Die Sozialen Medien haben die Informationswege und Kommunikationsweisen in nahezu allen gesellschaftlichen Bereichen erheblich verändert. Diesem Wandel unterliegen nicht nur die klassischen Medien wie Zeitung, Buch, Radio oder Film, sondern auch Unternehmen, Wissenschaftsorganisationen, politische Akteure und öffentliche Stellen. Sie alle haben ihre Kommunikationsweisen und Informationswege den gegenwärtigen Entwicklungen angepasst und nutzen vermehrt die Sozialen Medien. Ein wesentliches Kennzeichen des Wandels ist die Abkehr von der Ein-Wege-Kommunikation der klassischen Medien hin zu einer beidseitigen Zwei-Wege-Kommunikation und Interaktion in den Sozialen Medien. Dabei bietet sich für alle Organisationen die Gelegenheit direkt und ohne einen zwischengeschalteten Gatekeeper mit ihrer Zielgruppe zu kommunizieren und zu interagieren. Diesen Vorteil haben auch die öffentlichen Stellen erkannt. Sie sind zumeist in den Sozialen Medien zu finden und betreiben innerhalb der eigenen Organisationen Social-Media-Redaktionen. Mit Hilfe der direkten Kommunikations- und Interaktionsmöglichkeit bietet sich für die öffentlichen Stellen die Chance, sich in der öffentlichen Wahrnehmung positiv zu präsentieren und die öffentliche Meinung über die eigene Organisation mit zu gestalten. Trotz der bereits etablierten Strukturen sind die rechtlichen Rahmenbedingungen und Implikationen für öffentliche Stellen zumeist nur teilweise und nicht zusammenhängend beleuchtet. Sogar die grundsätzliche Zulässigkeit der Nutzung von Sozialen Medien durch öffentliche Stellen ist aus datenschutzrechtlicher Sicht umstritten. Daneben birgt auch die Art und Weise der Nutzung von Sozialen Medien durch öffentliche Stellen rechtliche Unsicherheiten.
Die vorliegende Publikation betrachtet drei praxisrelevante Bereiche, die maßgeblich für die Nutzung Sozialer Medien durch öffentliche Stellen sind. Nach der grundsätzlichen Einordnung und Darstellung der technischen Grundlagen ist zum einen zu untersuchen, ob öffentliche Stellen aus datenschutzrechtlicher Sicht überhaupt die Sozialen Medien nutzen dürfen und welche Rahmenbedingungen damit verbunden sind. Zu den datenschutzrechtlichen Vorgaben für öffentliche Stellen in Bezug auf die Nutzung Sozialer Medien gibt es zahlreiche Aufsätze, die einzelne Problemstellungen beleuchten. Allerdings sind die meisten Publikationen aus der Zeit vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und vor den maßgebenden Entscheidungen des Europäischen Robert KreyßingGerichtshofes zur datenschutzrechtlichen Verantwortlichkeit bei Facebook-Fanpages und Social Plugins.
Insbesondere im Hinblick auf die neue Gesetzeslage und die Entscheidungen des Europäischen Gerichtshofs wird eine zentrale Fragestellung die datenschutzrechtliche Verantwortlichkeit einnehmen. Daran anschließend sind die Implikationen der Verantwortlichkeit insbesondere die Vereinbarung zwischen den gemeinsamen Verantwortlichen zu betrachten. Dieser Themenkomplex wird gegenwärtig in Literatur und Rechtsprechung kritisch diskutiert. Nach der Klärung der Verantwortlichkeit können die verschiedenen Erlaubnistatbestände für die Datenverarbeitung im Zusammenhang mit der Nutzung der Sozialen Medien geprüft und anschließend die weiteren – praxisrelevanten – datenschutzrechtlichen Vorgaben betrachtet werden.
Der zweite Bereich der Publikation befasst sich mit den allgemeinen rechtlichen Rahmenbedingungen für den Betrieb eines Social-Media-Accounts durch öffentliche Stellen. Hier gilt es aufzuzeigen, welche grundsätzlichen rechtlichen Rahmenbedingungen die Nutzung Sozialer Medien einschränken könnten und was vor der Nutzung zu beachten ist.
Schlussendlich untersucht der dritte Bereich die rechtlich zulässige Art und Weise der Nutzung Sozialer Medien. Hierbei steht im Mittelpunkt der Betrachtung, wie eine öffentliche Stelle in den Sozialen Medien insbesondere in Bezug auf Bild, Bewegtbild und Äußerungen agieren darf und was notwendigerweise unterlassen werden sollte. Der Fokus liegt hierbei auf den Vorgaben des Grundgesetzes und auf möglichen Grundrechtseingriffen durch die Informationstätigkeit öffentlicher Stellen. Dieser Themenbereich ist in wenigen Publikationen wissenschaftlich bearbeitet worden. Insbesondere die Social-Media-Aktivitäten von Polizeibehörden bildeten dabei einen Untersuchungsschwerpunkt. Das übergeordnete Gebiet – das staatliche Informationshandeln – ist weitaus umfangreicher beforscht. Die noch offenen Forschungsfragen über das Wie der Nutzung von Sozialen Medien betreffen weitgehend die Adaption des klassischen staatlichen Informationshandelns auf die neuen Kommunikationswege und -formen in den Sozialen Medien. Denn die Art und Weise wie auf den Plattformen kommuniziert wird, ist wesentlich differenziert zur Art und Weise der Kommunikation klassischer Medien und Formate wie zum Beispiel über Pressemitteilungen. In diesem Kapitel erfahren öffentliche Stellen, was sie in ihrer veränderten Kommunikation in den Sozialen Medien beachten sollten.
Damit die rechtlichen Rahmenbedingungen für die Nutzung von Sozialen Medien herausgearbeitet werden können, müssen zunächst die technischen Grundlagen skizziert werden. Wie in Kapitel 2 festgestellt, hat Facebook einerseits grundsätzlich eine hohe Relevanz innerhalb der Sozialen Medien und anderseits erreichen die öffentlichen Stellen bei der Facebook-Nutzung hohe Reichweiten. In einem gewissen Umfang können die Erkenntnisse über Facebook auf andere Social-Media-Dienste übertragen werden, da diese in ihrer technisch-funktionalen Struktur ähnlich aufgebaut sind. So existiert häufig eine Hauptfunktion oder ein Hauptdienst wie die Facebook-Fanpage, eine Twitter- oder Instagram-Seite, daneben dazugehörige Social Plugins wie beispielsweise die Teilen- oder Gefällt-mir-Funktionen, die auf den originären Internetseiten eingebunden werden können und zuletzt weitere Cookies oder ähnliche Trackingmöglichkeiten, die zur Analyse auf die originäre Interseite eingebettet werden wie beispielsweise Facebook-Pixel. Auch bei den Analyse-Tools ähneln sich die unterschiedlichen Plattformen. So hält der Facebook-Konzern mit Facebook-Insights und Instagram-Insights sowie Twitter mit Twitter-Analytics Applikationen zur Analyse bereit, die sich in ihrer Funktionsweise und technischen Infrastruktur ähneln.
Daher werden nachfolgend exemplarisch lediglich die verschiedenen Facebook-Anwendungen näher betrachtet. Hierbei besteht die Problematik, dass es zwar Untersuchungen zur Funktionsweise verschiedener Anwendungen gibt,50 im Übrigen jedoch auf die Angaben von Facebook zurückgegriffen und vertraut werden muss. Allerdings gibt es immer wieder Abweichungen zwischen den Angaben des Konzerns und der tatsächlichen Datenverarbeitung. Beispielsweise warb Facebook bei seinen Nutzerinnen und Nutzern für eine Zwei-Faktor-Authentifizierung mit dem Argument, das Facebook-Konto besser schützen zu wollen. Die gewonnenen zusätzlichen Daten der Nutzerinnen und Nutzer wurden sodann für Werbezwecke verwendet und in der Facebook-Öffentlichkeit, beispielsweise bei der Personensuche, sichtbar.51 Ein weiteres Beispiel ist das nicht rechtmäßige Erheben, Speichern und Verarbeiten von bis zu 1,5 Millionen E-Mail-Adressen. In diesem Fall verarbeitete Facebook seit 2016 E-Mail-Adressen aus einigen Kontaktlisten der Nutzerinnen und Nutzer ohne Rechtsgrundlage und informierte die Betroffenen zu diesem Zeitpunkt nicht.52 Daher sollten die von Facebook gegebenen Informationen stets kritisch betrachtet werden.
Facebook hat zwei Möglichkeiten zur Einrichtung eines Accounts. Zum einen können Privatpersonen ein Profil erstellen, mit dem sie mit ihrem Facebook-Freundeskreis kommunizieren und interagieren können. Zum anderen haben Unternehmen, Organisationen, Personen des öffentlichen Lebens oder öffentliche Stellen die Möglichkeit eine Facebook-Seite, die sogenannte Fanpage, zu erstellen. Für die Erstellung und Verwaltung ist allerdings ein persönlicher Facebook-Account erforderlich. Die Fanpage ist für die Betreiberinnen und Betreiber kostenfrei und soll dazu dienen, dem eigenen Unternehmen ein Gesicht zu geben, die eigene Zielgruppe besser analysieren und erreichen zu können und über Analyse-Funktionen mehr Informationen über Wettbewerberinnen und Wettbewerber zu erhalten.53
Wesentlicher Bestandteil einer Fanpage sind demnach die Analyse-Funktionen. Die Analyse-Funktionen werden durch die direkt verknüpfte und nicht abschaltbare Anwendung Facebook-Insights ermöglicht. Insights erfasst für die Fanpage-Betreibenden anonymisierte Grunddaten wie Seitenaktivitäten, Seitenaufrufe, Gefällt-Mir-Angaben, Reichweiten, Interaktionen, Abonnentenanzahl sowie Geschlechter-, Alters-, Herkunfts- und Sprachenanteile auf der eigenen Fanpage. Diese Daten werden über Tracking-Cookies gesammelt, durch die die Nutzerin bzw. der Nutzer einen Code in Form einer Textdatei zugewiesen bekommt, sodass alle Aktivitäten nachverfolgt werden können. Die Fanpage-Betreibenden erhalten keinen Rückschluss auf die Identität der Cookie-Besitzerinnen und -Besitzer. Für Facebook dürfte die Verknüpfung zu einem Facebook-Profil allerdings möglich sein. Die Cookies werden bei der Nutzung eines Facebook-Kontos, bei der Nutzung von anderen Facebook-Produkten oder auch bei der Nutzung von Angeboten Dritter, bei denen die Cookies eingebunden sind, übertragen.54
Abbildung 2 – Datenverarbeitung durch Facebook-Insights
Über die Zusatzfunktion Facebook-Zielgruppen-Analyse können Fanpage-Betreiberinnen und -Betreiber zudem Informationen zu Bildungsstand, Beruf, Beziehungsstatus, Hobbys, Einkommen, Familiengröße und Standort erhalten.55 Hieraus lässt sich schließen, dass ein Profiling bei Facebook stattfindet, das auch den Fanpage-Betreiberinnen und -Betreibern zur Verfügung gestellt wird.
Abbildung 3 – Datenverarbeitung durch Facebook-Zielgruppen-Analyse
Darüber hinaus verarbeitet Facebook weitere Daten und Metadaten, die über die Nutzerinnen und Nutzer erfasst werden können und verbindet diese Daten unternehmensübergreifend innerhalb des Konzerns.56 Laut Facebook sind dies beispielsweise Aufnahmestandort und -daten von Fotos, alle Informationen über die Art der Nutzung, Interaktionen, Handlungen, Zeit, Häufigkeit und Dauer von Aktivitäten, Inhalte, Kommunikationen und Informationen, die von anderen Facebook-Nutzerinnen und Nutzer bereitgestellt werden sowie Geräteinformationen wie zum Beispiel Geräteattribute57, Vorgänge auf dem Gerät58, Identifikationen59, Gerätesignale60, Daten aus Geräteeinstellungen61, Netzwerk und Verbindungen62.63
Abbildung 4 – Interne Datenverarbeitung durch Facebook
Genutzt werden die Cookie-Daten laut Facebook für die Authentifizierung, Sicherheit, Webseiten- und Produktintegrität, Werbung, Empfehlungen, Einblicke, Messungen, das Ermöglichen von Webseitenfunktionen, die Steigerung der Performance sowie für Analysen und Forschung.64 Ausgelöst wird die Datenverarbeitung durch den Aufruf einer Fanpage.
Zusammenfassend kann konstatiert werden, dass nahezu alle möglichen Daten erfasst und für nahezu alle möglichen Bereiche verwendet werden. Eine Eingrenzung ist nahezu nicht gegeben.
Facebook bietet für Fanpage-Betreiberinnen und -Betreiber zudem Social Plugins an. Social Plugins sind Facebook-Funktionen, die über Inlineframes (iFrame) oder über Javascript-Software Development Kits (Javascript-SDK) auf die originäre Internetseite eingebunden werden. Mit der Einbindung auf der eigenen Internetseite werden Interaktionen mit der dazugehörigen Facebook-Fanpage ermöglicht. Facebook stellt für verschiedene Funktionen die Programmierelemente zur Verfügung. Sind die Elemente auf der Internetseite eingebunden, können diese wie oben beschrieben Informationen über die Nutzerinnen und Nutzer der Internetseite erheben, Nutzerkennungen vergeben, bestehende Cookies auslesen und diese Daten an Facebook senden.65 Für die Nutzerinnen und Nutzer ist dies nicht unmittelbar erkennbar.66 Facebook bietet für die Einbindung auf die originäre Internetseite folgende Elemente an:
• eingebettete Kommentare,
• eingebettete Beiträge,
• eingebettete Videos,
• Gruppen-Plugin,
• Gefällt-mir-Button,
• Seiten-Plugin,
• Zitat-Plugin,
• die Felder Speichern und Teilen sowie
• oEmbed-Endpunkte.67
Das bekannteste Element dürfte der Gefällt-mir-Button sein. Neben den Originalangeboten von Facebook hat das Magazin heise die Zwei-Klick-Lösung sowie dessen Nachfolge die SHARIFF-Lösung geschaffen. Bei der Zwei-Klick-Lösung werden die Elemente so modifiziert, dass sie erst nach einer Betätigung durch die Nutzerin bzw. den Nutzer aktiviert werden und damit die Datenerhebung und -übertragung auslösen. Die Zwei-Klick-Lösung unterbindet demnach die sofortige Aktivierung des eingebundenen Elementes beim bloßen Laden der Internetseite und verzögert diese auf den Zeitpunkt, wenn das Element angeklickt wird. Bei der SHARIFF-Lösung werden benötigte Daten, wie zum Beispiel die Anzahl der Gefällt-mir-Klicks, über ein Skript der Internetseite abgefragt und darüber in die Internetseite eingebettet. Möchte der Nutzer oder die Nutzerin sodann das Element verwenden, wirkt es im Kern wie eine bloße Verlinkung auf die Facebookseite und löst erst nach dem Klick die Datenerhebung aus, nämlich bei Öffnung der Zielseite/-funktion.68
Facebook-Pixel ist eine Unterstützung für die Werbe-Funktionen auf Facebook innerhalb der Kategorie Custom Audience69. Mit diesem Analysewerkzeug können zusätzliche Daten und Informationen von den Nutzerinnen und Nutzern erhoben werden. Ziel ist es, alle Handlungen, die auf der originären Internetseite erfolgen, zu erfassen und an Facebook zu übertragen. Facebook bereitet diese Daten auf und stellt sie wiederum dem Fanpage-Betreiber bzw. der -Betreiberin zur Verfügung.70 Damit können Werbemaßnahmen oder Kampagnen zielgerichtet gesteuert werden. Denkbar ist dieser Ansatz auch für öffentliche Stellen, die unter Umständen nur eine bestimmte Zielgruppe ansprechen wollen. Das direkte Ansprechen einer bestimmten Zielgruppe könnte für eine öffentliche Stelle bei der Erfüllung ihrer Aufgabe einen wesentlichen Mehrwert