Datenschutz-BlogDSGVOKommunalTipps & TricksFacebookseiten von Städten und Gemeinden illegal? Wir erklären's! - dampf.consulting GmbH

11. April 2022von Thorsten Dampf

Facebookseiten verstoßen gegen den Datenschutz

Facebookseiten müssen abgeschaltet werden. Diese Nachricht sorgte unter Städten, Gemeinden und anderen öffentlichen Einrichtung für einigen Wirbel.

Am 06.04.2022 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) eine Pressemitteilung veröffentlicht, in der darauf hingewiesen wird, dass Facebook-Seiten öffentlicher Stellen und Behörden derzeit nicht rechtskonform betrieben werden können.

Diese Info wurde am selben Tag vom Hessischen Städtetag in einem Rundschreiben an die Mitgliedsstädte verschickt, mit dem Hinweis, man solle vom Betrieb von Facebook-Seiten absehen. Im Anhang des Rundschreibens über 50 Seiten PDF-Dokument! Wir möchten nun einen Überblick geben, worum es geht und was für Kommunen nun zu tun ist:

Datenschutz bei Facebook Pages öffentlicher Stellen

Worum geht’s bei den Facebookseiten?

Der Streit, ob Facebook-Pages (oder Fanpages, wie sie früher hießen), datenschutzkonform betrieben werden können, schwelt seit Jahren. Es gab in der Vergangenheit einige Anordnungen von Datenschutzaufsichtsbehörden, Gerichtsverfahren und Stellungnahmen der Datenschutzkonferenz der Länder.

Gemeinsame Verantwortlichkeit mit Facebook

Grund für die Streitigkeiten ist, dass Facebook eine Vielzahl von Benutzerdaten sammelt, auch von Personen, die überhaupt kein eigenes Facebook-Konto haben. Beim Betrieb einer Facebook-Seite entsteht nach Datenschutzrecht eine sogenannte gemeinsame Verantwortlichkeit. Das bedeutet, dass Facebook nicht alleine für die Daten verantwortlich ist, sondern die jeweilige Stadt oder Gemeinde als Betreiber ebenfalls in der datenschutzrechtlichen Verantwortung steht. Jetzt ist Facebook allerdings nicht gerade für Offenheit und Transparenz in Sachen Datenverarbeitung bekannt. Als Betreiber einer Facebook-Seite muss die Kommune, Behörde oder öffentliche Einrichtung allerdings u.a. die sog. Betroffenenrechte gewährleisten können, also z.B. das Recht auf Auskunft über gespeicherte Daten oder Löschung von Daten.

Wenn also eine Bürgerin die Gemeinde fragt:

Sagt mal, welchen Daten habt Ihr eigentlich über mich gespeichert?

dann muss die Gemeinde auch über die bei Facebook gespeicherten Daten Auskunft erteilen. Man ahnt schon, dass das zumindest schwierig werden dürfte. Facebook stellt keine transparenten Informationen bereit und bietet Seitenbetreibern keine ausreichende Möglichkeit, die Betroffenenrechte zu gewährleisten.

Somit ist kein rechtskonformer Betrieb von Facebook-Seiten möglich.

Unzulässige Datenübermittlung in die USA

Ein weiteres Problem stellt die Datenübermittlung in die USA dar. Zwar hat Facebook (resp. der Meta-Konzern) eine europäische Tochtergesellschaft, allerdings ist der Zugriff von US-Sicherheitsbehörden auf die Facebook-Daten zumindest möglich.

Facebookseiten jetzt abschalten?

Wie gesagt, ist ein datenschutzrechtlich zulässiger Betrieb von Facebook-Pages aktuell nicht möglich.

Wie der HBDI in seiner Stellungnahme auch schreibt, ist er sich der Wichtigkeit der Facebook-Auftritt der Behörden für die Öffentlichkeitsarbeit und Außenkommunikation durchaus bewusst. Allerdings sind öffentliche Stellen in besonderer Weise an Recht und Gesetz gebunden und erfüllen eine Vorbildfunktion. Der HBDI fordert daher von den Behörden, auf datenschutzrechtlich unbedenkliche Alternativen für die Öffentlichkeitsarbeit zu wechseln.

Was müssen Sie nun tun?

Der Betrieb eine Facebook-Page ist nach der derzeitigen Rechtslage unzulässig. Also müssen Facebook-Seiten deaktiviert werden.

Facebookseiten sofort abschalten?

Der Hessische Beauftragte für den Datenschutz und die Informationsfreiheit schreibt, er erwartet, dass öffentliche Stellen in Hessen keine neuen Facebookseiten mehr erstellen und von bestehenden Facebookseiten zu datenschutzkonformen Alternativen wechseln. Bis dahin dürfen sie keine Information exklusiv auf Facebook anbieten, sondern müssen Informationen auf alternativen, datenschutzfreundlichen, Wegen bereit stellen.

Es is jetzt also sinnvoll und angeraten, eine Wechselstrategie festzulegen. Eine Frist von 3-6 Monaten für eine Umstellung und Abschaltung der Facebookseiten dürfte angemessen und realistisch sein. Bei einer Prüfung durch eine Datenschutzaufsichtsbehörde sollte man zumindest nachweisen können, dass man sich des Themas bewusst ist und einen realistischen Zeitplan für einen Wechsel aufgestellt hat.

