≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 11. Soziale Medien und Telemedien

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020

11. Soziale Medien und Telemedien

11.1. Soziale Netzwerke

Bei der Nutzung Sozialer Medien durch bayerische öffentliche Stellen handelt es sich seit längerer Zeit um ein wichtiges datenschutzrechtliches Beratungsthema. Bereits mehrfach habe ich mich zu diesem Thema geäußert, zuletzt in meinem 28. Tätigkeitsbericht 2018 unter Nr. 13.1. Dabei bin ich insbesondere auf das Urteil des Europäischen Gerichtshofs vom 5. Juni 2018, C-210/16, und die Reaktion der deutschen Datenschutz-Aufsichtsbehörden auf diese Entscheidung eingegangen.

Auch im Berichtszeitraum haben mich wieder zahlreiche Beratungsanfragen bayerischer öffentlicher Stellen zur Nutzung Sozialer Medien, insbesondere Sozialer Netzwerke erreicht. Konkret handelt es sich dabei weiterhin schwerpunktmäßig um Fragen zum Betrieb von Facebook-Fanpages, die ich insbesondere auf Grundlage der vorliegenden Rechtsprechung beantwortet habe.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat unter meiner Mitwirkung bereits von Anfang an die Auswirkungen der Rechtsprechung des Europäischen Gerichtshofs in den Blick genommen. So bekräftigte die Datenschutzkonferenz beispielsweise in ihrem Beschluss vom 5. September 2018 auch das Erfordernis einer Vereinbarung nach Art. 26 DSGVO als eine der Voraussetzungen für einen rechtskonformen Betrieb von Fanpages. Dies führte dazu, dass Facebook sowohl eine "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" als auch "Informationen zu Seiten-Insights" veröffentlichte.

Ich habe mich weiterhin an der von der Datenschutzkonferenz eingerichteten Task Force Fanpages beteiligt. Diese bereitete nach Beurteilung der von Facebook veröffentlichten Informationen folgende Positionierung der Datenschutzkonferenz vor:

Positionierung zur Verantwortlichkeit und Rechenschaftspflichtbei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeitvom 1. April 2019

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 5. September 2018 zu dem (Weiter-)Betrieb von Facebook-Fanpages nach dem Urteil des EuGH vom 5. Juni 2018 geäußert.

In ihrem Beschluss hat die Konferenz deutlich gemacht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung

personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können müssen. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie insbesondere in Bezug auf Verpflichtungen nach Art. 24, 25, 32 DSGVO.

Am 11. September 2018 veröffentlichte Facebook eine sog. "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" sowie "Informationen zu Seiten-Insights". Diese von Facebook veröffentliche "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen" erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Ent scheidungsmacht "hinsichtlich der Verarbeitung von Insights-Daten" einräumen lassen will. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen. Vor diesem Hintergrund bekräftigt die Konferenz erneut die Rechenschaftspflicht der Fanpage-Betreiber (unabhängig von dem Grad der Verantwortlichkeit) und stellt fest:

  1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und - soweit besondere Kategorien personenbezogener Daten verarbeitet werden - nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
  2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt hierzu aus: "Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien." (EuGH, C-210/16, Rn. 40).
  3. Im Hinblick auf die Ausführungen zur "Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche" sowie zur federführenden Aufsichtsbehörde (Punkt 4 in der "Seiten-Insights-Ergänzung bezüglich des Verantwortlichen") weist die Konferenz darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen.

Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.

Im Ergebnis ist die Datenschutzkonferenz damit der Auffassung, dass die genannten Veröffentlichungen die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO nicht erfüllten, und dass auch auf Seiten der Fanpage-Betreiber weiterhin Handlungsbedarf besteht.

Diese Positionierung habe ich noch im April erneut zum Anlass genommen, das Bayerische Staatsministerium des Innern, für Sport und Integration als das für das Datenschutzrecht federführende Ressort zeitnah auf die aktuellen Entwicklungen sowie die Haltung der Datenschutzkonferenz hinzuweisen und es gebeten, die Positionierung der Datenschutzkonferenz beim weiteren Vorgehen zu berücksichtigen. Mein Schriftwechsel mit dem Innenministerium dauert noch an.

Im September 2019 ist ein Urteil des Bundesverwaltungsgerichts ergangen, das dem Europäischen Gerichtshof unter anderem die Frage nach der (gemeinsamen) Verantwortlichkeit des Fanpage-Betreibers für durch Facebook vorgenommene Datenverarbeitungen zur Entscheidung vorgelegt hatte. Das Bundesverwaltungsgericht hat vor dem Hintergrund der Antworten des Europäischen Gerichtshofs das zugrundeliegende Urteil des Oberverwaltungsgerichts aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an dieses zurückverwiesen. Laut Bundesverwaltungsgericht bedarf es zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge einer näheren Aufklärung der tatsächlichen Umstände durch das Oberverwaltungsgericht. So werde zu prüfen sein, welche Datenverarbeitungen bei Aufruf der Fanpages im für die Entscheidung maßgeblichen Zeitpunkt stattfanden.