für die Kommunikationsarbeit bedeuten und ist daher nicht grundsätzlich auszuschließen. Denkbar wäre zum Beispiel, dass das Bundesinstitut für Risikobewertung seine Risikokommunikation nicht mehr an die breite Öffentlichkeit ohne Einschränkungen im Adressatenkreis richtet, sondern nur an die maßgebliche Zielgruppe. Konkret könnte eine Meldung zu Hygieneregeln in Großküchen mit dazugehörigem Informationsmaterial nur an Personen, die vermutlich in Großküchen oder allgemein der Gastronomie arbeiten, gerichtet werden.71 Von der technischen Seite betrachtet wird ein nicht sichtbares Pixel, das sogenannte Zählpixel, auf der Internetseite eingebunden. Dieses ist für die Datenerhebung und -übertragung verantwortlich. Erfasst werden IP-Adressen, Informationen zum verwendeten Browser, Seitenstandort, Dokument, Referrer und Gerät, Pixel-ID, Facebook-Cookie-Kennung, wesentliche Handlungen auf der Interseite72 und Metadaten der Internetseite.73
Abbildung 5 – Datenverarbeitung durch Facebook-Pixel
Vorstehend sind die rechtlichen Rahmenbedingungen und Implikationen hinsichtlich der Facebook-Nutzung durch öffentliche Stellen herausgearbeitet und bewertet worden. Im Ergebnis ist zu konstatieren, dass die Nutzung Sozialer Medien, hier Facebook, aus datenschutzrechtlicher Sicht – bezogen alleinig auf die öffentliche Stelle – grundsätzlich zulässig sein kann. Eine Art Blackbox ist allerdings die datenschutzrechtliche Zulässigkeit auf Seiten von Facebook, die wiederum Auswirkungen auf die öffentlichen Stellen haben könnte. Insbesondere die Einhaltung der Datenschutzgrundsätze nach Art. 5 DSGVO durch Facebook wird kritisiert.301 Damit einhergehend entsteht für öffentliche Stellen das Problem, die gesetzlichen Anforderungen insbesondere in Bezug auf die Informationspflichten erfüllen zu können, da Facebook (und auch andere Anbieter) Transparenzdefizite aufweisen.
Für die öffentlichen Stellen ist die Zuordnung der Verantwortlichkeit ein wesentlicher Faktor mit entscheidender Bedeutung. Denn nach der Verantwortlichkeit werden maßgeblich die Pflichten der DSGVO zugeteilt. Die Ausarbeitung zeigt, dass für die Facebook-Fanpage, Facebook-Social Plugins und Facebook-Pixel eine gemeinsame Verantwortlichkeit von öffentlicher Stelle und Facebook besteht. Der Grad der Verantwortlichkeit ist allerdings im konkreten Einzelfall zu ermitteln, wobei Facebook regelmäßig einen höheren Anteil zu tragen haben wird. Als direkte Folge der gemeinsamen Verantwortlichkeit ist eine Vereinbarung zwischen den Verantwortlichen zu schließen. Dies dürfte bis dato ein erhebliches Risikofeld für die öffentlichen Stellen sein, da nach gegenwärtiger Erkenntnislage davon ausgegangen werden kann, dass keine wirksame Vereinbarung besteht. Das daraus folgende konkrete Risiko ist die Gefahr der Einschränkung oder Untersagung der Datenverarbeitung durch die Aufsichtsbehörden gemäß Art. 58 Abs. 2 lit. f DSGVO. Des Weiteren impliziert die gemeinsame Verantwortlichkeit auch Regelungen bezüglich der Haftung nach DSGVO. So etabliert die DSGVO eine gesamtschuldnerische Haftung, die für die öffentlichen Stellen ein weiteres Risiko darstellt.
Eine weitere zentrale Folge der Mit-Verantwortlichkeit öffentlicher Stellen ist die Notwendigkeit einer Rechtsgrundlage für die Datenverarbeitung seitens der öffentlichen Stellen. Diese sind im konkreten Einzelfall zu ermitteln und zu bewerten. Für eine Fanpage, die von einer öffentlichen Stelle betrieben wird, kommt bei nicht registrierten Facebook-Nutzerinnen und -Nutzern grundsätzlich § 3 Var. 1 BDSG in Verbindung mit der entsprechenden einfachgesetzlichen Regelung, die die jeweilige Informations- und Öffentlichkeitsarbeit normiert oder § 3 Var. 1 BDSG in Verbindung mit der abgeleiteten Annexkompetenz als Rechtsgrundlage in Betracht. Bei registrierten Nutzerinnen und Nutzern dürfte die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die bei der Registrierung gegeben wurde, einschlägig sein. Social Plugins hingegen könnten höchstens mit einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO legitimiert werden. Es bietet sich jedoch an, auf datenschutzfreundliche Varianten anderer Anbieter zurückzugreifen und nicht die originären Social Plugins von Facebook zu verwenden. Diese werden mit keinem Erlaubnistatbestand zu rechtfertigen sein. Letzteres gilt ebenso für Facebook-Pixel. Die rechtmäßige Verwendung von Facebook-Pixel durch öffentliche Stelle ist nicht möglich.
Weitere maßgebliche datenschutzrechtliche Vorgaben, die durch die öffentlichen Stellen zu beachten sind, sind die umfassenden Dokumentations- und Informationspflichten einschließlich einer vollständigen Datenschutzerklärung. In der Praxis scheint dies oftmals ein vernachlässigter Bereich zu sein, der allerdings ausgeräumt werden kann.
Für einige Problemfelder, die gegenwärtig bestehen, scheint die Lösung ein umfassendes datenschutzrechtliches Konzept zur Nutzung der Sozialen Medien zu sein. In diesem Konzept sollte im Vorhinein festgehalten werden, welche Zwecke und Ziele verfolgt werden und wie diese erreicht werden können. Anschließend können die geplanten Mittel betrachtet und mit den Zwecken und Rechtsgrundlagen zusammengebracht werden. Als Grundlage der Konzepte kann der Grundsatz der Gesetzmäßigkeit der Verwaltung dienen. Maßgebliche Ausprägung dieses Grundsatzes ist der Vorrang des Gesetzes, also das rechtmäßige Verhalten und die Vermeidung von Gesetzesverstößen. Denn nur wenn im Vorhinein die wesentlichen Ziele und Zwecke, die einzusetzenden Mittel und die dazugehörigen Rechtsgrundlagen feststehen, ist ein rechtskonformes Verhalten möglich. In den Konzepten sind auch alternative Kommunikations- und Informationswege zu entwickeln. So kann im Gesamtgefüge eine rechtmäßige Nutzung der Sozialen Medien gewährleistet werden. Denkbar und einfachste Lösung ist hier beispielsweise das händische Einbinden beziehungsweise zur Verfügung stellen der Inhalte aus den Sozialen Medien auf den eigenen Internetseiten ohne Nutzung von Social Plugins oder anderen Anwendungen. Letztendlich würde ein vorheriges Konzept zudem Nachweispflichten erfüllen.
Die Vorschriften zur Datenschutz-Folgenabschätzung und zur Datenübertragung in Drittländer, die die Datenverarbeitung der öffentlichen Stellen maßgeblich beeinflussen könnten, sind vorliegend nicht einschlägig.
