Datenschutz-Grundverordnung – Behörden müssen Facebook-Seiten abschalten

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat die Regierung und die obersten Bundesbehörden aufgefordert, ihre Facebook-Seiten bis Ende 2021 abzuschalten. In einem Brief an alle Ministerien und obersten Behörden teilte er mit, dass aus seiner Sicht ein datenschutzkonformer Betrieb einer „Facebook-Fanpage“ nicht möglich sei.

Kelber hatte denselben Adressatenkreis bereits vormals darauf hingewiesen, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage aktuell nicht möglich sei, da es nicht ausreiche, die Nutzer in Sachen Datenverarbeitung allein auf Facebook zu verweisen. Öffentliche Stellen, die eine solche Fanpage betreiben, müssten mit Facebook „eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen von Art. 26 Datenschutz-Grundverordnung (DSGVO) entspricht“.

Daraufhin hatte das Presse- und Informationsamt der Bundesregierung (BPA) mit Facebook Kontakt aufgenommen. Das Unternehmen stellte dem BPA allerdings nur ein öffentlich bekanntes „Page Controller Addendum“ vom Oktober 2019 zur Verfügung. Dieses ist aus Sicht der Datenschutzbehörden von Bund und Ländern unzureichend, da alle relevanten Pflichten für den Datenschutz demnach bei Facebook liegen. Somit können die Ressorts und Behörden ihrer Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO nicht nachkommen.

Zudem verweist der Bundesdatenschutzbeauftragte auf das sogenannte Schrems-II-Urteil vom Juli 2020 des Europäischen Gerichtshofs (EuGH), nachdem eine Übertragung personenbezogener Daten von EU-Bürgern in Drittstaaten nur möglich ist, wenn dort ein im Wesentlichen gleiches Datenschutzniveau gilt. Für die USA – wo Facebook seinen Sitz hat – ist dies laut EuGH nicht gegeben.

Kelber weist in seinem Schreiben auch auf eine Prüfung der Apps Instagram, Tiktok und Clubhouse hin. Diese sei zwar noch nicht abgeschlossen, erste Ergebnisse würden jedoch bereits datenschutz-rechtliche Defizite zeigen. Daher wird empfohlen, die entsprechenden Apps nicht auf dienstlichen Geräten einzusetzen.

Auch wenn einzelne Ressorts mitgeteilt haben, dass sie ihre Fanpages als wichtiges Element ihrer Öffentlichkeitsarbeit ansehen, will der Bundesdatenschutzbeauftragte ab Januar 2022 datenschutzrechtlich gegen diese vorgehen. Nach Art. 58 DSGVO drohen somit Bußgelder, ein Verarbeitungsverbot der Daten oder ein Verbot der Datenübermittlung an einen Empfänger in einem EU-Drittland.

Mögliche Folgen für Unternehmen

Auch wenn sich die Aufforderung des Bundesdatenschutzbeauftragten zur Abschaltung von Facebook-Fanpages aktuell nur an öffentliche Stellen richtet, ist davon auszugehen, dass die Datenschutzbeauftragten der Länder der Empfehlung folgen und diese in Zukunft auch für Unternehmen relevant werden könnte. Daher sollten Unternehmen frühzeitig prüfen, ob der Betrieb ihrer Social Media Fanpages datenschutzkonform ist. Solltest Du hierbei Unterstützung benötigen, beraten wir Dich gerne!