DatenschutzbeauftragterFacebook-Auftritte von Bundesbehörden sind nicht datenschutzkonform

Viele Bundesbehörden betreiben eigene Facebook-Auftritte als Teil ihrer Öffentlichkeitsarbeit. Dabei gewährleistet Facebook nicht, dass diese Auftritte DSGVO-konform sind. Der Bundesdatenschutzbeauftragte fordert deshalb, die Seiten bis Ende des Jahres abzuschalten.

Smartphone mit durchgestrichenem Facebook-Schriftzug
Die Bundesbehörden müssen sich für ihre Öffentlichkeitsarbeit bald von Facebook verabschieden. Gemeinfrei-ähnlich freigegeben durch unsplash.com Thought Catalog

Der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber empfiehlt Bundesbehörden, ihre Facebook-Auftritte bis Ende des Jahres abzuschalten. Sollten sie die sogenannten Fanpages weiter betreiben, will der BfDI ab Januar 2022 von den ihm „zur Verfügung stehenden Abhilfemaßnahmen Gebrauch machen.“ Der BfDI kann im Rahmen der Datenschutzgrundverordnung (DSGVO) zum Beispiel Verbote aussprechen oder die Löschung personenbezogener Daten anordnen.

Bereits im Mai hatte Kelber die Bundesbehörden in einem Rundschreiben darüber informiert, dass ein datenschutzkonformer Betrieb der Facebook-Auftritte von Bundesbehörden und Ministerien nicht möglich sei. Einige Ressorts der Behörden teilten daraufhin mit, dass Facebook wichtig für ihre Öffentlichkeitsarbeit sei. Deshalb hatte der BfDI einen Übergangszeitraum eingeräumt, in dem das Presse- und Informationsamtes der Bundesregierung (BPA) sich mit Facebook über eine gemeinsame Verantwortlichkeit einigen sollte, die der Datenschutzgrundverordnung entspricht.

Facebook nicht zu Änderungen bereit

„Ein längeres Abwarten ist mir angesichts der fortdauernden Verletzung des Schutzes personenbezogener Daten der Nutzerinnen und Nutzer nicht möglich“, heißt es nun in dem neuen Rundschreiben des BfDI. Inzwischen sei deutlich geworden, dass die Verhandlungen mit Facebook keine nachweisbaren Fortschritte machen und auch keine Aussicht auf einen zeitnahen Erfolg erkennbar sei.

Facebook hatte der BPA lediglich das Page-Controller-Addendum geschickt, das es bereits seit 2019 gibt. „Dies zeigt aus meiner Sicht, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist“, schreibt Kelber. Das Page-Controller-Addendum regelt als Ergänzung zu den Allgemeinen Geschäftsbedingungen von Facebook die gemeinsame Verantwortung für Daten, die auf den sogenannten Fanpages erhoben werden. Diese Erklärung reicht dem BfDI und den Datenschutzbehörden der Länder aber nicht aus, um der DSGVO zu entsprechen.

In seinem Rundschreiben verweist Kelber auf das Schrems-II Urteil des Europäischen Gerichtshofs (EuGH). Darin hatte der EuGH klargestellt, dass personenbezogene Daten aus der EU nur in Drittstaaten gelangen dürfen, wenn sicher ist, dass sie dort genauso gut geschützt sind wie in der EU. Laut EuGH ist das in den USA, wo Facebook seinen Hauptsitz hat, nicht der Fall.

Vorbildfunktion der öffentlichen Stellen des Bundes

„Den öffentlichen Stellen des Bundes, die in besonderem Maß an Recht und Gesetz gebunden sind, kommt im Hinblick auf die Einhaltung des Datenschutzrechts eine Vorbildfunktion zu“, so Kelber. „Ich sehe Sie deshalb besonders in der Pflicht, sich datenschutzkonform zu verhalten.“ Das gelte auch in Bezug auf andere Anwendungen.

Bereits im Mai 2020 hatte der BfDI darauf aufmerksam gemacht, dass Mitarbeitende von Bundesbehörden die Facebook-Tochter WhatsApp dienstlich nicht benutzen sollen. Kelber rät zudem von der dienstlichen Nutzung der Apps von Instagram, TikTok und Clubhouse ab. Obwohl die technische Prüfung hier noch nicht abgeschlossen sei, zeigten erste Ergebnisse bereits, dass auch bei diesen Apps datenschutzrechtliche Defizite bestehen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

10 Ergänzungen

  1. Meint der Bundesdatenschutzbeauftragte diese Forderung etwa ernst? Das ist doch wieder mal ein Beispiel dafür, wie man durch jakobinischen Eifer die Sache diskreditiert. Ihm muss doch bewusst sein, dass keine Bundesbehörde nun ihre Facebook-Seite abschalten wird. In der Öffentlichkeit wird nun also wieder mal der Eindruck zementiert, dass Datenschutz egal ist und dass Datenschützer Papiertiger sind.

