Oberste Landesbehörden müssen rechtskonformen Betrieb von Facebook-Fanpages nachweisen

Dr. Juliane Hundert informiert Staatskanzlei über neues Gutachten der Datenschutzkonferenz

Ob in Ministerien, Universitäten oder Stadtverwaltungen: Facebook-Fanpages sind bei öffentlichen Stellen immer noch weit verbreitet. Dabei hat der Europäische Gerichtshof bereits im Jahr 2018 in einem Urteil deutlich gemacht: Die Hürden für eine datenschutzkonforme Facebook-Nutzung liegen für öffentliche Stellen hoch, denn sie sind gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat nun ein Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages vorgelegt. Es bestätigt die Rechtsprechung und berücksichtigt auch neuere gesetzliche Regelungen.
Im Ergebnis heißt es: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen […] sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert erklärt dazu: „Kann eine Behörde die datenschutzrechtliche Konformität ihrer Fanpage-Nutzung nicht nachweisen, muss sie ihre Seite deaktivieren. Es ist allseits bekannt, wie intransparent die Daten von Nutzerinnen und Nutzern auf dieser Plattform verarbeitet werden. Dabei entstehen komplexe Persönlichkeitsprofile, die beispielsweise in autoritären Staaten auch zur Manipulation von Wahlen eingesetzt werden können. Behörden, die eine Facebook-Fanpage betreiben, sollten sich darüber im Klaren sein, dass die Nutzung unweigerlich mit Rechtsverstößen gegen den Datenschutz verbunden ist. Deshalb ist es für öffentliche Stellen höchste Zeit, sich mit Facebook zusammenzusetzen und eine datenschutzkonforme Nutzung zu vereinbaren oder sich von Facebook zu verabschieden.“

Auf der 103. Datenschutzkonferenz hatten sich die Datenschutzbeauftragten der Länder und des Bundes dazu entschlossen, die ihrer Aufsicht unterstehenden obersten Bundes- und Landesbehörden über das DSK-Gutachten zu informieren. Sie haben vereinbart, auf die Deaktivierung von Facebook-Fanpages hinzuwirken, wenn die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Auch die Sächsische Staatsregierung betreibt Facebook-Fanpages. Die Sächsische Datenschutzbeauftragte hat das Gutachten bereits an die Staatskanzlei weitergeleitet. Nun müssen die Verantwortlichen belegen, dass ihre Fanpages datenschutzkonform betrieben werden oder mitteilen, bis wann der Seitenbetrieb eingestellt wird.
Sollte es zu keiner Lösung kommen, kann die Sächsische Datenschutzbeauftragte gemäß der Datenschutz-Grundverordnung die Verarbeitung personenbezogener Daten verbieten.

Dr. Juliane Hundert betont: „Öffentliche Stellen müssen sich an Recht und Gesetz halten. Sie haben zudem eine Vorbildfunktion. Die Überprüfung der Fanpages der obersten Landesbehörden ist nur ein erster Schritt. Andere Behörden, zum Beispiel Kommunen, müssen die Datenschutzkonformität ihrer Facebook-Fanpages ebenfalls prüfen. Der Einsatz dieser Social-Media-Plattform ist in den allermeisten Fällen rechtswidrig. Auf Nummer sicher geht, wer auf dieses Soziale Netzwerk verzichtet. Stattdessen empfehle ich, das Informationsangebot datenschutzkonform auf der eigenen Website auszubauen und andere datenschutzfreundliche Kommunikationswege aufzubauen. Davon profitieren alle Bürgerinnen und Bürger, nicht nur Facebook-Nutzende.“

Download
DSK-Kurzgutachten zu Facebook-Fanpages

DSK-Beschluss zu Facebook-Fanpages

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Mehr Informationen: www.saechsdsb.de