Keine wirksame Rechtsgrundlage
Dieses Gutachten komme zu dem Ergebnis, dass der Betrieb von Facebook-Fanpages weiterhin nicht datenschutzkonform sei, heißt es in einer Mitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH). Das DSK-Gutachten stelle auf Basis der heutigen Sach- und Rechtslage fest, dass für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Besuch von Facebook-Fanpages keine wirksame Rechtsgrundlage besteht. Außerdem würden die Informationspflichten gegenüber den Nutzenden, die in Art. 13 DS-GVO geregelt sind, nicht erfüllt. Die DSK sieht das Gutachten als eine wichtige Grundlage der aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.
Öffentliche Stellen müssen handeln
In einem ersten Schritt hat laut ULD SH nun die Landesbeauftrage für Datenschutz Marit Hansen die obersten Landesbehörden in Schleswig-Holstein über das Gutachten der Konferenz informiert. Hansen sieht die öffentlichen Stellen aufgrund ihrer Vorbildfunktion besonders in der Pflicht zum rechtskonformen Handeln – auch bei Angeboten in sozialen Medien. Sie betont, dass die Behörden für die Verarbeitung personenbezogener Daten die datenschutzrechtliche Konformität nachweisen können müssen. Wie auch ihre Kolleginnen und Kollegen in Bund und Ländern werde auch die schleswig-holsteinische Datenschutzaufsicht darauf hinwirken, dass öffentliche Stellen ihre Facebook-Fanpages deaktivieren, sofern dieser Nachweis nicht möglich sei, so Hansen.
Nachweispflicht für Facebook
Die DSK hat in einem Beschluss vom 23.03.2022 auf der Grundlage des Gutachtens mehrere Sachen beschlossen: Danach erfordert der Betrieb von Facebook-Fanpages einen Nachweis über den Abschluss einer Vereinbarung nach Art. 26 DS-GVO über die gemeinsame Verantwortlichkeit mit Facebook. Der Nachweis müsse auch ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den Nutzenden der Fanpages gemäß Art. 13 DS-GVO umfassen und betreffe auch die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und den Zugriff auf diese Informationen gemäß § 25 TTDSG sowie die Zulässigkeit der Übertragung personenbezogener Daten. Schon vor mehr als zehn Jahren habe man von Facebook und den Fanpage-Betreibern, die gemeinsam für diese Verarbeitung personenbezogener Daten verantwortlich sind, Datenschutzkonformität eingefordert, erklärte Hansen. "Die Gerichte haben uns nun Recht gegeben, aber weiterhin wird gegen das Datenschutzrecht verstoßen. Gerade der öffentliche Bereich darf dies nicht auf die leichte Schulter nehmen", so die Datenschutzbeauftragte.
Datenschutzfreundliche Alternativen
Ferner weist das ULD SH in seiner Mitteilung darauf hin, dass es mittlerweile zu vielen verbreiteten Angeboten der sozialen Medien datenschutzfreundliche Alternativen gibt. So nutze die DSK mittlerweile die Twitter-Alternative Mastodon für die Kommunikation von Kurznachrichten. Diese Instanz der dezentralen Open-Source-Plattform werde vom IT-Dienstleister des Bundes bereitgestellt.