Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen

Soziale Netzwerke wie Facebook, Twitter, Instagram oder YouTube sind zu einem wesentlichen Bestandteil im beruflichen und privaten Informations- und Kommunikationsverhalten vieler Nutzerinnen und Nutzer geworden. Für öffentliche Stellen bilden sie relevante Kommunikationskanäle. Durch das Betreiben von Auftritten in Sozialen Netzwerken tragen öffentliche Stellen aber auch dazu bei, dass personenbezogene Daten der Nutzerinnen und Nutzer ihrer Angebote an die jeweiligen Plattformbetreiber gelangen, die sie häufig (auch) zu eigenen, von der Nutzung unabhängigen Zwecken weiter verarbeiten.

Seit dem Aufkommen von Social Media-Angeboten haben sich aus Sicht des Datenschutzes grundlegende Fragen gestellt. Dies hat z.B. mit deren Konzeption als Plattformlösung zu tun, mit deren Geschäftsmodell, das auf einer kommerziellen Verwertung von Nutzungsdaten basiert, aber auch mit der Tatsache, dass die technischen Anbieter/Betreiber der Plattformen ihren Sitz zumeist außerhalb der Europäischen Union haben, wo ein vergleichbares Datenschutzniveau häufig nicht gegeben ist. So war lange Zeit umstritten, welche Verantwortung z.B. öffentliche Stellen haben, die auf der Facebook-Plattform eine sogenannte Fanpage betreiben und dadurch den Anlass für die Verarbeitung entsprechender Nutzungsdaten setzen.

Diesen Streit hat der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 5. Juni 2018 zum Betrieb von Facebook-Fanpages entschieden und festgestellt, dass nicht nur Facebook selbst, sondern auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verantwortlich ist, soweit durch den Besuch der Fanpage personenbezogene Daten der Fanpage-Besucher verarbeitet werden. Öffentliche Stellen, die eine Facebook-Fanpage betreiben, sind daher selbst als datenschutzrechtlich Verantwortliche zu sehen. Die Fanpage-Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen.

Mit Urteil vom 11. September 2019 stellte das Bundesverwaltungsgericht (BVerwG) ergänzend klar, dass die Datenschutzaufsichtsbehörden gegen die Betreiber von Facebook-Fanpages selbst vorgehen können, wenn bei dem Betrieb von Facebook-Fanpages Datenschutzverstöße begangen werden.

Diese zwei Entscheidungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zum Anlass genommen, den Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen aus dem Jahr 2016 zu überarbeiten und an die neuen Gegebenheiten anzupassen. Dieser steht nunmehr allen Verantwortlichen hier zur Verfügung.