≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 28.03.2013

Fanpages bayerischer öffentlicher Stellen in sozialen Netzwerken zum Zweck der Öffentlichkeitsarbeit

Inhaltsverzeichnis

1. Einführung
2. Geht der Bayerische Landesbeauftragte für den Datenschutz davon aus, dass die Einrichtung bzw. Nutzung einer Fanpage bei Facebook (oder einem vergleichbaren sozialen Netzwerk) durch bayerische öffentliche Stellen datenschutzkonform ist?
2.1. Mittelbare Verantwortlichkeit aufgrund der Vorbildfunktion der öffentlichen Verwaltung
2.2. Unmittelbare (Mit-) Verantwortlichkeit bayerischer öffentlicher Stellen im Hinblick auf das Telemediengesetz (Informationspflichten, Nutzungsdaten)
2.2.1. Transparenz, Informationspflichten
2.2.2. Zulässigkeit der Erhebung und Verwendung von Nutzungsdaten nach dem Telemediengesetz
2.3. Inhaltliche Kommunikation über eine Fanpage (Inhaltsdaten)
2.3.1. Einstellen von Inhaltsdaten durch bayerische öffentliche Stellen (Datenübermittlungen)
2.3.2. Eröffnung von Kommunikationskanälen für Nutzer auf der Fanpage (Datenerhebungen)
2.3.3. Speichern und Löschen von Inhaltsdaten
2.3.4. Technisch-organisatorische Maßnahmen
3. Was empfiehlt der Bayerische Landesbeauftragte für den Datenschutz? Keine Fanpage in rechtlich unsicheren Angeboten!
4. Fanpage und Ausgestaltungsvarianten
4.1. Bloße Verlinkung auf die Behördenseite
4.2. Informationsseiten über eine bloße Verlinkung hinaus
4.3. Einräumung einer Kommunikationsmöglichkeit für Nutzer auf der Fanpage
4.4. An Kinder und Jugendliche gerichtete Fanpage
5. Fazit
6. Weiteres
6.1. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
6.2. Weitere Informationen


1. Einführung

Die folgenden Ausführungen beziehen sich unter den Voraussetzungen des Art. 2 Abs. 2 Bayerisches Datenschutzgesetz (BayDSG) auch auf privatrechtlich organisierte Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen.

Viele bayerische Behörden veröffentlichen bereits seit Längerem Informationen auf ihrer eigenen Webseite. Dazu gehören u.a. staatliche Behörden sowie Städte und Gemeinden. Behörden wollen mit ihrer Öffentlichkeitsarbeit möglichst viele Menschen erreichen und suchen daher nach weiteren, erfolgversprechenden Kommunikationswegen. Gerade in diesem Bereich fällt dann oftmals folgender Satz:

"Wir wollen die Menschen dort abholen, wo sie sind."

Und wo befinden sich derzeit viele Internetnutzer? In sozialen Netzwerken. Allein bei Facebook gibt es in Deutschland mehr als 25 Millionen Nutzer, die man dort - möglicherweise - erreichen und "abholen" könnte.

Daher will auch so manche bayerische öffentliche Stelle eine Fanpage auf Facebook bzw. eine vergleichbare Seite bei einem anderen Netzwerk wie etwa Google+ einrichten oder hat dies bereits getan.

Aber selbst wenn eine Fanpage die Chance eröffnet, auch Menschen anzusprechen, die eine Behörde ansonsten möglicherweise nicht oder nicht so erreichen würde, bleibt es dabei:

Grundlage und Maßstab für das Handeln bayerischer öffentlicher Stellen ist das Rechtsstaatsprinzip.

Die jeweilige Behörde ist also dafür verantwortlich, dass sie rechtmäßig handelt, auch soweit es um die Erhebung und Verarbeitung personenbezogener Daten geht. Dies gilt im Übrigen unabhängig davon, wie "in" soziale Netzwerke gerade sind, ob diese "Chancen eröffnen" oder ob diese ggf. auch von anderen Stellen oder Personen genutzt werden.

Im Zusammenhang mit sozialen Netzwerken wie Facebook sind nach wie vor noch nicht alle tatsächlichen Fragen geklärt. Zudem gibt es auch strittige Rechtsfragen.

Doch gerade noch ungeklärte bzw. strittige Fragen sollten bei bayerischen öffentlichen Stellen zu äußerster Zurückhaltung im Hinblick auf die Einrichtung und Nutzung einer Fanpage führen. Behörden sind in besonderem Maße Recht und Gesetz verpflichtet. Daher sollten sie ein Vorhaben nicht nur bei allgemein erwiesener Unzulässigkeit unterlassen, sondern bereits bei offenen datenschutzrechtlichen Fragen, die sie selbst nicht rechtssicher ausräumen können bzw. die noch nicht grundlegend geklärt sind.

Die folgenden Ausführungen können und sollen nicht jedes Detail im Zusammenhang mit sozialen Netzwerken und Fanpages umfassend darstellen. Die Angebote sozialer Netzwerke wie etwa von Facebook und die von diesen veröffentlichten Informationen und Nutzungsbedingungen ändern sich fortlaufend. Außerdem kann auch die konkrete Ausgestaltung der Fanpage im Einzelfall von Bedeutung sein. Es sollen jedoch wesentliche Punkte und meine grundlegende Position im Hinblick auf die Einrichtung und Nutzung einer Fanpage zur Öffentlichkeitsarbeit durch bayerische öffentliche Stellen dargelegt werden.

Zur Vermeidung von Missverständnissen weise ich darauf hin, dass sich diese Ausführungen auf allgemeine Öffentlichkeitsarbeit beziehen, nicht jedoch etwa auf die Öffentlichkeitsfahndung durch die Polizei (s. dazu mein 25. Tätigkeitsbericht unter 3.14).

2. Geht der Bayerische Landesbeauftragte für den Datenschutz davon aus, dass die Einrichtung bzw. Nutzung einer Fanpage bei Facebook (oder einem vergleichbaren sozialen Netzwerk) durch bayerische öffentliche Stellen datenschutzkonform ist?

Derzeit: Nein

Bei der rechtlichen Bewertung muss zwischen Nutzungsdaten (s. nachfolgend 2.2.2) und Inhaltsdaten (s. nachfolgend 2.3) unterschieden werden. Bei Datenschutzverstößen stellt sich jeweils die Frage, ob diese dem Anbieter des sozialen Netzwerks und/oder der bayerischen öffentlichen Stelle (mit-) verantwortlich zuzurechnen sind.

2.1. Mittelbare Verantwortlichkeit aufgrund der Vorbildfunktion der öffentlichen Verwaltung

Abgesehen von der Frage einer unmittelbaren rechtlichen (Mit-)Verantwortung für Datenumgänge auf bzw. über Facebook haben bayerische öffentliche Stellen im Hinblick auf die Nutzung eines sozialen Netzwerks wie Facebook auch ihre Vorbildfunktion zu beachten.

Bereits aus diesem Grund sollten bayerische öffentliche Stellen soziale Netzwerke, die sich wiederholt nicht an europäische bzw. deutsche Datenschutzstandards gehalten haben und derzeit weiterhin nicht halten (etwaFacebook), grundsätzlich nicht nutzen. Dies gilt umso mehr, als Datenschutzbeauftragte des Bundes und der Länder bzw. Aufsichtsbehörden beispielsweise Facebook wiederholt in Schreiben, bei Besprechungen und über Veröffentlichungen auf die datenschutzrechtlichen Anforderungen an soziale Netzwerke nach europäischem bzw. deutschem Recht hingewiesen haben.

Nur beispielhaft will ich außerdem folgende Punkte aufzeigen:

  • Mittels seiner Nutzungsbedingungen will sich Facebook die weltweite, übertragbare Nutzungslizenz ("IP-Lizenz") an allen auf oder im Zusammenhang mit Facebook geposteten Inhalten (einschließlich Fotos und Videos) einräumen lassen.
  • Gemäß einem Urteil des Landgerichts Berlin (vom 06.03.2012, Geschäftsnummer 16 O 551/10; nicht rechtskräftig) muss es Facebook unterlassen, Mitteilungen aus seiner "Freunde finden" - Funktion ohne entsprechende Einwilligung der Betroffenen zu versenden und/oder versenden zu lassen. In diesem Verfahren angegriffene "Allgemeine Geschäftsbedingungen" bzw. "Datenschutzrichtlinien" von Facebook hat das Landgericht Berlin als unwirksam bewertet, u.a. die "IP-Lizenz".
  • Datenschutzaufsichtsbehörden haben bereits Anordnungen nach § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG) gegen Facebook erlassen. So geht etwa das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein aktuell gegen Facebook im Hinblick auf die betriebene "Klarnamenpflicht" (entgegen § 13 Abs. 6 Telemediengesetz - TMG) vor. Das Verwaltungsgericht Schleswig hat in Beschlüssen vom 14.02.2013 (8 B 60/12 und 8 B 61/12) aufgrund summarischer Prüfung im vorläufigen Rechtsschutzverfahren allerdings die aufschiebende Wirkung des Widerspruchs von Facebook gegen die Anordnung wieder hergestellt bzw. angeordnet. Der weitere Verlauf des Verfahrens bleibt abzuwarten.
  • Facebook hatte 2009 seine Standardeinstellungen von sich aus und ohne ausdrückliche Einwilligung des jeweiligen Nutzers so verändert, dass viele Informationen der Facebook-Mitglieder sichtbar geworden sind. Dadurch wurden -zuvor nur einem eingeschränkten Kreis von Personen zugängliche- Daten und Fotos öffentlich sichtbar gemacht. Auch wenn diese und teils auch andere missglückte Aktionen später zurückgenommen wurden, der "Schaden" war jeweils bereits entstanden. Dabei sollte jedem bewusst sein: Einmal veröffentlichte Daten können zumindest tatsächlich beliebig kopiert und weiterverbreitet werden.
  • Immer wieder neue Funktionen und Möglichkeiten auf Facebook, welche die Privatsphäre weiter aushöhlen, dabei auch Persönlichkeitsrechte dritter Personen. Nur beispielhaft seien die "Spotted"-Seiten auf Facebook oder die angekündigte Suchfunktion "Graph Search" genannt. Nach Presseberichten entwickelt Facebook zudem eine App für Handy-Nutzer, die den Standort von Nutzern überwacht, beispielsweise um Freunde zu finden, die sich in der Nähe aufhalten.
  • Berichte über verspätete oder unvollständige Auskünfte von Facebook zu gespeicherten Daten und verspätete, unvollständige oder nicht erfolgte Löschungen von Daten.

Fazit zu 2.1:

Bayerische öffentliche Stellen sollten bereits aufgrund ihrer Vorbildfunktion grundsätzlich keine Fanpage in sozialen Netzwerken einrichten und nutzen, wenn und solange diese nicht die Maßstäbe des europäischen bzw. deutschen Datenschutzrechts einhalten. Behörden sollten sich bewusst sein, dass durch die Einrichtung einer Fanpage bzw. deren Nutzung zumindest indirekt der Eindruck vermittelt wird, das soziale Netzwerk beachte diese Datenschutzstandards.

