Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber empfiehlt Bundesbehörden, ihre Facebook-Auftritte bis Ende des Jahres abzuschalten. Sollten sie die sogenannten Fanpages weiter betreiben, will der BfDI ab Januar 2022 von den ihm „zur Verfügung stehenden Abhilfemaßnahmen Gebrauch machen.“ Der BfDI kann im Rahmen der Datenschutzgrundverordnung (DSGVO) zum Beispiel Verbote aussprechen, Löschung personenbezogener Daten anordnen oder Bußgelder verhängen.
Bereits im Mai hatte Kelber die Bundesbehörden in einem Rundschreiben darüber informiert, dass ein datenschutzkonformer Betrieb der Facebook-Auftritte von Bundesbehörden und Ministerien nicht möglich sei. Einige Ressorts der Behörden teilten daraufhin mit, dass Facebook wichtig für ihre Öffentlichkeitsarbeit sei. Deshalb hatte der BfDI einen Übergangszeitraum eingeräumt, in dem das Presse- und Informationsamtes der Bundesregierung (BPA) sich mit Facebook über eine gemeinsame Verantwortlichkeit einigen sollte, die der Datenschutzgrundverordnung entspricht.
Facebook nicht zu Änderungen bereit
„Ein längeres Abwarten ist mir angesichts der fortdauernden Verletzung des Schutzes personenbezogener Daten der Nutzerinnen und Nutzer nicht möglich“, heißt es nun in dem neuen Rundschreiben des BfDI. Inzwischen sei deutlich geworden, dass die Verhandlungen mit Facebook keine nachweisbaren Fortschritte machen und auch keine Aussicht auf einen zeitnahen Erfolg erkennbar sei.
Facebook hatte der BPA lediglich das Page-Controller-Addendum geschickt, das es bereits seit 2019 gibt. „Dies zeigt aus meiner Sicht, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist“, schreibt Kelber. Das Page-Controller-Addendum regelt als Ergänzung zu den Allgemeinen Geschäftsbedingungen von Facebook die gemeinsame Verantwortung für Daten, die auf den sogenannten Fanpages erhoben werden. Diese Erklärung reicht dem BfDI und den Datenschutzbehörden der Länder aber nicht aus, um der DSGVO zu entsprechen.
In seinem Rundschreiben verweist Kelber auf das Schrems-II Urteil des Europäischen Gerichtshofs (EuGH). Darin hatte der EuGH klargestellt, dass personenbezogene Daten aus der EU nur in Drittstaaten gelangen dürfen, wenn sicher ist, dass sie dort genauso gut geschützt sind wie in der EU. Laut EuGH ist das in den USA, wo Facebook seinen Hauptsitz hat, nicht der Fall.
Vorbildfunktion der öffentlichen Stellen des Bundes
„Den öffentlichen Stellen des Bundes, die in besonderem Maß an Recht und Gesetz gebunden sind, kommt im Hinblick auf die Einhaltung des Datenschutzrechts eine Vorbildfunktion zu“, so Kelber. „Ich sehe Sie deshalb besonders in der Pflicht, sich datenschutzkonform zu verhalten.“ Das gelte auch in Bezug auf andere Anwendungen.
Bereits im Mai 2020 hatte der BfDI darauf aufmerksam gemacht, dass Mitarbeitende von Bundesbehörden die Facebook-Tochter WhatsApp dienstlich nicht benutzen sollen. Kelber rät zudem von der dienstlichen Nutzung der Apps von Instagram, TikTok und Clubhouse ab. Obwohl die technische Prüfung hier noch nicht abgeschlossen sei, zeigten erste Ergebnisse bereits, dass auch bei diesen Apps datenschutzrechtliche Defizite bestehen.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires