Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.
Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?
Die Beschlüsse
Die DSK hat am 23. März einen Beschluss »Zur Task Force Facebook-Fanpages« veröffentlicht. Darin wird ein von der DSK beauftragtes Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages zustimmend zur Kenntnis genommen und als eine »wichtige Grundlage« für die »aufsichtsbehördliche[] Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen« bezeichnet. Fanseiten seien zu deaktivieren, »sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können«.
Dazu werden insbesondere vier Kriterien angeführt:
- der korrekte Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit
- ausreichende Datenschutzinformationen
- ein Nachweis der rechtskonformen Speicherung von Cookies
- ein Nachweis der Zulässigkeit der Datenübertragung in Drittstaaten.
Als erste kirchliche Aufsicht hat die KDSA Ost diesen Beschluss Ende März für ihren Bereich zustimmend aufgegriffen. Ende April folgte die Konferenz der Beauftragten für den Datenschutz in der EKD mit einer Entschließung. Beide Veröffentlichungen greifen die Kriterien und Formulierungen der DSK weitgehend auf unter Verweis auf bereits zuvor getroffene Beschlüsse zu Facebook-Fanpages.
Die Kriterien
Vier Punkte werden angeführt, die Betreiber*innen von Facebook-Seiten nachweisen müssen. Die scheinbare Offenheit in Form einer Checkliste sollte allerdings nicht darüber hinwegtäuschen, dass die Aufsichten nicht damit rechnen, dass der Nachweis erbracht werden kann.
Vereinbarung über gemeinsame Verantwortlichkeit
Es wird eine Vereinbarung nach Art. 26 DSGVO/§ 29 DSG-EKD/§ 28 KDG über die gemeinsame Verantwortlichkeit mit Facebook verlangt.
Facebook bietet zwar dafür ein »Page Controller Addendum« (»Informationen zu Seiten-Insights«) an, das nach Kritik von Aufsichten auch verbessert wurde. Das Kurzgutachten (im folgenden FB-KG) sagt dazu recht wenig. Die Hinweise zur fehlenden Rechtsgrundlage aus C.II.3 FB-KG dürften aber schon genügen, um es sehr fraglich zu machen, ob die von Facebook angebotene Vereinbarung genügt. »Ob die hierfür eingesetzten Datenverarbeitungsprozesse datenschutzkonform stattfinden, kann anhand der dortigen Informationen nicht beurteilt werden«, heißt es in C.II.4 FB-KG über das Addendum. Im Bereich des kirchlichen Datenschutzes ist ohnehin fraglich, ob angesichts der abweichenden Rechtsgrundlagen nicht eine spezifisch auf diese Situation abzielende Vereinbarung nötig wäre.
Zwischenfazit: Die zur Verfügung stehende Vereinbarung zur gemeinsamen Verantwortlichkeit ist nach Ansicht der Aufsichten nicht ausreichend.
Ausreichende Informationen über die Datenverarbeitung
Es wird eine »jederzeitige, ausreichende Information über die gemeinsamen Datenverarbeitungen« gemäß Art. 13 DSGVO/§ 17 DSG-EKD/§§ 14ff. KDG gefordert.
In C.II.4 FB-KG steht explizit, dass Seitenbetreiber*innen diese Informationspflichten nicht erfüllen können. Zwar gibt es Informationen von Facebook: »Die Informationen sind jedoch derart oberflächlich und lückenhaft, dass eine Bewertung als Verantwortlicher auf Grundlage dieser Informationen nicht möglich ist[…]. Aus den gleichen Gründen können Seitenbetreiber:innen auch nicht ihren Verpflichtungen aus Art. 13 DS‐GVO nachkommen«, so das Gutachten.
Zwischenfazit: Die Informationspflichten können nach Ansicht der Aufsichten nicht erfüllt werden.
Speicherung von Cookies und anderen Informationen
Die Anforderungen von § 25 TTDSG zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf die Informationen (vor allem: Cookies) sind zu erfüllen.
Der Komplex um § 25 TTDSG wird in C.I FB-KG ausführlich behandelt, mit dem Ergebnis, dass diese Pflichten nicht erfüllt werden können, explizit in Abschnitt E FB-KG: »Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichertsind,sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.«
Zwischenfazit: Die Anforderungen des TTDSG können nach Ansicht der Aufsichten nicht erfüllt werden.
Übermittlung von Daten in Drittstaaten
Der Datentransfer außerhalb des europäischen Wirtschaftsraums muss zulässig sein, im Fall von Facebook also die Übertragung in die USA. Mangels Angemessenheitsbeschluss müssen die Bedingungen aus Art. 49 DSGVO/§ 10 Abs. 2 DSG-EKD/§ 41 KDG erfüllt werden.
Drittstaatentransfers könnte man rechtskonform lösen, ob Facebook das tut, ist aber sehr fraglich. Darauf geht das Gutachten in D FB-KG nicht im Detail ein – aber es scheint weder eine gültige Einwilligung eingeholt zu werden, noch wirkt die angebotene Lösung über den Facebook-Vertragszusatz allzu rechtssicher. Im kirchlichen Bereich dürfte die Versuchung groß sein, aufgrund des allgemeinen Verkündigungsauftrags hier »wichtige Gründe des kirchlichen Interesses« anzuführen (§ 10 Abs. 2 Nr. 4 DSG-EKD, § 41 Nr. 4 KDG) – dass die zuständige Aufsicht das plausibel findet, darf bezweifelt werden, sonst könnte quasi alles so rechtfertigt werden.
