Die Forderung des Bundesdatenschutzbeauftragten an die Bundesregierung, ihre Facebook-Fanpage zu löschen, hat in den letzten Wochen für Schlagzeilen gesorgt. Die Hintergründe liegen in der Rechenschaftspflicht nach Art. 5 Abs. 2 der Datenschutz-Grundverordnung (DSGVO). Als Verantwortlicher muss man nachweisen, dass man die DSGVO einhält. Das gilt auch für die Bundesregierung und ihre Facebook-Fanpage. Da die rechtskonforme Nutzung der Fanpage nicht ausreichend nachgewiesen werden konnte, hat die Datenschutzbehörde einen Untersagungsbescheid erlassen.
Als ich DAS las, da war ich nun wirklich erstaunt. Es passiert nicht alle Tage, dass sich eine Behörde, noch dazu eine Bundesbehörde, mit einer anderen Behörde anlegt und ihr sogar einen Untersagungsbescheid zustellt.
Zum Hintergrund: Die Bundesregierung benutzt für ihre Öffentlichkeitsarbeit eine Facebook-Fanpage. Klingt erst einmal unspektakulär.
Dahinter steckt allerdings eine datenschutzrechtliche Grundsatzfrage:
Nach den allgemeinen Regeln ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Dieser Verantwortliche hat spezielle Pflichten. Vor allem, wenn er sich anderer Dienstleister bedient.
Der Bundesdatenschutzbeauftragte ist der Ansicht, dass sowohl der Betreiber der Fanpage (also die Bundesregierung) als auch Facebook selbst verantwortlich sind. Die DSGVO hält für solche Konstellationen das Konstrukt der gemeinsamen Verantwortlichkeit (joint controllers) bereit.
Wie der Begriff es schon vermuten lässt, sind beide Stellen verantwortlich - mit allen Rechten und Pflichten: z.B. können Betroffene ihre Rechte bei beiden Stellen geltend machen.
Der Bundesdatenschutzbeauftragte hat Verantwortlicher Nummer 1 (Bundesregierung) gefragt, was denn Rechtsgrundlage für die Verarbeitung der Daten in den USA auf den Servern von Facebook sei. Da das Privacy Shield Abkommen gekippt wurde, müssen zusätzliche Maßnahmen ergriffen werden, um einen Datentransfer in die USA rechtskonform zu ermöglichen.
Da gibt es verschiedene Ansätze. Der bekannteste dürfte wohl der Abschluss von den Standarddatenschutzklauseln (auch Standardvertragsklauseln genannt) sein. Das alleine reicht jedoch noch nicht. Zusätzlich muss für den Einzelfall geprüft werden, welche Auswirkungen der Datentransfer für die Grundfreiheiten der betroffenen Person hat. Dazu müssen auch zusätzliche Schutzmaßnahmen beachtet werden, die dem Schutz der personenbezogenen Daten der betroffenen Person dienen. Dazu gehören Verschlüsselung, Rechtsbehelfe und so weiter. Also Maßnahmen, die den unberechtigten Zugriff durch US-Behörden verhindern.
Okay, aber ist das nicht Facebooks Aufgabe in dem Fall?
Berechtigter Einwand. Wäre da nicht der Umstand der gemeinsamen Verantwortlichkeit. Man sitzt im selben Boot.
Ich gehe mal davon aus, das Bundespresseamt hat sich sichtlich bemüht, die Nachfragen des Bundesdatenschutzbeauftragten hierzu so gut es ging zu beantworten.
Hat das ausgereicht?
Interessant ist dabei, dass der Bundesdatenschutzbeauftragte sich dabei eines „Tricks“ bedient. Wer meinen Vortrag im VA-Mentoring besucht hat, der erinnert sich hoffentlich noch daran.
Die Argumentation basiert auf der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO. Denn als Verantwortlicher musst Du nachweisen, dass Du die DSGVO einhältst.😱
Das gilt auch für die Regierung. Von der Vorbildfunktion einer an Recht und Gesetz gebundenen Behörde (Rechtsstaat und so) mal ganz zu schweigen.
Und weil die Bundesregierung die rechtskonforme Nutzung ihrer Facebook Fanpage nicht ausreichend nachweisen konnten, gibts nun Stress zwischen den beiden Behörden: Bundesdatenschutzbeauftragter vs. Bundespresseamt (stellvertretend für die Bundesregierung).
Normalerweise ist es in Jura so, wenn ich was von einem anderen will (Anspruch), dann muss ich meinen Anspruch auch beweisen. Wenn mir eine Strafe oder ein Bußgeld droht, dann muss der Staat mir mein Fehlverhalten nachweisen - Stichwort: Unschuldsvermutung. ⚖️
In der DSGVO steht indessen, dass der Verantwortliche selbst, die Einhaltung der DSGVO nachweisen muss: damit ist das eine Art Beweislastumkehr.
Das gibt es im deutschen Recht nur selten, z.B. bei Ärzt*innen. Diese müssen bei Fragen der Arzthaftung auch nachweisen, dass sie richtig behandelt haben und keine Fehler gemacht haben. Nicht der Patient muss den Fehler nachweisen.
Wir sind alle wie Ärzte in der Datenschutzklinik.🥼🏥
Hinkt etwas der Vergleich, aber ein Funken Wahrheit ist dran.
Wir als Verantwortliche müssen nachweisen, dass alles DSGVO-konform bei uns abläuft.🕵️
Fehlt der Datenschutzbehörde vielleicht noch das entscheidende Fünkchen Beweis für einen Verstoß, dann können Sie den Spieß einfach umdrehen.
Nicht mehr die Behörde muss dann Dein Fehlverhalten nachweisen. Vielmehr musst Du nachweisen, dass Du die DSGVO einhältst.
Genau das hat der Bundesdatenschutzbeauftragte nun getan und seinen Bescheid damit begründet, dass die Bundesregierung ihrer Rechenschaftspflicht nicht zur Überzeugung des Bundesdatenschutzbeauftragten nachgekommen ist.
Dies hat meiner Einschätzung nach richtungsweisende Bedeutung:
Ein erster Schritt ist, sich mit den Anforderungen der DSGVO vertraut zu machen und gegebenenfalls einen Experten zurate zu ziehen. Es ist wichtig, dass man sich über die Formalitäten informiert und diese auch umsetzt, um möglichen Konsequenzen vorzubeugen.
In meinem Online-Kurs erfährst Du, wie Du der Rechenschaftspflicht nachkommst und Dein Business DSGVO-konform machst. Dort lernst Du auch, wie Du Dich vor Bußgeldern und Strafen schützen kannst. Setze Dich jetzt unverbindlich auf die Warteliste und erfahre als einer der Ersten, wenn es losgeht!
Inzwischen hat die Bundesregierung angekündigt, gegen den Bescheid Klage zu erheben. Diese ist mittlerweile beim Verwaltungsgericht Köln anhängig. Das ist gut. Sehr gut sogar. Denn so wird die Argumentation der Behörde und deren Entscheidung gerichtlich überprüft. Am Ende des Tages entscheidet in einem Rechtsstaat nun mal ein Gericht, nicht eine Behörde.