TUD-Experten gefragt: Wenn öffentliche Einrichtungen soziale Medien nutzen, müssen Grenzen beachtet werden

Es gehört seit Jahren zu den Selbstverständlichkeiten, dass öffentliche Einrichtungen – egal ob ARD und ZDF oder auch Universitäten und Behörden – unverblümt Werbung für Facebook, Twitter oder Youtube machen, etwa indem Moderatoren die Zuschauer auffordern, doch entsprechende Facebook-Seiten zu besuchen. Das UJ befragte zu diesem Thema Juniorprofessorin Anne Lauber-Rönsberg.

UJ: Für diese Werbung zugunsten solcher Social-Media-Unternehmen müssten doch die betreffenden öffentlichen Einrichtungen deftige Erlöse erzielen, oder? Es müssten – wie bei herkömmlicher Werbung im Fernsehen – Verträge erstellt werden, deren Inhalte doch auch von Reichweiten und Wirksamkeiten der öffentlichen Einrichtungen abhängig sein müssten. Immerhin: Diese öffentlichen Einrichtungen investieren staatliches (zum Beispiel Universitäten) oder anderweitig öffentliches (zum Beispiel den Rundfunkbeitrag im Falle der Rundfunkanstalten) Geld, um möglichst erfolgreich zu sein – Nutznießer sind jedoch auch Facebook & Co. Wie ist diese Situation rechtlich zu bewerten?
Anne Lauber-Rönsberg: Ich gebe Ihnen recht, dass sich soziale Netzwerke, insbesondere Facebook, aufgrund ihres Verbreitungsgrads zu einem Standard-instrument der Öffentlichkeitsarbeit entwickelt haben, so dass viele Einrichtungen meinen, nicht mehr auf die dadurch zu erzielenden Aufmerksamkeitsgewinne verzichten zu können.

Die Hinweise auf die Facebook-Präsenz von Rundfunkanstalten durch Fernseh- oder Radiomoderatoren haben auch einen medienrechtlichen Hintergrund: Aus dem Rundfunkstaatsvertrag ergibt sich, dass die öffentlich-rechtlichen Rundfunkanstalten im Rahmen ihres Auftrags, an der freien individuellen und öffentlichen Meinungsbildung mitzuwirken, auch Internetangebote etablieren sollen. Damit diese Internetangebote aber nicht zu einer übermächtigen Konkurrenz für die Presseverlage werden, die im Gegensatz zu den öffentlich-rechtlichen Rundfunkanstalten keine Rundfunkbeiträge erhalten, knüpft der Rundfunkstaatsvertrag die Zulässigkeit des Internetangebots von öffentlich-rechtlichen Rundfunkanstalten an enge Voraussetzungen. So dürfen nach derzeitiger Rechtslage z.B. inhaltlich auf eine konkrete Sendung bezogene Angebote für einen Zeitraum von zeitlich bis zu sieben Tage nach der Sendung zur Verfügung gestellt werden. Bei nicht auf eine konkrete Sendung bezogenen Internetangeboten muss dagegen geprüft werden, ob das Angebot überhaupt notwendig ist, um den Grundversorgungsauftrag zu erfüllen. Insofern dienen die Verweise der Moderatoren auf die Facebook-Präsenz auch dazu, den Sendungsbezug zu belegen.

Einen rechtlichen Anspruch der Rundfunkanstalten oder auch der TU Dresden auf Beteiligung an den Werbeeinnahmen, die Facebook aufgrund der gesteigerten Besucherzahlen generiert, gibt es nicht. Die Einrichtungen gehen den »Deal« mit Facebook freiwillig ein und wissen im Vorfeld, dass sie hierfür keine finanzielle Vergütung erhalten. Offensichtlich gehen sie davon aus, dass sich für sie eine Facebook-Präsenz unter dem Strich dennoch lohnt.

Problematisch ist in diesem Zusammenhang aber, dass die Gegenleistung, die Facebook für seine Dienste erhält, im Wesentlichen von den Besucherinnen und Besuchern der Facebook-Seiten erbracht wird, da Facebook ihre personenbezogenen Daten erhebt und verarbeitet.

Facebooks Mark Zuckerberg hat eingeräumt, was alle schon vermuteten: dass Facebook Daten, auch personenbezogene, erhebt und die dann Dritten zur Verfügung stellt – entweder fahrlässig oder gar absichtlich als Teil des Geschäftsmodells. Da dies nun als gesichert gilt: Nehmen nicht all jene, die aktiv eine Facebook-Fanpage betreiben, durch Facebook ggf. begangene Verstöße gegen das Datenschutzrecht billigend in Kauf oder machen sich gar mitschuldig?
Diese Frage wurde unter Datenschützern seit Langem diskutiert. Am 5. Juni 2018 hat der Europäische Gerichtshof nun entschieden, dass die Betreiber von Facebook-Seiten für die von Facebook vorgenommene Datenverarbeitung mitverantwortlich sind. Konkret ging es um die Frage, ob eine private Bildungseinrichtung aus Schleswig-Holstein, die eine sogenannte Facebook-Fanpage betreibt, für etwaige datenschutzrechtliche Verstöße durch Facebook verantwortlich gemacht werden kann.

Dieses Urteil halte ich auch für richtig: Wer sich bewusst eine bestimmte Infrastruktur für seine Öffentlichkeitsarbeit aussucht, trägt auch die Mitverantwortung für deren Vereinbarkeit mit dem Datenschutzrecht.

Der EuGH hat allerdings auch anerkannt, dass das Bestehen einer gemeinsamen Verantwortlichkeit von Facebook und dem Fanpage-Betreiber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der beiden Akteure zur Folge haben muss. Wenn die beiden Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sind, dann ist der Grad der Verantwortlichkeit unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen. Was dies für die Verteilung der Verantwortlichkeit für Facebook-Fanpages bedeutet und inwieweit es hier tatsächlich zu Verstößen gegen das Datenschutzrecht kommt, muss nun das Bundesverwaltungsgericht prüfen.

Das Urteil ist zwar noch zur alten Rechtslage und noch nicht zu der seit Mai 2018 anwendbaren Datenschutz-Grundverordnung ergangen. Dennoch ist es auf die Datenschutz-Grundverordnung übertragbar. Nach deren Vorgaben müssen Facebook und die Betreiber von Facebook-Seiten als gemeinsam Verantwortliche in einer transparenten Vereinbarung festlegen, wer welche datenschutzrechtliche Verpflichtungen, insbesondere die Informationspflichten der betroffenen Personen, erfüllt. Diese Vereinbarung muss auch den Betroffenen zur Verfügung gestellt werden, damit sie ihre gesetzlich garantierten Rechte, z.B. Auskunftsansprüche, wahrnehmen können. Eine solche Vereinbarung der Seitenbetreiber mit Facebook dürfte derzeit wohl praktisch kaum möglich sein. Bereits das Fehlen einer solchen Vereinbarung stellt einen Verstoß gegen das Datenschutzrecht dar. Zusätzlich müssen sowohl Facebook als auch der Seitenbetreiber natürlich die sonstigen Pflichten der Datenschutz-Grundverordnung einhalten. Ob dies durch Facebook tatsächlich gewährleistet ist, ist nach den Nachrichten der letzten Monate zumindest zweifelhaft.

Was bedeutet das Urteil konkret: Sollte die TU Dresden damit ihre Facebook-Präsenz deaktivieren? Was ist mit anderen Social Media Kanälen wie z.B. WhatsApp oder Instagram?
Es ist ausdrücklich festzustellen, dass mit dem Betrieb einer Facebook-Fanpage datenschutzrechtliche Haftungsrisiken einhergehen. Die sicherste Lösung wäre es derzeit, Facebook-Seiten zumindest vorläufig zu deaktivieren, bis sich eventuell eine Lösung ergibt, um sie rechtssicher betreiben zu können. Diese Position vertritt auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung vom 6. Juni 2018.

Entscheidet man sich dennoch dafür, zunächst das Urteil des Bundesverwaltungsgerichts und die Entwicklungen der nächsten Wochen, insbesondere die Reaktionen von Facebook, abzuwarten, so sollte sorgfältig abgewogen werden, ob der Nutzen dieser Seiten die Haftungsrisiken tatsächlich rechtfertigt. Zugleich würde ich in diesem Fall dringend dazu raten, alle Maßnahmen zu ergreifen, die einem Seitenbetreiber möglich sind, um zumindest so weit wie möglich eine Konformität mit dem Datenschutzrecht sicherzustellen. Dazu gehört zum einen, zusätzlich zu dem ohnehin verpflichtenden Impressum eine Datenschutzerklärung auf die Facebook-Seite aufzunehmen und für die von Facebook vorgenommenen Datenverarbeitungen, über die der Seitenbetreiber keine Kenntnis hat, auf die Datenschutzhinweise von Facebook zu verlinken. Zum anderen ist zu prüfen, ob durch die vom Betreiber vorgenommene Parametrierung darauf Einfluss genommen werden kann, welche und wie viele personenbezogenen Daten der Seitenbesucher verarbeitet werden. Aber auch diese Maßnahmen können die Haftungsrisiken nicht grundsätzlich beseitigen.

Es wird viel davon abhängen, ob und wie Facebook auf das Urteil des Europäischen Gerichtshofs reagieren wird. Das Unternehmen wurde durch die Entscheidung unter Zugzwang gesetzt, da ihm sonst der europäische Markt wegzubrechen droht. Zumindest theoretisch wäre es denkbar, dass Facebook eine Vereinbarung zur Aufteilung der jeweiligen Verantwortlichkeit für Datenverarbeitungen zwischen dem sozialen Netzwerk und den Seitenbetreibern zur Verfügung stellt. Zudem ist abzuwarten, wie das Bundesverwaltungsgericht diesen Fall bewerten wird. Spätestens dann wird sich entscheiden, ob Facebook-Seiten endgültig vom Netz genommen werden sollten.

Grundsätzlich gilt dieses Urteil des Europäischen Gerichtshofs natürlich nicht nur für Facebook, sondern auch für andere vergleichbare Sachverhalte, z.B. Datenverarbeitungen durch WhatsApp oder Instagram.

Gelten rechtliche Besonderheiten für öffentliche bzw. staatliche Einrichtungen?
Diese Grundsätze gelten sowohl für Facebook-Seiten privater Unternehmen als auch öffentlicher Einrichtungen.

Bei Hochschulen kommt meines Erachtens aber noch hinzu, dass diese eine besondere Fürsorgepflicht für die Wahrung der Rechte und Interessen der Studenten sowie der Mitarbeiterinnen und Mitarbeiter trifft. Die datenschutzrechtlichen Regelungen verpflichten die Hochschulen dazu, angemessene personelle, technische und organisatorische Maßnahmen zu treffen, um die Einhaltung der datenschutzrechtlichen Vorschriften zu gewährleisten. Hierzu gehört meines Erachtens auch, Dienstleister sorgfältig und unter Berücksichtigung der durch sie gewährleisteten datenschutzrechtlichen Standards auszuwählen.

Dies gilt nicht nur für die Öffentlichkeitsarbeit, sondern z.B. auch für E-Learning-Angebote. Aus diesem Grund finde ich es sehr begrüßenswert, dass die sächsischen Hochschulen derzeit ein eigenes Videoportal aufbauen, um für das Bereitstellen von Vorlesungsaufzeichnungen nicht mehr auf kommerzielle Anbieter wie z.B. YouTube zurückgreifen zu müssen.

Ob Hochschulen im Rahmen ihrer Lernmanagementsysteme einen hohen datenschutzrechtlichen Standard gewährleisten, wird mittlerweile von der Öffentlichkeit genau beobachtet. Dies zeigt die Verleihung des Negativ-Preises Big Brother Award an die LMU München und die TU München im Mai 2017 als Kritik an ihrer Kooperation mit dem US-amerikanischen MOOC-Anbieter Coursera, der nicht nur umfangreiche Daten über die Teilnehmer der Onlinekurse erhob, sondern diese auch an Arbeitgeber oder Recruiting-Unternehmen übermittelte.

Es fragte Mathias Bäumel.

Dieser Artikel ist im Dresdner Universitätsjournal 12/2018 vom 26. Juni 2018 erschienen. Die komplette Ausgabe ist hier im pdf-Format kostenlos downloadbar. Das UJ kann als gedruckte Zeitung oder als pdf-Datei bei doreen.liesch@tu-dresden.de bestellt werden. Mehr Informationen unter universitaetsjournal.de.