Unklarheit über Datenschutz und Meinungsfreiheit: Behörden ziehen sich aus sozialen Medien zurück

Freiwillige Social-Media-Abstinenz ist nichts Neues. Robert Habeck löschte vor einem Jahr sowohl seinen Twitter- als auch seinen Facebook-Account, mit Verweis auf eigene Kommunikationsfehler auf den Plattformen.

Dass sich ganze Behörden jedoch unter Berufung auf eine rechtliche Notlage aus den sozialen Netzwerken verabschieden, dürfte in den kommenden Tagen und Wochen für Diskussionen sorgen. Es geht dabei um Intransparenz bei den Plattformbetreibern, aber auch um das bisher nicht gelöste Verhältnis zwischen Meinungsfreiheit und Datenschutz nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO).

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink hat den Anfang gemacht. Silvester sagte er im Gespräch mit der Deutschen Presse-Agentur, dass er seinen Twitter-Account mit 5400 Followern zum 31. Januar 2020 löschen werde. Er könne nicht Datenschutzbeauftragter und somit Aufsichtsbehörde sein und gleichzeitig Nutzer eines womöglich datenschutzrechtlich problematischen Netzwerks.

Brink geht noch weiter: Laut geltender Rechtslage seien Nutzer mitverantwortlich für die Datenverarbeitung in sozialen Netzwerken. Prinzipiell gelte das „nicht nur für eine Aufsichtsbehörde, sondern für alle Behörden und auch Privatunternehmen, die soziale Medien nutzen“. Er werde in den kommenden Wochen Gespräche mit Ministerien, der Polizei, aber auch mit Unternehmen führen. „Das werden schwierige Gespräche, weil sich alle an die sozialen Netzwerke gewöhnt haben.“

Am Freitag wurde auch bekannt, dass sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) ihre Social-Media-Aktivitäten prüfen.

Werden Nutzer zu Verarbeitern personenbezogener Daten?

Im Zentrum der von Brink losgetretenen Debatte stehen dabei zwei Gerichtsurteile, die sich zunächst vor allem mit dem Betrieb von Facebook-Fanpages beschäftigten. Am 5. Juni 2018 urteilte der Europäische Gerichtshof (EuGH) im Streit um eine Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein, dass User, die eine solche Fanpage einrichten, gemeinsam mit Facebook zu Verarbeitern von personenbezogenen Daten werden.

Das Urteil hat auch Konsequenzen für die Definition von Fanpages in Bezug auf die DSGVO: Denn wo es gemeinsame Datenverarbeitung gibt, muss laut Artikel 26 auch eine Vereinbarung zwischen den Verantwortlichen geschlossen werden, in der laut Artikel 26 Absatz 1 die Pflichten gegenüber Dritten „transparent“ festgelegt werden sollen. Dafür müsste Facebook aber gegenüber allen Usern offenlegen, wann und mit welchen Mitteln Daten verarbeitet werden.

Datenschutzbehörden können Betreiben von Fanpages untersagen

Das Bundesverwaltungsgericht urteilte in einem Revisionsverfahren zu dem Fall aus Schleswig-Holstein am 11. September 2019, dass Datenschutzbehörden den Betrieb von Facebook-Fanpages untersagen können, „falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel“ aufweise. Ausdrücklich bezieht sich das Gericht auch auf das rechtlich bindende EuGH-Urteil von 2018.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hatte zuvor mit Berufung auf das Telemediengesetz bemängelt, dass Facebook nur unzureichende Angaben über Art, Umfang und Zweck der Datenerhebung mache, und den Betrieb der Fanpage der Wirtschaftsakademie untersagt.

„Unklar, wie Twitter Nutzerdaten verarbeitet“

Stefan Brink argumentiert nun wiederum, dass für den Betrieb von Twitter-Accounts ähnliche rechtliche Bewertungsmaßstäbe gelten müssten wie für Facebook-Fanpages. Auch Twitter sammle im Hintergrund Nutzerdaten. Für die User sei aber nicht klar, wie diese verarbeitet würden.

