Social-Media-Dienste

Social-Media-Dienste wie Facebook, X oder Instagram sind zu ständigen Begleitern im beruflichen und privaten Informations- und Kommunikationsverhalten vieler Menschen geworden. Häufig vertrauen die Nutzenden den Betreibern dieser Dienste sehr persönliche Informationen an. Die Vielfalt der Informationen, die innerhalb eines Netzwerks aktiv eingestellt oder über die Nutzenden erhoben werden, ermöglicht teilweise tiefe Einblicke in persönliche Angelegenheiten.

Bei Social-Media-Diensten handelt es sich häufig um mehrstufige  Anbieterverhältnisse. So werden Profile/Seiten z.B. von einem Unternehmen oder einer Behörde auf einer Plattform angeboten, die wiederum ein weiterer Plattformbetreiber bereitstellt, der die Daten der Nutzerinnen und Nutzer im Rahmen eigener Geschäftszwecke verarbeitet. Dies macht Social-Media-Dienste aus Nutzendenperspektive schwer durchschaubar und aus rechtlicher Sicht häufig problematisch, gerade im Hinblick auf Verantwortlichkeiten. 
Unternehmen und öffentliche Stellen, die Profile in Social-Media-Diensten anbieten, müssen den datenschutzrechtlichen Anforderungen Rechnung tragen. Die Erfahrung der Aufsichtsbehörden zeigt jedoch, dass der Schutz der Privatsphäre von den Betreibern der Social-Media-Plattformen nicht immer hinreichend beachtet wird.
 

Facebook

Aufsichtsbehördliche Zuständigkeit
Da sich die Deutschlandniederlassung von Meta Platforms in Hamburg befindet, ist die federführend zuständige Behörde der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Sie können sich im Falle von Beschwerden oder Hinweisen gerne direkt an diesen wenden. Sie erreichen ihn wie folgt:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit 
Ludwig-Erhard-Straße 22 
20459 Hamburg 

Telefon: (0 40) 4 28 54-40 40 
Telefax: (0 40) 4 28 54-40 00
Webseite: http://www.datenschutz-hamburg.de/ 
E-Mail: mailbox(at)datenschutz.hamburg.de 

 

Facebook-Fanpages
Neben Facebook-Profilen, die Personen zu privaten Zwecken einrichten, gibt es auch sog. Facebook-Fanpages, die von Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens für die eigene Präsentation auf der Plattform Facebook verwendet werden. Die Betreiber nutzen diese im geschäftlichen / nicht-privaten Kontext und ersetzen oder ergänzen durch sie die klassische Unternehmenswebseite.

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) festgestellt, dass die Betreiber von Facebook-Fanpages und der Anbieter Meta Platforms gemeinsame Verantwortliche gem. Art. 26 Datenschutz-Grundverordnung (DS-GVO) sind. Hieraus ergeben sich Pflichten, die von beiden Verantwortlichen eingehalten werden müssen. 

Die Taskforce Facebook-Fanpages hat in ihrem Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 10. November 2022 festgestellt, dass einige dieser Pflichten, die den Verantwortlichen obliegen, nicht eingehalten werden. Für die Erfüllung der datenschutzrechtlichen Anforderungen durch die Facebook-Fanpage-Betreiber wäre dabei eine Mitwirkung von Meta Platforms notwendig, die derzeit aber nicht vollständig gegeben ist. Datenschutzrechtlich problematisch sind u.a. folgende Aspekte:

  • Die Fanpage-Betreiber holen keine wirksame Einwilligung für das Speichern von Informationen in den Endeinrichtungen der Endnutzenden sowie für den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, ein (§ 25 Abs. 1 TTDSG).
     
  • Die Fanpage-Betreiber können sich im Hinblick auf die Verarbeitung der auf Basis der gesetzten Cookies erhobenen personenbezogenen Daten der Webseitenbesuchenden nicht auf eine Rechtsgrundlage nach Art. 6 DS-GVO berufen.
     
  • Die Fanpage-Betreiber können ihren Informationspflichten aus Art. 13 DS-GVO nicht hinreichend nachkommen, da Meta Platforms diesbezüglich die notwendigen Informationen nicht vollständig liefert.
     
  • Zwischen den Betreibern von Facebook-Fanpages und Meta Platforms wird keine gültige Vereinbarung im Sinne von Art. 26 Abs. 1 Satz 2 DS-GVO abgeschlossen.
     
  • Nachdem das Privacy Shield im Jahr 2020 wegen des Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH-Urteil C-311/18) für ungültig erklärt wurde, war eine Übermittlung auf dieser Grundlage nicht möglich. Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – das sog. EU-U.S. Data Privacy Framework (EU-US DPF) – angenommen und eine neue Rechtsgrundlage für derartige Übermittlungen geschaffen. Meta Platforms ist unter dem EU-US DPF zertifiziert. Folglich besteht nunmehr eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA. Die Absicherung durch zusätzliche Grundlagen für die Drittlandübermittlung gem. Art. 44ff. DS-GVO ist jedoch zu empfehlen. Nähere Informationen hierzu finden Sie unter dem Themenfeld „Internationales“.

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ordnet den Betrieb einer Facebook-Präsenz derzeit gemäß des Beschlusses zur Task Force Facebook-Fanpages vom 23. März 2022 als datenschutzrechtlich nicht zulässig ein.

Da Fanpage-Betreiber als Verantwortliche die Rechtskonformität der Datenverarbeitung sicherstellen und nachweisen können müssen, ist der rechtmäßige Betrieb von Facebook-Fanpages mangels Mitwirkung von Meta Platforms aktuell nicht möglich.
Die datenschutzrechtlichen Bewertungen in Bezug auf Meta Platforms sind zwar nicht automatisch auf andere Plattformen zu übertragen, vergleichbare Problemlagen dürften aber auch bei diesen vorhanden sein. Hier gilt es selbstverständlich, die technischen Entwicklungen der Plattformanbieter und die Fortentwicklung ihrer datenschutzrechtlichen Dokumente zu beobachten. Eine explizite gerichtliche Klärung gibt es derzeit nur für den Betrieb von Facebook-Fanpages.
 

Handlungsrahmen des LfDI

Der Handlungsrahmen des LfDI für die Nutzung von Social Media durch öffentliche Stellen aus dem Jahr 2020 soll öffentlichen Stellen eine Möglichkeit geben, Social Media in möglichst datenschutzkonformer Weise einsetzen zu können. Er kann jedoch die dargestellten datenschutzrechtlichen Versäumnisse des Anbieters Meta Platforms nicht lösen. Ein rechtskonformer Betrieb einer Facebook-Fanpage ist derzeit auch bei Anwendung des Handlungsrahmens leider nicht möglich.