2.2. Unmittelbare (Mit-) Verantwortlichkeit bayerischer öffentlicher Stellen im Hinblick auf das Telemediengesetz (Informationspflichten, Nutzungsdaten)

2.2.1. Transparenz, Informationspflichten

Die Anwendung der Vorschriften des Telemediengesetzes (TMG) setzt insbesondere voraus, dass bayerische öffentliche Stellen, die eine Fanpage etwa bei Facebook einrichten, damit insoweit als Diensteanbieter i.S.d. Telemediengesetzes einzuordnen sind.

Das Landgericht Aschaffenburg hat im Urteil vom 19.08.2011 (Az.: 2 HK O 54/11) entschieden, dass die Informationspflicht nach § 5 TMG ("Impressumspflicht") auch eine GmbH trifft, wenn diese als Nutzer von "Social Media" einen Facebook-Account zu Marketingzwecken benutzt und nicht nur eine rein private Nutzung vorliegt. Auch weitere Gerichtsentscheidungen weisen in Richtung einer eigenständigen Impressumspflicht für - nicht rein private - Webauftritte in Internetportalen.

Auch vor diesem Hintergrund sind bayerische öffentliche Stellen, die eine Fanpage etwa bei Facebook einrichten, als Diensteanbieter i.S.d. Telemediengesetzes einzuordnen.

Die weiteren Tatbestandsmerkmale des § 5 TMG werden von den Behörden dann grundsätzlich ebenfalls erfüllt. Denn sie dienen im Wesentlichen der Abgrenzung zu rein privaten Webseiten.

Dementsprechend haben bayerische öffentliche Stellen die an die Diensteanbietereigenschaft anknüpfenden Regelungen nach dem Telemediengesetz zu beachten, insbesondere die Informations- und Unterrichtungspflichten nach Maßgabe von §§ 5, 13 TMG.

Die nach § 5 TMG vorgeschriebenen Angaben ("Impressumspflicht") müssen "leicht erkennbar, unmittelbar erreichbar und ständig verfügbar" sein. Dies muss daher trotz der von Facebook vorgegebenen Parameter und nur eingeschränkten eigenen Gestaltungsmöglichkeiten sichergestellt werden.

Die nach § 13 TMG vorgeschriebene Unterrichtung über Art, Umfang und Zweck der Erhebung und Verwendung entsprechender Daten ist -soweit sich dies hier etwa auch auf Erhebungen und Verwendungen von Nutzungsdaten bezieht- derzeit kaum ausreichend möglich. Denn die Hinweise und Informationen von Facebook werden den Anforderungen des § 13 TMG weiterhin nicht gerecht, zumal bezüglich Datennutzungen durch Facebook noch offene tatsächliche Fragen bestehen. Eine bayerische öffentliche Stelle hat jedoch über die derzeitigen Angaben von Facebook hinaus keine fundierte Grundlage für eine entsprechende Unterrichtung. Soweit Daten außerhalb des Anwendungsbereichs der Europäischen Datenschutzrichtlinie (95/46/EG), also etwa in den USA, verarbeitet werden, ist übrigens auch hierüber zu informieren.

Fazit zu 2.2.1:

Bayerische öffentliche Stellen müssen die "Impressumspflicht" nach § 5 TMG und die Unterrichtungspflichten nach § 13 TMG beachten. Letzteres ist derzeit nur unzureichend möglich.

2.2.2. Zulässigkeit der Erhebung und Verwendung von Nutzungsdaten nach dem Telemediengesetz

Die Erhebung und Verwendung von Nutzungsdaten ist in § 15 TMG geregelt. Um Nutzungsdaten handelt es sich insbesondere bei Merkmalen zur Identifikation des Nutzers (u.a. IP-Adresse), Angaben über Beginn, Ende und Umfang der jeweiligen Nutzung sowie Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Nutzungsdaten werden bei Aufruf einer Fanpage erhoben und anschließend verwendet. Mittels dieser Daten kann etwa festgestellt werden, welche Webseite wann und wie lange besucht worden ist. Nutzungsdaten erhebt und verwendet in dieser Form grundsätzlich zunächst (nur) Facebook.

Nach § 15 Abs. 3 TMG ist die Erstellung von Nutzungsprofilen ohne Verwendung von Pseudonymen nur für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung der Telemedien und grundsätzlich nur mit Einwilligung des Nutzers zulässig. Bei der Verwendung eines Pseudonyms genügt anstelle einer Einwilligung, dass der Nutzer nicht widerspricht, wenn er auf sein Widerspruchsrecht hingewiesen wurde.Dies kann bei Facebook derzeit jedoch nicht als gewährleistet angesehen werden. Ausführliche Dokumentationen hierzu hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlicht.

Nach § 13 Abs. 4 Nr. 2 TMG besteht auch eine Löschungspflicht, die sicherzustellen ist.

Zudem spricht viel dafür, dass insbesondere durch das Setzen des datr-Cookies ein Verstoß von Facebook gegen § 15 Abs. 1 TMG bzw. bei unmittelbarer Anwendung der sog. E-Privacy-Richtlinie (2002/58/EG i.d.F. 2009/136/EG) gegen deren § 5 Abs. 3 vorliegt. Ausführungen zur Einordnung einzelner Cookie-Arten und bestehender Einwilligungserfordernisse enthält die Stellungnahme der Artikel-29-Datenschutzgruppe 04/2012 (WP 194). Die Art. 29-Datenschutz-Gruppe wird so nach ihrer in Art. 29 der Europäischen Datenschutzrichtlinie (95/46/EG) normierten Grundlage genannt. Dieses Gremium ist unabhängig, berät die Europäische Kommission und besteht u.a. aus je einem Vertreter der Datenschutz-Kontrollstelle der einzelnen Mitgliedstaaten.

Entsprechende Verstöße von Facebook -bei Zugrundelegung des Telemediengesetzes- sind bayerischen öffentlichen Stellen jedenfalls in folgenden Konstellationen unmittelbar zurechenbar:

  1. Das Telemediengesetz ist für entsprechende Datenerhebungen und -verarbeitungen durch Facebook anzuwenden und Verstöße gegen das Telemediengesetz durch Facebook sind bayerischen öffentlichen Stellen unmittelbar verantwortlich zuzurechnen.

Oder

  1. Facebook verarbeitet Daten im Auftrag der Behörde (Auftragsdatenverarbeitung), so dass die Behörde als Auftraggeber für die Einhaltung des für sie geltenden Telemediengesetzes verantwortlich ist.

Zu beiden Konstellationen gibt es noch strittige Fragen.

Zu A)

Für die Anwendbarkeit deutschen Datenschutzrechts (wie das Telemediengesetz) auf Facebook ist von Bedeutung, in welchem Land/ in welchen Ländern ein datenschutzrechtlich relevanter Sitz von Facebook liegt bzw. ob Facebook und seine deutschen Nutzer wirksam die Geltung deutschen Datenschutzrechts vereinbart haben (s. Nr. 17.3 mit den besonderen Bestimmungen der Nutzungsbedingungen für deutsche Nutzer i.V.m. Nr. 16.1 der Nutzungsbedingungen von Facebook).

Das Verwaltungsgericht Schleswig hat in einem anderen Zusammenhang (anonyme oder pseudonyme Nutzung von Facebook) im Rahmen eines nicht rechtskräftigen, vorläufigen Rechtsschutzverfahrens (Az. 8 B 60/12 und 8 B 61/12) geäußert, dass es aufgrund summarischer Prüfung einen datenschutzrechtlich maßgeblichen Sitz von Facebook in Irland annimmt; damit sei insofern irisches -und nicht deutsches- Datenschutzrecht auf Facebook anzuwenden. Eine Vereinbarung der Geltung deutschen Datenschutzrechts sei insofern hingegen nicht wirksam erfolgt.

Deutsche Datenschutzbeauftragte bzw. Datenschutzaufsichtsbehörden gehen demgegenüber von der Anwendbarkeit des Telemediengesetzes u.a. begründet mit § 1 Abs. 5 Satz 2 BDSG i.V.m. Art. 4 Abs.1 Buchstb. c) der Europäischen Datenschutzrichtlinie (95/46/EG) aufgrund des maßgeblichen, angenommenen Sitzes von Facebook in den USA oder eines maßgeblichen Sitzes in Deutschland aus.

Auch das Landgericht Berlin wendet in seinem Urteil vom 06.03.2012 (Geschäftsnummer 16 O 551/10) ausdrücklich deutsches Datenschutzrecht einschließlich des Telemediengesetzes an, obwohl Facebook auch in diesem Verfahren vorgetragen hat, es gelte irisches Datenschutzrecht. Das Landgericht Berlin geht von einer wirksamen Rechtswahl (Vereinbarung) deutschen Datenschutzrechts aus.

Verstöße von Facebook gegen das Telemediengesetz müssten der Behörde allerdings auch verantwortlich zurechenbar sein.

Zum Bestehen einer solchen zurechenbaren (Mit-)Verantwortlichkeit von Behörden, die "lediglich" eine Fanpage auf der von Facebook zur Verfügung gestellten Plattform einrichten und nutzen, werden erneut unterschiedliche Auffassungen vertreten.

Unstreitig ist zwar, dass hier Nutzungsdaten unmittelbar und tatsächlich nur von Facebook erhoben und gespeichert werden und kein unmittelbar-tatsächlicher Zugriff auf diese Daten durch eine Behörde als Fanpageersteller erfolgt.

Dennoch ist nach meiner Auffassung von einer (Mit-) Verantwortlichkeit bayerischer Behörden auszugehen.

Durch Auslegung des Begriffs der "verantwortlichen Stelle" unter Bezugnahme auf Art. 2 Buchstb. d) der Europäischen Datenschutzrichtlinie (95/46/EG) ist verantwortliche Stelle, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Von einer solchen gemeinsamen Entscheidung über die Zwecke und Mittel der Datenverarbeitung in diesem Sinne und damit einer entsprechend zurechenbaren (Mit-) Verantwortlichkeit bayerischer öffentlicher Stellen gehe ich hier auch aus folgenden Gründen aus:

  • Erst durch das Einrichten der Fanpage durch eine Behörde werden sämtliche Erhebungen und Verwendungen von Nutzungsdaten durch Facebook ermöglicht. Ohne Behörden-Fanpage kann Facebook insoweit rein tatsächlich kein einziges Datum erheben oder verwenden. Insoweit kann hier sogar ein Erst-Recht-Schluss gegenüber einer Mitentscheidung (nur) über Zwecke und Mittel der Datenverarbeitung gezogen werden.
  • Für bayerische öffentliche Stellen kann es zudem nicht angehen, eine Plattform zu nutzen, die sich nicht an die Maßstäbe des europäischen bzw. deutschen Datenschutzrechts hält, die Verantwortung für die hierdurch entstehenden Datenerhebungs- und Verwendungsmöglichkeiten dann aber ausschließlich dieser Plattform zuzuordnen. Die Behörde müsste bei Nutzung ihrer eigenen Webseite auch diese Maßstäbe des Telemediengesetzes beachten. Hier darf sich durch eine "Verlagerung auf eine andere Plattform" für Behörden keine andere rechtliche Situation ergeben.
  • Dies gilt umso mehr, wenn diese Behörden auch noch von den durch Facebook am Maßstab des Telemediengesetzes unzulässig erhobenen bzw. verwendeten Nutzungsdaten profitieren. Denn Facebook stellt den Behörden über "Facebook Insights" kostenfrei ein Instrument zur Verfügung, mit dem diese Statistiken über die Nutzung ihrer Fanpage abrufen können, die auf entsprechenden Nutzungsdaten beruhen.
  • Auch nach Äußerungen der Artikel-29-Datenschutzgruppe können solche Mitverantwortlichkeiten bestehen (WP 169 bzw. 179).

