Unternehmen und öffentliche Stellen, die soziale Netzwerke nutzen, müssen datenschutzrechtlichen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Betreibern sozialer Netzwerke nicht immer hinreichend beachtet wird.

Häufig vertrauen die Nutzenden den Betreibern dieser Dienste sehr persönliche Informationen an. Auch die Vielfalt der Informationen, die innerhalb eines Netzwerkes aktiv eingestellt oder über die Nutzerinnen und Nutzer erhoben werden, ermöglicht einen tiefen Einblick in deren persönliche Lebensgestaltung.

Social Media-Dienste wie Facebook, Twitter oder Whatsapp sind zu einem wesentlichen Bestandteil im beruflichen und privaten Informations - und Kommunikationsverhalten vieler Nutzerinnen und Nutzer geworden. Bei Social Media-Diensten handelt es sich vielfach um mehrstufige  Anbieterverhältnisse, bei denen der jeweilige Informations – oder Kommunikationsdienst auf einer Plattform angeboten wird, die Dritte bereitstellen und bei denen Daten der Nutzerinnen und Nutzer im Rahmen eigener Geschäftszwecke des Plattformbetreibers verarbeitet werden. Dies macht Social Media-Dienste aus Nutzerperspektive schwer durchschaubar und aus rechtlicher Sicht häufig problematisch, gerade im Hinblick auf Verantwortlichkeiten.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 5. Juni 2018 zum Betrieb von Facebook-Fanpages festgestellt, dass nicht nur Facebook selbst sondern auch der jeweilige Betreiber einer Fanpage datenschutzrechtlich verantwortlich ist, soweit durch den Besuch der Fanpage personenbezogene Daten der Fanpage-Besucher verarbeitet werden. Öffentliche Stellen, die eine Facebook-Fanpage betreiben sind daher selbst als datenschutzrechtlich Verantwortliche zu sehen. Die Fanpage-Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen. Staatliche Stellen unterliegen einer verfassungsrechtlichen Bindung an Recht und Gesetz  (Rechtsstaatsprinzip) und stehen aufgrund ihrer gesellschaftlichen Vorbildfunktion in einer besonderen Verantwortung. In ihrer Entschließung vom 6.6.2018 weist die Datenschutzkonferenz  darauf hin, dass dabei Folgendes zu beachten ist:

• Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

• Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

• Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

• Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. Die bisher von Facebook vorgelegte Vereinbarung genügt den Anforderungen nicht (Stand: 29.04.2020).

Mit Urteil vom 11. September 2019 stellte das Bundesverwaltungsgericht (BVerwG) ergänzend klar, dass die Datenschutzaufsichtsbehörden gegen die Betreiber von Facebook-Fanpages selbst vorgehen können, wenn bei dem Betrieb Datenschutzverstöße begangen werden. Eine Datenschutzaufsichtsbehörde muss nicht stattdessen gegen Facebook vorgehen, weil dies wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden wäre. Das Gericht entschied weiter, dass es verhältnismäßig sei, die Außerbetriebnahme der Fanpage anzuordnen, wenn die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweise.

Die zwei o.g. Entscheidungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) zum Anlass genommen, den Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen aus dem Jahr 2016 zu überarbeiten und an die neuen Gegebenheiten anzupassen.