XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2011- 31.03.2013

Obwohl nachvollziehbar ist, dass öffentliche Stellen mit ihren Informationen und Angeboten auch jüngere Internetnutzer erreichen möchten, die zu einem großen Prozentsatz in sozialen Netzwerken aktiv sind, bestehen bezüglich der Einrichtung von Fanpages auf Facebook erhebliche datenschutzrechtliche Bedenken.

Grundlage und Maßstab für das Handeln öffentlicher Stellen des Landes ist das Rechtsstaatsprinzip. Die öffentlichen Stellen sind an Recht und Gesetz gebunden (Art. 20 Abs. 3 GG). Sie sind dafür verantwortlich, dass sie rechtmäßig handeln, vor allem dann, wenn es um die Erhebung und Verarbeitung personenbezogener Daten geht. Aus diesem Grund sollte die Nutzung sozialer Netzwerke wie Facebook, die nicht mit deutschem bzw. europäischem Datenschutzrecht in Einklang stehen, vermieden werden.

Die Datenschutzbeauftragten des Bundes und der Länder haben Facebook wiederholt in Schreiben, bei Besprechungen und im Rahmen von Veröffentlichungen auf die datenschutzrechtlichen Anforderungen an soziale Netzwerke hingewiesen (Anlagen 25, 29fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Veroeffentlichungen/Taetigkeitsberichte/TB_11/Anlage29.pdf). Die derzeitige Ausgestaltung von Facebook widerspricht jedoch in vielen Punkten diesen Anforderungen. Zahlreiche Funktionen verstoßen gegen deutsches Datenschutzrecht.

Dazu zählen nicht nur die Reichweitenanalyse durch den Like-it-Button, sondern auch die Gesichtserkennungsfunktion und der Freundefinder. Das Landgericht Berlin hat in seinem Urteil vom 6. März 2012 (Az.: 16 O 551/10) festgestellt, dass Facebook mit dem Freundefinder und seinen Geschäftsbedingungen gegen Verbraucherrechte verstößt. Das Gericht urteilte, die Nutzer müssten klar und deutlich informiert werden, dass durch den Freundefinder ihr gesamtes Adressbuch zu Facebook übertragen und für Freundeseinladungen genutzt wird. Dies fand bislang nicht statt. Weiterhin urteilte das Gericht, Facebook dürfe sich in seinen Allgemeinen Geschäftsbedingungen nicht ein umfassendes weltweites und kostenloses Nutzungsrecht an Inhalten einräumen lassen, die Facebook-Mitglieder in ihr Profil einstellen. Rechtswidrig ist nach Auffassung der Richter ferner die Einwilligungserklärung, mit der die Nutzer der Datenverarbeitung zu Werbezwecken zustimmen. Zudem muss Facebook sicherstellen, dass es über Änderungen der Nutzungsbedingungen und Datenschutzbestimmungen rechtzeitig informiert. Gegen das Urteil hat Facebook Berufung eingelegt.

Des Weiteren verlangt Facebook von seinen Nutzern, sich mit ihrem realen Namen zu registrieren. Da diese Klarnamenpflicht gegen § 13 Abs. 6 TMG verstößt, hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bereits Anordnungen nach § 38 Abs. 5 BDSG gegen Facebook erlassen. Allerdings stellte das Schleswig-Holsteinische Verwaltungsgericht in seinen Beschlüssen vom 14. Februar 2013 fest, dass das ULD seine Anordnung zu Unrecht auf das deutsche Datenschutzrecht gestützt habe, da die irische Niederlassung von Facebook für die Nutzerdatenverarbeitung in Europa zuständig ist und demzufolge irisches Datenschutzrecht Anwendung findet. Diese Auffassung teilt auch das Oberverwaltungsgericht Schleswig und hat am 22. April 2013 die Beschwerden des ULD gegen die Beschlüsse des Verwaltungsgerichts zurückgewiesen (Az.: 4 MB 10/13, 4 MB 11/13).

Weitere Funktionen wie z. B. die neue Suchfunktion Graph Search und Facebook Home ermöglichen es Facebook, immer weiter in die Privatsphäre seiner Nutzer einzudringen, aber auch in die Persönlichkeitsrechte Dritter, die nicht Mitglieder bei Facebook sind, einzugreifen.

Die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht den Anforderungen an eine wirksame und informierte Einwilligung gem. § 4a Abs. 1 BDSG bzw. § 4 Abs. 2 DSG LSA. So legt Facebook z. B. einfach fest, dass der Nutzer durch den Zugriff auf und die Nutzung von Facebook den Nutzungsbedingungen zustimmt. Dabei geht Facebook davon aus, dass der Nutzer auch zukünftigen Aktualisierungen zustimmt, die ihm mit einer Frist von 7(!) Tagen bekannt gegeben werden. Laut Facebook erteilt der Nutzer seine Einwilligung, indem er auf „Registrieren“ klickt. Damit würde er die Nutzungsbedingungen akzeptieren und erklären, die Datenverwendungsrichtlinien sowie die Bestimmungen zur Verwendung von Cookies gelesen zu haben.

Facebook vertritt den Standpunkt, dass für die automatisierte Verarbeitung der Nutzerdaten nicht deutsches, sondern irisches Datenschutzrecht gilt und damit auch die Zuständigkeit der deutschen Datenschutzaufsichtsbehörden nicht gegeben ist. Selbst wenn man wie das Oberverwaltungsgericht Schleswig-Holstein dieser Aussage folgt, gelten für öffentliche Stellen in Sachsen-Anhalt das Landesdatenschutzgesetz sowie bereichsspezifische Datenschutzregelungen. Öffentliche Stellen, die Informationsangebote im Internet veröffentlichen, müssen die Regelungen des TMG beachten. Mit der Einrichtung einer Fanpage bei Facebook können sie diesen Verpflichtungen jedoch nicht nachkommen.

Der Bayerische Landesbeauftragte für den Datenschutz hat am 28. März 2013 eine Orientierungshilfe „Fanpages bayerischer öffentlicher Stellen in sozialen Netzwerken zum Zweck der Öffentlichkeitsarbeit“ herausgegeben. Darin wird anhand der Vorschriften des TMG erläutert, aus welchen Gründen die Einrichtung und Nutzung einer Fanpage auf Facebook derzeit nicht datenschutzkonform möglich ist.

Datenschutzrechtlich besonders kritisch ist die Kommentierungsfunktion. Wird dem Nutzer einer Fanpage die Möglichkeit zur Kommunikation eingeräumt und nutzt er diese, erhält Facebook durch die Kommentare weitere Nutzerdaten. Werden die Nutzer zur öffentlichen Äußerung politischer Meinungen ermuntert, handelt es sich dabei um personenbezogene Daten besonderer Art (§ 2 Abs. 1 Satz 2 DSG LSA), die einem besonderen Schutz unterliegen.

Bereits im letzten Jahr hat die Innenministerkonferenz einen Bericht ihres Arbeitskreises I „Staatsrecht und Verwaltung“ zum Datenschutz in Sozialen Netzwerken zur Kenntnis genommen, der von der Konferenz der Chefs der Staats- und Senatskanzleien der Länder in Auftrag gegeben wurde und der unter anderem zu folgendem Ergebnis kommt: „Öffentliche Stellen trifft bei der Öffentlichkeitsarbeit mittels Sozialer Netzwerke die Pflicht, hierbei sorgfältig auf ein hohes Datenschutzniveau zu achten. […] Bei Fanpages sollte eine solche Mitverantwortung zumindest aufgrund einer ‚Vorbildfunktion‘ des Staates bejaht werden, der das Recht auf informationelle Selbstbestimmung seiner Bürgerinnen und Bürger schützen sollte.“ Zu diesen Fragestellungen und zum weiteren Vorgehen sind Innenministerkonferenz und Datenschutzkonferenz im Gespräch.

Fazit:

Der Landesbeauftragte empfiehlt – wie bereits die Datenschutzkonferenz (Anlage 5) – öffentlichen Stellen, auf die Einrichtung von Facebook-Fanpages zu verzichten. Dies galt schon vor den Enthüllungen über Ausspähungen durch den amerikanischen Geheimdienst, aber nun umso mehr. Verwiesen wird im Übrigen auf den Beitrag unter Nr. 5.6.

Schließlich besteht die Notwendigkeit eines verbindlichen Rechtsrahmens über die nationale Ebene hinaus, wie sich mit der europäischen Datenschutz-Grundverordnung abzeichnet (Nr. 3.1.1). Ein vom Bundesministerium des Innern im November 2011 angestoßener Selbstregulierungskodex der sozialen Netzwerke mit einer Orientierung an der deutschen Rechtslage scheiterte, weil sich unter anderem Facebook aus den Gesprächen mit der Freiwilligen Selbstkontrolle Multimedia zurückzog.