Die Forderung des Bundesdatenschutzbeauftragten an die Bundesregierung, ihre Facebook-Fanpage zu löschen, hat in den letzten Wochen für Schlagzeilen gesorgt. Die Hintergründe liegen in der Rechenschaftspflicht nach Art. 5 Abs. 2 der Datenschutz-Grundverordnung (DSGVO). Als Verantwortlicher muss man nachweisen, dass man die DSGVO einhält. Das gilt auch für die Bundesregierung und ihre Facebook-Fanpage. Da die rechtskonforme Nutzung der Fanpage nicht ausreichend nachgewiesen werden konnte, hat die Datenschutzbehörde einen Untersagungsbescheid erlassen.
Der Bundesdatenschutzbeauftragte hat die Bundesregierung per Bescheid aufgefordert, ihre Facebook-Fanpage zu löschen.
Als ich DAS las, da war ich nun wirklich erstaunt. Es passiert nicht alle Tage, dass sich eine Behörde, noch dazu eine Bundesbehörde, mit einer anderen Behörde anlegt und ihr sogar einen Untersagungsbescheid zustellt.
Inhaltsverzeichnis
Warum macht der das?
Zum Hintergrund: Die Bundesregierung benutzt für ihre Öffentlichkeitsarbeit eine Facebook-Fanpage. Klingt erst einmal unspektakulär.
Dahinter steckt allerdings eine datenschutzrechtliche Grundsatzfrage:
Wer ist Verantwortlicher?
Nach den allgemeinen Regeln ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Dieser Verantwortliche hat spezielle Pflichten. Vor allem, wenn er sich anderer Dienstleister bedient.
- Siehe hierzu auch meinen Blog-Artikel zur Auftragsverarbeitung
Der Bundesdatenschutzbeauftragte ist der Ansicht, dass sowohl der Betreiber der Fanpage (also die Bundesregierung) als auch Facebook selbst verantwortlich sind. Die DSGVO hält für solche Konstellationen das Konstrukt der gemeinsamen Verantwortlichkeit (joint controllers) bereit.
Welche Auswirkungen hat die gemeinsame Verantwortlichkeit?
Wie der Begriff es schon vermuten lässt, sind beide Stellen verantwortlich – mit allen Rechten und Pflichten: z.B. können Betroffene ihre Rechte bei beiden Stellen geltend machen.
Der Bundesdatenschutzbeauftragte hat Verantwortlicher Nummer 1 (Bundesregierung) gefragt, was denn Rechtsgrundlage für die Verarbeitung der Daten in den USA auf den Servern von Facebook sei. Da das Privacy Shield Abkommen gekippt wurde, müssen zusätzliche Maßnahmen ergriffen werden, um einen Datentransfer in die USA rechtskonform zu ermöglichen.
Wie stellt man das an?
Da gibt es verschiedene Ansätze. Der bekannteste dürfte wohl der Abschluss von den Standarddatenschutzklauseln (auch Standardvertragsklauseln genannt) sein. Das alleine reicht jedoch noch nicht. Zusätzlich muss für den Einzelfall geprüft werden, welche Auswirkungen der Datentransfer für die Grundfreiheiten der betroffenen Person hat. Dazu müssen auch zusätzliche Schutzmaßnahmen beachtet werden, die dem Schutz der personenbezogenen Daten der betroffenen Person dienen. Dazu gehören Verschlüsselung, Rechtsbehelfe und so weiter. Also Maßnahmen, die den unberechtigten Zugriff durch US-Behörden verhindern.
Okay, aber ist das nicht Facebooks Aufgabe in dem Fall?
Berechtigter Einwand. Wäre da nicht der Umstand der gemeinsamen Verantwortlichkeit. Man sitzt im selben Boot.
Ich gehe mal davon aus, das Bundespresseamt hat sich sichtlich bemüht, die Nachfragen des Bundesdatenschutzbeauftragten hierzu so gut es ging zu beantworten.
Hat das ausgereicht?
Interessant ist dabei, dass der Bundesdatenschutzbeauftragte sich dabei eines „Tricks“ bedient. Wer meinen Vortrag im VA-Mentoring besucht hat, der erinnert sich hoffentlich noch daran.
Die Argumentation basiert auf der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO. Denn als Verantwortlicher musst Du nachweisen, dass Du die DSGVO einhältst.😱
Das gilt auch für die Regierung. Von der Vorbildfunktion einer an Recht und Gesetz gebundenen Behörde (Rechtsstaat und so) mal ganz zu schweigen.
