Social-Media-Dienste wie Facebook, Instagram, X oder TikTok sind ständige Begleiter im beruflichen und privaten Informations- und Kommunikationsverhalten vieler Menschen. Häufig vertrauen Nutzer den Betreibern dieser Dienste sehr persönliche Informationen an. Die Vielfalt der Informationen, die innerhalb eines Netzwerks aktiv eingestellt oder über die Nutzer erhoben werden, ermöglicht teilweise tiefe Einblicke in persönliche Angelegenheiten.
Social-Media-Dienste zeichnen sich oft durch mehrstufige Anbieterverhältnisse aus. So werden Profile oder Seiten beispielsweise von Unternehmen oder Behörden auf einer Plattform angeboten, die wiederum von einem anderen Plattformbetreiber bereitgestellt wird, der die Daten der Nutzer für eigene Geschäftszwecke verarbeitet. Dies macht Social-Media-Dienste aus Nutzersicht schwer durchschaubar und rechtlich oft problematisch, insbesondere in Bezug auf Verantwortlichkeiten.
Unternehmen und öffentliche Stellen, die Profile in Social-Media-Diensten betreiben, müssen den datenschutzrechtlichen Anforderungen entsprechen. Auch im Jahr 2023 erreichten die Landesbeauftragten für den Datenschutz zahlreiche Anfragen von öffentlichen und privaten Stellen, die sich nach den Anforderungen an den datenschutzkonformen Betrieb von Social-Media-Kanälen erkundigten – häufig bei Anbietern aus Drittstaaten wie Meta (Facebook, Instagram), X oder TikTok. Die Erfahrung der Aufsichtsbehörden zeigt, dass der Schutz der Privatsphäre von den Plattformbetreibern nicht immer ausreichend berücksichtigt wird.
Der Europäische Gerichtshof stellte mit Urteil vom 5. Juni 2018 (C-210/16, „Wirtschaftsakademie“) fest, dass die Betreiber von Facebook-Fanpages und der Anbieter Meta Platforms als gemeinsame Verantwortliche gemäß Art. 26 DSGVO einzustufen sind. Daraus ergeben sich Pflichten, die beide Verantwortliche einzuhalten haben. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz (DSK) stellte in ihrem Kurzgutachten vom 10. November 2022 fest, dass einige dieser Pflichten nicht erfüllt werden. Für die Einhaltung der datenschutzrechtlichen Anforderungen durch die Betreiber von Facebook-Fanpages wäre eine Mitwirkung von Meta Platforms notwendig, die jedoch derzeit nicht vollständig gegeben ist. Datenschutzrechtlich problematische Punkte sind unter anderem:
- Die Fanpage-Betreiber holen keine wirksame Einwilligung für das Speichern von Informationen in den Endeinrichtungen der Endnutzer sowie den Zugriff auf bereits gespeicherte Informationen ein (§ 25 Abs. 1 TTDSG).
- Es fehlt eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO für die Verarbeitung personenbezogener Daten, die auf Basis der gesetzten Cookies erhoben werden.
- Die Fanpage-Betreiber können ihren Informationspflichten aus Art. 13 DSGVO nicht hinreichend nachkommen, da Meta Platforms die erforderlichen Informationen nicht vollständig bereitstellt.
- Zwischen den Betreibern von Facebook-Fanpages und Meta Platforms besteht keine gültige Vereinbarung im Sinne von Art. 26 Abs. 1 Satz 2 DSGVO.
Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (C-311/18) wurde der Privacy Shield 2020 für ungültig erklärt, wodurch Übermittlungen personenbezogener Daten auf dieser Grundlage nicht möglich waren. Am 10. Juli 2023 hat die Europäische Kommission jedoch das EU-U.S. Data Privacy Framework (EU-U.S. DPF) angenommen, das eine neue Rechtsgrundlage für derartige Übermittlungen schafft. Meta Platforms ist unter dem EU-U.S. DPF zertifiziert. Dennoch wird empfohlen, zusätzliche Absicherungen für Drittlandübermittlungen gemäß Art. 44 ff. DSGVO vorzunehmen.
Die Datenschutzkonferenz stuft den Betrieb von Facebook-Fanpages gemäß ihrem Beschluss vom 23. März 2022 als datenschutzrechtlich unzulässig ein. Da Fanpage-Betreiber die Rechtskonformität der Datenverarbeitung sicherstellen und nachweisen können müssen, ist ein rechtmäßiger Betrieb derzeit mangels Mitwirkung von Meta Platforms nicht möglich.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) hat in der Vergangenheit insbesondere für öffentliche Stellen einen Handlungsrahmen zur datenschutzkonformen Nutzung von Social Media bereitgestellt (siehe https://www.datenschutz.rlp.de/themen/social-media). Dieser Rahmen behält weiterhin Gültigkeit, reicht jedoch nicht aus, um Social-Media-Profile datenschutzkonform zu betreiben. Profilbetreiber sind ohne zusätzliche Maßnahmen der Plattformanbieter nicht in der Lage, die bestehenden Defizite auszugleichen. Ein rechtskonformer Betrieb einer Facebook-Fanpage ist daher selbst unter Anwendung des Handlungsrahmens nicht möglich.
Die datenschutzrechtliche Bewertung von Meta Platforms lässt sich zwar nicht unmittelbar auf andere Plattformen übertragen, jedoch dürften ähnliche Probleme auch dort bestehen. Es bleibt wichtig, die technischen Entwicklungen der Plattformen sowie deren datenschutzrechtliche Dokumente fortlaufend zu beobachten. Derzeit existiert jedoch nur für den Betrieb von Facebook-Fanpages eine gerichtliche Klärung.
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks