Dienstag, 9. Juli 2013

Petition zu Facebook-Fanpages im öffentlichen Bereich

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegenüber dem Petitionsausschuss des Schleswig-Holsteinischen Landtags vom 08.07.2013 (für Präsentationszwecke im Web leicht überarbeitet)

Ziel der Petition ist die Löschung sämtlicher Facebook-Seiten des Landes Schleswig-Holstein, da deren Betrieb gegen die Bestimmungen des Telemediengesetzes und des Landesdatenschutzgesetzes verstößt.

Historie

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD SH) hat im Rahmen einer Pressemitteilung am 19.08.2011 die Öffentlichkeit darüber informiert, dass es, nach umfassender Prüfung der rechtlichen und technischen Sachverhalte, zu dem Ergebnis gekommen ist, dass die Nutzungen von Facebook-Fanpages unzulässige Datenübermittlungen in die USA veranlassen. Betreiber einer Facebook-Fanpage verstoßen als aus Datenschutzsicht verantwortliche Stelle damit gegen das Telemediengesetz (TMG) und das Landesdatenschutzgesetz (LDSG). Eine datenschutzrechtliche Bewertung wurde auf der Homepage des ULD unter

www.datenschutz.de/facebook/facebook-ap-20110819.pdf PDF

veröffentlicht. Am 06.09.2011 bzw. 05.10.2011 wurden Kontrollverfahren nach § 39 Abs. 1 Satz 1 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) gegenüber dem Studentenwerk Schleswig-Holstein, der Industrie- und Handelskammer (IHK) zu Lübeck, der Deutschen Zentralbibliothek für Wirtschaftswissenschaften – Leibniz-Informationszentrum Wirtschaft, dem Ministerium für Wissenschaft, Wirtschaft und Verkehr, der Landeshauptstadt Kiel, Dataport AöR und dem Ministerpräsidenten des Landes Schleswig-Holstein eingeleitet. Dataport AöR schaltete daraufhin seine Fanpage bei Facebook ab.

Mit Schreiben vom 04.11.2011 beanstandete das ULD die Nutzung der Facebook-Fanpages durch die anderen öffentlichen Stellen des Landes Schleswig-Holstein aufgrund des Verstoßes gegen § 13 Abs. 1 TMG wegen der Verletzung von Informationspflichten als Telemediendiensteanbieter, § 13 Abs. 3 TMG, §§ 11 Abs. 1, 12, 16 LDSG, wegen des Nichteinholens einer wirksamen Einwilligung zur Datenübermittlung an Facebook/USA und der Verknüpfung von Inhaltsdaten mit Nutzungsdaten zur Profileerstellung, § 15 Abs. 3 TMG, wegen der Durchführung einer Reichweitenanalyse, ohne hierüber hinreichend zu informieren und eine Widerspruchsmöglichkeit einzuräumen. Diese Beanstandungen wurden dem Landtag Schleswig-Holstein zur Kenntnis gegeben. Eine abschließende Behandlung des Themas im Landtag erfolgte nicht.

http://www.landtag.ltsh.de/export/sites/landtagsh/infothek/wahl17/aussch/iur/niederschrift/2012/17-086_02-12.pdf [Extern] (Top 7)
http://www.landtag.ltsh.de/infothek/wahl17/umdrucke/3500/umdruck-17-3586.pdf [Extern]

Ferner hat das ULD im November 2011 nach § 38 Abs. 5 BDSG gegenüber drei nicht-öffentlichen Stellen die Deaktivierung ihrer Facebook-Fanpages angeordnet. Die Anordnungen sind Gegenstand dreier gerichtlicher Verfahren vor dem Verwaltungsgericht (VG) Schleswig. Die mündliche Verhandlung vor dem VG Schleswig wird am 09.10.2013 stattfinden.

Datenschutzrechtliche Bewertung des ULD

Die Kontrollverfahren beruhen darauf, dass die genannten öffentlichen Stellen des Landes Schleswig-Holstein unter www.facebook.com bei dem von Facebook zur Verfügung gestellten Portal Fanpages betreiben. Als Betreiber sind die öffentlichen Stellen gem. § 2 Nr. 1 Telemediengesetz (TMG) als Diensteanbieter für diese Angebote jeweils verantwortlich.

