Datenschutzbeauftrager: Bundesbehörden müssen Facebook-Fanpages abschalten
Zwei Jahre hatte Ulrich Kelber abgewartet, ob der Bund doch Facebook-Fanpages betreiben könnte. Nun hat sich nach seiner Ansicht gezeigt: nein.
Bundesregierung auf Facebook.
(Bild: Bundesregierung auf Facebook)
Alle Bundesministerien und -Behörden müssen ihre Facebook-Fanpages abschalten, sofern sie eine betreiben. Das verlangt Ulrich Kelber, Bundesbauftragter für den Datenschutz in einem Rundschreiben. Wenn sie der "nachdrücklichen Empfehlung" nicht nachkommen, werde er die Abhilfen anwenden, die ihm nach Artikel 58 der Datenschutzgrundverordnung (DSGVO) zustehen.
Aus dem Rundschreiben (PDF) geht nicht hervor, welche Abhilfemaßnahmen Kelber konkret meint. In Art. 58 DSGVO ist unter anderem von Geldbußen die Rede, auch von einem Verbot der Verarbeitung von Daten oder ihrer Übermittlung an einen Empfänger in einem Drittland.
[Update 28.6.21, 14.27 Uhr: Die Bundesregierung hat die mitgeteilten Einschätzungen und Empfehlungen des Bundesdatenschutzbeauftragten zur Kenntnis genommen und wird sie nun prüfen, teilte sie heise online mit.]
Kelber hatte bereits in einem Rundschreiben an die Ministerien und Behörden im Mai 2019 darauf hingewiesen, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage zurzeit nicht möglich sei. Öffentliche Stellen mit einer solchen Fanpage müssten mit Facebook "eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen von Art. 26 Datenschutz-Grundverordnung (DSGVO) entspricht". Daraufhin hätten einzelne Ressorts, die Fanpages betreiben, geantwortet, dass sie ihre Fanpages als ein wichtiges Element ihrer Öffentlichkeitsarbeit ansehen.
Kelber hatte abgewartet, wie die Verhandlungen zwischen dem Presse- und Informationsamt der Bundesregierung (BPA) ausgehen. Facebook habe dem BPA nur das öffentlich bekannte "Addendum" von Oktober 2019 übersandt; dass sei nach Kelbers Meinung weiterhin unzureichend: "Dies zeigt aus meiner Sicht, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist."
Kein Schutz in den USA
Die Ressorts und Behörden, die Fanpages betreiben, könnten also ihrer Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO weiterhin nicht nachkommen, meint Kelber: "Es ist insbesondere nicht ausreichend, die Nutzer in Bezug auf Informationen zur Verarbeitung ihrer personenbezogenen Daten im Rahmen einer Facebook-Fanpage allein pauschal auf Facebook zu verweisen."
Der EuGH habe in seinem Urteil vom Juli 2020 klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn sie in dort gleichwertigen Schutz genießen wie in der EU. Für die USA habe er ein solches angemessenes Schutzniveau verneint, und dort hat Facebook seinen Sitz.
Kelber betont, dass auch die Apps von Instagram, Tiktok und Clubhouse datenschutzrechtlich defizitär seien. Er empfiehlt den Ministerien und Behörden daher, diese Apps einstweilen nicht auf dienstlichen Geräten einzusetzen. Schließlich komme den öffentlichen Stellen des Bundes eine Vorbildfunktion zu.
(anw)