Zu B)

Selbst wenn man nicht grundsätzlich von der Anwendbarkeit deutschen Datenschutzrechts auf Facebook ausgeht, ist das Telemediengesetz für das Vorgehen von Facebook unmittelbar relevant, wenn und soweit zwischen der Behörde und Facebook eine Auftragsdatenverarbeitung stattfindet. Dabei ist auf die vorliegenden Verhältnisse abzustellen und nicht auf die bloße Bezeichnung durch die Beteiligten.

Für bayerische Behörden, die eine Fanpage einrichten, gilt das Telemediengesetz. Soweit dann eine Auftragsdatenverarbeitung etwa im Hinblick auf die von Facebook für "Facebook Insights" erhobenen und verarbeiteten Daten besteht, ist die bayerische Behörde dann als Auftraggeber verantwortliche Stelle: auch und gerade im Hinblick auf das (für sie und damit abgeleitet auch für den Auftragnehmer Facebook) einzuhaltende Telemediengesetz.

Ausführliche Darlegungen zum Vorliegen einer Auftragsdatenverarbeitung hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlicht.

Darüber hinaus müssen Behörden bedenken, dass selbst bei Anwendbarkeit irischen Datenschutzrechts die jeweilige Behörde prüfen müsste, ob dann nicht nach diesem Maßstab entsprechende, zurechenbare Verstöße vorliegen. Dies gilt insbesondere vor dem Hintergrund, dass sowohl durch das deutsche Telemediengesetz als auch durch die irischen Regelungen dasselbe europäische (Datenschutz-) Recht umgesetzt wird.

Fazit zu 2.2.2:

Auch wenn eine abschließende, insbesondere gerichtliche, Klärung noch nicht erfolgt ist, stehen doch entsprechende Datenschutzverstöße (insbesondere gegen § 15 TMG) im Raum, die bayerischen Behörden zugerechnet werden können, soweit sie eine Fanpage auf Facebook einrichten.

2.3. Inhaltliche Kommunikation über eine Fanpage (Inhaltsdaten)

Bei Texten, Bildern und Videos, die eine Behörde als Seitenersteller oder ein Seitenbesucher auf einer Fanpage einstellen, handelt es sich um sog. Inhaltsdaten. Seitenbesucher können auf der Fanpage bei entsprechender Gestaltung etwa Kommentare zu Inhalten der Fanpage abgeben. Die Zulässigkeit insbesondere der Erhebung und Übermittlung von Inhaltsdaten richtet sich nicht nach dem Telemediengesetz, sondern nach den allgemeinen datenschutzrechtlichen Regelungen.

Maßstab für bayerische öffentliche Stellen ist dabei grundsätzlich das Bayerische Datenschutzgesetz. Soweit bereichsspezifisch vorrangige Datenschutzvorschriften existieren, sind diese zu beachten. Beispielsweise gelten im Anwendungsbereich des Sozialgesetzbuchs die speziellen sozialdatenschutzrechtlichen Vorschriften.

Die Verantwortung für die Zulässigkeit entsprechender Datenerhebungen und -übermittlungen über eine Fanpage liegt hier eindeutig bei der bayerischen öffentlichen Stelle.

2.3.1. Einstellen von Inhaltsdaten durch bayerische öffentliche Stellen (Datenübermittlungen)

Soweit Behörden auf einer Fanpage im Einzelfall zu Zwecken der Öffentlichkeitsarbeit personenbezogene Inhaltsdaten veröffentlichen, handelt es sich um Datenübermittlungen. Diese sind nur bei Vorliegen einer entsprechenden datenschutzrechtlichen Befugnis zulässig.

Darüber hinaus sind insoweit ggf. weitere Aspekte zu beachten: Bei der Veröffentlichung von Fotos und Videos sind das insbesondere Urheberrechte und das Recht am eigenen Bild.

Fazit zu 2.3.1:

Die jeweilige Behörde ist für die Zulässigkeit ihrer Datenübermittlungen auf einer Fanpage nach den geltenden (Datenschutz-)Vorschriften verantwortlich.

2.3.2. Eröffnung von Kommunikationskanälen für Nutzer auf der Fanpage (Datenerhebungen)

Allein durch die Eröffnung eines allgemeinen Kommunikationskanals wie der Einrichtung einer E-Mail-Adresse kann -nach herrschender Meinung- nicht ohne Weiteres von einer Datenerhebung ausgegangen werden.

Doch spätestens mit dem Zulassen von Kommentierungen zu Inhalten der Fanpage werden Daten über die kommentierenden Personen (gezielt) beschafft. Die Begriffsbestimmung einer Datenerhebung (Art. 4 Abs. 5 BayDSG) ist damit erfüllt. Denn die Kommentierungsfunktion dient gerade dazu, inhaltliche Äußerungen und Positionen von Bürgerinnen und Bürgern zum entsprechenden Thema zu erlangen. Datenerhebungen sind nur unter den Voraussetzungen der jeweils einschlägigen Datenschutzvorschriften zulässig (bspw. BayDSG oder SGB).

Facebook ist ein relativ offen zugängliches soziales Netzwerk, das sich -abgesehen von einem "Mindestalter"- nicht an einen speziell abgegrenzten Nutzerkreis wendet. Doch auch wenn man eine Fanpage auf Facebook als allgemein zugängliche Quelle einordnet, ändert dies nichts daran, dass die geltenden datenschutzrechtlichen Bestimmungen von Behörden auch bei Datenerhebungen über eine Fanpage beachtet werden müssen. Zudem besteht hier die Besonderheit, dass Behörden nicht nur auf entsprechend veröffentlichte Daten zugreifen, sondern durch die Einrichtung einer Fanpage und beispielsweise das Einstellen von Inhalten mit entsprechender Kommentierungsfunktion erst dafür sorgen, dass entsprechende Daten von Nutzern überhaupt veröffentlicht werden.

Bei besonders sensiblen Daten wie beispielsweise politischen Meinungen und Daten über die Gesundheit sind hierfür geltende Sonderregelungen zu berücksichtigen (s. etwa Art. 15 Abs. 7 BayDSG).

Gerade in diesem Zusammenhang kann es auch bedeutsam werden, dass regelmäßig weder Facebook noch die Behörde sicherstellen kann, dass hinter dem jeweiligen Facebook-Account tatsächlich die genannte Person steht und es sich nicht um eine Identitätsübernahme handelt.

In Frage zu stellen sind zudem insbesondere Datenerhebungen zu Inhalten, die mit der eigentlichen Aufgabenstellung der jeweiligen Behörde in keinem Zusammenhang stehen, sondern etwa lediglich dazu dienen, die Fanpage durch -mehr oder weniger- interessante Inhalte zu bewerben. Hierzu gehören im Besonderen Datenerhebungen zu Nachrichten aus Gesellschaft und Sport oder Abfragen privater Lebensgewohnheiten zu Weihnachten oder Ostern. Behörden sollten hier insgesamt den Grundsatz der Erforderlichkeit in Bezug auf die eigentliche Aufgabenstellung beachten.

Im Anwendungsbereich des Sozialgesetzbuchs besteht die Besonderheit, dass sich eine bayerische öffentliche Stelle bereits im Grundsatz -also unabhängig von den Anforderungen an eine wirksame Einwilligung- nicht auf eine Einwilligung betroffener Nutzer berufen kann. Denn aus §§ 67 ff SGB X ergibt sich, dass im Anwendungsbereich des Sozialgesetzbuchs eine Datenerhebung einer bayerischen öffentlichen Stelle -anders als eine Datenverarbeitung oder Datennutzung- grundsätzlich nicht auf eine Einwilligung gestützt werden kann.

Fazit zu 2.3.2:

Für die Zulässigkeit von Datenerhebungen über eine Fanpage ist die jeweilige bayerische öffentliche Stelle verantwortlich. Sie hat die Zulässigkeit entsprechender Datenerhebungen vorab jeweils genau zu prüfen. Maßstab sind das Bayerische Datenschutzgesetz bzw. vorrangige bereichsspezifische Normen wie die datenschutzrechtlichen Bestimmungen des Sozialgesetzbuchs.

2.3.3. Speichern und Löschen von Inhaltsdaten

Die auf der Fanpage eingestellten Inhaltsdaten, sei es von der Behörde oder von Nutzern, werden bei Facebook gespeichert. Die Daten "liegen" also auf den Servern von Facebook. Dies ist übrigens unabhängig davon, ob eine Behörde Kommentierungen erst nach einer Prüfung jedes einzelnen Kommentars (etwa auf unzulässige Inhalte) freigibt. Denn auch nicht von der Behörde freigegebene Inhalte sind bereits auf den Servern von Facebook gespeichert.

Für die Sicherstellung der Löschung von Inhaltsdaten bzw. auch von Auskunftsansprüchen steht eine (Mit-)Verantwortlichkeit bayerischer öffentlicher Stellen im Raum, wenn die Behörde diese Daten erhoben hat.

Hierfür sprechen insbesondere Gesichtspunkte, die bereits oben bei 2.2.2 dargestellt sind.Im Hinblick auf die Löschung entsprechender Daten muss sich eine bayerische Behörde fragen lassen, wie sie eine Löschung von Daten bei Facebook oder Auskunftserteilungen durch Facebook sicherstellen will. Dies gilt umso mehr, wenn es sich um die Speicherung besonders sensibler Daten wie beispielsweise politische Meinungen und Gesundheitsdaten handelt.

Die Zielrichtung der von Facebook eingeführten Chronik ("Timeline") ist auf eine dauerhafte Speicherung von Inhalten ausgerichtet. Wie lange soll jedoch eine öffentliche Darstellung solcher Äußerungen im Zusammenhang mit der Öffentlichkeitsarbeit einer Behörde erfolgen? Wann werden also welche Inhalte ggf. aus der Chronik der Behörde entfernt? Und wann löscht Facebook diese Daten dann tatsächlich von seinen Servern?

Fazit zu 2.3.3:

Eine Behörde, die Bürgerinnen und Bürger animiert, in einem rechtlich und technisch unsicheren Umfeld personenbezogene Daten öffentlich zu machen, sollte zwar eine eigene (Mit-)Verantwortlichkeit für die endgültige Löschung dieser Daten bzw. die Erfüllung von Auskunftsansprüchen wahrnehmen. Eine entsprechende Einfluss- oder Kontrollmöglichkeit bayerischer öffentlicher Stellen besteht im Hinblick auf die Betreiber sozialer Netzwerke wie Facebook jedoch gerade nicht. Auch insoweit können daher der Behörde zurechenbare Datenschutzverstöße vorliegen.

2.3.4. Technisch-organisatorische Maßnahmen

Nach Art. 7 BayDSG haben bayerische öffentliche Stellen, die Daten erheben, verarbeiten und nutzen, die technisch-organisatorischen Maßnahmen zu ergreifen, die zur Sicherstellung des Datenschutzes erforderlich sind.