Facebook behauptet, dass die Facebook Ireland Ltd. bezüglich der personenbezogenen Daten europäischer Nutzer als verantwortliche Stelle tätig wird und die Facebook Inc. im Wege der Auftragsdatenverarbeitung lediglich als weisungsgebundener Auftragnehmer agiert. Maßgeblich ist, dass Facebook beim Aufruf der Fanpages personenbezogene Daten über das Nutzungsverhalten der registrierten und nichtregistrierten Facebook-Nutzer erhebt und verarbeitet. Die Facebook-Nutzer haben hierfür keine wirksame Einwilligung erteilt.  
Durch die Übermittlung der personenbezogenen Daten in einen Staat außerhalb des Geltungsbereiches der Europäischen Union darf ein Betroffener keinen unverhältnismäßigen Eingriffen in seine Persönlichkeitsrechte ausgesetzt werden. Innerhalb der Europäischen Union gilt das harmonisierte Recht der Europäischen (EG-) Datenschutzrichtlinie (95/46/EG). Hier wird qua Fiktion davon ausgegangen, dass das Datenschutzniveau in allen Mitgliedstaaten der Europäischen Union annähernd gleich hoch ist. Eine Verletzung der Persönlichkeitsrechte sei daher nicht zu befürchten. Werden die personenbezogenen Daten in einen so genannten Drittstaat übermittelt, wie vorliegend der Fall, ist zu prüfen, ob dort ein angemessenes Datenschutzniveau besteht. Ein angemessenes Datenschutzniveau setzt eine Gesetzgebung voraus, die die wesentlichen Datenschutzgrundsätze festlegt, wie sie auch in der EG-Datenschutzrichtlinie enthalten sind. Für die USA wird ein derartiges angemessenes Datenschutzniveau von der Europäischen Kommission nicht angenommen.
http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm [Extern]

Lediglich Unternehmen, die eine Safe-Harbor-Zertifizierung durchlaufen haben, galten als Unternehmen, die ein angemessenes Datenschutzniveau aufweisen. Eine Safe-Harbor-Zertifizierung hat die Facebook. Inc zwar seit 2007. Ob dies noch immer ein angemessenes Datenschutzniveau sicherstellt, darf aufgrund der neueren Erkenntnisse bezweifelt werden. Schon mit Schreiben vom 21.08.2012 an die zuständige US-Behörde, die Federal Trade Commission, bezweifelte das ULD, dass Facebook den Anforderungen von Safe Harbor genügt und bat um Tätigwerden. Eine Antwort hierzu liegt bis heute nicht vor.

https://www.datenschutzzentrum.de/artikel/1182-.html

Safe-Harbor-Unternehmen müssen einige wesentliche Vorgaben der Europäischen Datenschutzrichtlinie erfüllen. Sie müssen die Betroffenen über die Verarbeitung personenbezogener Daten vollumfänglich informieren und jeweils eine Einwilligung in spezielle Formen der Erhebung und Verarbeitung von personenbezogenen Daten einholen. Facebook informiert nur in unzureichender Weise in seinen Allgemeinen Geschäftsbedingungen (AGBs – „Datenschutzrichtlinien“ und „Nutzungsbedingungen“) darüber, dass die personenbezogenen Daten zu Auswertungszwecken und Werbezwecken genutzt werden. An welche Unternehmen welche Daten konkret übermittelt werden, ergibt sich aus den AGBs bis heute nicht. Insoweit kann eine rechtswirksame Einwilligung nicht angenommen werden. Auch die Betroffenenrechte werden nicht umfassend eingehalten, da eine Auskunft über die vorhandenen und übermittelten personenbezogenen Daten nicht abschließend erlangt werden kann.

Diese Pflichten treffen nach § 13 Abs. 1 TMG und § 13 Abs. 3 TMG auch die schleswig-holsteinischen Fanpagebetreiber. Sie müssen nach § 13 Abs. 1 TMG bei Datenübermittlungen Unterrichtungspflichten und nach § 13 Abs. 3 TMG die Pflicht eine rechtswirksame Einwilligung einzuholen beachten.

Da Facebook selbst diese Informationen nicht umfassend weitergibt, können auch die schleswig-holsteinischen Fanpagebetreiber ihre eigenen Pflichten nicht erfüllen. Sie können aufgrund der ihnen fehlenden Informationen keine rechtswirksame Einwilligung nach dem TMG beim Betroffenen einholen. Da sie selbst verantwortlich für ihr Angebot sind, liegt ein entsprechender Verstoß gegen das TMG vor.

Die Fanpagebetreiber informieren inzwischen z. B. auf der Seite

www.facebook.com/schleswig-holstein [Extern]

unter dem Punkt „Datenschutz“ darüber, dass „Der Datenschutzbeauftragte warnt: ‚Facebook verstößt gegen deutsches Datenschutzrecht’. Ausführliche Informationen finden Sie hier unter

www.schleswig-holstein.de/facebook [Extern]

Auf dieser Webseite stellt die Staatskanzlei des Landes Schleswig-Holstein dar, welche personenbezogene Daten – nach ihrer Kenntnis – von Facebook erfasst werden und welche personenbezogenen Daten direkt an Facebook weiter übermittelt werden; eine vollumfängliche Aufklärung über die Datenverarbeitung bei Facebook kann aber auch auf der allgemeinen Webseite des Landes Schleswig-Holstein nicht erfolgen.

Die Staatskanzlei stellt insoweit selbst fest, dass personenbezogene Daten der Nutzer ohne deren vorherige Einwilligung an Facebook übermittelt werden. Sie bezieht sich auf der Webseite auf ein Gutachten des Arbeitskreises der Innenministerkonferenz zum Datenschutz in Sozialen Netzwerken vom 04.04.2012.

https://www.datenschutzzentrum.de/artikel/1183-.html

Die öffentlichen Stellen des Landes Schleswig-Holstein setzen durch den Einsatz der Fanpage den Ausgangspunkt für die Übermittlung personenbezogener Daten an Facebook und andere Unternehmen. Als Betreiber der Fanpage sind die öffentlichen Stellen des Landes Schleswig-Holstein datenschutzrechtlich verantwortlich für sämtliche damit zusammenhängenden Datenerhebungen und -übermittlungen. Selbst wenn man vorliegend von einer Auftragsdatenverarbeitung ausgehen sollte, weil selbst Facebook lediglich die technischen Grundlagen für die Bereitstellung der Fanpage zur Verfügung stellt, so erhebt der Auftragnehmer (Facebook) Daten ohne Einwilligung der Betroffenen. Von einer konkludenten Einwilligung kann im Rahmen des TMG nicht ausgegangen werden, da die Einwilligung nach § 13 Abs. 2 TMG zwar elektronisch erklärt werden kann, dies jedoch nur, wenn der Diensteanbieter sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit widerrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dies ist bei Facebook aber gerade nicht der Fall. Vorliegend wird der Nutzer nicht vor Nutzung des Dienstes – nämlich die Nutzung der Fanpage der öffentlichen Stellen des Landes Schleswig-Holstein – über die Art, Umfang und Zweck der Datenerhebung und -verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsgebietes der europäischen Union unterrichtet.

Neben der Nutzung der Daten wird dem Facebook-Nutzer nicht mitgeteilt, in welcher Art und Weise seine personenbezogenen Daten ausgewertet werden und wie für Werbezwecke diese Daten genutzt werden. Facebook erstellt nach eigener Auskunft individuelle Nutzungsprofile über die Facebook-Mitglieder. In diese Nutzungsprofile fließen auch die Nutzungen der Fanpage der öffentlichen Stellen des Landes Schleswig-Holstein ein. Über diese Art der Datenverarbeitung erfolgt keine hinreichende Information der Nutzer.

Feststellungen anderer Stellen

Die Datenschutzaufsichtsbehörden des Bundes und der Ländern beschlossen am 14.03.2013 einen einstimmig eine Orientierungshilfe „Soziale Netzwerke“. Darin stellen sie fest, dass Stellen, die sich mit Fanpages in einem Netzwerk präsentieren, eine eigene Verantwortung hinsichtlich der personenbezogenen Daten von Nutzerinnen und Nutzern ihres Angebotes zukommt.

http://www.datenschutz.bremen.de/sixcms/media.php/13/Orientierungshilfe%20Soziale%20Netzwerke.pdf[Extern]

Im Rahmen des o. g. Gutachtens hat der AK I Staat und Verwaltung der Innenministerkonferenz im Auftrag der Chefs der Staatskanzleien festgestellt, welche Daten im Rahmen der Nutzung einer Facebook-Fanpage an Facebook übermittelt werden (Seite 9 des Gutachtens). Auch hinsichtlich der erhobenen Daten kommt das Gutachten zu dem Ergebnis, dass im Rahmen der Fanpagenutzung personenbezogene Daten an Facebook übermittelt werden (Seite 13). Hinsichtlich der Verantwortlichkeit der Betreiber von Fanpages stellt auch der AK I Staat und Verwaltung fest, dass nach § 3 Abs. 7 BDSG eine Verantwortlichkeit des Fanpagebetreibers dann besteht, wenn er selbst personenbezogene Daten erhebt, verarbeitet oder nutzt, Facebook mit der Fanpage im Auftrag des Betreibers von Fanpages personenbezogene Daten erhebt oder Facebook und die Betreiber von Fanpages eine gemeinsame Verantwortung tragen. Es wird sodann festgestellt, dass die Datenflüsse unmittelbar an Facebook erfolgen und eine Datenübermittlung durch den Fanpagebetreiber nicht stattfindet. Hinsichtlich der Auftragsdatenverarbeitung wird festgestellt, dass die Fanpagebetreiber die Oberfläche von Facebook nutzen und sich insoweit technischer Möglichkeiten von Facebook bedienen. Auch der AK I stellt fest, dass der jeweilige Fanpagebetreiber nur sehr geringe Einflussmöglichkeiten auf die optische Gestaltung einer Fanpage und vor allem die ihm zur Verfügung stehenden Funktionen hat. Zudem ist die Fanpage eine Facebook-Domain, der Dienst Facebook-Insight wird kostenlos zur Verfügung gestellt. Auch wird darauf abgestellt, dass die Einschätzung der deutschen Aufsichtsbehörden schwer widerlegbar sei, dass Facebook die Nutzungsbedingungen für Fanpages streng vorgibt und keine Abweichungen verhandelbar sind. Insoweit liegt eine Auftragsdatenverarbeitung nach Auffassung des AK I nicht vor.

Geht man von einer rechtlichen konformen Auslegung von § 3 Abs. 7 BDSG aus, so liegt ein Erheben, Verarbeiten und Nutzen von personenbezogenen Daten auch dann vor, wenn die Erhebung, Verarbeitung oder Nutzung durch eine andere Stelle erfolgt, jedoch diese nicht allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, sondern eine gemeinsame Entscheidung vorliegt. Die Art. 29-Datenschutzgruppe hat insoweit eine gemeinsame Verantwortlichkeit der Beteiligten nach Art. 2 EG-Datenschutzrichtlinie angenommen.

Hinsichtlich eines vorgeschlagenen Maßnahmekonzeptes durch den AK I Staat und Verwaltung ist festzustellen, dass die technischen Abläufe bei Fanpages und die dabei erfolgenden Datennutzungen gegenüber den deutschen Aufsichtsbehörden bis heute nicht ansatzweise von Facebook offen gelegt wurden. Der AK I Staat und Verwaltung hat weiterhin vorgeschlagen, die Erstellung von Nutzungsprofilen durch den Besuch von Fanpages insbesondere im Hinblick auf Nichtnutzer von sozialen Netzwerken auszuschließen. Auch hierbei sollte die Nachprüfbarkeit durch die Datenschutzaufsichtsbehörden sichergestellt werden. Weiterhin sollte generell ein Widerspruchsrecht hinsichtlich der Erstellung von Nutzungsprofilen gewährleistet werden. Auch sollten die Vorgaben der E-Privacy-Richtlinie und die Transparenz unter Nutzergesichtspunkten berücksichtigt werden.

Die vom AK I Staat und Verwaltung vorgegebenen Maßnahmen sind weder von Facebook noch von den öffentlichen Stellen des Landes Schleswig-Holstein umgesetzt worden.

Im Rahmen der Drucksache 18/60 hat die Landesregierung mitgeteilt, dass sie drei Facebook-Fanpages betreibt: „Schleswig-Holstein“, „Nationalpark Wattenmeer SH“ und „Wirtschaftsministerium“. Auf die Frage, ob die neue Landesregierung dafür Sorge tragen wird, dass der Betrieb von Facebook-Fanpages und die Übermittlung von Nutzerdaten an Facebook durch die Landesverwaltung eingestellt wird, teilt diese mit, dass sie dafür nicht Sorge tragen wird.

http://www.landtag.ltsh.de/infothek/wahl18/drucks/0000/drucksache-18-0060.pdf[Extern]

Das ULD hält an dem Ergebnis fest, dass die Nutzung von Fanpages ohne entsprechende Information der Nutzer gegen die Bestimmungen des LDSG SH i. V. m. dem TMG verstößt.