Kein Social Media mehr für öffentliche Stellen und Unternehmen? Warum der Rückzug der Landesdatenschutzbehörde Baden-Württemberg aus Twitter falsch ist

Zum 31.01.2020 schließt die Landesdatenschutzbehörde Baden-Württemberg den bisher unter www.twitter.com/lfdi_bw betriebenen Twitter-Kanal. Zahlreiche Datenschutzinteressierte haben diesen Kanal, den der Landesdatenschutzbeauftragte selbst betrieben hat, immer sehr geschätzt. In beeindruckender Art und Weise hat Stefan Brink nicht nur relevante Informationen geteilt, sondern ist auch immer mal wieder mit klarer Kommunikation in den Dialog gegangen. So stellt man sich moderne Behördenkommunikation vor…

Nun aber soll der Kanal – wohl auch auf Druck anderer Datenschutzbehörden – aus Datenschutzgründen geschlossen werden. Gleichzeitig teilen die Landesdatenschutzbehörden in zahlreichen Medien mit, dass öffentliche Stellen Kanäle wie Facebook und Twitter nicht (mehr) rechtskonform nutzen können und man deshalb unter Umständen auch direkt gegen die Nutzung von Social Media durch öffentliche Stellen und Unternehmen vorgehen wolle.

A. Fatale Folgen des Rückzugs öffentlicher Stellen aus Social Media

Mal abgesehen von der Rechtslage, ist die Forderung nach dem Rückzug öffentlicher Stellen aus Social Media ein fatales Signal…

Zahlreiche Ministerien, Städte und Kommunen, aber auch die Polizei oder Feuerwehr sind derzeit auf diversen Social Media Plattformen vertreten, um dort zu informieren, wo Bürger im digitalen Zeitalter nun einmal am Besten erreicht werden… in Sozialen Medien…

Man nehme nur das Beispiel der Münchner Polizei, die bei dem Amoklauf im Olympia Einkaufszentrum in 2016 – im Gegensatz zu den diversen Gerüchten bzw. teils interessengetriebenen Fake-News in Sozialen Medien – als einzig verlässliche Quelle auf Twitter ruhig und kompetent  informiert hat und dafür sogar vom Bundesverband Deutscher Pressesprecher ausgezeichnet worden ist.

Angesichts der Bedeutung moderner Kommunikation mag man es kaum glauben, dass alle öffentlichen Stellen die Social Media Plattformen aus Datenschutzgründen jetzt wieder verlassen sollen. Diese Entscheidung steht in einem Spannungsverhältnis zu einigen gesetzlichen Vorschriften (wie z.B. Art. 57 DSGVO), die die Öffentlichkeitsarbeit ausdrücklich als Aufgabe öffentlicher Stellen statuieren bzw. der Entscheidung des Bundesverfassungsgerichtes (Urteil vom 27.2.2018, 2 BvE 1/16), welches die Öffentlichkeitsarbeit als Annexaufgabe öffentlicher Organe ansieht.

Erstaunlicherweise wird die aktuelle Verbotsdiskussion – trotz des europaweit geltenden Urteils des Europäischen Gerichtshofes, dass die aktuelle Diskussion erst ausgelöst hat – derzeit auch nur in Deutschland geführt.

Festzustellen bleibt also zunächst, dass der Rückzug öffentlicher Stellen aus Social Media dazu führen würde, dass eben gerade nicht mehr dort kommuniziert wird, wo die Bürger sind und erreicht werden. Die Schließung der Kommunikation in Social Media wird gefordert, obwohl Öffentlichkeitsarbeit eine rechtlich definierte staatliche Aufgabe darstellt und obwohl zuverlässige Information und bürgernahe Erläuterung staatlichen Handelns – gerade in Zeiten zunehmender Fehlinformation und Radikalisierung – wichtiger ist, als je zuvor.

B. Datenschutzrechtliche Hintergründe zur Mitverantwortung auf Social Media Plattformen

Neben der oben skizzierten Ansicht, dass der Rückzug aus Social Media also bedenkliche Folgen hätte, stellt sich aus rechtlicher Sicht die spannende Frage, ob die Datenschutzgrundeverordnung (DSGVO) denn nun tatsächlich zwingend dazu führt, dass öffentliche Stellen ihre Präsenzen in Facebook, Twitter & Co aufgeben müssen.

Dazu muss man zunächst auf das Urteil des EuGH vom 5.Juni 2018 (Az. C210/16) zurückblicken, in dem die Richter festgestellt haben, dass Unternehmen und öffentliche Stellen, die eine Facebookseite betreiben, gemeinsam mit Facebook für die Datenverarbeitung auf der Plattform mitverantwortlich sind (vgl. EuGH Urteil: Facebook Fanpagebetreiber sind mitverantwortlich für Datenverarbeitung auf Facebook ! Und jetzt ?).

Eine gemeinsame Verantwortung ist anzunehmen, wenn zwei Parteien gemeinsam über Zweck und Mittel der Datenverarbeitung entscheiden. In dem Urteil wird die Mitverantwortlichkeit vor allem damit begründet, dass Facebook dem Seitenbetreiber über die sogenannten Page Insights statistische Daten der Besucher und die Möglichkeit einer Parametrierung zur Verfügung stellt. Der Seitenbetreiber würde demgemäß bei der Datenerhebung mitwirken. Demgemäß sei der Seitenbetreiber datenschutzrechtlich Mitverantwortlicher im Sinne von Art.2 lit.b der Richtlinie 95/46 (sog. Datenschutzrichtlinie).

C. Gründe der Schließung des Twitter Kanals der Landesdatenschutzbehörden Baden- Württemberg

Aus diesem Urteil leiten die Datenschutzbehörden unter anderem ab, dass Facebookseitenbetreiber (sprich öffentliche Stellen UND Unternehmen) dem Art. 26 DSGVO entsprechend mit dem Plattformbetreiber ein sogenanntes Joint Controllership Agreement schließen müssen.

Während Facebook den Abschluss eines solchen Joint Controllership Agreement unter https://www.facebook.com/legal/terms/page_controller_addendum seit einiger Zeit anbietet, hat Twitter es in den letzten Verhandlungen mit dem Landesdatenschutzbeauftragten offensichtlich abgelehnt, eine Art. 26 DSGVO entsprechende Vereinbarung zu schließen.

Da das Fehlen einer solchen Vereinbarung tatsächlich zu einem bußgeldbewehrten Verstoß gegen die DSGVO führt, erscheint die Entscheidung zur Schließung des Twitter Kanals der Landesdatenschutzbehörde zunächst einmal auch nachvollziehbar.

D. Argumente gegen die Datenschutzwidrigkeit von Social Media Kanälen

Aufgrund der Neuheit der DSGVO und zahlreichen Interpretationsspielräumen ist die Auffassung der Datenschutzbehörden aber doch nicht so eindeutig, wie sie auf den ersten Blick scheint.

Zunächst ist schon fraglich, ob die Entscheidungen des Europäischen Gerichtshofes zur Annahme einer gemeinsamen Verantwortung, die allesamt in Anwendung der Regelungen der (überholten) Datenschutzrichtlinie erlassen wurden, für die seit Mai 2018 geltende Datenschutzgrundverordnung überhaupt identisch übertragen werden können. Gewisse Zweifel an den bisher sehr niedrig angesetzten Anforderungen einer gemeinsamen Verantwortung lassen sich insbesondere darauf stützen, dass unter der Datenschutzrichtlinie auf der Rechtsfolgenseite ein gewisser Interpretationsspielraum blieb, währen der nun geltende Art. 26 DSGVO die weitreichenden Rechtsfolgen einer gemeinsamen Verantwortung eindeutig festschreibt.

Art. 26 DSGVO nimmt eine gemeinsame Verantwortung nur dann an, wenn zwei Parteien die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Mangels jedweder Entscheidungs- oder Einflussmöglichkeit des Betreibers einer Social Media Präsenz auf die Datenverarbeitung des jeweiligen Plattformbetreibers (zum Beispiel auf Facebook) bestehen doch erhebliche Zweifel, ob hier stets eine Mitverantwortung im Sinne des Art. 26 DSGVO angenommen werden kann.

Unabhängig von dieser Frage, ob die Anforderungen einer Mitverantwortung unter der DSGVO nicht höher sein müssten als in den bisherigen EuGH-Urteilen, sollte bei der rechtlichen Bewertung in jedem Fall zwischen den verschiedenen Social Media Plattformen und deren Datenverarbeitungsvorgängen unterschieden werden.

Selbst wenn man bei Facebook nun eine gemeinsame Verantwortung annimmt, führt das nicht zwingend zu einer Unzulässigkeit des Betriebes durch öffentliche Stellen. Da Facebook ja nun ein Joint Controllership anbietet, lassen sich Facebookseiten nach der hier vertretenen Auffassung durchaus rechtskonform betreiben, wenn die eigene Datenverarbeitung legitimiert werden kann und entsprechende Datenschutzhinweise auf der Facebookseite die Nutzer gemäß Art. 13 DSGVO über die Datenverarbeitung und die gemeinsame Verantwortung informieren. Diese Argumentation folgt aus der Annahme des EuGH, dass der Facebookseitenbetreiber zwar (teilweise) mitverantwortlich, aber eben nicht gleichwertig verantwortlich mit Facebook ist. Schließlich ist darauf hinzuweisen, dass die Entscheidung des Oberverwaltungsgerichtes Schleswig zu der Frage, ob der Betrieb einer Facebookseite aufgrund der Mitverantwortung tatsächlich auch datenschutzwidrig ist, bisher noch aussteht.

Bei Twitter ist die Rechtslage wieder anders zu beurteilen. Zunächst ist schon fraglich, ob das EuGH-Urteil zur Mitverantwortlichkeit bei Facebookseiten überhaupt auf Twitter übertragen werden kann. Dies folgt daraus, dass das Analyticswerkzeug bei Twitter grundsätzlich anders funktioniert. Zum Ende Januar 2020 stellt Twitter die statistischen Auswertungsmöglichkeiten der Nutzerdaten aber ohnehin so um, dass der Hauptgrund der (möglicherweise) zur Annahme einer gemeinsamen Verantwortung mit all den potentiell nachteiligen Rechtsfolgen führt, wohl ohnehin wegfällt.

Mangels Mitverantwortung hätte die Landesdatenschutzbehörde Baden-Württemberg aus meiner Sicht ihren Twitter Kanal zumindest dann mit einigen Anpassungen auch zulässigerweise weiterbetreiben können.

E. Zusammenfassung und Handlungsempfehlung

Klar ist, dass die Regelungen der DSGVO aufgrund zahlreicher unbestimmter Rechtsbegriffe unterschiedliche Interpretationen zulassen. Das gilt für die oben stehenden Ausführungen ebenso wie für die Annahmen der Datenschutzbehörden.

Wer hier jedwedes datenschutzrechtliches Restrisiko vermeiden will, der wird sich den Weisungen der Datenschutzbehörden aber zunächst fügen müssen.

Wenn öffentliche Stellen oder Unternehmen ihre Social Media Kanäle weitebetreiben wollen, sollten zumindest folgende Maßnahmen getroffen werden, um das Risiko möglicher Verbotsverfügungen oder Bußgelder zu reduzieren.

1. Soweit der Plattformbetreiber (wie bei Facebook) Zugriff auf konkrete analytische Auswertungen der Nutzer der eigenen Präsenz gibt, sollte – wenn möglich – ein Joint Comtrollership Agreement geschlossen werden.
2. Die Betreiber von Social Media Präsenzen sollten die Nutzer in einer eigenen Datenschutzerklärung dem Art. 13 DSGVO entsprechend über die (eigene) Datenverarbeitung auf dem jeweiligen Social Media Kanal, die jeweiligen Legitimationstatbestände aus Art. 6 DSGVO und eine etwaige gemeinsame Verantwortung informieren.
3. Die eigenen Argumentation, dass bzw. warum keine gemeinsame Verantwortung (z.B. bei Twitter) angenommen wird bzw. die Voraussetzungen der DSGVO im Übrigen erfüllt werden, sollte (z.B. in einer eigenen Stellungnahme oder einem Kurzgutachten) dokumentiert werden.

Bei Umsetzung dieser Empfehlungen wird das Risiko gravierender Maßnahmen der Datenschutzbehörden erheblich reduziert. Zudem bieten diese Maßnahmen im „worst case“ die Argumentation, um sich durch Einlegung eines Rechtsmittels gegen etwaige Maßnahmen der Datenschutzbehörden zu wehren. Gegebenenfalls werden dann wohl erst Gerichtsurteile die notwendige Klarheit über die „richtige“ Argumentation bringen.

Bis dahin auf Social Media zu verzichten, erscheint für vielen öffentliche Stellen und Unternehmen nachvollziehbarerweise keine vertretbare Option zu sein…

Fraglos weisen einige Social Media Plattformen wie Facebook, Twitter & Co selbst noch datenschutzrechtliche Defizite auf. Die Frage ist aber, ob die Betreiber von Präsenzen auf diesen Plattformen hierfür tatsächlich verantwortlich zu machen sind. Sinnvoller als diesen „Stellvertreterkrieg“ mit der öffentlichen Stellen und Unternehmen zu führen, die die Plattformen für eigene Inhalte nutzen, erscheint doch, die Plattformbetreiber wie Facebook, Twitter & Co direkt zu zwingen, die datenschutzrechtlichen Vorgaben einzuhalten. Die Datenschutzgrundverordnung bietet den Datenschutzbehörden mit den möglichen Bußeldern  hierfür zweifellos die notwendige Handhabe…