Seit Jahren raten die kirchlichen Datenschutzaufsichten von Facebook-Fanseiten ab. Nun hat die erste Aufsicht Nägel mit Köpfen gemacht: Der bayerische Diözesandatenschutzbeauftragte hat ein pauschales Verbot für Facebook-Seiten bei kirchlichen Stellen in Bayern ausgesprochen. Die Nachricht sorgt bundesweit für Aufruhr in kirchlichen Pressestellen und Einrichtungen. Kommt jetzt die lange drohende Facebook-Apokalypse?

Wie kirchliche Stellen das Verbot einordnen und was sie jetzt tun können, klären diese Fragen und Antworten – die natürlich keine Rechtsberatung darstellen.

Was ist passiert und wen betrifft es?

Was hat der bayerische Diözesandatenschutzbeauftragte angeordnet?

Mit Datum vom 23. Februar hat der bayerische Diözesandatenschutzbeauftragte auf seiner Webseite eine Notiz mit dem Titel »Verbot von Facebook-Fanpages« veröffentlicht. Darin bezieht er sich auf den zuvor durch den Bundesdatenschutzbeauftragten erlassenen Bescheid gegen das Bundespresseamt, die Facebook-Seite der Bundesregierung einzustellen.

Der Diözesandatenschutzbeauftragte teilt mit, dass er diese Anordnung des Bundesdatenschutzbeauftragten entsprechend für die Dienststellen  der katholischen Kirche in Bayern in Kraft setzt. Dazu setzt er eine Ausführungsfrist bis zum 31. März 2023. Die Anordnung diene auch der Vermeidung von Schadensersatzansprüchen gegen kirchliche Einrichtungen. Eine Rechtsbehelfsbelehrung fehlt.

Wie verhalten sich die anderen kirchlichen Datenschutzaufsichten?

[Ergänzung, 28. Februar]Nach Bayern äußerte sich die KDSA Ost zum Vorgehen des BfDI und des bayerischen DDSB. Der Ost-DDSB betont, dass keine neue Rechtslage bestehe und der BfDI auf Grundlage der bekannten Einschätzung agiere. Er vermeidet in seiner Unterstützung des bayerischen Kollegen, die Formulierung »Facebook-Verbot« aufzugreifen: »Auch die Datenschutzkonferenz der katholischen Datenschutzaufsichten hat wiederholt auf diese Rechtslage hingewiesen. Deshalb ist es nur folgerichtig, dass der Diözesandatenschutzbeauftragte für die bayrischen Bistümer ankündigt, nach einer von ihm gewährten Frist, gegen Verantwortliche vorzugehen, die weiterhin eine Facebook-Fanpage betreiben.«[/Ergänzung]

[Ergänzung, 1. März]Auch das KDSZ Dortmund hält an seiner Einschätzung fest. Beratungen und Auskünfte zum Betrieb von Facebook-Fanseiten durch die Aufsicht hätten trotz der ablehnenden Haltung in den meisten Fällen nicht dazu geführt, »dass die kirchlichen Stellen einen aus Sicht der Datenschutzaufsichten datenschutzkonformen Betrieb der Facebook-Fanpages erreicht haben bzw. die Fanpages aus diesem Grund (nicht mehr) unterhalten haben«. Die NRW-Aufsicht kündigte an, in den nächsten Monaten bei Prüfungen und Beschwerden verstärkt auf dieses Thema zu achten und gegebenenfalls zu handeln.[/Ergänzung]

[Ergänzung, 8. März]Laut einem Rundschreiben der Deutschen Ordensobernkonferenz, das mir vorliegt, aber nicht öffentlich verfügbar ist, raten die Ordensdatenschutzbeauftragten zu einer möglichst umgehenden Abschaltung kirchlicher Facebook-Fanseiten der Ordensgemeinschaften und ihrer Einrichtungen, »um möglichen Haftungsansprüchen zu entgehen und die durch den Datenschutzgeschützten Persönlichkeitsrechte der Betroffenen zu wahren«. Trotz der Überschneidung in der Person Jupp Joachimskis also auch bei den Orden kein Pauschalverbot.[Ergänzung]

Zwei evangelische Datenschutzaufsichten (der BfD EKD und der DSBKD) haben das Vorgehen des Bundesdatenschutzbeauftragten aufgegriffen, um kirchliche Stellen erneut daran zu erinnern, einen rechtskonformen Zustand sicherzustellen. Ein Verbot oder anlasslose Prüfungen von kirchlichen Stellen wurde dabei nicht angekündigt.

