R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
K&R 2022, I
Roßnagel 

Der Betrieb einer Facebook-Seite ist ein “schwerer datenschutzrechtlicher Verstoß”

Abbildung 1

Prof. Dr. Alexander Roßnagel

Mit der im Editorial-Titel enthaltenen Feststellung im Urteil des OVG Schleswig-Holstein vom 25. 11. 2021 – 4 LB 20/13, K&R 2022, 294 ff. – endete nach elf Jahren ein Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz und der Wirtschaftsakademie Schleswig-Holstein.

Hintergrund ist das Geschäftsmodell, das Meta (früher Facebook) mit seinem Netzwerk Facebook verfolgt. In dem Netzwerk können Unternehmen oder staatliche Stellen auf eigenen sog. Seiten (früher Fanpages) Informationen verbreiten und mit Menschen, die diese Seiten aufsuchen, kommunizieren. Damit ermöglichen diese Institutionen Meta, mittels Tracking-Techniken deren Daten gegen ihren Willen und ohne ihr Wissen zu sammeln – unabhängig davon, ob sie selbst ein Facebook-Konto besitzen. Aus diesen Daten erstellt Meta umfangreiche Nutzerprofile und nutzt sie gewinnbringend, vor allem zur Vermarktung individualisierter Werbung und zur Kundenbindung. Der Umfang und das persönlichkeitsrechtliche Risiko dieser Datenverarbeitung sind größer, als den Seiten-Betreibern vermutlich bewusst ist. Schon der Besuch weniger Facebook-Seiten ermöglicht präzise Rückschlüsse z. B. auf Alter, Geschlecht, Herkunft, persönlichen Geschmack und u. U. sogar auf sensible Informationen wie sexuelle Orientierung oder politische Einstellung. Je länger Daten gesammelt werden, desto umfassender und genauer werden die Profile zur einzelnen Person.

Sowohl der EuGH, 5. 6. 2018 – C-210/16, K&R 2018, 475 ff. als auch das BVerwG, 11. 9. 2019 – 6 C 15.18, K&R 2020, 165 ff. haben geklärt, dass die datenschutzrechtliche Verantwortung für den Betrieb einer Facebook-Seite nicht allein bei Meta liegt. Vielmehr sind auch die Betreiber der Seiten gemeinsam mit Facebook gemäß Art. 26 DSGVO rechtlich verantwortlich. Denn die Seiten-Betreiber “locken” die Nutzer mit ihren Informationen auf ihre Seite und ermöglichen dadurch Meta das Tracking. Sie profitieren umgekehrt für die Verbreitung ihrer Informationen von der Reichweite von Facebook und damit von dem Facebook-Geschäftsmodell. Aus dieser gemeinsamen Verantwortung ergeben sich für beide Verantwortliche gemeinsame datenschutzrechtliche Pflichten, die die Seiten-Betreiber nicht erfüllen können, weil Meta diese Pflichten ignoriert und die notwendige Transparenz und Zusammenarbeit verweigert.

Eine von der Datenschutzkonferenz beauftragte Taskforce hat überprüft, ob die heutigen Facebook-Seiten den in dem Rechtsstreit umstrittenen damaligen Fanpages entsprechen. Sie hat in ihrem am 30. 3. 2022 veröffentlichten Gutachten festgestellt, dass die Urteile sich auf die aktuellen Facebook-Seiten übertragen lassen und dass Meta sogar noch gegen weitere Datenschutzvorgaben verstößt.

Im Ergebnis heißt dies, dass die Seiten-Betreiber nicht gemäß Art. 5 Abs. 2 DSGVO nachweisen können, dass sie

  • eine von Art. 26 Abs. 2 DSGVO geforderte Vereinbarung mit Meta getroffen haben, die klärt, wer welche datenschutzrechtlichen Pflichten wahrnimmt und Rechte betroffener Personen erfüllt,

  • über die Datenverarbeitung beim Besuch ihrer Seite ausreichend – z. B. über die Zwecke der Datenverarbeitung oder über die Empfänger von Daten – nach Art. 13 DSGVO informieren,

  • die Anforderungen des § 25 TTDSG erfüllen, insbesondere über Einwilligungen der betroffenen Personen verfügen,

  • die Trackingdaten rechtmäßig verarbeiten und

  • die notwendigen Schutzmaßnahmen zur Absicherung des Datentransfers in die USA ergriffen haben.

Daher haben die Aufsichtsbehörden in ihrer Datenschutzkonferenz am 23. 3. 2022 beschlossen, dass sie bundesweit einheitlich gegen öffentliche Stellen, die Facebook-Seiten betreiben, vorgehen. Sie haben die Bundesregierung und die Landesregierungen aufgefordert, die erforderlichen Nachweise zu führen oder ihre Facebook-Seiten zu inaktivieren. Die Rechtslage ist zwar für nicht öffentliche Stellen und öffentliche Stellen gleich. Dennoch müssen öffentliche Stellen in besonderer Weise Vorbilder für die Einhaltung von Recht und Gesetz sein.

Die Aufsichtsbehörden sind sich der großen Bedeutung von Facebook-Seiten für die Öffentlichkeitsarbeit von öffentlichen Stellen bewusst. Reichweite kann jedoch keine Rechtfertigung für Rechtsverletzungen sein. Daher sind die Aufsichtsbehörden aus zwei Gründen verpflichtet, die öffentlichen Stellen zu veranlassen, für ihre Information der Öffentlichkeit datenschutzrechtlich unbedenkliche Wege zu nutzen. Zum einen müssen sie die Grundrechte der betroffenen Personen schützen. Und zum anderen können sie nicht zulassen, dass ein globaler Anbieter wie Meta sich gegenüber seinen Wettbewerbern aus Europa deshalb durchsetzt, weil er das europäische Datenschutzrecht ignoriert.

Prof. Dr. Alexander Roßnagel*

*

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Er ist außerdem Seniorprofessor für Öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes an der Universität Kassel. Er leitet dort die “Projektgruppe verfassungsverträgliche Technikgestaltung (provet)” und ist Direktor des Wissenschaftlichen Zentrums für Informationstechnik-Gestaltung (ITeG).

 
stats