Mit der Einrichtung und Nutzung einer Fanpage verwendet eine bayerische öffentliche Stelle die Plattform des sozialen Netzwerks. Soweit sie dort Daten übermittelt bzw. erhebt, hat sie insofern auch die Vorgaben des Art. 7 BayDSG zu beachten.

Fazit zu 2.3.4:

Bei Datenübermittlungen bzw. -erhebungen über Fanpages trifft bayerische Behörden die Sicherstellungspflicht nach Art. 7 BayDSG auch für diese genutzte Plattform. Dies kann beispielsweise im Hinblick auf die Löschung von Daten relevant werden. Eine echte Einflussmöglichkeit auf einen Plattformbetreiber wie Facebook besteht für bayerische Behörden jedoch nicht.

3. Was empfiehlt der Bayerische Landesbeauftragte für den Datenschutz? Keine Fanpage in rechtlich unsicheren Angeboten!

Ich wende mich nicht aus Prinzip gegen soziale Netzwerke und deren Nutzung. Privatpersonen steht es zudem grundsätzlich frei, auf ihre eigene Person bezogene Daten auch über Plattformen zu offenbaren, die nicht datenschutzkonform arbeiten. Behörden müssen jedoch unabhängig davon datenschutzrechtliche Bestimmungen beachten.

Bayerische öffentliche Stellen sollten schon aufgrund ihrer Vorbildfunktion keine Fanpage in sozialen Netzwerken wie etwa Facebook unterhalten, die sich fortlaufend nicht an Maßstäbe des deutschen bzw. europäischen Datenschutzrechts halten.

Darüber hinaus gehe ich aus den unter 2. genannten Gründen derzeit nicht davon aus, dass die Einrichtung und Nutzung einer Fanpage bei Facebook und vergleichbaren sozialen Netzwerken durch bayerische öffentliche Stellen datenschutzkonform ist.

Umso mehr empfehle ich bayerischen öffentlichen Stellen, keine Fanpage in einem solchen Netzwerk einzurichten bzw. zu nutzen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat einen Katalog der Anforderungen an soziale Netzwerke zusammengestellt sowie eine Orientierungshilfe "Soziale Netzwerke" veröffentlicht. Diese Dokumente können die Einordnung des jeweiligen sozialen Netzwerks unterstützen.

4. Fanpage und Ausgestaltungsvarianten

Soweit eine bayerische öffentliche Stelle -angesichts noch umstrittener Fragen und der dortigen, dokumentierten und begründeten Rechtsauffassung- entgegen meiner Empfehlung eine Fanpage einrichtet oder nutzt, sollte die Fanpage dann zumindest nur als reine Informationsseite ausgestaltet werden. Hierzu weise ich auf Folgendes hin:

4.1. Bloße Verlinkung auf die Behördenseite

Auch innerhalb der Gruppe reiner Informationsseiten gibt es eine eindeutig vorzugswürdige Variante: Auf der Fanpage sollten gar keine Inhalte veröffentlicht werden, sondern es sollte lediglich auf das Informationsangebot der jeweiligen Behördenseite verlinkt werden. Diese Verfahrensweise werde ich -trotz verbleibender datenschutzrechtlicher Bedenken- derzeit grundsätzlich nicht beanstanden.

4.2. Informationsseiten über eine bloße Verlinkung hinaus

Zudem werde ich derzeit jedenfalls in folgender Konstellation die Einrichtung und Nutzung einer entsprechenden Fanpage ebenfalls grundsätzlich nicht beanstanden:

  • Eine Fanpage erfüllt die "Impressumspflicht" nach § 5 TMG,
  • sie erfüllt -im Rahmen des Möglichen- die Unterrichtungspflichten nach § 13 TMG,
  • die Behörde stellt im Wege der Öffentlichkeitsarbeit lediglich datenschutzrechtlich zulässige Inhalte auf die Fanpage,
  • es wird keine Kommunikationsmöglichkeit für Seitenbesucher eröffnet, etwa auf der Pinnwand oder über Kommentierungsfunktionen,
  • die Fanpage wird nicht im Besonderen außerhalb von Facebook beworben und
  • die Prüfung der datenschutzrechtlichen Zulässigkeit des Vorgehens und ggf. die Durchführung eines dementsprechend erforderlichen Freigabeverfahrens nach Art. 26 BayDSG ist entsprechend der dokumentierten und begründeten Einschätzung bei der jeweiligen Behörde erfolgt.

4.3. Einräumung einer Kommunikationsmöglichkeit für Nutzer auf der Fanpage

Wenn eine Behörde über eine reine Informationsseite hinaus auf der Fanpage auch eine Kommunikationsmöglichkeit für Nutzer einräumt, verstärken und verdichten sich hierdurch schrittweise die Argumente für eine zurechenbare (Mit-) Verantwortlichkeit der Behörde (s. insbesondere oben unter 2.2.2 A)). Vor allem entscheidet sich die Behörde dadurch für die Ausgestaltung und Nutzung der Fanpage in Richtung von "noch mehr Daten".

Zudem sind dann grundsätzlich auch die Inhaltsdaten der Nutzer am Maßstab der Ausführungen unter 2.3 zu messen.

Insbesondere wenn Behörden dabei Bürgerinnen und Bürger zur inhaltlichen Kommunikation auf bzw. über die Fanpage ermuntern, behalte ich mir daher gerade bei besonders sensiblen Daten eine Beanstandung vor.

Eine solche Ermunterung kann beispielsweise in der Aufforderung zur öffentlichen Äußerung politischer Meinungen auf einer Fanpage liegen.

4.4. An Kinder und Jugendliche gerichtete Fanpage

Zudem werde ich eine Fanpage bayerischer öffentlicher Stellen, die sich gezielt an Kinder und Jugendliche richtet, besonders kritisch prüfen. Hier behalte ich mir im Besonderen ausdrücklich eine Beanstandung vor, ggf. auch unabhängig von der Ausgestaltung der Fanpage (etwa gemäß Nr. 4.1 oder 4.2).

Denn neben der allgemein höheren Schutzbedürftigkeit von Kindern und Jugendlichen -auch wenn es sich um Angehörige der Generation Web 2.0 handelt- ist Folgendes zusätzlich von Bedeutung:

Am Maßstab deutschen Rechts kann regelmäßig nicht davon ausgegangen werden, dass zwischen dem sozialen Netzwerk und einem Minderjährigen im Hinblick auf das Netzwerk ein wirksamer Vertrag geschlossen worden ist. Wenn man die Gruppe der Sieben- bis Siebzehnjährigen betrachtet, wären entsprechende Verträge, aus denen sich ggf. eine Legitimation für Datenverarbeitungen ergeben könnte, regelmäßig nicht wirksam (§§ 104 ff BGB). Denn das Vorliegen einer entsprechenden Zustimmung der Eltern (gesetzlichen Vertreter) kann nicht grundsätzlich unterstellt werden. Zudem wäre das tatsächliche Vorliegen einer -behaupteten- Zustimmung ebenso wie das genaue Alter weder für soziale Netzwerke wie Facebook noch für die Behörde überprüfbar.

Auch eine -von entsprechenden Vertragsschlüssen getrennt zu betrachtende- datenschutzrechtliche, wirksame Einwilligung kann bei Kindern und Jugendlichen nicht einfach unterstellt werden. Zum einen ist das tatsächliche Alter kaum überprüfbar, zum anderen wird für die entsprechende Einwilligungsfähigkeit auf die entsprechende Einsichtsfähigkeit im Einzelfall abzustellen sein. Auch diese Einschätzung wird regelmäßig weder dem sozialen Netzwerk noch der Behörde möglich sein.

In diesem Zusammenhang möchte ich auch auf veröffentlichte Berichte hinweisen, dass etwa die FTC beim sozialen Netzwerk Path das Sammeln persönlicher Informationen von rund 3000 Kindern unter 13 Jahren gerügt hat. Die FTC ist eine US-amerikanische Handelsbehörde, die in der US-Verwaltung Aufgaben des Verbraucher- und Datenschutzes wahrnimmt.

5. Fazit

Ich gehe derzeit nicht davon aus, dass die Einrichtung und Nutzung einer Fanpage auf Facebook (oder vergleichbaren sozialen Netzwerken) durch bayerische öffentliche Stellen datenschutzkonform ist.

Daher empfehle ich, grundsätzlich keine entsprechende Fanpage einzurichten oder zu nutzen.

Soweit bayerische Behörden dieser Empfehlung nicht folgen, werde ich sie derzeit insbesondere angesichts noch umstrittener Fragen jedenfalls in den unter 4.1 und 4.2 dargestellten Konstellationen grundsätzlich (Ausnahme s. 4.4) nicht beanstanden.

Im Übrigen behalte ich mir -insbesondere wenn eine bayerische öffentliche Stelle Bürgerinnen und Bürger zur Offenbarung besonders sensibler Daten auf der Fanpage ermuntern sollte- ausdrücklich eine Beanstandung vor.

6. Weiteres

6.1. Konferenz der Datenschutzbeauftragten des Bundes und der Länder

In der Entschließung "Datenschutz bei sozialen Netzwerken jetzt verwirklichen!" stellt die 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder klar, dass sich die Anbieter sozialer Netzwerke, die auf den europäischen Markt zielen, auch dann an europäische Datenschutzstandards halten müssen, wenn sie ihren Sitz außerhalb Europas haben.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat auch einen Katalog der Anforderungen an soziale Netzwerke zusammengestellt sowie eine Orientierungshilfe "Soziale Netzwerke" veröffentlicht. Beispielsweise Facebook hält entsprechende Datenschutzstandards derzeit nicht ein.

Bereits in der oben genannten Entschließung führt die Konferenz außerdem aus, dass öffentliche Stellen auf solchen Plattformen unbeschadet der rechtlichen Verantwortlichkeit keine Profilseiten oder Fanpages einrichten sollten.

6.2. Weitere Informationen

Weitere Informationen im Zusammenhang mit der Nutzung sozialer Netzwerke durch bayerische öffentliche Stellen finden sich unter anderem hier:

Nr. 1.3 meines 25. Tätigkeitsberichts: Die Bayerische Verwaltung im Zeitalter des Social Web

Nr. 3.14 meines 25. Tätigkeitsberichts: Nutzung sozialer Netzwerke für polizeiliche Zwecke

Kurzleitfaden für die Beschäftigten der Bayerischen Staatsverwaltung zum Umgang mit Sozialen Medien (externer Link) des IT-Beauftragten der Bayerischen Staatsregierung

Leitfaden "Der rechtliche Rahmen für den Umgang der Beschäftigten der Bayerischen Staatsverwaltung mit Sozialen Medien" (externer Link) des IT-Beauftragten der Bayerischen Staatsregierung

Diese Orientierungshilfe zu Fanpages bayerischer öffentlicher Stellen bleibt auf meiner Homepage abrufbar und wird bei gegebenem Anlass aktualisiert.

Zur Unterrichtung über jeden wesentlichen, neuen Inhalt auf meinen Webseiten- damit auch über eine Aktualisierung dieser Orientierungshilfe - biete ich zudem folgenden RSS Feed an:

RSS http://www.datenschutz-bayern.de/rss/inhalte.xml