© 2019 Deutscher Bundestag WD 10 - 3000 - 019/19 Die datenschutzrechtlichen Herausforderungen eines Social-Media-Auftritts des Deutschen Bundestages Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 2 Die datenschutzrechtlichen Herausforderungen eines Social-Media-Auftritts des Deutschen Bundestages Aktenzeichen: WD 10 - 3000 - 019/19 Abschluss der Arbeit: 15. Mai 2019 Fachbereich: WD 10: Kultur, Medien, Sport Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 3 Inhaltsverzeichnis 1. Fragestellung 4 2. Verantwortung für eigene Datenerhebung durch den Deutschen Bundestag nach der Datenschutzgrundverordnung 4 3. Gemeinsame Verantwortung für den Betrieb einer Facebook-Fanpage 5 4. Gemeinsame Verantwortung trotz Auftragsdatenvereinbarung? 8 5. Fazit 9 Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 4 1. Fragestellung Während die Bundesregierung und die Mehrzahl der Abgeordneten des Deutschen Bundestages eigene Social-Media-Konten pflegen, beschränkt sich der Deutsche Bundestag auf die Nutzung einer Homepage.1 Dieser Sachstand zeigt auf, welche datenschutzrechtlichen Aspekte bei der Errichtung eines Social-Media-Auftritts, namentlich einer Facebook-Fanpage2, seitens des Deutschen Bundestages zu beachten wären und welche Risiken drohen könnten. Außerdem wird erläutert, ob die Fremderhebung von Nutzerdaten der Besucher einer Fanpage des Deutschen Bundestages durch Plattformen wie Facebook mit den Datenschutzbestimmungen, denen der Deutschen Bundestages unterworfen ist, vereinbar wäre. Bei der Begutachtung dieser Fragen wird insbesondere auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 05. Juni 20183 Bezug genommen. 2. Verantwortung für eigene Datenerhebung durch den Deutschen Bundestag nach der Datenschutzgrundverordnung Zunächst ist zu prüfen, ob der Deutsche Bundestag bei der Erhebung von Daten an die Datenschutzgrundverordnung 4 (DSGVO) gebunden ist. Die DSGVO ist unmittelbar geltendes Recht, das grundsätzlich ohne weitere Umsetzungsakte in den Nationalstaaten Anwendung findet. Eine Nichtanwendbarkeit dieser Verordnung bedarf daher stets einer unionsrechtlichen Begründung. In Betracht käme ein Anwendungsausschluss gemäß Art. 2 II lit a) DSGVO. Danach erstreckt sich der sachliche Anwendungsbereich der DSGVO nur auf Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen. Dazu zählen insbesondere Angelegenheiten, die die nationale Sicherheit betreffen.5 Zwar ist unklar, zu welchen konkreten Zwecken der Bundestag auf sozialen Plattformen Daten von Plattformbesuchern speichern würde, doch erscheinen Berührungen mit Angelegenheiten der nationalen Sicherheit unwahrscheinlich. Möglicherweise kann eine Ausnahme aus europäischem Primärrecht hergeleitet werden. Art. 4 II 1 EUV garantiert den Mitgliedstaaten der Union, Identität stiftende Grundwerte unabhängig vom Bestand europarechtlicher Regelungen wahren zu dürfen.6 Diese Ausnahme gilt jedoch nur in sehr engen Grenzen. Ein Indiz für die Annahme eines besonders bedeutenden 1 Der aktuelle Facebook Auftritt beschränkt sich auf eine Verlinkung zur Homepage. 2 Der Begriff „Fanpage“ bezeichnet eine Website, auf der gezielte Informationen über eine Person oder eine Einrichtung bereitgestellt werden. 3 EuGH C-210/16, abrufbar unter: http://curia.europa.eu/juris/document/document.jsf;jsessionid =A8D3D4218C0A4674BEB023CB1BA21AE5?text=&docid=202543&pageIndex=0&doclang =DE&mode=lst&dir=&occ=first&part=1&cid=7491013. 4 Datenschutzgrundverordnung vom 04.05.2016 (ABl. L 119): 5 Vgl. 16. Erwägungsgrund, abrufbar unter: https://dsgvo-gesetz.de/erwaegungsgruende/nr-16/. 6 Calliess/Ruffert/Puttler EU-Vertrag (Lissabon) Art. 4 Rn. 14 f. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 5 Grundwertes ist die entsprechende Erwähnung in der nationalen Verfassung. Insoweit kann festgestellt werden, dass der innerparlamentarische Datenschutz weder in der Verfassung noch im bisherigen nationalen Datenschutzrecht gesondert geregelt oder geschützt wird und eine Befreiung von der DSGVO aufgrund Art. 4 II EUV daher nicht in Betracht kommt.7 Selbst im Fall einer Nichtanwendbarkeit der DSGVO wäre diese über die Rückverweisung des § 1 VIII Bundesdatenschutzgesetz8 (BDSG) entsprechend anzuwenden. Somit kann festgestellt werden, dass die Rechtmäßigkeit eines Social-Media-Auftritts des Deutschen Bundestages am Maßstab der DSGVO zu messen wäre. 3. Gemeinsame Verantwortung für den Betrieb einer Facebook-Fanpage Der EuGH hat in seiner Entscheidung9 festgestellt, dass eine gemeinsame Verantwortung von Fanpagebetreiber und Social-Media-Plattform bezüglich Datenschutzrechtsverletzungen besteht. Dies ergebe sich aus einer europarechtskonformen Auslegung der Art. 2 lit. d), Art. 17 II, Art. 24 und Art. 28 III der Richtlinie 95/4610. Das Urteil beruht auf einem Sachverhalt aus dem Jahr 2011 und erging damit zu einem Zeitpunkt, als die DSGVO noch nicht existierte. Dass der EuGH nach in Kraft treten der DSGVO zu abweichenden Ergebnissen bei der Beurteilung der „Verantwortlichkeit“ kommen wird, ist aber nicht zu erwarten.11 Denn der dem Urteil zugrunde liegende Art. 2 lit. d) RL 95/46/EG, der den für die Verarbeitung Verantwortlichen legal definiert hat, wurde inhaltsgleich in die DSGVO (Art. 4 Nr. 7 DSGVO) übernommen. Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.12 Betrefflich der Verknüpfung von Fanpage und Plattform führt das Gericht aus, dass „Fanpages […] Benutzerkonten [sind], die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Betreiber kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die 7 Vertiefend: Wissenschaftliche Dienste des Deutschen Bundestages, Anwendbarkeit der Datenschutz-Grundverordnung , WD 3 – 3000 – 299/18, abrufbar unter: https://www.bundestag.de/resource/blob/573408/c913310c6600c6a6746832d3f8ca2d22/wd-3-299-18-pdfdata .pdf. 8 Bundesdatenschutzgesetz vom 30.06.2017 (BGBl. I S. 2097). 9 EuGH, a.a.O. 10 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Nr. L 281/31. Abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:31995L0046&from=DE. 11 Härting/Gössling, Gemeinsame Verantwortlichkeit bei einer Facebook-Fanpage, NJW 2018, 2523. 12 Ebd. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 6 Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten , der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.“13 Bis zur Entscheidung des EuGH ist die nationale Rechtsprechung davon ausgegangen, dass etwaige Datenschutzverstöße von Social-Media-Plattformen nicht den Betreibern von Fanpages zugerechnet werden können. Der EuGH betonte, dass das Tatbestandsmerkmal des „für die Verarbeitung Verantwortlichen“ in Art. 2 lit. d) der Richtlinie 95/46 weit auszulegen sei und sowohl natürliche, als auch juristische Personen und Behörden mitumfassen würde.14 Anderenfalls könne kein wirksamer Schutz der von der Datenerhebung betroffenen Person gewährleistet werden. Eine gemeinsame Verantwortlichkeit liege selbst dann vor, wenn der Fanpage-Betreiber lediglich anonymisierte Daten zum Zwecke statistischer Erhebungen vom Plattformbetreiber erhält. Die Richtlinie 95/46 verlange nicht, „dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat“.15 Für Betreiber einer Fanpage bedeutet dies, dass sie sich auf die Redlichkeit16 des Plattformbetreibers verlassen müssen. Inwiefern ein solches Vertrauen in Facebook aktuell berechtigt ist, ist umstritten . Zwar hat Facebook nach Veröffentlichung des EuGH-Urteils einige datenschutzrelevante Änderungen vorgenommen, doch werden beispielsweise noch immer Daten von Fanpage-Besuchern gesammelt, die keine Facebook-Nutzer sind.17 Da diese nicht den Nutzungsbedingungen von Facebook zugestimmt haben, fehlt für eine Datenerhebung durch Facebook eine entsprechende Einwilligung. Ferner sollen noch immer Informationen von Fanpage-Besucher nach bestimmten voreingestellten Kriterien im Rahmen der sogenannten „Insights-Funktion“18 ermittelt werden und 13 EuGH, a.a.O. Rdnr. 15. 14 EuGH, a.a.O. Rdnr. 27. 15 Ebd. Rdnr. 38. 16 Ein gesetzeskonformer Umgang mit persönlichen Daten schließt nicht das Risiko von Datendiebstahl aus, vgl. etwa den Datenskandal um Cambridge Analytica. 17 Datenschutzkonferenz: Beschluss der DSK zu Facebook Fanpages vom 05. September 2018, abrufbar unter: https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf. 18 Mithilfe der Facebook Insights können Seitenbetreiber einer Fanpage die Interaktionen der Nutzer und Fans nachverfolgen, sowie deren Entwicklung auswerten. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 7 von Facebook an die Fanpage-Betreiber weitergeleitet werden.19 Bisher habe Facebook nicht mitgeteilt , welche Schritte zukünftig unternommen werden, um einen EU-rechtskonformen Betrieb von Fanpages zu ermöglichen.20 Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte am 05.09.2018 unter Bezugnahme auf das hier in Rede stehende Urteil des EuGH fest, dass das Betreiben einer Fanpage ohne Abschluss einer Vereinbarung, aus welcher die Verantwortlichkeit für Informationspflichten hervorgeht, rechtswidrig sei.21 Daraufhin hat Facebook seine Geschäftsbedingungen angepasst. So wurden die für den Betreiber einer Fanpage geltenden „Richtlinien für Seiten, Gruppen und Veranstaltungen“22 um eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ ergänzt. Nutzt der Fanpage-Betreiber die „Insight-Funktion“ weiterhin, stimmt er dieser neuen Vereinbarung automatisch zu. Damit ist bereits fraglich, ob Facebook den Anforderungen des Art. 26 DSGVO genügt, da eine Vereinbarung grundsätzlich zwei übereinstimmende Erklärungen voraussetzt.23 Bezugnehmend auf die Änderungen der Geschäftsbedingungen durch Facebook hat die Datenschutzkonferenz durch Beschluss vom 01.04.2019 an der datenschutzwidrigen Praxis von Facebook festgehalten.24 Nach Auffassung des Gremiums erfüllen die Änderungen der Geschäftsbedingungen durch Facebook nicht die Anforderungen des Art. 26 DSGVO, da diese im Widerspruch zum Grundsatz der gemeinsamen Verantwortlichkeit stehen würden. Sie sind nicht ausreichend, „um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen“.25 Deswegen bekräftigt die Kommission, die eigene Rechenschaftspflicht der Fanpage-Betreiber und stellt fest, dass jeder Datenerhebende eine Rechtsgrundlage nach Art. 6 I DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 II DSGVO benötigen würde. Dies gelte auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen , sondern durch andere „gemeinsam mit ihnen Verantwortlichen“ im Sinne des Art. 26 I 19 Datenschutzkonferenz: Beschluss der DSK zu Facebook Fanpages vom 05. September 2018, abrufbar unter: https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf. 20 Ebd. 21 Ebd. 22 Englische Bezeichnung der Richtlinie: „Promotions on Pages, Groups, and Events“. 23 Für nähere Information betrefflich der technischen Ausgestaltung einer Fanpage, vgl. Datenschutzkanzlei, AN- LEITUNG: Informationspflichten auf Facebook Fanpage, abrufbar unter: https://www.datenschutzkanzlei.de/anleitung -informationspflichten-auf-facebook-fanpage/. 24 Datenschutzkonferenz: Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit vom 01. April 2019, abrufbar unter: 1 https://www.datenschutz .rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf?fbclid=Iw AR1in-vnREc1yzIGxZZyU8xq74mz03IAutIvfEGKpJt1eVb7McUSo-Rubn8. 25 Ebd. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 8 DSGVO.26 Die Datenschutzkonferenz erwartet, „dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich .“27 Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit äußerte Zweifel daran, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.28 4. Gemeinsame Verantwortung trotz Auftragsdatenvereinbarung? Fraglich bleibt, ob eine „gemeinsame Verantwortlichkeit“ im Sinne des Art. 26 DSGVO durch eine „Vereinbarung zur Auftrags(daten)verarbeitung“ im Sinne des Art. 4 Nr. 8 DSGVO zwischen dem Deutschen Bundestag als Fanpage-Betreiber und Facebook ausgeschlossen werden kann. In einer solchen Vereinbarung könnte verpflichtend festgelegt werden, was beim Diensteanbieter mit erhobenen Nutzerdaten geschieht. Ein Auftragsverarbeiter ist im Auftrag des Verantwortlichen tätig. Charakteristisch ist dabei die auftrags- bzw. weisungsgebundene Verarbeitung personenbezogener Daten.29 Die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter kann nur durch eine Subsumtion unter den Begriff des Verantwortlichen erfolgen. In Fällen der arbeitsteiligen Datenverarbeitung wird man aufgrund des EuGH-Urteils in Zukunft stärker als bisher in Erwägung ziehen müssen, ob eine gemeinsame Verantwortlichkeit für die Verarbeitung personenbezogener Daten vorliegt. Sobald ein Dienstleister sich nicht auf eine weisungsgebundene Tätigkeit beschränkt und Einfluss auf die Mittel und Zwecke der Verarbeitung nimmt, scheidet eine Auftragsverarbeitung aus und es muss ein Vertrag über eine gemeinsame Verantwortlichkeit geschlossen werden, Art. 26 DSGVO.30 Inwiefern eine entsprechende Auftragsdatenvereinbarung mit Facebook möglich ist, ist umstritten. Die schleswig-holsteinische Datenschutzbehörde ist der Auffassung, dass Facebook Daten im 26 Datenschutzkonferenz: Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit vom 01. April 2019, abrufbar unter: 1 https://www.datenschutz .rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf?fbclid=Iw AR1in-vnREc1yzIGxZZyU8xq74mz03IAutIvfEGKpJt1eVb7McUSo-Rubn8. 27 Ebd. 28 Pressemitteilung abrufbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen /2018/20181116-PM-Fanpages.pdf. 29 Monreal, ZD 2014, 611 (612). 30 Vgl. für weitere Informationen: Härting/Gössling, Gemeinsame Verantwortlichkeit bei einer Facebook-Fanpage, NJW 2018, 2523. Wissenschaftliche Dienste Sachstand WD 10 - 3000 - 019/19 Seite 9 Auftrag des Fanpage-Betreibers erhebt und dabei den Weisungen desselben unterliegt.31 Der EuGH hat in seinem Urteil dieser Ansicht eine Absage erteilt und die rechtliche Konstruktion der Auftragsverarbeitung in dieser Konstellation für rechtswidrig erklärt.32 5. Fazit Eine datenschutzkonforme Nutzung einer Facebook-Fanpage ist nach Auffassung der Datenschutzkonferenz und der Berliner Datenschutzbeauftragten nicht möglich. Die bisher von Facebook ergriffenen Maßnahmen entsprechen deren Auffassung nach noch nicht den Anforderungen der DSGVO. Der EuGH hat in seiner Grundsatzentscheidung indes keine Aussagen über die Rechtmäßigkeit einer Facebook-Fanpage getroffen. Das Urteil des EuGH hat hingegen Auswirkungen auf die Auslegung des Begriffs des „Verantwortlichen“. Es hat Facebook und die Betreiber von Fanpages damit vor neue Herausforderungen gestellt. Das Risiko datenschutzwidrigen Verhaltens seitens Facebook vergrößert sich, solange Fanpage-Betreiber keinen Einfluss auf die Datenschutzrechtstandards der Plattformbetreiber haben. Die bisher ergangenen Änderungen in den Geschäftsbedingungen wurden einseitig bestimmt und dürften damit keine Vereinbarung im Sinne von Art. 26 I 2 DSGVO darstellen. **** 31 Abrufbar unter: https://www.datenschutzzentrum.de/artikel/983-.html. 32 EuGH, a.a.O, Rndr. 29.