Das Bundesministerium für Wirtschaft und Energie (BMWi) teilte auf Anfrage von Tagesspiegel Background mit, dass innerhalb der Bundesregierung das Justizministerium (BMJV) und das Bundespresseamt für solche Fragen zuständig seien. „Das BMWi beobachtet das Thema aufmerksam“, so eine Sprecherin. Auch das Bundesministerium der Finanzen (BMF) verwies auf das BMJV.

Justizministerium: Prüfen Auswirkungen der Urteile

Vonseiten des BMJV hieß es, dass die Urteile des EuGHs und des Bundesverwaltungsgerichts „zur Kenntnis genommen“ worden seien und deren Auswirkungen derzeit „geprüft“ würden. „Davon unabhängig setzt sich das BMJV seit Langem kritisch mit dem Umgang der Plattformen mit den Daten ihrer Nutzerinnen und Nutzer auseinander“, so ein Sprecher des Ministeriums.

„Das BMJV hat sich intensiv für ein strenges europäisches Recht zum Schutz der Privatsphäre eingesetzt, das mit der Datenschutzgrundverordnung seit Mai 2018 in der gesamten EU gilt.“ Das Bundespresseamt, so war aus Kreisen der Bundesregierung zu hören, werde sich im Laufe der Woche zu der Thematik äußern.

1200 Follower, aber noch kein Tweet

Laut Paragraf 14 des Bundesdatenschutzgesetzes ist der Bundesbeauftragte für den Datenschutz (BfDI) dafür zuständig, Empfehlungen für die Bundesregierung und andere öffentliche Organe auszusprechen. Die Behörde pflegt bereits seit einiger Zeit ein ambivalentes Verhältnis zu den sozialen Medien – auch aus datenschutzrechtlichen Bedenken.

Ein Sprecher des BfDI sagte Tagesspiegel Background, dass man zwar einen Account mit dem Handle @BfDI_info reserviert habe. Der Account existiert auch tatsächlich bereits seit Januar 2019, ihm folgen mehr als 1200 User – aber bis heute wurde darüber kein einziger Tweet abgesetzt. „Wir prüfen, ob wir ihn einsetzen“, teilte ein Sprecher des BfDI mit.

Bundesdatenschutzbeauftragter ist nicht bei Facebook

Für die Social-Media-Kommunikation via Facebook ist die Entscheidung des BfDI freilich schon längst gefallen: Der amtierende Bundesdatenschutzbeauftragte Ulrich Kelber hatte als SPD-Bundestagsabgeordneter eine Facebook-Fanpage. Als er Anfang 2019 in sein neues Amt wechselte, löschte er die Seite, weil diese nicht datenschutzkonform betrieben werden könne. Das war sogar noch bevor das Bundesverwaltungsgericht das EuGH-Urteil aufgegriffen hatte. Pläne für eine Facebook-Fanpage des BfDI gäbe es dementsprechend nicht.

Der Datenschutzexperte Malte Engeler, Richter am Verwaltungsgericht Schleswig-Holstein, glaubt, dass derzeit kein Twitter-Account DSGVO-konform betrieben werden kann. „Die Rechtslage ist erdrückend offensichtlich, wenn nicht sogar eindeutig“, meint Engeler, der seine Sichtweise – ironischerweise – auf Twitter darlegte. Infolge des EuGH-Urteils sei eigentlich eine Vereinbarung über die gemeinsame Verarbeitung von Daten nach Artikel 26 DSGVO zwischen dem User und dem Plattformbetreiber zwingend. Dies sei jedoch nicht möglich, weil Netzwerke wie Twitter und Facebook die dafür nötigen Informationen nicht zur Verfügung stellten.

