenn der Suchmaschinenbetreiber (mit Sitz in einem Drittstaat) in dem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen der Suchmaschine und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gründet, deren Tätigkeit auf die Einwohner dieses Staates gerichtet sind. Dies führt dann zur Anwendung des nationalen Datenschutzrechts dieses Mitgliedstaates.
Ich werde daher aufmerksam verfolgen, wie sich diese Entscheidung des Europäischen Gerichtshofs im Hinblick auf Soziale Netzwerke auswirkt, die Niederlassungen in Deutschland mit den in der Entscheidung des Europäischen Gerichtshofs genannten Geschäftszwecken haben.
Das Thema Fanpages wird mich und andere unter Berücksichtigung aktueller Entwicklungen weiterhin beschäftigen. Selbstverständlich wende ich mich dabei nicht gegen die Nutzung Sozialer Netzwerke durch bayerische Behörden, wenn die datenschutzrechtlichen Vorschriften von den verantwortlichen und handelnden Stellen eingehalten werden.
12.4.2. Facebook als dienstlicher Kommunikationskanal
Behörden haben mich in verschiedenen Zusammenhängen um Beratung gebeten, ob es zulässig ist, mittels einer Facebook-Profilseite bzw. eines Facebook-Accounts dienstlich mit Bürgerinnen und Bürgern zu kommunizieren. Diese Fallgestaltung ist von der allgemeinen Öffentlichkeitsarbeit mittels einer Fanpage (siehe Nr. 12.4.1) zu unterscheiden.
Beispielhaft ist das zunächst beabsichtigte Projekt einer Behörde, bei dem Beschäftigte dienstliche Profilseiten bzw. Accounts bei Facebook anlegen wollten, um im Rahmen geschlossener Benutzergruppen Bürgerinnen und Bürger zu bestimmten Themenbereichen zu beraten. Durch geschlossene Benutzergruppen sollte - nach Auffassung der Behörde - die Vertraulichkeit der ausgetauschten personenbezogenen Daten ausreichend abgesichert werden.
Mit anderen Worten sollte eine Einzelfallbearbeitung bzw. -beratung mit entsprechenden personenbezogenen Daten erfolgen. Damit würden auch sensible personenbezogene Daten über einen "unsicheren" Kommunikationskanal ausgetauscht und bei einem "unsicheren" Anbieter gespeichert. Gegenüber einer allgemeinen Öffentlichkeitsarbeit mittels einer Fanpage hätte das Projekt also insofern ein deutlich höheres Gefährdungspotential gehabt.
Bayerische öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen auch die technisch-organisatorischen Maßnahmen treffen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Insbesondere müssen sie unbefugte Zugriffe technisch-organisatorisch unterbinden. Hier kann jedoch nicht davon ausgegangen werden, dass die Vertraulichkeit im Sinne der für die bayerischen Behörden geltenden Datenschutzbestimmungen gewährleistet ist.
Zudem würden eventuelle Kenntnisnahmen durch andere Gruppenmitglieder weitere datenschutzrechtliche Fragen aufwerfen.
Auf dieser Basis habe ich entsprechende Anfragen beantwortet und das genannte Projekt dementsprechend als datenschutzrechtlich unzulässig eingeordnet. Die Behörde hat von dem Projekt Abstand genommen.
Meine Einschätzung in dem genannten Fall deckt sich mit dem Leitfaden, der vom IT-Beauftragten der Staatsregierung für die Beschäftigten der Staatsverwaltung zum Umgang mit Sozialen Medien im Februar 2013 herausgegeben worden ist. Vor Veröffentlichung hatte ich Gelegenheit, mich zum Entwurf des Leitfadens zu äußern.
Der Leitfaden bezieht sich zwar ausdrücklich nicht auf die Nutzung Sozialer Medien als Kommunikationskanal der Öffentlichkeitsarbeit von Verwaltungen. Im Hinblick auf eine darüber hinaus gehende Nutzung führt der Leitfaden aber unter anderem aus, dass eine Nutzung Sozialer Netzwerke durch öffentliche Beschäftigte zu Zwecken des Austauschs personenbezogener Daten zu unmittelbaren oder mittelbaren dienstlichen Zwecken aus datenschutzrechtlicher Sicht in aller Regel unzulässig ist.
12.4.3. Social Plugins auf Webseiten bayerischer öffentlicher Stellen
Zur direkten Einbindung von Social Plugins, etwa des Like-Buttons ("Gefällt mir") von Facebook in Internetauftritte bayerischer öffentlicher Stellen hatte ich mich bereits im 25. Tätigkeitsbericht 2012 unter Nr. 1.3.2 geäußert. Bei der direkten Einbindung von Social Plugins fließen unmittelbar mit Aufruf der Behördenwebseite Daten an das hinter dem Plugin stehende Soziale Netzwerk. Auf diese Weise werden unter Verstoß gegen das Telemediengesetz zumindest die IP-Adresse des Nutzerrechners und der Zeitpunkt des Seitenaufrufs weitergeleitet. Im 25. Tätigkeitsbericht 2012 unter Nr. 1.3.2 hatte ich auch auf die sogenannte Zwei-Klick-Lösung hingewiesen, die verhindert, dass entsprechende Daten unmittelbar bei Aufruf der Behördenseite weitergegeben werden.
Mittlerweile habe ich eine Orientierungshilfe zu Social Plugins veröffentlicht, die auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abrufbar ist. Die Orientierungshilfe habe ich zudem kommunalen Spitzenverbänden sowie dem Staatsministerium des Innern, für Bau und Verkehr mit der Bitte übersandt, sie den bayerischen Städten, Märkten und Gemeinden bekannt zu geben, da insbesondere Stellen aus diesem Kreis Social Plugins in ihre Webauftritte einbinden. Dabei hatte ich eine stichprobenartige Überprüfung angekündigt.
Die darauf folgende Überprüfung von 5592 Webseiten bayerischer öffentlicher Stellen ergab, dass 66 Stellen weiterhin Social Plugins direkt in ihren Internetauftritt eingebunden hatten. Diese Stellen habe ich sodann konkret angeschrieben und aufgefordert, dies zu unterlassen. Fast alle der angeschriebenen Stellen haben unmittelbar reagiert und Social Plugins entweder ganz entfernt oder die Zwei-Klick-Lösung verwendet. Lediglich eine Stelle zeigte sich zunächst uneinsichtig und wurde von mir beanstandet. Nach Einschaltung der Aufsichtsbehörde hat auch diese Stelle letztlich von einer direkten Einbindung von Social Plugins Abstand genommen.
Im Ergebnis konnte ich diese Prüfung damit Ende 2013 erfolgreich abschließen. Auch in der Folge habe ich die Einbindung von Social Plugins in Webseiten bayerischer öffentlicher Stellen stichprobenartig geprüft und werde dies weiter fortsetzen.