    Das Riesen-Datenschutzproblem vieler deutscher Behörden sind auch wahrlich nicht ihre Facebook-Seiten, sondern ihr Amtsgebaren und die gesetzlichen Überwachungskompetenzen, die sie in den letzten 20 Jahren (vor allem) von CDU & SPD erhalten haben.

    Der Bundesdatenschutzbeauftragte muss endlich lernen, dass politisches Kapital ein überaus knappes Gut ist und dass er die öffentliche Aufmerksamkeit auf die Dinge lenken sollte, die relevant sind.

  2. „Facebook-Auftritte von Bundesbehörden sind nicht datenschutzkonform“
    ACH!?
    „das es bereits seit 2019 gibt. „Dies zeigt aus meiner Sicht, dass Facebook zu keinen Änderungen an seiner Datenverarbeitung bereit ist“, schreibt Kelber.“

    „Der Bundesdatenschutzbeauftragte fordert deshalb, die Seiten bis Ende des Jahres abzuschalten.“

    Ganz ehrlich: Was hat denn Herr Kelber nicht mitbekommen?
    Abschalten. Jetzt. ab sofort. unverzüglich.
    Damit ist das thematisch durch.

    Ach nein.
    Stimmt, da war ja was mit (nicht gegebener) Weisungsbefugnis.
    Jammern ja. Auf welchem Niveau?
    Und was passiert, wenn am Ende des Jahres der Datenabfluss nicht zu Ende ist?
    Das möchte ich noch erleben.

  3. Mir haette es gefallen wenn erwaehnt werden wuerde das es seit einer Weile auch eine
    Mastodon Instanz[0] des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt. Dort koennen sich auch andere Bundesbehoerden Accounts beantragen. :)

    [0]https://social.bund.de

  4. Das Volk liebt eben jene digitale Lebenswirklichkeit, welche uns Facebook & Co. mit ihren Plattformen und Infrastrukturen stiften. Es wird nicht satt an diesen glitzernden Aufmerksamkeitsperlen, welche so schön den Geist vernebeln; gleichwohl aber dieses wunderbare und unwiderstehliche Gefühl des Wahrgenommenwerdens spenden. Politiker:innen, Staat & Verwaltung geht es da kein Deut anders. Eine digital-vernetzte Demokratie lebt halt von Emotionen, Stimmen und Stimmungen … und mögen diese noch so durch unsere kognitiven und psychologischen Verrücktheiten korrumpiert sein.
    Lassen wir doch einfach den Datenschützer:innen ihren Datenschutz, nebst ihren Mahnungen und Warnungen. Auch sie verdienen Aufmerksamkeit. Man muss ja nicht immer gleich direkt jene unausweichliche Transformation hin zu einem totalitären digitalen Überwachungskapitalismus beschwören bzw. „verschwören“. Zumal die Caspars, Kelbers und Brinks ja nur ihren Job machen – wollen. Wenn eine Demokratie, ja eine Zivilgesellschaft, wie die Bundesrepublik Deutschland, sich mehr oder minder freiwillig einem fremden, ausländischen und privaten Datenregime unterwerfen will, dann – so finde ich – ist das ihr gutes Recht!

    1. Saartoshi: Klar ist das ihr gutes Recht. Das Problem ist nur, dass viele, die das NICHT wollen, in dieses System hineingezwungen werden und dem – auch technisch gesehen – nur mit immensem Aufwand entrinnen können.
      Der Überwachungskapitalismus ist durchaus existent. Politiker legen den Grundstein für ihn, indem sie den Bürgern zwei Dinge suggerieren:

      1. Eure Daten brauchen wir, damit die Wirtschaft funktioniert.
      2. Eure Daten brauchen wir, damit es mehr Sicherheit gibt.

      Dadurch entsteht bei den meisten Bürgern der Eindruck, dass das eine ohne das andere nicht geht bzw. aus psychologischer Sicht ein seitens der Politiker bei den Bürgern gewünschtes, wechselseitiges Bedingungsgefüge – nach dem Motto: Wenn wir schon die (aus wirtschaftlicher Sicht angeblich notwendigen) Daten haben, dann werden die Bürger auch leichter akzeptieren, wenn (diese) Daten auch zur Überwachung herangezogen werden bzw. die „Notwendigkeit“ der Überwachung von den Bürgern leichter akzeptiert wird – und umgekehrt.

