Social-Media-Handreichung der Bundesdatenschutzbeauftragten umsetzen

Schreiben Sie eine Antwort

In der ersten Instanz hat das Bundespresseamt gegen die Bundesdatenschutzbeauftragte gewonnen: Die Facebook-Seite der Bundesregierung darf nach dem Urteil des Verwaltungsgerichts Köln erst einmal online bleiben. Die Entscheidung hat viele überrascht, weil mit Blick auf die Rechtsprechung des Europäischen Gerichtshofs mit einer anderen Entscheidung gerechnet wurde.

Die Handreichung der BfDI vor einem Handy-Screen mit Icons von Social-Media-Apps
(Foto: Julian Christ auf Unsplash, BfDI, Montage fxn)

Das Urteil ist aber noch nicht rechtskräftig: Die BfDI geht in die Berufung. Zusammen mit der Ankündigung der Rechtsmittel veröffentlichte die Aufsicht außerdem eine Handreichung »Soziale Netzwerke rechtmäßig nutzen – So geht’s«. Die Handreichung richtet sich an öffentliche Stellen des Bundes, für die die BfDI zuständig ist. Die beschriebene Vorgehensweise ist aber für alle Verantwortliche hilfreich, die Social-Media-Dienste datenschutzkonform betreiben wollen.

Inhalte Verbergen
1 Relevanz für den kirchlichen Datenschutz
2 BfDI-Kriterien für rechtskonforme Nutzung sozialer Netzwerke
2.1 Rechtsgrundlage
2.1.1 In der Handreichung
2.1.2 Umsetzung im kirchlichen Datenschutz
2.2 Transparenz
2.2.1 In der Handreichung
2.2.2 Umsetzung im kirchlichen Datenschutz
2.3 Datenschutz-Folgenabschätzung
2.3.1 In der Handreichung
2.3.2 Umsetzung im kirchlichen Datenschutz
2.4 Privacy by default
2.4.1 In der Handreichung
2.4.2 Umsetzung im kirchlichen Datenschutz
2.5 Keine Exklusivität
2.5.1 In der Handreichung
2.5.2 Umsetzung im kirchlichen Datenschutz
2.6 Nutzungsleitfaden
2.6.1 In der Handreichung
2.6.2 Umsetzung im kirchlichen Datenschutz
3 Fazit

Relevanz für den kirchlichen Datenschutz

Die BfDI bezieht sich in ihrer Handreichung ausschließlich auf die Rechtslage nach DSGVO – für kirchliche Verantwortliche ist sie auch gar nicht zuständig. Dennoch unterscheiden sich die kirchlichen Datenschutzgesetze in den relevanten Punkten nicht so von der DSGVO, dass die Auffassung der Handreichung von vornherein nicht in Frage kommt.

Eine eigene Rechtsqualität hat die Handreichung erst einmal nicht; sie stellt lediglich eine Absichtsäußerung der BfDI dar, mit der sie ihre Rechtsauffassung transparent macht. Wer sich daran hält und ihrer Aufsicht unterfällt, dürfte damit rechnen können, dass sie zumindest bis zur Rechtskraft eines Urteils im Fanpage-Prozess nicht von ihr belangt wird. Bis zu einer höchstrichterlichen Entscheidung duldet die BfDI den Betrieb von Facebook-Fanseiten (und wohl auch anderer Social-Media-Auftritte), solange die genannten Kriterien erfüllt sind.

Die erste kirchliche Aufsicht, die sich zu der Handreichung geäußert hat, ist das KDSZ Bayern. Auf Mastodon stellte die Aufsicht die Handreichung vor. Außerdem kündigte sie an, dass die katholische Datenschutzkonferenz erwägt, die Auffassung der BfDI offiziell für den katholischen Bereich zu übernehmen. Dann gälte dasselbe: Eine eigene Rechtsqualität und Bindungswirkung haben Beschlüsse der katholischen Datenschutzkonferenz nicht, sie stellen aber eine Absichtserklärung zum Aufsichtshandeln dar und insofern vorerst einen Schutz gegen Aufsichts-Maßnahmen.

