Rheinland-Pfalz:
Datenschutz beachten


[3.12.2020] Beim Betrieb von Social-Media-Angeboten müssen öffentliche Stellen datenschutzrechtliche Vorgaben einhalten – sonst drohen Schadensersatzklagen. Einen aktuellen Handlungsrahmen für die Nutzung sozialer Netzwerke stellt das Land Rheinland-Pfalz zur Verfügung.

Social Media datenschutzkonform betreiben. Soziale Netzwerke wie Facebook, Twitter, Instagram oder YouTube sind zu einem wesentlichen Bestandteil des beruflichen und privaten Informations- und Kommunikationsverhaltens vieler Nutzer geworden. Auch für öffentliche Stellen bilden sie relevante Kommunikationskanäle. Durch das Betreiben von Auftritten in sozialen Medien tragen öffentliche Stellen aber auch dazu bei, dass personenbezogene Daten der Nutzer ihrer Angebote an die jeweiligen Plattformbetreiber gelangen, die sie häufig (auch) zu eigenen, von der Nutzung unabhängigen Zwecken weiterverarbeiten.

Grundlegende Fragen

Seit dem Aufkommen von Social-Media-Angeboten haben sich aus Sicht des Datenschutzes grundlegende Fragen gestellt. Das hat zum Beispiel mit deren Konzeption als Plattformlösung zu tun, mit dem Geschäftsmodell, das auf einer kommerziellen Verwertung von Nutzungsdaten basiert, aber auch mit der Tatsache, dass die technischen Anbieter und Betreiber der Plattformen ihren Sitz meist außerhalb der Europäischen Union haben, wo ein vergleichbares Datenschutzniveau häufig nicht gegeben ist. So war lange Zeit umstritten, welche Verantwortung etwa öffentliche Stellen haben, die auf der Facebook-Plattform eine so genannte Fanpage betreiben und dadurch den Anlass für die Verarbeitung entsprechender Nutzungsdaten setzen.
Diesen Streit hat der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 5. Juni 2018 zum Betrieb von Facebook-Fanpages entschieden und festgestellt, dass nicht nur Facebook selbst, sondern auch der jeweilige Betreiber einer solchen Seite datenschutzrechtlich verantwortlich ist, soweit durch deren Besuch personenbezogene Daten verarbeitet werden. Öffentliche Stellen, die eine Facebook-Fanpage betreiben, sind daher selbst als datenschutzrechtlich (Mit-)Verantwortliche zu sehen. Die Seiten-Betreiber benötigen deshalb eine Rechtsgrundlage für die Verarbeitung der Nutzungsdaten und müssen auch alle weiteren Pflichten als Verantwortliche erfüllen. Mit Urteil vom 11. September 2019 stellte das Bundesverwaltungsgericht (BVerwG) ergänzend klar, dass die Datenschutzaufsichtsbehörden gegen die Betreiber von Facebook-Fanpages selbst vorgehen können, wenn bei dem Betrieb Datenschutzverstöße begangen werden.

Neue Gegebenheiten

Diese zwei Entscheidungen hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz zum Anlass genommen, den Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen aus dem Jahr 2016 zu überarbeiten und Anfang März 2020 an die neuen Gegebenheiten anzupassen. Das Dokument steht allen Verantwortlichen auf der Internet-Seite des LfDI zur Verfügung.
Aus Sicht des LfDI haben öffentliche Stellen beim Betrieb von Social-Media-Angeboten verschiedene Punkte zu berücksichtigen. So wird etwa für diejenigen Verarbeitungstätigkeiten, die der Verantwortung der öffentlichen Stelle unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 Datenschutz-Grundverordnung (DSGVO) benötigt. Das gilt auch in den Fällen, in denen die Verarbeitungstätigkeiten nicht unmittelbar selbst durchgeführt werden, sondern welche die öffentliche Stelle durch andere, gemeinsam mit ihr verantwortliche Stellen durchführen lässt.
Darüber hinaus müssen öffentliche Stellen für einen datenschutzgerechten Social-Media-Auftritt mit dem Plattformbetreiber des sozialen Netzwerks eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen, die den Anforderungen von Art. 26 DSGVO entspricht. Wie bei allen Datenverarbeitungsvorgängen trifft die Pflicht zur Information nach Art. 13 und 14 DSGVO auch öffentliche Stellen im Hinblick auf ihre Social-Media-Angebote, sodass entsprechende Datenschutzinformationen in Form einer Datenschutzerklärung im Social-Media-Angebot vorzuhalten sind. In einem Konzept für den Social-Media-Auftritt muss der Verantwortliche zudem darlegen, welche fundierten Erwägungen die Entscheidung für das gewählte Angebot begründen. Dabei muss erkennbar sein, warum ein Verzicht zu einer ernsthaften Beeinträchtigung der Aufgabenerfüllung führen würde.

