Armin König

Facebook_Aus für Kommunen? Alarm bei Städten und Gemeinden – Datenschützer stellen Ultimaten


Dr. Armin König

Social-Media-Alarm? Müssen die öffentliche Facebook- und Instagram-Seiten abgeschaltet werden?

Alarm bei Städten und Gemeinden – Datenschützer stellen Ultimaten. Steht ein Facebook_Aus für Kommunen bevor? Die Gefahr ist groß. Armin König sieht das auch so.
Der Illinger Bürgermeister Armin König (parteilos) hat große Bedenken in Bezug auf die Facebook- und Instagram-Auftritte der Kommunen, der Ministerien und der Kreis- und Landesbehörden. Möglicherweise müssten diese Auftritte wegen des Verfassungsrechts der Bürger auf informationelle Selbstbestimmung und wegen der europäischen Datenschutzvorschriften und der DSGVO schon bald abgeschaltet werden. »Das wäre zwar bedauerlich, da wir diese Plattformen sehr intensiv nutzen, aber wohl alternativlos. Das gilt auch für mich selbst. Aber wenn die Nutzung rechtswidrig wäre, hätten wir keinen Ermessensspielraum. Bei Rechswidrigkeit gibt es kein Ermessen. Dann ginge nur Abschalten. Wir stehen an einem Scheidepunkt. Ich bin aber kein Jurist, deshalb hätte ich gern Rechtsklarheit« König verwies darauf, dass es nach wie vor Daten-Hacks, Fake-Profile mit geklauten Fotos und Identitätsdiebstahl bei Metas Plattformen Instagram und Facebook gebe. Er selbst sei davon auch betroffen. »Deshalb habe ich meine Meinung zu Facebook in den letzten Tagen fundamental geändert. Es könnte sein, dass es schon bald zum großen Knall kommt«. Wer recherchiert udn etwa die Kritik der whistleblowerin Frances Haugen liest, stellt fest, dass sich bei Meta Abgrümnde aufgetan haben – und vielleicht noch tun.

Angesichts dieser Entwicklungen wünscht sich König Rechtsklarheit von der saarländischen Landesregierung und der unabhängigen Datenschützerin Monika Grethel zum Meta-Auftritt öffentlicher Dienststellen.

Hintergrund seiner Initiative sind auch Interventionen des Bundesdatenschutzbeauftragten Prof Ulrich Kelber und der sächsischen Datenschutzbeauftragten Juliane Hundert. Kelber hat jetzt dem Deutschen Bundestag den 31. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit (Bundestags-Drucksache 20/6000) vorgelegt. Kelbers zusammenfassendes Votum: »Eine datenschutzkonforme Nutzung von Facebook Fanpages ist h.E. [nach herrschender Einschätzung] weiterhin nicht möglich. Ich empfehle daher, die Fanpages abzuschalten.« Bei dem Besuch einer Facebook-Fanpage würden umfassend personenbezogene Daten über das Surfverhalten der Nutzer gesammelt, um diese Informationen über Werbung zu monetarisieren. „Diese Überwachung trifft nicht nur angemeldete Nutzerinnen und Nutzer von Facebook, sondern auch Personen, die kein Facebook Konto haben“, heißt es in der Vorlage weiter. Die wichtige Aufgabe der Öffentlichkeitsarbeit könne nicht die Profilbildung und Verarbeitung personenbezogener Daten zu Marketingzwecken rechtfertigen. Da eine datenschutzkonforme Nutzung von Facebook-Fanpages weiterhin nicht möglich sei, empfehle er deren Abschaltung. Ähnlich sieht es die sächsische Datenschutzbeauftragte Juliane Hundert, die den Landesbehörden dort ein Ultimatum zum 31. März gesetzt hat.

Armin König:»Meta/facebook ist keine „unschuldige“ Newsplattform. Instagram/Facebook ist durch und durch von Werbung geflutet, die auf der Grundlage von Daten funktioniert, die rechtswidrig in die USA transferiert werden. Es gibt dafür keine Rechtsgrundlage. Safe Harbour und Privacy Shield sind durch Urteile des EuGH für nichtig erklärt werden. Aber nur mit diesen von Nutzern gesammelten Daten funktionieren die Algorithmen. Und Meta verdient ungeachtet aller Skandale weiter Milliarden. Zahlreiche massive Rechtsverstöße sind aktenkundig.«

Der Illinger Bürgermeister gehört mit seiner Fanpage nach den Statistiken der Union-Stiftung selbst zu den reichweitenstärksten Bürgermeistern im Saarland.

Hintergrund zu Safe Harbour und Privacy Shield und Max Schrems

Das Privacy Shield ist ein Abkommen zwischen der Europäischen Union und den USA, das den Transfer personenbezogener Daten in die USA regeln sollte. Es trat im August 2016 in Kraft, um den Austausch von Daten zwischen den beiden Regionen zu erleichtern, und ersetzte das Safe Harbor-Abkommen, das zuvor für ungültig erklärt worden war. Das Privacy Shield hatte jedoch eine ähnliche Struktur wie das Safe Harbor-Abkommen und wurde von Datenschutzaktivisten wie Max Schrems als unzureichend kritisiert.