BfDI-Kriterien für rechtskonforme Nutzung sozialer Netzwerke

Prämisse der Handreichung ist das Urteil des VG Köln, das eine gemeinsame Verantwortlichkeit zwischen Bundesregierung und Meta (als Facebook-Betreiber) verneint hat. Begründung dafür war, dass die Bundesregierung die Einsicht in die Statistiken durch Facebook hat deaktivieren lassen. Damit ergibt sich für die Bewertung der Verantwortlichkeit eine Unterscheidung: »Während nach dem Urteil des VG Köln der Anbieter eines sozialen Netzwerks alleinverantwortlich für z. B. die Bereitstellung von Cookies ist, bleiben die öffentlichen Stellen des Bundes weiterhin für die auf ihrer Fanpage eingestellten Inhalte datenschutzrechtlich verantwortlich.«

Insgesamt nennt die Handreichung sechs Punkte, die unterschiedlich einfach umzusetzen sind.

Rechtsgrundlage

In der Handreichung

Die Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Die Handreichung richtet sich an öffentliche Stellen und schließt daher »aufgrund des Machtungleichgewichts zwischen Behörden und Bürgerinnen und Bürgern« in der Regel die Einwilligung aus. Stattdessen wird die Aufgabenerfüllung oder das öffentliche Interesse »jeweils in Verbindung mit dem jeweiligen Informationsauftrag gegenüber der Öffentlichkeit« empfohlen.

Umsetzung im kirchlichen Datenschutz

Bei kirchlichen Verantwortlichen sieht es anders aus: Das Machtungleichgewicht zwischen Bürger*innen und Behörden ist selbst bei kirchlichen Behörden in der Regel nicht gegeben; kirchlichen Behörden kann man sich einfach entziehen, sie haben keine (weltliche) Durchsetzungskraft über das bürgerliche Recht hinaus. Lediglich im Arbeitsverhältnis ist bei Einwilligungen dem Machtungleichgewicht besonders Rechnung zu tragen, ausgeschlossen ist die Einwilligung aber auch da nicht.

Daher ist es praktikabel, bei der Verarbeitung personenbezogener Daten für Social-Media-Inhalte auf Einwilligung zu setzen. Der Rückgriff auf eine Interessengrundlage wäre zwar auch denkbar; angesichts der hohen Skepsis der kirchlichen Aufsichten (zuletzt beim BfD EKD) gegenüber Online- und erst recht Social-Media-Veröffentlichungen ist das aber mit einem höheren Sanktionsrisiko verbunden.

Eine Besonderheit gilt, wo das Medienprivileg (§ 55 KDG und § 51 DSG-EKD) anwendbar ist: Damit braucht es keine datenschutzrechtliche Rechtsgrundlage, stattdessen ist das Persönlichkeitsrecht und bei Bildnissen insbesondere das Kunsturheberrechtsgesetz zu beachten. Das Medienprivileg greift aber nur bei eigentlichen Medien wie Kirchenzeitungen, nicht schon bei jeder Form der Öffentlichkeitsarbeit.

Transparenz

In der Handreichung

Ohne nähere Ausführung wird betont, dass die Informationspflichten aus Art. 13 DSGVO sowie alle Grundsätze zum Umgang mit personenbezogenen Daten aus Art. 5 DSGVO einzuhalten sind. Mit der Eingrenzung auf die Inhalte dürfte das bedeuten, das Informationspflichten lediglich gegenüber den Personen bestehen, deren Daten für Inhalte verarbeitet werden. Nicht erwähnt wird der Umgang mit »User generated content«, der im einfachsten Fall schon durch Kommentare vorliegt. Zur Sicherheit sollte man in allgemeinen Datenschutzerklärungen darüber informieren.

Umsetzung im kirchlichen Datenschutz

Im kirchlichen Datenschutz gibt es hierzu keine Besonderheiten. Wenn Daten von Personen für Inhalte verarbeitet werden, müssen diese Personen darüber vollständig nach § 15 KDG oder § 17 DSG-EKD informiert werden. (Im Rahmen des Medienprivilegs kommen diese Paragraphen wieder nicht zum Tragen.)

Allgemeine Datenschutzinformationen sollten sich an Nutzende der Angebote richten, insofern sie Inhalte wie Kommentare beisteuern.

Datenschutz-Folgenabschätzung

In der Handreichung

Die Handreichung referiert nur allgemein die Regelungen aus Art. 35 DSGVO zur Datenschutzfolgenabschätzung, ohne sich festzulegen, ob Social-Media-Dienste in der Regel automatisch eine DSFA erfordern – in der Blacklist der DSK tauchen Social-Media-Dienste als solche jedenfalls nicht auf.

Umsetzung im kirchlichen Datenschutz

Weder die Blacklist des BfD EKD noch der katholischen DSK nennen allgemein Social Media. Dennoch kann je nach Zielsetzung eine DSFA nötig sein, etwa, wenn Minderjährige konzeptgemäß regelmäßig erkennbar auftauchen (umfangreiche Datenverarbeitung Minderjähriger nennt die katholische Blacklist ausdrücklich) oder bei Inhalten, aus denen besondere Kategorien personenbezogener Daten hervorgehen (etwa Gesundheitsdaten im caritativen Bereich oder Informationen über religiöse Einstellungen im Verkündigungsbereich). (Unter dem Medienprivileg entfällt die DSFA für Inhalte.)

Privacy by default

In der Handreichung

Verantwortliche müssen gemäß Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sicherstellen. Dazu nennt die BfDI mehrere Stellschrauben, die falls möglich gedreht werden sollen:

  • Abschaltung der Statistik-Funktion
  • Deaktivierung der Verarbeitung sensibler Daten von Endnutzenden und z. B. von Standortdaten
  • Vereinfachung der Ausübung von Betroffenenrechten (der Punkt wird nicht näher erläutert)
  • Deaktivierung von KI-Training mit Daten von Endnutzenden
  • Keine Nutzung von »verarbeitungsintensiven Zusatzfunktionen« wie Gewinnspielen, Direktwerbung und Widgets (gemeint sind damit wohl Funktionen wie Embeds und Like- und Sharing-Buttons)

Umsetzung im kirchlichen Datenschutz

§ 27 KDG und § 28 DSG-EKD entsprechen Art. 25 DSGVO. Es empfiehlt sich daher, die Einstellmöglichkeiten des genutzten Dienstes intensiv zu prüfen und dort wo es möglich ist, unnötige Funktionen auszuschalten und Einstellungen möglichst datensparsam vorzunehmen.

Leider ist vieles gerade nicht einstellbar: Bei den Meta-Diensten lassen sich Statistiken nicht einfach abschalten (bei der Facebook-Seite der Bundesregierung ist die Rede von einem »Antrag« der Bundesregierung bei Meta), ob Daten von Fanseiten und Instagram-Business-Konten für KI-Training verwendet werden, und inwiefern das Opt out einzelner Nutzenden dahingehend etwas bewirkt, ist nicht klar.

§ 27 KDG und § 28 DSG-EKD gelten zwar nicht ausdrücklich, wenn das Medienprivileg gilt, im KDG müssen aber auch dann §§ 5 und 26 KDG beachtet werden, also die Prinzipien der Verarbeitung personenbezogener Daten und technische und organisatorische Maßnahmen. Im Ergebnis läuft das auch auf privacy by default hinaus. Im DSG-EKD werden die entsprechenden Paragraphen zwar nicht eingeschlossen. Das Medienprivileg betrifft aber grundsätzlich nur Inhalte von Medien, nicht Vertriebs- und Verlagsfunktionen – damit kommt das Prinzip aus § 28 DSG-EKD wohl in jedem Fall zum Tragen.