      Politisch ist dies auch durch die Verquickung hochgestellter Personen aus US- Geheimdienstkreisen mit solchen aus der (digitalen) Hochfinanz (Facebook, Google, Microsoft, Apple, Amazon etc.) erkennbar (vgl. „Peter Thiel-Phänomen“).

      Dass diese Machtkonzentration mit allen Möglichkeiten der politischen Einflussnahme genau die hier diskutierten Probleme verursacht und auch von der hiesigen Regierung völlig unkritisch übernommen wird, liegt auf der Hand und lässt sich durchaus mit dem Begriff „Überwachungskapitalismus“ treffend beschreiben.

  5. Ich finde es gut. Den ganzen Facebook-Google-Netflix-ich-erwähne-es-mal-obwohl-es-blöd-ist sollte man gleich auch noch den öffentlich rechtlichen Sendern abgewöhnen.

  6. „Der BfDI kann im Rahmen der Datenschutzgrundverordnung (DSGVO) … Bußgelder verhängen.“ –

    Nein, gegen Behörden kann der das NICHT!
    Behörden sind ausdrücklich von Bußgeldern ausgenommen (§43 BDSG Absatz 2).

    Das ist zwar auf den ersten Blick schade, aber auf den zweiten kann man dem einen Sinn abgewinnen.. Behörden werden ja aus Steuermitteln finanziert. Ein Bußgeld würde niemand dort wehtun. Das wäre nur eine Verschiebung von Steuergeldern von der einen in die andere Tasche. Zur Ahndung von Datenschutzverstößen in Behörden und Verwaltungen eignen sich in Deutschland ausschließlich disziplinarische Maßnahmen.

  7. Faceboog, Twitter & Co kosten Geld, unsere Steuergelder für private Konzerne, die dazu fleißig unsere Daten sammeln. Nicht nur Behörden, auch der ÖRR nutzt die kommerziellen Netzwerkplattformen.

  8. „Dabei gewährleistet Facebook nicht, dass diese Auftritte DSGVO-konform sind.“
    Facebook gewährleistet im Übrigen kaum etwas, ausser dass die eigenen Interessen zur Geltung kommen.

    Sogar groß angelegter Betrug ist auf Facebook möglich, ohne dass irgendeine Validierung stattfindet. Es braucht immer erst starke Anstöße von außen, bevor dort jemand tätig wird. Jedoch wiederholen Facebook-Sprecher noch immer ihre Mantras: „… bei Werbung für Finanzprodukte unterziehe der Social-Media-Konzern die verlinkten Websites – die «Landing Pages» – einer speziellen Prüfung, um sicherzustellen, dass es sich seriöse Angebote handle.“

    Die NZZ hat aufgedeckt:

    Die Show beginnt mit dem angeblichen Unternehmenschef von Pillar, Karel van den Bergen. Er ist ein Mann mittleren Alters, der laut seinem mittlerweile gelöschten LinkedIn-Profil während Jahrzehnten bei der Credit Suisse, UBS und McKinsey gearbeitet hat. Im Pillar-Unternehmens-Film sagt er in passablem Deutsch: «Unsere Mission ist es, mehr Menschen die Möglichkeit zu geben, ihre finanzielle Zukunft zu verbessern.»

    Derselbe Mann ist aber auf der Stockfotografieplattform «Shutter-Stock» x-fach als Model zu sehen. Die Bilder stammen von einer in der ukrainischen Hauptstadt Kiew domizilierten Werbeagentur. Einmal ist er als glücklicher Ehemann mittleren Alters abgebildet, ein anderes Mal trainiert er im Fitnessstudio. Unzählige Unternehmen weltweit – von Cisco bis zu einem amerikanischen Cannabis-Händler – verwenden in ihren Werbematerialien Bilder des gutaussehenden Mannes, der angeblich Chef von Pillar sein soll.

    Bei einer im Unternehmensteam abgebildeten und im Werbefilm gezeigten Immobilienanalytikerin, Catherina Honchar, handelt es sich gemäss Recherchen um ein junges ukrainisches Model, das natürlich anders heisst, in Deutschland lebt und studiert und als Künstlerin arbeitet.

    Bei weiteren Fotos von Führungskräften und Angestellten von Pillar dürfte es sich nicht einmal um Schauspieler handeln, sondern um computergenerierte Gesichter.

    Die ganze Story auf NZZ:

    https://www.nzz.ch/finanzen/neue-erkenntnisse-zur-immobilienplattform-pillar-ld.1634417

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.