Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat Mitte Juni 2021 ein Rundschreiben an sämtliche deutsche Bundesministerien und oberen Bundesbehörden gerichtet, in dem er (erneut) auf die Problematik deren Facebook-Auftrittes hinweist. Dies insbesondere vor dem Hintergrund, dass nach seiner Einschätzung eine rechtskonforme Verwendung nicht möglich sei und die öffentlichen Stellen eine Vorbildfunktion hätten. In seinem neuerlichen Rundschreiben kündigte der BfDI sogar an, schrittweise von den ihm nach Art. 58 DSGVO zustehenden Abhilfemaßnahmen Gebrauch zu machen. Was könnte dies für österreichische Unternehmen, die einen Social Media Auftritt betreiben, bedeuten?
Problemaufriss
Nach der Rechtsprechung des EuGH (C-210/16, C-40/17 und C-25/17) liegt beim Betrieb einer „Fanpage“ in der Regel eine gemeinsame Verantwortlichkeit vor, obwohl die Betreiber einer solchen „Fanpage“ grundsätzlich keinen Einfluss auf die Verarbeitung der Daten hat. Das bedeutet, dass ein Unternehmen, welches eine „Fanpage“ betreibt, zwar in der Regel keinen Einfluss auf die Verarbeitung der Daten hat, aber gemeinsam mit dem Social Media Betreiber haftet.
Erschwerend kommt hinzu, dass die meisten Social-Media-Dienstleister, wie z.B. auch Facebook Inc., zwar einen Sitz in der Europäischen Union haben, aber (zumindest einige) personenbezogene Daten an die jeweilige Muttergesellschaft in den USA übermitteln. Eine solche Datenübermittlung ist aber seit der Entscheidung Schrems II (C-311/18) aufgrund des unzureichenden Schutzes von personenbezogenen Daten in den USA kaum mehr rechtskonform möglich.
Obwohl Facebook – in Reaktion auf die EuGH Rechtsprechung – die sog. „Seiten-Insights“ veröffentlicht hat, bleibt der Betrieb einer „Fanpage“ wohl weiterhin datenschutzrechtlich unzulässig. Aufgrund dieser Problematik hat z.B. das deutsche Presse- und Informationsamt der Bundesregierung Facebook direkt kontaktiert. Diese Verhandlungen blieben allerdings ohne Erfolg und Facebook verwies abermals auf die unzureichenden „Seiten-Insights“.
Darüber hinaus weist der BfDI darauf hin, dass Instagram, Tiktok und Clubhouse derzeit ebenfalls auf Konformität überprüft werden. Wenig überraschend erteilt der BfDI hier den Rat, diese Anwendungen nicht auf dienstlichen Geräten zu verwenden, da erhebliche datenschutzrechtliche Bedenken bestehen.
Konsequenzen für Unternehmen
Die Auswirkungen dieser geplanten Maßnahmen auf Österreich sind derzeit nicht abschätzbar. Die Aufsichtsbehörden, in Österreich die Datenschutzbehörde, hat insbesondere die Möglichkeit, je nach Einzelfall den Betrieb einer „Fanpage“ zu untersagen (Art 58 DSGVO) und Geldbußen zu verhängen (Art 83 DSGVO).
In diesem Zusammenhang ist auch die jüngste Entscheidung des EuGH (C-645/19) zu beachten, nach der es einer nicht federführenden Aufsichtsbehörde bei grenzüberschreitenden Datenverarbeitungen möglich ist, ein Verfahren gegen einen Verantwortlichen einzuleiten. So kann auch unter Umständen eine deutsche Aufsichtsbehörde bei in Österreich begangenen Verstößen gegen die datenschutzrechtlichen Bestimmungen vorgehen.
Es bleibt mit Spannung abzuwarten wie die deutschen und österreichischen Aufsichtsbehörden und Gerichte reagieren.
Daher:
Das Betreiben einer „Fanpage“ ist datenschutzrechtlich mehr als kritisch und sollte unternehmensintern überdacht werden, um Risiken zu minimieren. Zumindest in Deutschland scheint festzustehen, dass in Zukunft jedenfalls mit Verfahren vor Gerichten und den zuständigen Aufsichtsbehörden zu rechnen ist. Wir empfehlen jedenfalls eine Risikoabwägung, ob der Einsatz von „Fanpages“ bzw. Social Media derzeit sinnvoll ist.
Bei Fragen zum Einsatz von Social-Media steht Ihr KWR-Datenschutzteam Ihnen gerne zur Verfügung.