Zuletzt sollte jedoch grundsätzlich hinterfragt werden, ob öffentliche Stellen Anbieter und Plattformen nutzen sollten, die immer wieder wegen mangelnden Datenschutzes und massiven Datenschutzverstößen in der Kritik stehen und bei denen selbst die öffentlichen Stellen in ihren Datenschutzerklärungen darauf hinweisen, dass sie keine Kenntnisse und Einwirkungsmöglichkeiten auf die Datenverarbeitung und -verwendung dieser Anbieter haben. Insbesondere ist hier das Grundrecht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG oder auch das Grundrecht aus Art. 8 GRCh anzuführen. Dies sind nicht nur Abwehrrechte gegen den Staat, sondern vielmehr resultieren aus den Grundrechten Schutzpflichten des Staates.302 Neben den gesetzlichen Schutzpflichten könnten auch andere Maßnahmen praktische Relevanz haben. Zu nennen wären die Vorbildfunktion öffentlicher Stellen und die bewusste Entscheidung, Machtungleichgewichte zwischen Konzernen zu verringern.303 Anzuerkennen ist allerdings, dass hier ein Zielkonflikt zwischen der Zielerreichung, nämlich eine effektive Informations- und Öffentlichkeitsarbeit, und der Nutzung von Plattformen, die in der öffentlichen und rechtlichen Kritik stehen, besteht. Aufgrund der Schutzpflichten ist daher genauer das Verhalten der Plattformen mit einzubeziehen. Die öffentlichen Stellen können sich nicht wie private Dritte aus dem Spannungsfeld herausziehen und möglicherweise rechtlich umstrittene Praktiken mit Verweis auf die Autonomie und Verantwortlichkeit der Plattformen tolerieren. So sind im Zweifel die weiteren Datenschutzgrundsätze, wie beispielsweise die Zweckbindung bei der Datenverarbeitung durch Facebook, detaillierter zu betrachten und durch die öffentlichen Stellen insgesamt zu bewerten. Denn wie in Kapitel 2.2.1 festgestellt, werden von Facebook nahezu alle Zwecke für die Verarbeitung genannt und damit offengehalten. Dies kann weder dem Schutzgedanken der DSGVO entsprechen noch den Kerngedanken des bisherigen deutschen Datenschutzrechts. Wie in Kapitel 3.1.1 dargestellt, ist ein Teilziel des Rechts auf informationelle Selbstbestimmung den Einzelnen vor der Informationsmacht der Privatwirtschaft zu schützen. Konkret ist der Grundsatz der Zweckbindung stets in der nationalen als auch internationalen Entwicklung des Datenschutzrechts von Bedeutung gewesen, um die Schutzziele effektiv erreichen zu können. Die öffentlichen Stellen fördern allerdings durch die Nutzung von Facebook dessen Stellung und konterkarieren die Schutzmechanismen des Datenschutzrechts. Würden alle öffentlichen Stellen mit einer gemeinsamen Stimme sprechen und eine dementsprechende Rechtsauffassung an Facebook herantragen, könnten Verhandlungen mit Facebook realistisch erscheinen. Denn die Alternative könnte sein, dass alle öffentlichen Stellen ihre Facebook-Nutzung einstellen und damit die Accounts schließen. Dies könnte eine enorme (mediale) Signalwirkung mit sich bringen und einen erheblichen, mittelbaren Verlust an Marktanteilen für Facebook bedeuten.
In Bezug auf die allgemeinen rechtlichen Rahmenbedingungen empfiehlt es sich ebenfalls für öffentliche Stellen diese in einem vorherigen Konzept für die konkret geplante Nutzung zu bewerten. Insbesondere die speziellen Normen für öffentliche Stelle wie das Vergabe- und Haushaltsrecht sowie die Vorschriften über die Barrierefreiheit, sollten in der vorherigen Konzeption Niederschlag finden. Ein positives Beispiel stellt in diesem Zusammenhang das Bundeskriminalamt dar, weil es diese Themen – unabhängig von der konkreten Rechtsauffassung – in seinem Konzept aufgreift.326 Konkret sollten zumindest die folgenden Aspekte in einem Konzept beleuchtet werden:
KURZ UND KNAPP
• Ist die Wahl des Netzwerkes vergaberechtlich zulässig?
• Wurden die maßgeblichen haushaltsrechtlichen Rahmenbedingungen beachtet?
• Werden die Vorgaben für das Impressum erfüllt?
• Wie können die Vorgaben zur Barrierefreiheit beachtet und umgesetzt werden?