Und weil die Bundesregierung die rechtskonforme Nutzung ihrer Facebook Fanpage nicht ausreichend nachweisen konnten, gibts nun Stress zwischen den beiden Behörden: Bundesdatenschutzbeauftragter vs. Bundespresseamt (stellvertretend für die Bundesregierung).
Warum ist mehr als nur ein Einzelfall?
Normalerweise ist es in Jura so, wenn ich was von einem anderen will (Anspruch), dann muss ich meinen Anspruch auch beweisen. Wenn mir eine Strafe oder ein Bußgeld droht, dann muss der Staat mir mein Fehlverhalten nachweisen – Stichwort: Unschuldsvermutung. ⚖️
In der DSGVO steht indessen, dass der Verantwortliche selbst, die Einhaltung der DSGVO nachweisen muss: damit ist das eine Art Beweislastumkehr.
Das gibt es im deutschen Recht nur selten, z.B. bei Ärzt*innen. Diese müssen bei Fragen der Arzthaftung auch nachweisen, dass sie richtig behandelt haben und keine Fehler gemacht haben. Nicht der Patient muss den Fehler nachweisen.
Was bedeutet das?
Wir sind alle wie Ärzte in der Datenschutzklinik.🥼🏥
Hinkt etwas der Vergleich, aber ein Funken Wahrheit ist dran.
Wir als Verantwortliche müssen nachweisen, dass alles DSGVO-konform bei uns abläuft.🕵️
Fehlt der Datenschutzbehörde vielleicht noch das entscheidende Fünkchen Beweis für einen Verstoß, dann können Sie den Spieß einfach umdrehen.
Nicht mehr die Behörde muss dann Dein Fehlverhalten nachweisen. Vielmehr musst Du nachweisen, dass Du die DSGVO einhältst.
Genau das hat der Bundesdatenschutzbeauftragte nun getan und seinen Bescheid damit begründet, dass die Bundesregierung ihrer Rechenschaftspflicht nicht zur Überzeugung des Bundesdatenschutzbeauftragten nachgekommen ist.
Dies hat meiner Einschätzung nach richtungsweisende Bedeutung:
- Ist das Betreiben einer Facebook-Fanpage im Datenschutzrecht ein Fall der gemeinsamen Verantwortlichkeit? Falls die Bundesregierung gegen den Bescheid Klage erhebt, dann gibt es vielleicht dazu auch eine Gerichtsentscheidung, die Rechtssicherheit bringt.
- Wie geht die Bundesregierung mit dem Bescheid um? Man beachte, dass der Bundesregierung hier auch eine Vorbildfunktion zukommt. Ein Bußgeld von der Bundesbehörde muss sie kaum fürchten. Das wäre auch unlogisch, denn das Geld würde von dem einem Bundesetat in den anderen Bundesetat fließen und nur verschoben werden. Ob das die abschreckende Wirkung eines Bußgeldes haben wird, bezweifle ich.
- Die Landesdatenschutzbehörden könnten jetzt diesen „Trick“ aufnehmen und ebenfalls vermehrt anwenden. Insgesamt entsteht eh der Eindruck, die Schonzeit ist vorbei und die Behörden machen jetzt Ernst mit Konsequenzen.
Doch wie kann man der Rechenschaftspflicht nachkommen und das eigene Business DSGVO-konform machen?
Ein erster Schritt ist, sich mit den Anforderungen der DSGVO vertraut zu machen und gegebenenfalls einen Experten zurate zu ziehen. Es ist wichtig, dass man sich über die Formalitäten informiert und diese auch umsetzt, um möglichen Konsequenzen vorzubeugen.
In meinem Online-Kurs erfährst Du, wie Du der Rechenschaftspflicht nachkommst und Dein Business DSGVO-konform machst. Dort lernst Du auch, wie Du Dich vor Bußgeldern und Strafen schützen kannst. Setze Dich jetzt unverbindlich auf die Warteliste und erfahre als einer der Ersten, wenn es losgeht!
Inzwischen hat die Bundesregierung angekündigt, gegen den Bescheid Klage zu erheben. Diese ist mittlerweile beim Verwaltungsgericht Köln anhängig. Das ist gut. Sehr gut sogar. Denn so wird die Argumentation der Behörde und deren Entscheidung gerichtlich überprüft. Am Ende des Tages entscheidet in einem Rechtsstaat nun mal ein Gericht, nicht eine Behörde.
„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“
– Johannes Rauchfuss,
Rechtsanwalt für Datenschutz