Max Schrems ist ein österreichischer Jurist und Datenschutzaktivist, der gegen das Safe Harbor-Abkommen gekämpft hatte. Er hatte die Irland-Datenschutzbehörde verklagt, weil Facebook seine personenbezogenen Daten von Europa in die USA übertragen hatte und er der Ansicht war, dass das Safe Harbor-Abkommen den Datenschutz der europäischen Bürger nicht ausreichend schützte. Im Jahr 2015 entschied der Europäische Gerichtshof aufgrund von Schrems‘ Klage, dass das Safe Harbor-Abkommen ungültig war, da es den Datenschutz nicht ausreichend gewährleistete.

Schrems kritisierte auch das Privacy Shield-Abkommen und reichte im Jahr 2016 eine weitere Klage ein, um dessen Gültigkeit anzufechten. Im Juli 2020 entschied der Europäische Gerichtshof aufgrund von Schrems‘ Klage erneut, dass das Privacy Shield-Abkommen ungültig war, da es den Datenschutz nicht ausreichend gewährleistete. Diese Entscheidung hatte weitreichende Auswirkungen auf den Transfer personenbezogener Daten aus Europa in die USA.

In den Urteilen Schrems 1 und Schrems 2 hatte der Europäische Gerichtshof festgestellt, dass personenbezogene Daten von EU-Bürgern nicht in die USA übermittelt werden dürfen, da die USA keine angemessenen Datenschutzstandards gewährleisten. Meta, das seinen Sitz in den USA hat, ist von diesen Urteilen betroffen und muss den Schutz personenbezogener Daten seiner Nutzer in der EU gewährleisten. Da aber Kommunen in Deutschland Facebook als Plattform nutzen, um Informationen zu veröffentlichen und mit Bürgern zu kommunizieren, geben sie automatisch personenbezogene Daten weiter.

Das BGH-Urteil zum Datenschutz stärkte das Recht auf informationelle Selbstbestimmung und erkannte die Verantwortung der Betreiber von Facebook-Seiten an, die Daten ihrer Nutzer zu schützen. Demnach ist der Betreiber einer Facebook-Seite, in diesem Fall die Kommune, gemeinsam mit Facebook für die Einhaltung der Datenschutzbestimmungen verantwortlich.

Die Datenschützer haben sich bereits mehrfach eingeschaltet und auf die rechtlichen Probleme bei der Nutzung von Facebook hingewiesen, so zuletzt 2022 und 2023.

Hintergrund Whistleblowing

Die ehemalige Facebook-Mitarbeiterin Frances Haugen hat im Oktober 2021 interne Dokumente von Facebook an die Öffentlichkeit gebracht und in einem Interview mit der US-amerikanischen Fernsehsendung „60 Minutes“ ihre Bedenken in Bezug auf die Sicherheit und Integrität der Plattform geäußert. »Zwei Jahre lang hat Frances Haugen bei Facebook in der Zentrale in Menlo Park gearbeitet. Sie weiß, was der ständige Blick in die Abgründe mit den Mitarbeitern dort macht.« (SZ)

Die Whistleblowerin hatte aus ihrer Zeit als Facebook-Mitarbeiterin interne Unterlagen an Journalisten weitergegeben. Diese zeigten unter anderem, dass Facebook – mittlerweile der Meta-Konzern – Studien unter Verschluss gehalten hatte, in denen es um die Gesundheit von Jugendlichen und der Nutzung von Social Media ging.
Haugen hatte einige Jahre bei Facebook in einem Team gearbeitet, das sich um Falschinformation und Fake News außerhalb der USA kümmern sollte. Facebook wird vorgeworfen, Konflikte in verschiedenen Regionen anzuheizen, indem der Konzern nicht adäquat auf Hassrede reagiert. Als Beispiele nennt Haugen Äthiopien und Myanmar. Im Dezember hatte die muslimische Minderheitengruppe Rohingya Facebook verklagt, weil sie dem Unternehmen eine Mitschuld am Genozid in Myanmar 2017 zuschrieb. (Tagesschau 2022)

Frances Haugen hat unter anderem die Handhabung von Hassrede, die Verbreitung von Fake News und die mangelnde Transparenz von Facebook kritisiert. Sie hat auch Bedenken hinsichtlich des Einflusses von Algorithmen und der Nutzung von Nutzerdaten geäußert.

Hintergrund Gerichtsurteile

Pressemitteilung des Bundesverwaltungsgerichts

Pressemitteilung
Nr. 62/2019 vom 11.09.2019
Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen
Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 – BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 – C-210/16 – entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

BVerwG 6 C 15.18 – Urteil vom 11. September 2019

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 – Urteil vom 04. September 2014 –

VG Schleswig, 8 A 14/12 – Urteil vom 09. Oktober 2013 –