Datenschutzbeauftragter: Bundesbehörden müssen Facebook-Seiten schließen

Der Bundesdatenschutzbeauftragte Ulrich Kelber fordert Bundesministerien und -behörden dazu auf, ihre Facebook-Seiten abzuschalten. Ihr Betrieb verstoße gegen die DSGVO.

Alle öffentlichen Stellen des Bundes sollen ihre Facebook-Fanpages bis zum Ende des Jahres schließen. Das empfiehlt der Bundesdatenschutzbeauftrage Ulrich Kelber “nachdrücklich” in einem Rundschreiben an die Behörden und Bundesministerien.

Das Schließen der Facebook-Seiten sei nötig, weil ein datenschutzkonformer Betrieb nicht möglich sei. Darauf hatte Kelber die betroffenen Stellen schon in einem Schreiben vom 20. Mai 2019 hingewiesen. Einzelne Ressorts hätten ihm daraufhin mitgeteilt, dass sie ihre Fanpages als ein wichtiges Element ihrer Öffentlichkeitsarbeit ansehen. Um die Fan-Seiten DSGVO-konform zu betreiben, müssten die Behörden aber eine "Vereinbarung mit Facebook zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen von Art. 26 Datenschutz-Grundverordnung (DSGVO) entspricht. Der Artikel beschreibt, wie mehrere nach DSGVO Verantwortliche in einer Vereinbarung offenlegen, welche Partei welche Verpflichtungen der Verordnung erfüllt – und wer welchen Informationspflichten nachkommt.

Facebook unwillig

Das Presse- und Informationsamt der Bundesregierung (BPA) und Facebook hatten bereits über das Problem verhandelt. Kelber hatte die Ergebnisse dieser Gespräche abgewartet und von Abhilfemaßnahmen bislang abgesehen. Da die Verhandlungen aber keine Fortschritte machten, sah er sich nun zum Handeln gezwungen.

Betroffene Ressorts kämen ihrer Rechenschaftspflicht gegenüber den Nutzerinnen und Nutzern gemäß Artikel 5 DSGVO nicht nach. Um die Seitenbesucher über die Verarbeitung ihrer personenbezogenen Daten zu informieren, reiche es nicht aus, pauschal auf Facebook zu verweisen.

Sollten betroffene Ressorts der Empfehlung Kelbers bis zum Ende des Jahres nicht nachkommen, will er von “Abhilfemaßnahmen” nach Artikel 58 DSGVO Gebrauch machen. Demnach könnte es beispielsweise zu Verwarnungen oder Aussetzung der Datenübermittlung kommen. Ins Detail geht der Brief diesbezüglich aber nicht.

Facebook hatte dem BPA nur ein öffentlich bekanntes “Addendum” aus dem Oktober 2019 geschickt. Dieses bezeichnet Kelber als “unzureichend”. “Dies zeigt aus meiner Sicht, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist”, schreibt er.

Instagram, Tiktok, Clubhouse

Der Datenschutzbeauftragte prüft derzeit auch die Apps von Instagram, Tiktok und Clubhouse. Zwar sei hier die Auswertung noch nicht abgeschlossen, aber schon jetzt gebe es Hinweise darauf, dass hier ebenfalls “datenschutzrechtliche Defizite” bestehen. Kelber empfiehlt den Behörden aktuell, die Apps nicht auf dienstlichen Geräten zu nutzen.

Der Europäische Gerichtshof hatte im Juli 2020 in einem Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten außerhalb der EU übertragen werden dürfen, wenn sie dort einen gleichwertigen Schutz genießen wie innerhalb der EU. Facebook transferiert die Daten in die USA. Dort sei dieser Schutz nicht gewährt.

Zum Schluss weist der Datenschutzbeauftragte auf die Vorbildfunktion der öffentlichen Stellen in Bezug auf den Datenschutz (und sonstiges “Recht und Gesetz”) hin. Sie seien besonders in der Pflicht, sich datenschutzkonform zu verhalten. (hcz)