• Wie wird das „virtuelle Hausrecht“ umgesetzt bzw. durchgesetzt? Gibt es hierfür Standardprozesse, die die verwaltungsrechtlichen Anforderungen gewährleisten?
Nicht betrachtet wurde die Haftung. Diese ist in den Sozialen Medien außerhalb des Datenschutzrechts ebenfalls ein äußerst relevantes Themengebiet, das öffentliche Stellen vor Nutzungsbeginn prüfen sollten, um Ableitungen für hausinterne Handlungsanleitungen oder Guidelines treffen zu können. So sind öffentliche Stelle nicht vor Haftungsfragen, die durch deliktische Handlungen, Urheberrechtsverletzungen oder sonstige mögliche Verstöße verursacht werden, geschützt.327 Zudem sind auch Staatshaftungsansprüche denkbar.328
Im Ergebnis ist zu konstatieren, dass bei der Informations- und Öffentlichkeitsarbeit öffentlicher Stellen, die regelmäßig dem faktischen Verwaltungshandeln zugeordnet wird, durchaus die Gefahr von Grundrechtseingriffen besteht. Sind Grundrechtseingriffe zu bejahen, gilt es diese zu rechtfertigen. In den meisten Fällen ist die Rechtfertigung aufgrund der fehlenden formell-gesetzlichen Ermächtigung nicht möglich. Öffentliche Stellen müssen insbesondere bei der Verwendung von Bild und Bewegtbild zurückhaltend sein, um Rechtsverletzungen und letztlich ungerechtfertigte Grundrechtseingriffe zu vermeiden. In der Sache ist die Informationstätigkeit an den Geboten der Sachlichkeit, Richtigkeit und Neutralität auszurichten.
Rechtsverstöße stellen nicht nur rechtswidriges Verwaltungshandeln dar und verstoßen damit gegen die grundgesetzliche Vorgabe des Vorrangs des Gesetzes, sondern implizieren auch Fragen der Haftung.486 Neben den allgemeinen Regelungen sind vorliegend insbesondere Staatshaftungsfragen relevant.487 Neben Schadensersatz- und Entschädigungsansprüchen kann gegenüber staatlichen Stellen auch ein Folgenbeseitigungsanspruch geltend gemacht werden.488
Die unterschiedlichsten öffentlichen Stellen nutzen die Sozialen Medien in umfangreicher Weise. Hierbei bieten sich bedeutende Chancen für die Kommunikation und Interaktion zwischen öffentlichen Stellen und Bürgerinnen und Bürgern. Die Ziele der öffentlichen Stellen bei der Nutzung der Sozialen Medien lassen sich in vier Bereiche einteilen: Die allgemeine Presse- und Öffentlichkeitsarbeit, die Personalgewinnung, die Erfüllung behördenspezifischer Ziele und in einem gewissen Maße die Erfüllung von partizipativen und kollaborativen Zwecken im Rahmen des E-Government-Ansatzes.
Die Untersuchung der technischen Funktionsweise von Facebook einschließlich der dazugehörigen Applikationen zeigt, dass eine äußerst umfangreiche Datenverarbeitung bei der Nutzung von Facebook stattfindet. Für diese Datenverarbeitung ist jedoch nicht nur Facebook verantwortlich, sondern teilweise auch die jeweilige öffentliche Stelle, die sich Facebook bedient. Dies gilt sowohl für die Fanpages als auch für die Social Plugins und Pixel. Dabei ist der Grad der Verantwortlichkeit im Einzelfall zu bestimmen. Als wesentliche Folge der gemeinsamen Verantwortlichkeit ist eine Vereinbarung zwischen öffentlicher Stelle und Facebook abzuschließen, wobei die gegenwärtigen Vereinbarungen nicht die rechtlichen Anforderungen erfüllen und daher durch die Unwirksamkeit die Gefahr der Einschränkung oder Untersagung der Datenverarbeitung durch die Aufsichtsbehörden gemäß Art. 58 Abs. 2 lit. f DSGVO besteht.