Keine Exklusivität

In der Handreichung

Informationen dürfen nicht ausschließlich auf Social-Media-Diensten verfügbar sein: Social Media soll ein reines »Parallelmedium« sein: »Bürgerinnen und Bürger müssen die Möglichkeit haben, Informationen auch über andere Kanäle zu erhalten.«

Keine Rede ist davon, dass auch die Darreichungsform der Inhalte eins zu eins anders zugänglich sein muss – Formate wie Reels als Videodatei zum Download anzubieten oder über eine PeerTube-Instanz zu posten, dürfte nicht erforderlich sein, solange die darin vermittelten Inhalte über andere Kanäle zugänglich sind

Umsetzung im kirchlichen Datenschutz

Ähnlich hat sich bereits der bayerische Diözesandatenschutzbeauftragte hier im Interview geäußert: »Wenn es alle Informationen auch auf einem alternativen Kanal gibt, kann kaum argumentiert werden, dass man als Nutzer quasi gezwungen wird, Facebook zu nutzen.«

Es empfiehlt sich, alle relevanten Informationen auf der Webseite zu haben und datenschutzkonforme Social-Media-Dienste, etwa im Fediverse, zu benutzen – Einstiegspunkte sind etwa die Angebote des KDSZ Bayern unter katholisch.social und von LibreChurch unter kirche.social zu nutzen. Auch E-Mail-Newsletter und RSS-Feeds sind geeignete Medien.

Nutzungsleitfaden

In der Handreichung

Ein Leitfaden soll Art und Inhalt der Social-Media-Nutzung dokumentieren. Als Best-practice-Beispiel wird das Mastodon-Konzept des LfDI Baden-Württemberg genannt.

Umsetzung im kirchlichen Datenschutz

Eine Rechtspflicht, ein Nutzungskonzept anzufertigen und zu veröffentlichen, besteht nicht. Viele der Inhalte aus dem baden-württembergischen Beispiel sollten aber ohnehin im Verzeichnis der Verarbeitungstätigkeiten stehen. Der zusätzliche Aufwand sollte also gering sein, wenn man weiß, was man tut.

Fazit

Die Kriterienliste der BfDI ist grundsätzlich eine gute Handreichung, um damit allgemein Social-Media-Konzepte zu prüfen und besser zu machen – auch für Verantwortliche, die gar nicht in ihren Zuständigkeitsbereich fallen. (Trotz Urteil ist der alte Artikel zum Umgang mit Social Media auf Grundlage des Facebook-Gutachtens der Datenschutzkonferenz immer noch grundsätzlich verwendbar.)

Im Detail gibt es dann aber doch einen ganz großen Haken: Die meisten Punkte lassen sich mit mehr oder weniger Arbeit ohne weiteres umsetzen. Der neuralgische Punkt aber gerade nicht. Die Entscheidung des VG Köln baut auf der Argumentation auf, dass der EuGH eine gemeinsame Verantwortlichkeit bei einem Zugriff auf die Statistikdaten angenommen hat und die Bundesregierung den Zugriff auf die Insights hat ausschalten lassen. (Der EuGH hatte noch andere Punkte, die für das VG Köln keine so große Rolle spielten – aber das ist Aufgabe der nächsten Instanz.) Alles hängt also daran, die Statistik auszuschalten – das geht aber bei den großen Diensten nicht ohne weiteres. Auf Instagram könnte man statt eines Business- oder Creator-Kontos wohl einfach ein privates Konto verwenden, auf Facebook muss man wie die Bundesregierung direkt in Verhandlung mit Meta treten. Und die eigene Verhandlungsposition ist wohl nicht so gut wie bei der Bundesregierung.

Diese Problematik führt dazu, dass auch mit der Handreichung für normale Verantwortliche keine hinreichende Rechtssicherheit zu erzielen ist. Die großen Social-Media-Dienste datenschutzkonform zu betreiben, bleibt daher erst einmal ein kaum erreichbares Ideal. Aber immerhin: Etwas besser ist möglich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert