Interview zu Behörden in Sozialen Netzwerken„Mastodon ist kein vollständiger, aber doch ein guter Twitter-Ersatz“

Stefan Brink kritisiert die Nutzung kommerzieller Plattformen durch öffentliche Stellen und streitet für datenschutzkonforme Social-Media-Alternativen. Der Datenschutzbeauftragte von Baden-Württemberg geht nun ganz praktisch mit gutem Beispiel voran und bietet eine selbst betriebene Infrastruktur zur Kommunikation an.

Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. – Alle Rechte vorbehalten Kristina Schäfer

Was jede Privatperson für sich selbst entscheiden kann, wird bei einer öffentlichen Stelle schnell zu einer Rechtsfrage: In welche Social-Media-Plattformen eine Behörde auf welche Weise Inhalte einspeist, muss sich an den geltenden rechtlichen Regeln orientieren. Wenn eine Behörde kommerzielle Werbenetzwerke verwenden will, muss sie nicht nur ein Nutzungskonzept erstellen, das den gesetzlichen Pflichten entspricht, sondern die Accounts auch permanent und aktiv pflegen sowie alternative Informations- und Kommunikationswege bereitstellen. Denn Bürger dürfen nicht gezwungen werden, für die Kontaktaufnahme oder für Informationen von einer öffentlichen Stelle Social-Media-Plattformen zu nutzen, die Nutzer beispielsweise für Werbung profilieren.

So lautet jedenfalls die rechtliche Bewertung, wenn man die baden-württembergische Richtlinie zur Nutzung sozialer Netzwerke durch öffentliche Stellen (pdf) heranzieht, die von der dortigen Datenschutz-Aufsichtbehörde erstellt wurde. Vor einem Jahr machte der Behördenchef und Landesdatenschutzbeauftragte Stefan Brink ernst und zog die Konsequenzen aus seiner Analyse der Rechtslage: Er stieg bei Twitter aus, gleichzeitig trat er eine Diskussion über eine rechtskonforme Nutzung los. Wir fragen ihn in einem Interview nach seinem alternativen Mastodon-Profil und reden darüber, was seither geschehen ist und wie er die Rechtslage heute einschätzt.

Brink ist Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Er ist Jurist und promovierte bei Hans Herbert von Arnim (Deutsche Hochschule für Verwaltungswissenschaften Speyer). Von 2008 bis 2016 war er Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz, seit 2012 zugleich stellvertretender Landesbeauftragter für die Informationsfreiheit, bevor er nach Stuttgart wechselte.

Wie läuft es seit dem Ausstieg?

netzpolitik.org: Vor einem Jahr gab es eine rege Diskussion um die Frage, ob man als Amtsträger oder Behörde Twitter nutzen kann, ohne gegen rechtliche Vorgaben zu verstoßen. Auf die Rechtslage kommen wir gleich zu sprechen. Aber zunächst mal: Wie läuft es denn bei der Kommunikation und Öffentlichkeitsarbeit seit dem Ausstieg von Twitter Ende Januar 2020?

Stefan Brink: Kein Zweifel: Ohne Twitter ist die Kommunikation schwieriger als mit. Uns fehlten zunächst insbesondere der Austausch mit der Datenschutz-Community auf Twitter, und viele Anfragen von JournalistInnen, die uns auf Twitter folgten, blieben aus. Da liegt noch viel Arbeit vor uns, die Kontakte umzuleiten oder wieder neu aufzubauen. Für Datenschützer sollte es einleuchtend sein, dass die Datenschutzkonformität der Kommunikationsplattform eine wichtige Grundbedingung ist und viel über das eigene Selbstverständnis aussagt. Aber gerade im Pressebereich werden wir noch einige Überzeugungsarbeit leisten müssen.

Insgesamt erhalten wir auch weiterhin erfreulicherweise viele positive Rückmeldungen zu unserer Arbeit. Bürger_innen, Unternehmen, Behörden, Vereine und Verbände sprechen uns an und suchen den Austausch, ganz ohne Twitter. Die Kommunikation läuft daher weiter gut. Wir bieten auf unserer Homepage viele Informationen an, möglichst viele Menschen sollen unsere Page als Informationsplattform nutzen und die Inhalte auch weitertragen – und angesichts der Abrufzahlen klappt das auch.

Wir berichten auf unseren Webseiten über alle aktuellen Themen, mit denen wir uns befassen. Wir haben eine Podcast-Reihe „Datenfreiheit!“, in der wir bereits sechs Folgen produziert haben, und werden künftig auch noch mehr Videos produzieren, in denen wir über Datenschutz und die Informationsfreiheit sprechen.

netzpolitik.org: Podcasts und Videos sind eine Sache, aber wenn man sich tiefgehender mit den Themen Datenschutz und Informationsfreiheit beschäftigen möchte oder muss, welche Möglichkeiten gibt es dann?

Stefan Brink: Wir haben seit kurzem ein eigenes Bildungszentrum und bieten hier Präsenz- und Online-Veranstaltungen an, mit sehr schöner Resonanz. Vieles ist sogar schon ausgebucht, unsere Themen sind also aktuell und gefragt. Auch haben wir damit angefangen, unsere Vortrags-Präsentationen ins Netz zu stellen. Etwa 4.500 Abonnenten erhalten unseren Newsletter, wir sind also sehr aktiv.

Seit neuestem nutzen wir auch den Microblogging-Dienst Mastodon, es ist kein vollständiger, aber doch ein guter Twitter-Ersatz – und wird datenschutzkonform auf einer von uns betriebenen Instanz angeboten.

Was spricht gegen die Nutzung von Twitter oder Facebook?

netzpolitik.org: Wer es im letzten Jahr nicht mitbekommen hat: Was sind die wichtigsten Gründe, die aus rechtlicher Sicht gegen die Nutzung von Twitter oder Facebook sprechen?

Stefan Brink: In der Facebook-Fanpage-Entscheidung des Europäischen Gerichtshofs vom 5. Juni 2018 (Az. C-210/16) erklärt das Gericht, dass auch Betreiber einer Fanpage neben dem Plattformbetreiber selbst als Verantwortliche im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen sind. Bei Datenschutzverstößen können Facebook-Nutzer demnach also nicht mehr allein auf den Plattformbetreiber verweisen, sondern sind für die datenschutzkonforme Umsetzung vielmehr selbst (mit) zuständig – und verantwortlich.

Das führt auch dazu, dass zwischen den beiden gemeinsam Verantwortlichen ein Vertrag gemäß Artikel 26 DSGVO abgeschlossen werden muss, in dem die Wahrnehmung der Pflichten durch die Parteien, wie beispielsweise die Information gegenüber Betroffenen, transparent und eindeutig geregelt werden muss.

Da solche Verträge in datenschutzgerechter Form nicht vorlagen und bis heute nicht vorliegen, war und ist für öffentliche sowie private Betreiber von Fanpages klar: Der Social-Media-Auftritt konnte nicht in rechtskonformer Weise betrieben werden!

Hinzu kam für meinen Twitter-Account: Durch ein Urteil des Bundesverwaltungsgerichts vom 11. September 2019 (Az. 6 C 15.18) wurde nicht nur die datenschutzrechtliche Verantwortlichkeit des Fanpagebetreibers bestätigt, sondern wurde den Aufsichtsbehörden das Auswahlermessen zugesprochen, zur Beseitigung von Rechtsverstößen beim Betrieb der Plattform wahlweise sowohl den Plattformbetreiber als also auch den Accountinhaber als „Störer“ in die Pflicht zu nehmen. Dadurch blieb für den Betrieb meines Accounts bei Twitter kein Raum mehr. Das Urteil sagt aber auch, dass wir als Aufsichtsbehörde aktiv gegen (Mit-)Verantwortliche vorgehen können.

Außerdem ergeben sich durch das am 16. Juli 2020 ergangene Urteil des Europäischen Gerichtshofs zu „Schrems II“ (Az. C-311/18) nochmals aktuelle weitere Schwierigkeiten bei der Frage nach einer datenschutzkonformen Nutzung von Social-Media-Plattformen wie Twitter. In seiner Entscheidung erklärt das Gericht das EU-US-Privacy Shield für unwirksam, da das nationale amerikanische Recht insbesondere aufgrund der Zugriffsmöglichkeit seitens der Sicherheitsbehörden kein mit der EU vergleichbares Datenschutzniveau darstellt.

netzpolitik.org: Im Februar 2020 wurde eine aktualisierte „Richtlinie zur Nutzung von Sozialen Netzwerken“ veröffentlicht, in der die Anforderungen an die behördliche Benutzung von kommerziellen Werbeplattformen an die Rechtsprechung angepasst wurden. Wie waren die Reaktionen darauf?

Stefan Brink: Grundsätzlich war die Resonanz positiv, in Fachkreisen und auch in der Praxis. Viele öffentliche Stellen haben – nicht nur in Baden-Württemberg – durch unsere Richtlinien nachvollzogen, dass rechtlich valide Nutzungskonzepte notwendig sind, um der Rechenschaftspflicht nachzukommen.

Die Richtlinien gelten aber nicht nur in der Theorie, sondern auch in der Praxis. Und da tun sich öffentliche Stellen noch schwer, datenschutzkonforme Lösungen für die Bürgerschaft anzubieten. Wir werden uns auch weiterhin mit Nachdruck für die Förderung dringender benötigter datenschutzkonformer Angebote für öffentliche Stellen einsetzen. Und wir machen mit der Mastodon-Instanz einen Schritt auf die Behörden in Baden-Württemberg zu.

die Mastodon-Instanz im Testbetrieb
Und so sieht die noch im Testbetrieb befindliche Mastodon-Instanz aus: https://bawü.social/@lfdi. Um das illustrierende Schafe-Bild zu verstehen, lohnt sich ein Klick auf folgendes Video im Monty-Python-Stil.

netzpolitik.org: Es gibt nun also eine föderierte, selbst gehostete, quasi amtliche Social-Media-Plattform ohne Werbung, ohne Tracking, ohne Kommerz. Ist damit eigentlich jedes Datenschutzproblem aus dem Weg geräumt?

Stefan Brink: Der dezentrale Microblogging-Dienst Mastodon beispielsweise ist vorteilhaft, weil keine Nutzungsdaten in großem Stil zentral erfasst werden, die Daten nicht in unsichere Drittländer abfließen müssen und wir unseren Server auf Mastodon selbst betreiben können. Wir werden künftig auch Behörden in Baden-Württemberg einladen, auf dem Server einen Account einzurichten. Bürger_innen können dann über Mastodon direkt mit den öffentlichen Stellen ihrer Wahl kommunizieren. Jedenfalls wird der Serverbetreiber die Daten nicht verhökern.

Es ist gut, wenn tatsächlich die Kommunikation im Vordergrund steht und nicht Produktwerbung oder Profilbildung. Nutzer_innen entscheiden, was sie von sich preisgeben wollen. Natürlich ist damit nicht jedes Datenschutzproblem aus dem Weg geräumt. Auch bei selbst betriebenen Diensten müssen die gesetzlichen Anforderungen wie Datenminimierung und Zweckbindung eingehalten werden, Datenschutzerklärung und Nutzerinfo müssen stimmen. Bei Nutzung fremder Dienste hat man aber unterm Strich kaum effektive Kontrolle über die Daten – mit eigenem Engagement aber schon.

netzpolitik.org: Warum fiel die Entscheidung auf Mastodon?

Stefan Brink: Weil man hier seinen Server selber betreiben kann und damit die volle Kontrolle über die Verarbeitung behält. Es ist kein Dienstleister mit im Spiel, der Werbeprofile erstellt oder andere Interessen verfolgt.

netzpolitik.org: Behörden sollten da kommunizieren, wo die Menschen sind. Können ausreichend Menschen über Mastodon erreicht werden oder ist die zusätzlicher Nutzung weiterer, auch kommerzieller Plattformen im Grunde unumgänglich?

Stefan Brink: Viele Menschen wollen digital kommunizieren, und genau das gehört ja auch zur informationellen Selbstbestimmung. Wir wollen das auch. Mastodon ist dafür sehr gut geeignet. Natürlich ist es einfacher, über Twitter eine größere Reichweite zu bekommen. Ich verstehe auch, wenn mir Bürgermeister_innen sagen, dass sie ihre Bürgerschaft direkt ansprechen wollen. Aber Reichweite kann nicht das Argument sein, die Gesetzeslage und Rechtsprechung zu ignorieren. Und der Austausch mit der Bürgerschaft ist für Bürgermeister_innen auch über datenschutzkonforme Kanäle möglich.

Es muss umgekehrt niemand seine Bürgerrechte abgeben, um mit seiner Verwaltung zu kommunizieren. Denn das muss sich jede Behörde auf kommerziellen Social-Media-Plattformen klarmachen: Sie erkauft sich die Reichweite mit den persönlichen Daten der Bürgerinnen und Bürger. Das ist ein schmutziger Deal.

Ich erwarte zuvörderst von den Behörden, dass sie sich rechtskonform verhalten. Wenn staatliche Stellen das Recht nicht respektieren, warum sollten dann Bürger_innen das tun? Der digitale Wandel ist nicht aufzuhalten, und er bringt jede Menge Vorteile, gerade beim Austausch miteinander. Aber wir müssen dabei auch die rechtlichen Grenzen respektieren, sonst kommen nicht nur einzelne Menschen, sondern die gesamte Kommunikation zu Schaden. Wenn Menschen die direkte Kommunikation wollen, sollten wir uns bemühen, das auch als Datenschützer hinzubekommen. Es sind Ideen gefragt, wie möglichst viele Menschen erreicht werden können und zugleich die DSGVO eingehalten wird. Digitalisierung und Datenschutz gehören zusammen, ohne einander werden beide scheitern.

netzpolitik.org: Vielen Dank für das Gespräch.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Durch klicken des Links wird unser Spenden-Widget geladen. Dabei werden Daten an unseren Spendendienstleister twingle gesendet. Weitere Infos findest Du in unserer Datenschutzerklärung.

3 Ergänzungen

  1. Ich begrüsse die Entwicklung, dass staatliche Stellen sich nun endlich bewegen. Super finde ich auch, dass das Recihweite-Argument sehr treffend entkräftet wurde.
    Insgesamt denke ich, sollte die Aufsichtsbehörden endlich für die Umsetzung des SchremsII-Urteils sorgen und gezielt bei Firmen/Behörden prüfen. Mittlerweile sind 6 Monate ins Land gezogen. Ein Beispiel: Viele Firmen benutzen Microsoft-Produkte (MS-Teams, 365, Windows-10). Die Arbeitnehmer:innen sind per Weisungsrecht daran gebunden, diese Microsoft-Tools zu benutzen; somit können Sie sich nur schwer gegen die Missachtung des SchremsII-Urteils wehren. Ich behaupte, der Grossteil der Firmen macht sich keine Vorstellung davon, dass bei der Benutzung von MS-Tools nun gegen EuGH-Urteile verstossen wird. Warum gibt bei diesem Beispiel nicht endlich Prüfungen seitens der Behörden? Klar, kann sich eine Arbeitnehmer:in bei der Datenschutzbehörden beschweren, nur dann ist die Karriere intern doch gelaufen. Was fü ein Dilemma. Übrigens von den Gewerkschaften hört man da auch nichts- oh Wunder, die benutzen diese Microsoft-Produkte ja auch…

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.