Alternativen zur Facebookseite

Es muss eine datenschutzfreundliche Alternative gesucht werden. Allerdings fällt uns hier derzeit leider auch keine Alternative ein, die eine vergleichbare Reichweite wie Facebook ermöglicht. Es bleibt wohl nur der News-Bereich auf der eigenen Internetseite oder der gute alte E-Mail-Newsletter. Hier fehlt allerdings der schnelle und einfache Rückkanal für die Diskussion mit Bürgerinnen und Bürgern.

Wir freuen uns über Tipps und Hinweise zu guten Alternativen per Mail.

Was passiert bei Nichtbeachtung?

Das gegen öffentliche Einrichtungen keine Bußgelder verhängt werden, dürfte sich mittlerweile rumgesprochen haben. Was aber passiert, wenn Sie ihre Facebook Page nun weiter betreiben?

Die Datenschutzaufsichtsbehörden als Kontrollinstanz haben durchaus Möglichkeiten, gegen Datenschutzverstöße vorzugehen. So könnte der Betrieb einer Facebook Page behördlich untersagt werden.

Dazu kommt die Wirkung in der Öffentlichkeit über schlechte Presse, Angriffe politischer Gegner und andere denkbare Szenarien.

Außerdem gibt es in letzter Zeit vermehrt Klagen auf Schadenersatz oder Schmerzensgeld, wenn betroffene Personen sich in ihren Datenschutzrechten verletzt sehen. Die Rechtsprechung der Gerichte scheint hier noch uneinheitlich sein, allerdings könnte auch hier Unheil für die Kommunen drohen.

Also, so bitter das ist, es führt wohl aktuell kein Weg an der Deaktivierung der Facebook-Seiten vorbei.

Ein rein hessisches Problem?

Absolut nicht. Zwar bezieht sich unser Beitrag auf die jüngste Pressenmitteilung der Datenschutzaufsicht aus Hessen, allerdings habe sich in der Vergangenheit nahezu alle Aufsichtsbehörden aus den Bundesländern, darunter Bayern, Baden-Württemberg, Nordrhein-Westfalen u.a. kritisch zu Facebook-Fanpages geäußert. Auch der Bundesdatenschutzbeauftragte hatte bereits entsprechende Stellungnahmen für die Bundesbehörden veröffentlicht.

Es ist also davon auszugehen, dass alle Landesdatenschutzbeauftragten der Linie der Datenschutzkonferenz folgen werden.

Update vom 18.05.2022

Es ist ein bisschen was passiert in der Zwischenzeit. Unsere Kunden haben uns vielfach gefragt, was denn nun zu tun ist, damit die Facebook-Seiten weiterbetrieben werden können. Hier unsere Einschätzung dazu:

Kurz nach dem Hess. Städtetag hat auch der der Hess. Städte- und Gemeindebund in einem Eildienst über die Problematik informiert.

Nun haben einige Landes- und Bundesbehörden angekündigt, ihre Facebookseiten weiter zu betreiben:

https://www.stimme.de/ueberregional/baden-wuerttemberg/nachrichten/pl/baden-wuerttembergs-ministerien-wollen-bei-facebook-bleiben-art-4619177

https://www.rundblick-niedersachsen.de/regierungssprecherin-poerksen-laesst-datenschutzbeauftragte-thiel-abblitzen/

Die Rechtslage ist klar: Die Datenschutzaufsichtsbehörden verlangen einen Nachweis, wie der datenschutzkonforme Betrieb der Facebookseite sichergestellt wird. Das dürfte unmöglich sein. Also ist der Betrieb einer Facebook-Seite rechtswidrig.

Dass die Aufsichtsbehörden gegen eine Kommune ein Bußgeld verhängen, ist allerdings derzeit nahezu ausgeschlossen. Die entsprechenden Passagen finden sich in den Landesdatenschutzgesetzen der Bundesländer. Fraglich ist daher, welche Möglichkeiten zur Durchsetzung eine Aufsichtsbehörde tatsächlich hätte. Das wird im Zweifelsfall wohl ein Gericht entscheiden.

Damit bleibt es eine Risikoabwägung, wie wichtig der Betrieb der Facebook-Seite ist und welches Restrisiko man dafür in Kauf nehmen möchte.

Um das klar zu sagen:

Wir fordern nicht zum Rechtsbruch auf! Auch wir sind Bürger und wünschen uns eine schnelle und transparente Kommunikation der Kommunen gegenüber der Bürgerschaft. Zumal alle kommunalen Einrichtungen betroffen sind, also Feuerwehren, Schwimmbäder, Bibliotheken, Jugend- oder Seniorenzentren uvm.

ABER: Der Schutz der persönlichen Daten ist ein Grundrecht. Kommunen als Teil des Staates trifft eine besondere Pflicht, sich an Recht und Gesetz zu halten.

Dazu gibt es auch ein sehr gutes Interview mit dem Bundesdatenschutzbeauftragten Ulrich Kelber, der diese Problematik anspricht.

Wie immer freuen wir uns über Diskussionen und Feedback – schreiben Sie uns: info@dampf.consulting

Weitere Infos

Datenschutz- und Informationssicherheits-Updates direkt in Ihr Postfach

Dann einfach hier Ihre E-Mail-Adresse eintragen.

Thorsten Dampf

Haben Sie noch Fragen?

Gerne sind wir für Sie da!
dampf.consulting GmbH
Am Lermetsrain 9, 35327 Ulrichstein