„Unklar, ob das Tracking von Nutzern überhaupt rechtmäßig ist“

Doch selbst wenn diese Infos bereitgestellt werden würden, so Engeler, sei es unklar, ob beispielsweise das von sozialen Netzwerken praktizierte Tracking von Nutzern überhaupt rechtmäßig ist. „Eine Behörde kann die Rechtsprechung des EuGH nun einmal nicht ermessensfehlerfrei vollziehen, wenn sie selbst das Recht verletzt“, schreibt Engeler. Er kritisiert, dass Behörden nach Einführung der Datenschutzgrundverordnung überhaupt noch in den sozialen Netzwerken aktiv waren. „Der Weiterbetrieb hat faktisch den Vollzug der DSGVO im Bereich sozialer Medien lahmgelegt und die Glaubwürdigkeit der Aufsichtsbehörden beschädigt.“

Ein weiteres Problem sei, dass die Öffentlichkeitsarbeit von Behörden auf sozialen Netzwerken nur unzulänglich geregelt sei, sagt Jan Mönikes, Rechtsanwalt für IT- und Medienrecht, im Gespräch mit Tagesspiegel Background. Denn die Informations- und Meinungsfreiheit, die im Grundgesetz verankert ist, schützt nur Presse und Privatpersonen: „Staatliche Institutionen wie Behörden können selbst aber keine Grundrechtsträger sein. Damit sind von ihnen verbreitete Informationen nicht vom Grundgesetz geschützt.“

Welchen Umfang darf behördliche Öffentlichkeitsarbeit haben?

Daher stützt sich die Öffentlichkeitsarbeit der Behörden hauptsächlich auf ein Urteil des Bundesverfassungsgerichts von 1977, das staatlichen Stellen erlaubt, Bürgerinnen und Bürger über wichtige Sachfragen zu informieren. „Was aber fehlt, ist ein Gesetz, das einheitlich auf Bundesebene festlegt, welchen Umfang und welche Grenzen die behördliche Öffentlichkeitsarbeit allgemein haben darf.“

Mit der DSGVO sei dieser Zustand noch verschärft worden, erklärt Mönikes. Denn es gebe einen generellen Konflikt zwischen Datenschutzrecht und Meinungsfreiheit: „Die Presse- und Meinungsfreiheit erlaubt, dass prinzipiell alles gesagt werden darf, mit explizit verbotenen Ausnahmen.“ Im Gegensatz dazu gebe es im Datenschutzrecht ein generelles „Verbot mit Erlaubnisvorbehalt“ – das Verbot der Verarbeitung personenbezogener Daten sei die Regel, erlaubt seien nur Ausnahmen, erklärt Mönikes. „Die Presse ist von diesen Einschränkungen weitgehend befreit, aber nach einer sehr engen Definition. Darunter fällt die Öffentlichkeitsarbeit von Behörden und Unternehmen nicht.“

Forderung: Datenschutz und Meinungsfreiheit in Einklang bringen

Der EU-Gesetzgeber habe das erkannt und die Mitgliedsstaaten in der DSGVO dazu verpflichtet, den Datenschutz einerseits und die Informations- und Meinungsfreiheit andererseits in Einklang zu bringen. Durch nationale Gesetze könnten Ausnahmen oder Abweichungen über die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken hinaus festgelegt werden. Also auch für die Kommunikation von Behörden und Unternehmen.

Dieser Ausgleich hätte mit dem zweiten Anpassungs- und Umsetzungsgesetz für die DSGVO eigentlich bereits vergangenes Jahr vorgenommen werden können. Die jetzige SPD-Vorsitzende Saskia Esken hatte sich für eine entsprechende Regelung starkgemacht. Doch aufgrund der Komplexität des Vorhabens wurde die Neuregelung in ein separates Gesetzgebungsverfahren ausgelagert – bisher ohne konkrete Ergebnisse. Ein Zustand, der dringend behoben werden müsse, sagt Mönikes: „Denn die Öffentlichkeitsarbeit von Behörden auf sozialen Netzwerken ist absolut wichtig – aber eigentlich rechtlich nicht haltbar.“

Dass nun der Rückzug von Behörden aus den sozialen Netzwerken diskutiert werde, verfehle das Ziel der DSGVO: „Ursprünglich sollten damit ‚Datenkraken‘ wie Facebook und Twitter in den Griff bekommen werden – doch sich aus einem Netzwerk zurückzuziehen, weil das Internet nun mal zwangsläufig Daten verarbeitet, stärkt nicht den Datenschutz. Es schwächt nur die Bürgerkommunikation. Und schadet der Akzeptanz der Datenschützer.“