GSB 7.1 Standardlösung

Navigation und Service

Dürfen Bundesbehörden Facebook-Fanpages betreiben?

Mit einer Fanpage erreicht man ein großes Publikum. Gleichzeitig sammelt Facebook aber viele Daten über die Nutzer.

es sind viele Facebooksymbole schwebend zwischen zwei Händen abgebildet
Quelle: Adobe Stock

Bei einer Fanpage handelt es sich um eine Art Homepage, die durch Facebook publiziert wird. Der Inhalt stammt nicht von Facebook, sondern von den Betreibern der Fanpage, also hier den jeweiligen Behörden. Um eine Fanpage zu erstellen, muss sich die Behörde zunächst bei Facebook als Nutzer registrieren. Erst dann kann die Seite eingerichtet und auch betreut werden. Somit ist die bei Facebook registrierte Person beziehungsweise Stelle einerseits Nutzer von Facebook und durch den Betrieb der Fanpage andererseits Diensteanbieter im Sinne des Telemediengesetzes.

Jeder Betreiber einer Fanpage, also auch die Bundesbehörden, kann kostenfrei statistische Daten über die Nutzer der Fanpage erhalten. Diese Daten werden u.a. mit Hilfe von Cookies erhoben, um Besucherstatistiken zu erstellen. Diese von Facebook als „Seiten-Insights“ bezeichneten Statistiken stellt das soziale Netzwerk den Seitenbetreibern kostenlos zur Verfügung. Abbestellen können Fanpage-Betreiber den Service nicht. Sie können somit Daten über den Lebensstil und die Interessen der jeweiligen Nutzer, über das Online-Kaufverhalten und geografische Daten erhalten. Wird die Fanpage von Nutzern aufgerufen, die nicht bei Facebook angemeldet sind, werden deren Daten ebenfalls ausgewertet.

Bei allem Verständnis dafür, über Fanpages ein spezielles Zielpublikum erreichen zu wollen, muss natürlich der Datenschutz beachtet werden. In diesem Rahmen hat bereits in 2011 das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in einem konkreten Fall festgestellt, dass weder der Fanpagebetreiber noch Facebook, darüber informiert, dass Facebook mittels Cookies personenbezogene Daten der Nutzer erhebt und diese Daten danach verarbeitet. In Folge hat bereits im November 2011 das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein gegenüber diesem Fanpagebetreiber angeordnet, die Fanpage zu deaktivieren. 

Der Fanpage-Betreiber hatte gegen diesen Bescheid eine verwaltungsgerichtliche Klage erhoben und geltend gemacht, dass ihm die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und er Facebook auch nicht mit einer von ihm kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Das Bundesverwaltungsgericht (BVerwG) ersuchte den Gerichtshof der Europäischen Union (EuGH) um Auslegung der Richtlinie 95/46. 

In seinem Urteil vom 5. Juni 2018 entschied der EuGH, dass die Betreiber von Fanpages gemeinsam mit Facebook für die Verarbeitung der Daten von Fanpage-Besuchern verantwortlich sind. Die Betreiber der Fanpages sind laut Gericht jedenfalls durch die Konfigurationsangaben an der Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten beteiligt. Siehe hierzu auch die Pressemitteilung. Die Fanpage-Betreiber müssen Nutzer zunächst einmal auf die Verarbeitung der Daten durch Facebook hinweisen. Da Facebook bisher seine Vorgehensweise nicht offengelegt hat, wird ein Fanpagebetreiber in der Praxis bereits vor dem Problem stehen, seine Nutzer korrekt zu informieren. Seiner Rechenschaftspflicht kann er so schwerlich nachkommen. 

Das BVerwG hat mit Urteil vom 11. September 2019 (6 C 15.18) entschieden, dass die deutschen Datenschutzaufsichtsbehörden auch unmittelbar gegen einen Fanpage-Betreiber vorgehen dürfen, um einen rechtswidrigen Zustand abzustellen. Die Frage, ob die Datenverarbeitung bei Fanpages rechtswidrig ist, hat das BVerwG an die Vorinstanz zurückverwiesen. 

Da Facebook und die Fanpage-Betreiber gemeinsam Verantwortliche sind, müssen diese eine Vereinbarung treffen, in der geregelt ist, wer welche Pflichten nach der Datenschutz-Grundverordnung (DSGVO) erfüllt, insbesondere was die Wahrnehmung der Rechte der Fanpage-Besucher angeht, und wer welchen Informationspflichten nachkommt. Von besonderer Bedeutung ist auch die Rechenschaftspflicht. Diese verlangt, dass Verantwortliche die Rechtmäßigkeit von Datenverarbeitungsvorgängen, die ihrer Verantwortung unterliegen, prüfen, gewährleisten und nachweisen können müssen. 

Die Auswirkungen des EuGH-Urteils sind offen: Werden Behörden und Unternehmen auf Fanpages verzichten, weil sie den Anforderungen des Datenschutzes, nicht nachkommen können oder wird Facebook seine Verarbeitung offen legen oder werden sich andere, datenschutzkonforme soziale Netzwerke entwickeln? Auf jeden Fall sollte die direkte Kommunikation von Behörden mit den Bürgerinnen und Bürgern über sichere Kanäle abgewickelt werden, etwa über SSL-verschlüsselte Formulare oder über De-Mail.