Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, forderte in einem Rundschreiben v. 16.6.2021 alle Bundesministerien und -behörden dazu auf, bis Ende des Jahres ihre Facebook-Fanpages abzuschalten, sofern sie solche betreiben. Ein datenschutzkonformer Betrieb einer Facebook-Fanpage sei gegenwärtig nicht möglich. Der BfDI beabsichtigt erforderlichenfalls ab Januar 2022 von den ihm nach Art. 58 DS-GVO zur Verfügung stehenden Befugnissen Gebrauch zu machen, um seiner Aufforderung Abhilfe zu verschaffen. Medienberichten zufolge hat die Bundesregierung das Schreiben des BfDI zur Kenntnis genommen und prüft die Einschätzung nun.
Bereits mit Rundschreiben v. 20.5.2019 an alle obersten Bundesbehörden hatte Kelber darauf hingewiesen, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich sei. Dazu bedürfe es einer Vereinbarung zwischen Facebook und den Behörden, die eine Facebook-Fanpage betreiben, zur Regelung einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit nach Art. 26 DS-GVO. Das Presse- und Informationsamt der Bundesregierung (BPA) hatte daraufhin Facebook kontaktiert. Facebook hatte das BPA aber lediglich auf das öffentlich bekannte „Addendum“ verwiesen, das nach Einschätzung der Datenschutzbehörden von Bund und Ländern weiterhin unzureichend ist. Aus Sicht Kelbers zeige dies, dass Facebook weiterhin nicht zur Änderung seiner Datenverarbeitungspraxis bereit sei. Die öffentlichen Stellen der obersten Bundesbehörden, die weiterhin Facebook-Fanpages betreiben, könnten daher auch weiterhin nicht ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachkommen. Die Nutzer*innen in Bezug auf Informationen über die Verarbeitung ihrer personenbezogenen Daten schlicht auf Facebook zu verweisen, sei hierfür nicht ausreichend.
Prof. Kelber weist ferner auf das Urteil des EuGH v. 16.7.2020 (ZD 2020, 511 m. Anm. Moos/Rothkegel = MMR 2020, 597 m. Anm. Hoeren – Schrems II) hin. Darin hatte der EuGH ein angemessenes Schutzniveau, das für die Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der EU erforderlich ist, für die USA verneint. Kelber prüfe außerdem die Apps von Instagram, Tiktok und Clubhouse, wobei sich erste datenschutzrechtliche Defizite zeigten. Er empfiehlt bereits jetzt, vom Einsatz dieser Apps auf dienstlichen Geräten abzusehen. Der BfDI appelliert auch an die Vorbildfunktion der öffentlichen Stellen des Bundes, die in besonderem Maß an Recht und Gesetz gebunden und daher besonders in der Pflicht seien, sich datenschutzkonform zu verhalten.
Fazit: Ob mit dieser Aufforderung (politischer) Druck auf die betroffenen Unternehmen ausgeübt (vielleicht den europäischen/deutschen Datenschutz etwas ernster zu nehmen) oder was auch immer damit bezweckt werden soll: Es ist auch ein „Warnschuss“ für die Nutzung dieser Medien durch Unternehmen (sog. nicht öffentliche Stellen). Jedes Unternehmen sollte ernsthaft prüfen, inwieweit die Nutzung des Mediums tatsächlich Vorteile bringt.