Wen betrifft die Ankündigung aus Bayern?

Der bayerische Diözesandatenschutzbeauftragte ist zuständig für alle römisch-katholischen kirchlichen Stellen in den Diözesen des Bundeslands Bayern (also nicht für das Bistum Speyer, das aus historischen Gründen zur Freisinger Bischofskonferenz gehört). Er ist außerdem nicht zuständig für Orden päpstlichen Rechts (z. B. Jesuiten, Benediktiner) mit Niederlassungen in Bayern. Der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski ist allerdings in Personalunion auch Ordensdatenschutzbeauftragter und damit auch für die Orden päpstlichen Rechts zuständig.

Wird der bayerische Diözesandatenschutzbeauftragte das Verbot durchsetzen?

Der amtierende Diözesandatenschutzbeauftragte Jupp Joachimski mit großer Wahrscheinlichkeit nicht.

Die von ihm gesetzte Frist endet am 31. März 2023. Kurz zuvor hatte er aber angekündigt, dass voraussichtlich zum 1. April 2023 seine Nachfolge das Amt antreten wird. Gegenwärtig hat der Diözesandatenschutzbeauftragte nicht genügend Personal, um eine breite Durchsetzungsoffensive anzugehen; wie die Nachfolge ausgestattet sein wird, ist noch nicht klar. Ebenfalls unbekannt ist, ob die Nachfolge diesen Arbeitsschwerpunkt setzen will.

Wie funktioniert ein Facebook-Verbot rechtlich?

Wie ist das pauschal ausgesprochene Verbot zu bewerten?

Das Verbot ist kein Bescheid, wie ihn § 47 Abs. 1 KDG fordert. Damit hat die Meinungsäußerung der Aufsicht keine unmittelbare rechtliche Wirkung gegenüber einzelnen kirchlichen Stellen. Nur mit einem Bescheid gegen eine konkrete verantwortliche Stelle wäre eine Anordnung zur Abschaltung gemäß KDG möglich.

Kann eine kirchliche Datenschutzaufsicht überhaupt den Betrieb von Facebook-Fanpages verbieten?

Ja, aber nicht pauschal.

Laut dem Gesetz über den kirchlichen Datenschutz kann die Aufsicht »eine vorübergehende oder endgültige Beschränkung sowie ein Verbot der Verarbeitung« in einem Bescheid anordnen (§ 47 Abs. 5 lit. c) KDG). Ein Bescheid ergeht aber immer gegen einen konkreten Verantwortlichen in einem konkreten Fall. Das kirchliche Recht gibt dem Diözesandatenschutzbeauftragten keine Mittel an die Hand, um Allgemeinverfügungen wie ein pauschales Verbot einer bestimmten Software oder eines bestimmten Social-Media-Dienstes zu erlassen. Das Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz kennt zwar auch nur Verwaltungsakte in Form von einzelnen Bescheiden, erwähnt aber explizit »gleichartige Verwaltungsakte in größerer Zahl« (§ 11 Abs. 4 Nr. 2 KDS-VwVfG), für die eine lediglich summarische Begründung erforderlich ist, also keine genau auf jeden Einzelfall bezogene. Das kirchliche Datenschutzrecht sieht demnach Instrumente vor, um sehr viele gleichartige Anordnungen gleichzeitig auszusprechen.

Obwohl es kein Instrument zum pauschalen Verbot gibt: Eine Datenschutzaufsicht kann ihre Rechtsauffassung öffentlich machen und ankündigen, dass sie in allen Fällen so entscheiden wird – also zum Beispiel, dass sie bei allen Facebook-Seiten kirchlicher Stellen eine Anordnung zum Abschalten (»Verbot der Verarbeitung«) ausspricht, sobald sie davon Kenntnis erlangt. Sie kann auch ankündigen, dass sie eine Rechtsauffassung erst nach Ablauf einer Frist durch Anordnungen konkret werden lässt und auf eigene Initiative Prüfungen durchführt. Verantwortliche Stellen sind der Aufsicht gegenüber auskunftspflichtig (§ 44 Abs. 2 KDG). Die Behörde könnte also per Serienbrief alle ihr bekannten Stellen verpflichten, den Betrieb von Facebook-Seiten offenzulegen.

Wie kann die Datenschutzaufsicht den Betrieb einer Facebook-Seite verbieten?

