Dürfen Behörden Facebook-Seiten betreiben?

Dieser Beitrag wurde am 24.10.2017 aktualisiert.

shutterstock_248573182Facebook ist ein Lieblingsfeind des behördlichen Datenschutzbeauftragten – nicht erst seit der NSA-Affäre. Mit dem Vorwurf, den Schutz von Nutzerdaten mit Füßen zu treten, hat das größte soziale Netzwerk in den letzten Jahren tatsächlich immer wieder für Schlagzeilen gesorgt. Gerade in und für Behörden liegt deshalb natürlich folgende Frage nahe: Eine Facebook-Seite betreiben – dürfen wir das? 

Die Antwort ist kompliziert. Derzeit beschäftigen sich das Bundesverwaltungsgericht und der Europäische Gerichtshof damit.

Wo hakt es rechtlich? – Einfach erklärt

Es gibt zahlreiche Facebook-Funktionen – allen voran das Erstellen digitaler Nutzerprofile zum Zwecke personalisierter Werbung – die mit deutschem Datenschutzrecht nicht im Einklang stehen. Das ist zunächst kein Problem: Da das Unternehmen seine Sitze in den USA und Irland hat, muss es sich (derzeit) lediglich an die dortigen Bestimmungen halten. Spannend wird, wie sich die neue, ab Mai 2018 geltende Datenschutzgrundverordnung auf das Unternehmen (und auch die Betreiber anderer sozialer Netzwerke) auswirken wird. Mit ihr werden nämlich die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Facebook begrüßt die Vereinheitlichung ausdrücklich, nachdem es 2013 einer freiwilligen Selbstverpflichtung zur Verbesserung der Nutzerrechte nicht zustimmen wollte.

Bietet eine deutsche Behörde hierzulande online Inhalte an, muss sie sich jedenfalls – ebenso wie bei allem, was sie offline tut – natürlich im Rahmen des geltenden deutschen Rechts bewegen. Sie muss beim Betrieb einer Homepage beispielsweise sicherstellen, dass die Verarbeitung von Nutzerdaten mit dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG) konform geht.

FullSizeRenderNutzt die Behörde nun Facebook als Plattform, um Informationen und Inhalte für ihre Bürgerinnen und Bürger zur Verfügung zu stellen, kann sie dies nicht sicherstellen. Sie muss ihrerseits den Nutzerrichtlinien des Unternehmens zustimmen, um eine so genannte Fan-Seite überhaupt starten und administrieren zu können. Ebenso wie jede Privatperson kann sie dann kostenlos Inhalte einstellen, eine Community aufbauen, mit ihren „Fans“ kommunizieren oder auch kostenpflichtig werben. Sie hat jedoch keinen Einfluss darauf, was mit den Daten der (anderen/privaten) Facebook-Nutzer geschieht, die innerhalb des Netzwerks ihre Seite besuchen oder abonnieren. Sie ist selbst viel mehr „Nutzer“ als Seitenanbieter – und damit auch nicht Telemediendienstanbieter nach dem TMG.

Hieraus folgt, dass Behörden (selbst) nicht gegen deutsches Datenschutzrecht verstoßen, wenn sie Facebook-Seiten betreiben. Daher kann man es ihnen auch nicht verbieten.

Nun ist es ja nicht so, dass Behörden ihre Bürgerinnen und Bürger „sehenden Auges ins Unglück laufen lassen“ oder deren Daten „an die USA ausliefern“ wollen. Eine Behördenseite „liken“ kann nur, wer selbst bei Facebook angemeldet ist, also ein persönliches Profil betreibt – und den oben genannten Nutzerrichtlinien bereits vor einiger Zeit selbst zugestimmt hat. Für genau diese Bürgerinnen und Bürger kann man eben legal Informationen auch in „ihrem“ sozialen Netzwerk bereit stellen – das macht Sinn und das haben 2013 und 2014 deutsche Verwaltungs- und Oberverwaltungsgerichte in mehreren Urteilen auch klargestellt.

Was deutsche Gerichte urteilten

Thilo Weichert, ehemals Landesbeauftragter für den Datenschutz des Landes Schleswig-Holstein und Leiter des dortigen Landeszentrums Datenschutz (ULD), hatte 2011 die Ansicht vertreten, dass Facebook wegen seiner strittigen Funktionen von Unternehmen und Behörden nicht genutzt werden dürfe. Sein ULD hatte daher 2011 gegen mehrere Unternehmen in Schleswig-Holstein unter der Androhung von Zwangs- und Bußgeldern Anordnungen erlassen, nach denen sie ihre Facebook-Fanseiten innerhalb von sechs Wochen zu deaktivieren hätten. Hiergegen hatten die Unternehmen geklagt.

Das Verwaltungsgericht Schleswig-Holstein befand, dass Unternehmen (übertragbar auf Behörden) für Facebook-Seiten „keinerlei“ datenschutzrechtliche Verantwortung tragen (eines der Urteile – sie ergingen für jedes klagende Unternehmen einzeln – im Wortlaut ist hier zu finden; der Social Media-Rechts-Experte Carsten Ulbricht hat die Richtersprüche in einem Blogbeitrag analysiert). Die Urteile wurden im September 2014 vom Oberverwaltungsgericht (OVG) Schleswig bestätigt.

Es bleibt spannend: Wie sehen es die höchsten Instanzen?

Nun muss noch das Bundesverwaltungsgericht entscheiden, das hierzu im Februar 2016 den Europäischen Verwaltungsgerichtshof (EuGH) angerufen und das Revisionsverfahren so lange ausgesetzt hat.

Bislang gingen und gehen alle Experten davon aus, dass die bisherigen Urteile bestätigt werden würden. Ganz einfach wird dies zumindest nicht:

Die Ansicht des Generalanwalts mutet seltsam an, gerade wenn man sie weiter denkt: Ist dann jeder Nutzer des Internets auch für Kinderpornographie im Netz „mit verantwortlich“? Oder sollte für Datenschutzverstöße von Google haften, wer die Suchmaschine nutzt?

Ausblick

1Behörden, die bereits bei Facebook sind oder dies planen, sollten dem Urteil des Bundesverwaltungsgerichts (weiterhin) gelassen entgegen sehen. Aus folgenden Gründen:

  1. Die bislang vorliegenden Urteile sind nachvollziehbar und bestätigen die schon zuvor herrschende Meinung in dieser Frage.
  2. Dass ein Gericht tausenden Unternehmen und Behörden in Deutschland aufgeben wird, ihre erfolgreich betriebenen Facebook-Seiten mit wiederum tausenden von Abonnenten zu löschen, ist jedenfalls keine realistische Option.
  3. Angenommen, dies würde sich auch nur andeuten: In diesem Fall würde Facebook den Datenschützern rechtzeitig und so weit wie nötig entgegen kommen. Bereits jetzt gibt es – auf den entsprechenden Druck hin – „deutschlandspezifische“ Verfahren bei Facebook: So werden beispielsweise bei der Übertragung von IP-Adressen deutscher Nutzer in die USA die letzten beiden Ziffern verschlüsselt, auch wurde die Funktion der „Gesichtserkennung“ für die deutschen Nutzer/-innen abgeschafft.

Fazit: Die Situation, dass Behörden ihre Facebook-Seiten abschalten müssen oder nicht starten dürfen, wird so oder so nicht eintreten.

Dennoch gibt es natürlich behördliche Datenschutzbeauftragte, die Bedenken anmelden und Ihnen (mehr oder weniger nachdrücklich) empfehlen werden, auf die Nutzung sozialer Netzwerke zu verzichten.

Meine Empfehlungen

Zur Frage „Dürfen wir zu Facebook?“ empfehle ich öffentlichen Stellen folgendes:

  1. Binden Sie Ihren behördlichen Datenschutzbeauftragten von Anfang an in Ihr Vorhaben ein und tauschen Sie sich bei Fragen aus. „Verbieten“ kann er Ihnen eine Facebook-Seite aber nach derzeitiger deutscher Urteilslage nicht.
  2. Verwenden Sie keine Social Plugins („Facebook-Like-Buttons“) auf Ihrer Homepage. Tatsächlich werden allein durch die Einbindung solcher Buttons Daten Ihrer Homepage-Besucher an Facebook gesendet – selbst dann, wenn diese Besucher nicht bei Facebook angemeldet sind und natürlich auch nicht zugestimmt haben. Dies verstößt definitiv gegen deutsches Datenschutzrecht – und wie oben angesprochen, sind Sie für Ihre eigene Website auch datenschutzrechtlich verantwortlich. Sollten Sie auf Social Plugins nicht verzichten wollen, kommt rechtlich die „Zwei-Klick-Lösung“ oder aber eine einfache Verlinkung auf ihre Facebook-Seite in Betracht.
  3. Stellen Sie sich bei der Nutzung von sozialen Medien in Ihrer Behörde konzeptionell so auf, dass Sie unabhängig von einer einzigen Plattform sind. Facebook wird morgen zwar nicht verboten sein, kann aber übermorgen beispielsweise von einem neuen und plötzlich erfolgreicheren sozialen Netzwerk abgelöst werden. Definieren Sie Ihre Ziele und Zielgruppen und gestalten Sie Ihre Inhalte so, dass Sie grundsätzlich jederzeit zu jedem Social Network mit ähnlichen Funktionen „umziehen“ können.

Zum Weiterlesen

Wer sich weiter einlesen möchte, dem sei dieses Buch ans Herz gelegt, insbesondere der Aufsatz „Web 2.0 in der öffentlichen Verwaltung: Twitter, Facebook und Blogs aus rechtlicher Perspektive“ (wesentliches Argument: Informationsbedürfnis übersteigt Gefahrenpotenzial).

Auch dieses Buch geht in einem eigenen Kapitel auf die hier besprochenen Fragen ein (wenn auch für Unternehmen, jedoch auf Behörden übertragbar) und bietet gleichzeitig einen praxisorientierten Gesamtüberblick über alle Rechtsbereiche, die bei der Nutzung von Social Media relevant sind.

In meinem Blog behandle ich immer mal wieder „Rechtliches“ im Zusammenhang mit Social Media in der öffentlichen Verwaltung. Da gibt es ja beispielsweise das Urheberrecht – ein weites Feld! Doch das ist eine andere Geschichte, die in einem anderen Artikel erzählt werden soll. 😉

Ihre
Christiane Germann

Bildnachweise: shutterstock.com/fotogestoeber (Bild 1), shutterstock.com/pikcha (Bild 3), shutterstock.com/Rawpixel.com (Bild 5), shutterstock.com/wavebreakmedia (Bild 6)

1 reply

  1. Sehr geehrte Frau Germann, leider sind die Links zu der o.g. Pressemitteilung und die Information zum Verwaltungsgericht nicht mehr aktuell. Können Sie die eventuell nachtragen oder eine Information weitergeben, wo die Inhalte jetzt zu finden sind?
    Herzlichen Dank!

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s