Zwischenfazit: Mit großer Wahrscheinlichkeit ist die Ansicht der Aufsichten, dass keine geeignete Rechtsgrundlage für die Datenübertragung in die USA vorliegt.
Ergebnis
Keiner der vier genannten Kriterien dürfte ohne ein Einlenken von Facebook zu erfüllen sein. Auch wenn die Liste wie eine Checkliste aussieht: die Aufsichten haben sie schon abgearbeitet – und sind zu negativen Ergebnissen gekommen. Die Position der Aufsichten darf man getrost als »Facebook-Fanseiten können derzeit nicht rechtskonform betrieben werden« zusammenfassen.
Was heißt das für die Praxis
Die Aufsichten kündigen an, ihre Rechtsauffassung als wichtige Grundlage ihrer Tätigkeit anzusehen – zugleich gibt es außer deutlichen Ermahnungen über Pressemitteilungen und direkte Anschreiben zunächst an Landes- und Bundesbehörden bislang kein (bekanntgewordenes) Durchgreifen auf dieser Grundlage. Das kann man so interpretieren, dass die Aufsichten eine Übergangsphase gewähren, um eine möglichst schmerzfreie Exit-Strategie zu ermöglichen (etwa in Gestalt eines Umzugs auf datenschutzkonforme Social-Media-Plattformen oder eigene Kanäle). Das kann man aber auch so interpretieren, dass trotz der (grundsätzlich überzeugenden) Argumentation der Erlass von Maßnahmen, gegen die geklagt werden könnte, gescheut wird, da man sich in Wirklichkeit doch nicht so sicher ist.
Risikoreduzierende Maßnahmen
Auch wenn die Aufsichten nicht initiativ tätig werden: Auf Beschwerden müssen sie reagieren, und das droht allen Facebook-Seitenbetreiber*innen. Das Risiko einer aufsichtsbehördlichen Maßnahme besteht also. Wer trotz der Beschlusslage die eigene Facebook-Seite weiterbetreiben will, tut also gut daran, zumindest guten Willen zu zeigen und das zu tun, was in der eigenen Macht steht.
Wichtig ist dabei: Die folgenden Punkte sind keine Tipps, die einen rechtskonformen Zustand herstellen würden – sondern lediglich Hinweise, wie sich Risiken verringern lassen, wenn man trotz der dargestellten Rechtslage zu einer anderen Ansicht kommt oder – was nie zu empfehlen ist – wider besseren Wissens mutmaßlich rechtswidrig handeln will.
- Auf das Facebook-Addendum als Vereinbarung über die gemeinsame Verantwortlichkeit und den Vertragszusatz für die Übermittlung europäischer Daten in den Datenschutzinformationen hinweisen
- In den Datenschutzinformationen alles aufnehmen, was man selbst beantworten kann, wer besonders dreist/mutig/experimentierfreudig ist, kann mit Verweisen auf kirchliches Interesse als Rechtsgrundlage argumentieren, wo es passt
- Für einen guten Eindruck hilft es auch immer, alle über Social Media zur Verfügung gestellten Inhalte zusätzlich auch über eine datenschutzkonforme eigene Plattform bereitzustellen, etwa über ein Blog
- Bei den veröffentlichten Inhalten ist (eh klar …) sicherzustellen, dass dort für alle Inhalte mit personenbezogenen Daten eine Rechtsgrundlage besteht, insbesondere mit Blick auf Bildrechte
Was trotzdem droht
Ein solches Vorgehen stellt keine Rechtssicherheit her; tatsächlich ist es sehr wahrscheinlich, dass auch unter diesen Bedingungen die zuständige Aufsicht den Weiterbetrieb der Facebook-Seite untersagt, wenn eine Beschwerde eingeht – aber dort, wo die Gefahr von Bußgeldern droht (also im nicht-öffentlichen Bereich unter DSGVO-Geltung, bei nicht öffentlich-rechtlich verfassten Verantwortlichen sowie bei öffentlich-rechtlichen, die als Unternehmen am Wettbewerb teilnehmen unter KDG-Geltung und schließlich bei Tätigkeit im wirtschaftlichen Wettbewerb unter DSG-EKD-Geltung), dürften solche Zeichen guten Willens immerhin die Wahrscheinlichkeit verringern (aber nicht auf null), dass sofort ein Bußgeld verhängt wird.
Fazit
Facebook-Fanseiten bleiben weiterhin ein Graubereich – und je nachdem, von wo aus man drauf schaut, ist das ein ziemlich dunkles Grau. Als Seitenbetreiber*in hat man keine Möglichkeit, den Bedenken zu begegnen und aus eigener Kraft hinreichende Rechtssicherheit herzustellen. Das liegt allein in den Händen von Facebook selbst.
Weiterhin bleibt es spannend, wann und wie die Aufsichten vom Mahnen zu Maßnahmen übergehen – es wirkt, als warteten alle auf den Bundesdatenschutzbeauftragten, um dann nachzuziehen. Aber eine einzelne Beschwerde irgendwo könnte schon der Anlass sein, dass es für Seitenbetreiber*innen tatsächlich ungemütlich wird.