Anbieter identifizieren

Des Weiteren muss das Social-Media-Angebot Angaben gemäß § 5 Telemediengesetz enthalten, welche die jeweilige Stelle als Anbieter identifizieren. Diese Angaben müssen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Für die Bereitstellung und den Bezug von konkreten Verwaltungsleistungen ist auf Social-Media-Dienste zu verzichten, wenn dabei sensible Bereiche oder besondere personenbezogene Daten betroffen sind (Art. 9 Abs. 1 DSGVO). Die bloße Kenntnisnahme von Informationen der öffentlichen Stelle darf nicht von einer vorherigen Registrierung auf einer Social-Media-Plattform abhängig sein. Außer auf dem Social-Media-Angebot müssen die bereitgestellten Informationen daher immer auch auf einem alternativen Weg verfügbar sein, beispielsweise auf der Website der Verwaltung.
Die Nutzung interaktiver Funktionen, wie Kommentieren, Teilen oder Bewerten, geht über ein reines Informationsangebot hinaus und steht weitgehend in der Verantwortung der Nutzer. Soweit die Funktionen darauf ausgerichtet sind, in einen intensivierten Dialog mit der öffentlichen Stelle zu treten, ist immer auch eine alternative Kommunikationsmöglichkeit außerhalb der Plattform anzubieten, zum Beispiel per E-Mail. Nicht zuletzt müssen öffentliche Stellen, die Social-Media-Angebote betreiben, alle Pflichten eines Verantwortlichen nach der Datenschutz-Grundverordnung (Rechenschaftspflicht und technisch-organisatorischer Datenschutz) erfüllen.

Beanstandung oder Verwarnung

Werden die im Handlungsrahmen aufgeführten Vorgaben zum datenschutzgerechten Betrieb eines Social-Media-Angebots nicht befolgt, kann der LfDI in Ausübung seines pflichtgemäßen Ermessens die Außerbetriebnahme des Angebots anordnen. Das hat das Bundesverwaltungsgericht in seinem Urteil vom 11. September 2019 bestätigt. Zusätzlich kann eine Beanstandung oder Verwarnung erfolgen.
Darüber hinaus kann nach Art. 82 DSGVO jede Person, der aufgrund eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, im Rahmen von zivilgerichtlichen Verfahren gegenüber dem Betreiber einer Fanpage Anspruch auf Schadensersatz geltend machen. Ist mehr als ein Verantwortlicher an derselben Verarbeitung beteiligt und sind sie für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist (vgl. Art. 82 Abs. 4 DSGVO). Die betroffenen Personen können hinsichtlich einer Kompensation nicht an die Betreiber der sozialen Netzwerke verwiesen werden.

Sonja Wirtz ist Referentin für den Bereich Medien beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Der Handlungsrahmen des LfDI Rheinland-Pfalz im Internet (Deep Link)
https://www.datenschutz.rlp.de
Dieser Beitrag ist in der Ausgabe Dezember 2020 von Kommune21 im Schwerpunkt Social Media erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Rheinland-Pfalz, Social Media, Datenschutz, LfDI

Bildquelle: victor69/123rf.com

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich Social Media
Dresden: Stadt nutzt Threads und WhatsApp

[6.2.2024] Die Dresdner Stadtverwaltung weitet ihre Präsenz in den sozialen Medien aus und ist jetzt auch auf den Plattformen Threads und WhatsApp aktiv. mehr...
Stadtverwaltung Dresden kommuniziert nun auch via Threads und WhatsApp.
Frankfurt a.M.: Mobilitätsdezernat startet Instagram-Kanal
[24.1.2024] Über seinen neuen Instagram-Kanal „Frankfurt mobil“ bietet das Frankfurter Mobilitätsdezernat jetzt einen Blick hinter die Kulissen. mehr...
EU-Kommission: Verfahren gegen X eröffnet
[20.12.2023] Gegen die Plattform X wurde jetzt im Rahmen des Gesetzes über digitale Dienste (DSA) ein förmliches Verfahren eröffnet. Der Vorwurf, dem die EU-Kommission dabei nachgehen will, lautet: Verbreitung von illegalen Inhalten. Auch der so genannte blaue Haken wird auf den Prüfstand gestellt. mehr...
Verstößt die Plattform X beim Umgang mit Desinformationen gegen EU-Regeln?
Pforzheim: Abschied von X
[7.12.2023] Auf der Social-Media-Plattform X – früher bekannt als Twitter – nehmen Hetze und Desinformation überhand, Moderation findet kaum statt. Aus diesem Grund hat sich die Stadt Pforzheim entschieden, ihren dortigen Account zu löschen und zu Mastodon zu wechseln. mehr...
Hanau: Keine Kommunikation mehr via X
[27.11.2023] Die Stadt Hanau beendet ihre Kommunikationsarbeit auf der Plattform X (vormals Twitter). Grund sei die zunehmende Verschlechterung der Plattform seit der Übernahme durch Investor Elon Musk, aber auch die ungewisse Zukunft von X.
 mehr...
Suchen...

 Anzeige



Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich Social Media:
brain-SCC GmbH
06217 Merseburg
brain-SCC GmbH
ekom21 – KGRZ Hessen
35398 Gießen
ekom21 – KGRZ Hessen
GovConnect GmbH
30163 Hannover
GovConnect GmbH
SEITENBAU GmbH
78467 Konstanz
SEITENBAU GmbH
Aktuelle Meldungen