Zunächst muss die Datenschutzaufsicht Kenntnis vom Betrieb einer Facebook-Seite durch eine kirchliche Stelle erlangen. Das kann durch Beschwerden von Betroffenen oder Dritten bei der Aufsicht geschehen, eigene Recherche oder durch die Auskunft kirchlicher Stellen über den Betrieb, nachdem die Aufsicht selbst nachgefragt hat.

Bevor die Datenschutzaufsicht durch Bescheid das Verbot des Betriebs einer Facebook-Seite anordnen kann, muss sie in der Regel der kirchlichen Stelle innerhalb einer angemessenen Frist Gelegenheit zu geben, sich zu den für die Entscheidung erheblichen Tatsachen zu äußern (§ 47 Abs. 8 KDG). Davon kann abgesehen werden, wenn das im Einzelfall nicht geboten ist, zum Beispiel bei Gefahr im Verzug. Da die Aufsichten seit Jahren bei im wesentlichen unveränderter Lage den Betrieb von Facebook-Seiten tolerieren, dürfte sich hier nur schwer mit Gefahr im Verzug argumentieren lassen.

Nach Ablauf dieser Frist kann die Datenschutzaufsicht dann gemäß § 47 Abs. 1 KDG einen Bescheid zur Beanstandung des Datenschutzverstoßes erlassen. Dieser Bescheid beinhaltet eine angemessene Frist zur Behebung des Datenschutzverstoßes. Außerdem kann der Bescheid Anordnungen enthalten, insbesondere die Anordnung, die Facebook-Seite abzuschalten (§ 47 Abs. 5 lit. c)). Der Bescheid muss eine Rechtsbehelfsbelehrung enthalten (§ 14 KDS-VwVFG).

Gegen den Bescheid kann der kirchliche Rechtsweg zu den kirchlichen Datenschutzgerichten eingeschlagen werden.

Wie kann die Aufsicht Anordnungen durchsetzen? Droht Bußgeld?

Bußgelder können nicht gegen öffentlich-rechtlich verfasste kirchliche Stellen (wie Bistümer und Pfarreien) verhängt werden. Gegen alle anderen Stellen (z. B. kirchliche Vereine und Verbände, Caritas-Einrichtungen u. ä.) können Bußgelder verhängt werden. Dabei sind die Aufsichten bislang aber sehr zurückhaltend. Durch Einsicht und Kooperation lassen sich Bußgelder meist vermeiden.

Wenn eine kirchliche Stelle Anordnungen der Datenschutzaufsicht nicht nachkommt, sich also beispielsweise einfach weigert, die Facebook-Seite abzuschalten, dann kann die Behörde die Bischöfliche Aufsicht einschalten, um rechtmäßige Zustände herzustellen (§ 47 Abs. 3 KDG, § 26 Abs. 6 KDS-VwVFG) – letzten Endes ist also der Bischof am Zug, mit seiner Autorität sein Datenschutzgesetz durchzusetzen. Man sollte vermeiden, dass es so weit kommt.

Hintergründe und Handlungsoptionen

Warum kommt das Facebook-Verbot jetzt?

Seit Jahren äußern staatliche wie kirchliche Datenschutzaufsichten Zweifel daran, dass der Betrieb von Facebook-Seiten mit dem Datenschutzrecht vereinbar ist. Die Datenschutzkonferenz des Bundes und der Länder hat im vergangenen Jahr ein Kurzgutachten veröffentlicht, in dem sie diese Rechtsauffassung umfassend begründet. Das Gutachten ist nachvollziehbar, ist bislang aber lediglich die Rechtsauffassung der Datenschutzkonferenz, die noch nicht vor Gerichten überprüft wurde.

Die einzelnen Aufsichten wollen nicht wahllos tätig werden. Stattdessen führt der Bundesdatenschutzbeauftragte ein Musterverfahren gegen das Bundespresseamt, das die Facebook-Seite der Bundesregierung betreibt, und der Fokus der Aufsichten liegt auf Landes- und Bundesbehörden. Am 22. Februar 2023 hat der Bundesdatenschutzbeauftragte einen Bescheid gegen das Bundespresseamt mit der Anordnung zur Abschaltung veröffentlicht.

Es ist zu erwarten, dass das Bundespresseamt Anfechtungsklage erhebt und das Musterverfahren über alle Instanzen auch vor Gerichten geführt wird. Dabei ist es wahrscheinlich, dass auch der Europäische Gerichtshof mittels Vorlagefragen beteiligt wird. Das Verfahren kann sich also über Jahre hinziehen. [Korrektur, 14. März 2023: Ursprünglich war hier die Rede von Widerspruch einlegen; korrekt ist Anfechtungsklage.]

Das Ziel dieses Vorgehens ist, dass der Facebook-Mutterkonzern Meta im Zuge des Verfahrens den rechtskonformen Betrieb von Facebook-Seiten ermöglicht, so dass auf die Durchsetzung eines Verbots gegen alle einzelnen Fanseiten-Betreiber verzichtet werden kann. »Ein solcher kann jedoch ohne Änderungen der Datenverarbeitung durch Facebook und dessen Mutterkonzern Meta nicht gewährleistet werden«, teilte die DSK im vergangenen Jahr mit.

Was ist eigentlich das Problem?

Schon 2018 hat der Europäische Gerichtshof festgestellt, dass zwischen dem Facebook-Konzern und dem jeweiligen Betreiber einer Facebook-Seite datenschutzrechtlich eine gemeinsame Verantwortlichkeit besteht. Das bedeutet: Auch wer eine Facebook-Seite betreibt, ist voll für die Einhaltung des Datenschutzrechts verantwortlich. Viele der daraus erwachsenden Pflichten kann ein*e Seitenbetreiber*in aber gar nicht erfüllen, weil Facebook die dafür nötigen Informationen nicht transparent macht und (nach Rechtsauffassung der Datenschutzaufsichten) ein unzureichendes Muster für eine Vereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung stellt.

Im Kurzgutachten der Datenschutzkonferenz werden ausführlich diverse Probleme geschildert: Unzureichende Einwilligungen in Cookies, fehlende Rechtsgrundlagen für Datenverarbeitungen, unzureichende Erfüllung von Informationspflichten sowie Übertragung von Daten in die USA ohne geeignete Schutzmaßnahmen. Weil eine gemeinsame Verantwortlichkeit zwischen Meta und Seitenbetreiber*in besteht, ist das nicht nur das Problem von Facebook, sondern von jeder einzelnen Stelle, die eine Facebook-Seite betreibt.

Was sollten kirchliche Stellen mit einer Facebook-Seite jetzt tun?

Auch wenn pauschale Verbote nicht unmittelbar wirksam sind, hat die Datenschutzaufsicht jederzeit die Möglichkeit, in jedem Einzelfall die Abschaltung anzuordnen. Die Chancen stehen für sie gut, dass diese Anordnung auch auf dem kirchlichen Rechtsweg Bestand hat.

Mit großer Wahrscheinlichkeit ist es nicht möglich, dass kirchliche (und alle anderen) Stellen Facebook-Seiten derzeit rechtskonform betreiben können. Wer dennoch an einem Facebook-Auftritt festhält, sollte parallel zwei Strategien verfolgen:

1. Möglichst rechtskonform regeln, was geht: Das heißt zum Beispiel die eigene Facebook-Seite mit einer Datenschutzerklärung versehen (um Informationspflichten zumindest so weit zu erfüllen, wie man kann), die Facebook-Seite so weit es geht im Verzeichnis der Verarbeitungstätigkeiten dokumentieren, Seiten über Facebook Business und nicht nur über Privataccounts verwalten (um den Zugriff der verantwortlichen Institution zu sichern), auf die Einbettung von Facebook-Inhalten auf Webseiten verzichten oder sie mit Zwei-Klick-Lösungen nur nach Einwilligung anzuzeigen (um die Datenübertragung an Facebook auf Menschen zu beschränken, die direkt Facebook nutzen). Selbstverständlich müssen alle über eine Facebook-Seite veröffentlichten Inhalte datenschutzkonform sein. Bei Social-Media-Inhalten ist ein besonders hoher Standard erforderlich und für die Veröffentlichung von personenbezogenen Daten (z. B. erkennbare Menschen auf Fotos) in der Regel die Einwilligung die angemessene Rechtsgrundlage.
2. Plan B bereithalten – das eigene Kommunikationskonzept sollte schon vor der Abschaltung Strategien enthalten, wie die mit der Facebook-Seite verfolgten Kommunikationsziele alternativ erreicht werden können. Das könnten zum Beispiel alternative Netzwerke sein, der Aufbau eines E-Mail-Newsletter-Verteilers oder die Präsenz von Vertreter*innen der Institution als Person in passenden Facebook-Gruppen.

Noch Fragen? Anmerkungen? Andere Absicht? Ich freue mich über Rückmeldungen in den Kommentaren oder per Mail!