Nach Veröffentlichung der Entscheidungsgründe durch das Bundesverwaltungsgericht ist es zunächst erforderlich, die entsprechenden Feststellungen des Gerichts zu analysieren und weitere Schlüsse zu ziehen - auch angesichts sich verändernder Ausgestaltungen im Zusammenhang mit dem Betrieb von Facebook-Fanpages. Aktuell beschäftigt sich unter meiner Mitwirkung unter anderem die Task Force Fanpages der Datenschutzkonferenz insbesondere mit den Auswirkungen der aktuellen Rechtsprechung.

Dies ändert jedoch nichts an meiner bereits seit Langem vertretenen Auffassung, dass der Betrieb von Fanpages durch bayerische öffentliche Stellen von diesen kritisch zu überprüfen ist.

11.2. Einbindung von Social Plugins in Internetseiten bayerischer Behörden

Im Zusammenhang mit der Nutzung von Sozialen Netzwerken wurden auch weiterhin Fragen zur Einbindung von Social Plugins in die Internetseiten bayerischer öffentlicher Stellen an mich gerichtet, etwa zum Like-Button von Facebook. Zur datenschutzrechtlichen Unzulässigkeit einer direkten Einbindung solcher Tools habe ich mich bereits in der Vergangenheit ausdrücklich positioniert, beispielsweise in meinem 25. Tätigkeitsbericht 2012 unter Nr. 1.3.2 und in meinem 26. Tätigkeitsbericht 2014 unter Nr. 12.4.3, sowie entsprechende Prüfungen durchgeführt.

In diesem Zusammenhang habe ich stets ausgeführt, dass eine Einbindung entsprechender Plugins durch bayerische öffentliche Stellen nur bei Einsatz einer Variante wie etwa der "Zwei-Klick-Lösung" zulässig sein kann.

Der Europäische Gerichtshof hat diese Auffassung nunmehr im Ergebnis bestätigt.

Der Vorlage des Oberlandesgerichts Düsseldorf an den Europäischen Gerichtshof lag eine Unterlassungsklage der Verbraucherzentrale Nordrhein-Westfalen gegen den Website-Betreiber Fashion ID zugrunde, der den "Gefällt mir" Button von Facebook direkt in seinen Internetauftritt eingebunden hatte. Durch eine direkte Einbindung erfährt Facebook zunächst die ID-Adresse des Website-Besuchers, Daten über Browsereinstellungen und die Tatsache des Website-Aufrufes.

Der Europäische Gerichtshof hat die auf die datenschutzrechtliche Verantwortlichkeit bezogenen Vorlagefragen dahingehend beantwortet, dass der Betreiber einer Website, der ein Social Plugin einbindet, als (gemeinsam mit dem Anbieter des Plugins) verantwortlich zu betrachten ist. Die Verantwortlichkeit des Website-Betreibers bezieht sich dabei auf die Verarbeitungen, bei denen er über Zwecke und Mittel entscheidet, also auf das Erheben und Übermitteln der Daten. Zudem benötigen sowohl der Betreiber des Internetauftritts als auch der Anbieter des Plugins für diese Verarbeitungsvorgänge jeweils eine Rechtsgrundlage, die diese Vorgänge für jeden Einzelnen von ihnen rechtfertigt. Bei einer Einwilligung muss der Seitenbetreiber die Einwilligung zu den Verarbeitungsvorgängen einholen, für die er tatsächlich über Zwecke und Mittel entscheidet. Entsprechendes gilt für die Informationspflichten, die an diese Verarbeitungsvorgänge geknüpft sind.

Dies entspricht im Ergebnis meiner Einschätzung, dass die Datenübermittlung einer bayerischen öffentlichen Stelle unter Einsatz eines Social Plugins ohne Wissen und Zustimmung betroffener Personen nicht zulässig ist und die öffentliche Stelle als Betreiber der einbindenden Websites insoweit eine datenschutzrechtliche (Mit-)Verantwortlichkeit trägt.

  1. Bundesverwaltungsgericht, Urteil vom 11. September 2019, 6 C 15.18. [Zurück]
  2. Schleswig-Holsteinisches Oberverwaltungsgericht, Urteil vom 4. September 2014, OVG 4 LB 20/13. [Zurück]
  3. Europäischer Gerichtshof, Urteil vom 29. Juli 2019, C-40/17. [Zurück]