ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der überarbeiteten Webseite unter www.datenschutzzentrum.de.

Dr. Thilo Weichert
Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD)
Landesbeauftragter für Datenschutz Schleswig-Holstein

Verantwortlichkeit für Facebook-Fanpages

zugleich eine parteiische Besprechung von Schulz/Schliesky (Hrsg.), Transparenz, Partizipation, Kollaboration – Web 2.0 für die öffentliche Verwaltung, 2012

I. Verzweiflung

Für jemanden, für den Datenschutz, demokratische Verantwortlichkeit und Rechtsstaatlichkeit ein Anliegen ist, ist die Situation fast zum Verzweifeln: Da verstößt der US-Anbieter des weltweit größten Sozialen Netzwerks gegen gesetzliche Regelungen des europäischen und deutschen Datenschutzes, und es scheint gegen dessen Nutzung in Deutschland kein rechtliches Kraut gewachsen zu sein. Wir reden hier über Facebook und die Nutzung von deren Fanpages sowie Social Plugins wie z. B. dem „Gefällt mir“-Button. Facebook ist exemplarisch für die Verzweiflung; viele andere Anbieter, allen voran Google+, sind nicht viel besser; deutsche Anbieter, die sich bemühen, die Datenschutzbestimmungen zu beachten, werden vom Markt verdrängt.

II. Politisch-wirtschaftliche Erwägungen

Diese Verzweiflung wird dadurch gesteigert, dass fast alle politischen Kräfte gegen diesen massiven fortgesetzten Rechtsverstoß nichts unternehmen und dass private Anbieter in realistischer Abwägung der Möglichkeiten und Risiken von der Nutzung dieser Fanpages und Social Plugins nicht ablassen 1. Dass viele politische Kräfte nichts unternehmen, mag dem Umstand zuzuschreiben sein, dass viele der Menschen, Parteien und Organisationen in der Politik zwecks potenziellen Erreichens einer jugendlichen Wählerschaft solche Fanpages selbst betreiben. Dass private Anbieter selbst in Schleswig-Holstein sich bei der Nutzung von Facebook, Google+ & Co. recht entspannt zurücklehnen, ist der realistischen Einschätzung zuzuschreiben, dass das ULD noch etwas anderes zu tun hat, als hunderte Untersagungsverfügungen zu versenden 2. Dies wird auch von den Regierungsfraktionen des Landes kommuniziert in der wohl irrigen Annahme, damit den Wirtschaftsstandort zwischen den Meeren zu verteidigen 3.

Nicht nur die Parlamentarier einiger Parteien verhalten sich abweisend gegenüber dem ULD-Vorgehen gegen die Facebook-Nutzung. Die Unwilligkeit, Datenschutzregeln zu beachten wird dadurch gefördert, dass die eigene Industrie- und Handelskammer (IHK) und der eigene Ministerpräsident selbst den Rechtsverstoß begehen. Nun werden keine IHK und kein deutscher Ministerpräsident öffentlich und explizit zum Rechtsverstoß aufrufen oder ermuntern. Sie wollen auch nicht als schlechtes Beispiel und Vorbild vorangehen. Deshalb wird eine – bisher eher unjuristisch vorgetragene – Argumentation präsentiert, die letztlich diesen Rechtsverstoß decken soll: Dass der US-Anbieter gegen deutsches Recht verstößt, ist zwar evident, doch wäre es vermessen, von einem globalen Player zu erwarten, dass er schleswig-holsteinisches Recht beachtet (selbst wenn er Daten von Schleswig-Holsteinern verarbeitet). Weiter wird vorgetragen: Wir sind nicht für das verantwortlich, was der US-Anbieter macht, wir nutzen nur dessen Angebot. Und letztlich: Dass wir das Angebot nutzen, kann uns niemand vorwerfen, machen es doch viele andere auch. Besser noch: Das Verbieten des Nutzens eines illegalen Angebots wäre – und das ist in einer Marktwirtschaft ein schwerwiegender Vorwurf – eine Wettbewerbsverzerrung.

III. Die juristische Argumentation

Die Diskussion um Facebook in Schleswig-Holstein bringt uns eine juristische Überhöhung dieser wirtschaftlich-politischen Argumente. Das Glanzstück liefert insofern jetzt das Lorenz-von-Stein-Institut der Christian-Albrechts-Universität zu Kiel (CAU) mit seinem neuen Buch „Transparenz, Partizipation, Kollaboration – Web 2.0 für die öffentliche Verwaltung“ 4. In einer gemeinsamen Medieninformation der CAU mit der IHK zu Kiel wird darin unter der Überschrift „Bahn frei für Web 2.0 in Schleswig-Holstein“ geworben u. a. mit folgenden Zitaten: „Damit widerlegen wir die Auffassung des Unabhängigen Landeszentrums für Datenschutz, wonach der Betrieb so genannter Fanpages gegen deutsches Datenschutzrecht verstößt“ und „Ein wichtiges Signal für Unternehmen in Schleswig-Holstein: Es geht eben doch“5.

Ich habe das Lorenz-von-Stein-Institut bisher immer als eine juristisch seriös argumentierende Einrichtung angesehen. Dass der Klappentext für das neue Buch allzu sehr im Interesse des Kooperationspartners IHK ausfällt, muss wohl als medialer Ausrutscher hingenommen werden. Der Blick ins Buch selbst offenbart, dass die Autoren dem ULD – in vieler Hinsicht vielleicht unfreiwillig – Recht geben und nur mit einigen rechtlichen Verrenkungen zum gewünschten Ergebnis kommen.

Die Hauptargumentation von Facebook ist, dass die Mitglieder mit ihrer Teilnahme der Datenverarbeitung des Unternehmens in den USA zugestimmt hätten. Die Autoren meinen nun, dass diese Einwilligung den „deutschen Datenschutzvorschriften nicht gänzlich genügen mag“ (S. 189), so als gäbe es im Recht die Kategorie „nur ein bisschen unzulässig“. Dass bei dem Facebook-Angebot gegen Telemedienrecht verstoßen wird, wird zwar nicht ausführlich geprüft, aber stillschweigend konzediert (S. 180 f.).

IV. Krude Verantwortungsethik

Der Versuch, die Verantwortung für die illegale Datenverarbeitung von Facebook abzustreifen, erfolgt über mehrere Schritte. Zunächst wird korrekt bestätigt, dass der Fanpage-Betreiber telemedienrechtlich für sein Tun verantwortlich ist. Dies könne auf den Datenschutz nicht voll übertragen werden, denn: Er kann „lediglich entscheiden, einen Facebook-Account zu eröffnen, um hierüber eine Fanseite zu erstellen, oder dies zu unterlassen. Weitergehende Entscheidungsmöglichkeiten hat er nicht“ (S. 182). Entsprechend könnte man auch argumentieren: Mache ich mich also zum Komplize eines bösen Buben und kann ich den bösen Buben von seinem bösen Tun nicht abbringen, dann kann ich Komplize bleiben und meine Hände in Unschuld waschen.

Es kommt noch besser nach dem Motto: Wir haben von all dem nichts gewusst: „Des Weiteren wird dem Fanseiten-Betreiber das Ausmaß und der Umfang der Datenerhebung und -verarbeitung nur unzureichend bekannt sein“ (S. 182). „Der Fanseiten-Betreiber weiß grundsätzlich nur so viel über die Datenerhebung, wie Facebook ihm offenbart“ (S. 184). Zwar dürften die ausführlichen Geschäftsbedingungen von Facebook den Betreibern zugänglich sein; auch die umfassenden Analysen der Datenschutzbehörden und des ULD dürften zumindest den Behörden und größeren kommerziellen Anbietern in Schleswig-Holstein bekannt sein. Statt nun die Finger vom Unbekannten zu lassen, erklärt man sich bei dessen Nutzung einfach für unverantwortlich. Dies ist nicht nur rechtlich falsch, sondern Ausdruck einer in letzter Konsequenz grausamen Verantwortungsethik.

Es wird noch besser: Schuld sind eigentlich die Nutzer: „Letztlich haben sich alle Nutzer freiwillig angemeldet und tolerieren daher die Datenerhebung von Facebook. … Dieser Einwilligung … muss zumindest eine gewisse Teillegitimation, wenn auch nicht zwingend gegenüber Facebook, dann jedoch gegenüber den ebenfalls bei Facebook präsenten öffentlichen und nichtöffentlichen Stellen zukommen“ (S. 189). Also: Die schlecht informierten Betreiber sind nicht verantwortlich, wohl aber – die in der Regel noch schlechter informierten – Nutzer. Ob das so richtig sein kann?

V. Verhältnismäßigkeit statt Gesetzesvorbehalt

Die Autoren bestreiten nicht, „dass personenbezogene Daten durch Facebook (am Maßstab deutschen Datenschutzrechts gemessen in unzulässiger Weise) erhoben und verarbeitet werden“ (S. 187). Geleugnet wird auch nicht die „Rechtsbindung der deutschen Verwaltung aus Art. 20 Abs. 3 GG und der Schutzverpflichtung gegenüber den Persönlichkeitsrechtender Nutzer“ (S. 187). Doch dann behaupten sie, „mangels gesetzlicher Regelungen“ (S. 187) müsse eine „Abwägung von Risiko und Nutzen“ (S. 188) erfolgen. Es gäbe auf dieser Ebene „keine ´Schwarz-Weiß-Sicht bzw. -Lösung` (im Sinne des ULD und eine (vermeintlich) klare Rechtslage“ (S. 187). Dies verwundert, haben wir doch in Deutschland und Europa ein umfassendes Datenschutzrecht. Doch gibt es eine Erklärung: „Das deutsche Datenschutzrecht ist … nicht auf derartige neue Technologien ausgerichtet und wird so der Funktionsweise des Internet nicht mehr gerecht“ (S. 189). Auch wenn das zutrifft, so sollte man sich die bestehenden geltenden Regelungen doch genauer anschauen und nicht gleich das ganze Recht über Bord werfen.

Hat sich die Argumentation derart von einer Gesetzesbindung gelöst, muss nur noch abgewogen werden: „Der immense Nutzen, den eine Facebook-Fanseite hat, darf jedoch nicht außer Betracht gelassen werden. Facebook ist das weltgrößte Internetnetzwerk und bietet deshalb eine sehr große ´Community` … Durch eine Facebook-Präsenz können daher (mit geringem Aufwand) mehr Menschen erreicht werden als mit einer herkömmlichen Internetpräsenz“ (S. 188). „Gerade jüngere Generationen (´Digital Natives`) nutzen Facebook nahezu flächendeckend und regelmäßig, sodass diese Gruppe über Facebook besonders angesprochen werden kann“ (S. 189). Erstaunlich ist, dass von den Autoren die Datenschutzverstöße von Facebook nicht explizit benannt, geschweige denn analysiert werden, so dass auch die Risiken für die Betroffenen nicht seriös abgewogen werden können. Vielmehr wird die Relevanz der Facebook-Präsenz heruntergespielt: „Hinzuweisen ist zudem darauf, dass es sich bei der Öffentlichkeits- und Informationstätigkeit überwiegend um eine ´freiwillige` Aufgabe der öffentlichen Verwaltung handelt – mit der Folge, dass die Verlagerung auf andere Medien weitaus unkritischer sein dürfte als z. B. ausschließlich elektronisch durchführbare Verwaltungsverfahren“ (S. 190).

VI. Wie geht es weiter?

Eine Alternative zur Nutzung von Facebook, Google+ & Co. wird von den Autoren benannt: „So wäre der Staat gezwungen, eigene ´nationale` Tools aufzubauen oder zu subventionieren“ (S. 185). Aber das ist nicht deren Ziel. Wohl muss Folgendes gelten: Bei allen informationstechnischen Systemen, die staatliche Stellen einsetzen, müssen diese kontrollieren und nachvollziehen können, dass das Datenschutzrecht eingehalten wird.

Die Autoren erweisen ihren Auftraggebern einen Bärendienst und tun dem Datenschutz unfreiwillig einen Gefallen, indem sie ihre eigenen rechtlichen Argumente ad absurdum führen, so dass sich die Richtigkeit der Argumente der Datenschutzbehörden aufdrängt. Jedenfalls kann von einem „Widerlegen“ der Auffassung des ULD keine Rede sein.

Zu hoffen ist nun auf das von den Staatskanzleien der Länder in Auftrag gegebene und schon für den Dezember 2011 angekündigte Gutachten der Innenministerkonferenz. Nach Mitteilung des Landesinnenministeriums im Innen- und Rechtsausschuss des Schleswig-Holsteinischen Landtags am 15.02.2012 liegt ein Entwurf dieses Gutachtens vor und wird hoffentlich – nach einer Abstimmung zwischen den Ländern – zeitnah veröffentlicht. Zu hoffen ist weiterhin, dass dieses Gutachten zum gleichen Ergebnis kommt wie sämtliche Datenschutzbeauftragten des Bundes und der Länder, die die Position des ULD bestätigten 6. Sollte dies nicht der Fall sein, so besteht noch die Hoffnung auf die Verwaltungsgerichtsbarkeit. Inzwischen liegen zwei Anfechtungsklagen gegen Untersagungsverfügungen des ULD vor, eine davon der Wirtschaftsakademie der IHK; leider liegen dem ULD bis heute keine Klagebegründungen vor. Da der mehrstufige Instanzenzug im Verwaltungsrechtsweg lange dauern kann, ist eine endgültige verbindliche Entscheidung aber auch hier nicht schnell zu erwarten.

Also: Die Verzweiflung hält weiter an. Doch: Die Diskussion geht in die nächsten Runden. Die europäischen Datenschutzbehörden befassen sich intensiv mit den Themen. Und die Europäische Kommission hat mit ihrem Vorschlag für eine „Datenschutz-Grundordnung“ vom 25.01.2012 den Grundstein für ein einheitliches Datenschutzrecht in Europa gelegt, das den technischen Gegebenheiten des Internet und von Sozialen Netzwerken besser gerecht wird 7. Wäre diese Grundverordnung schon in Kraft, so gäbe es wirksame Instrumente zum Datenschutz bei Sozialen Netzwerken; die Rechtswidrigkeit der Angebote von Facebook, Google+ & Co. könnte auch durch Stellen in Schleswig-Holstein nicht mehr bestritten werden.


Anmerkungen:

1 Es muss ausdrücklich darauf hingewiesen werden, dass die Landesverbände sowohl von Bündnis 90/Die Grünen als auch der Piratenpartei aus Datenschutzgründen keine Facebook-Fanpage betreiben, vgl. Wacker, http://landesblog.de/2012/01/grune-werden-mit-facebook-nicht-grun-facebook-fanpage-soll-geloscht-werden/.

3 Gemeinsame Pressemitteilung CDU- und FDP-Landtagsfraktion vom 06.12.2012, http://www.ltsh.de/presseticker/2011-12/06/16-04-59-792b/.

4 Hrsg. Utz Schliesky/Sönke Schulz, ISBN 978-3-936-773-71-2, 39,00 Euro.

5 Presseinformation 47/2012 der CAU vom 20.02.2012, http://www.uni-kiel.de/aktuell/pm/2012/2012-047-web20-buch.shtml.

6 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 08. Dezember 2011, https://www.datenschutzzentrum.de/internet/20111208-DK-B-Soziale-Netzwerke.html.

7 Europäische Kommission vom 25.01.2012, KOM(2012)9 endgültig, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert.