Am 10. November 2022 hat die Datenschutzkonferenz ihr „Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages“ auf den neuesten Stand gebracht, so dass es die nun auch geltenden Vorgaben des Telekommunikation-Telemedien Datenschutzgesetzes (TTDSG) sowie das Urteils des OVG Schleswig vom 25. November 2021 (Az. 4 LB 20/13) und die aktuellen tatsächlichen Umsetzungen seitens Facebook berücksichtigt. Das Ergebnis des Kurzgutachten verändert sich nicht wesentlich. Es kommt nun hinzu, dass Betreiber einer Facebook Fanpage nach Einschätzung der Datenschutzkonferenz nicht nur gegen die DS-GVO verstoßen, sondern auch gegen das TTDSG, da beim Aufruf einer Facebook Fanpage Cookies auf dem Endgerät des Nutzers ohne dessen vorherige Einwilligung gespeichert werden. Für öffentliche Stellen kommt erschwerend hinzu, dass für sie einige mögliche Rechtsgrundlagen, auf welche nicht-öffentliche Stellen für die Verarbeitung von personenbezogenen Daten beim Betrieb einer Facebook Fanpage eventuell stützen könnten, nicht in Frage kommen. Das Ergebnis des Kurzgutachtens wird auf der letzten Seite wie folgt zusammengefasst:
„Durch die Bereitstellung einer Fanpage übernimmt der oder die Fanpage-Betreiber:in die Rolle eines Anbieters von Telemedien im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Dadurch ergibt sich nach § 25 Abs. 1 TTDSG die Pflicht, eine wirksame Einwilligung für das Speichern von Informationen in den Endeinrichtungen der Endnutzer:innen, sowie den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, für nicht im Sinne des § 25 Abs. 2 Nr. 2 TTDSG unbedingt erforderliche Cookies einzuholen. Eine solche Einwilligung wird beim Betreiben einer Facebook Fanpage nicht eingeholt.
Darüber hinaus besteht auf Grund sich ergänzender Interessen der Fanpage-Betreiber:innen und Meta eine gemeinsame Verantwortlichkeit mindestens für die Verarbeitung der auf Basis der gesetzten Cookies erhobenen, personenbezogenen Daten. Diesbezüglich sind keine wirksamen Rechtsgrundlagen gegeben.
Abschließend werden die sich aus Art. 13 DSGVO ergebenden Informationspflichten nicht hinreichend erfüllt.“
Bewertung
Das aktualisierte Kurzgutachten macht einmal mehr deutlich, dass der Betrieb von Facebook Fanpages aus datenschutzrechtlicher Sicht heikel ist. Wie viele Schulen noch auf Facebook vertreten sind, weiß vermutlich nur Facebook (Meta). Inwieweit die Ergebnisse des Kurzgutachtens auf das von Schulen eindeutig häufiger genutzte Instagram zu übertragen sind, ist offen. Auch dort gibt es eine Insights Funktion wie bei Facebook. Bei persönlichen Konten wurde diese mittlerweile entfernt, doch sie besteht bei professionellen Konten (Business- oder Creator-Konten) weiterhin. Da Schulen vermutlich eher keinen persönlichen Instagram Kanal betreiben, ist auch dort von einer gemeinsamen Verantwortlichkeit, vergleichbar zur der von Facebook Fanpages auszugehen. Bei Facebook Fanpages bestehen datenschutzrechtliche Probleme auch, wenn der Betreiber die Insights deaktiviert, da sich dadurch nach Einschätzung der Datenschutzkonferenz die „die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum“ verändert und die gemeinsame Verantwortlichkeit damit fortbesteht. Bislang gehen Aufsichtsbehörden kaum gegen die Betreiber von Facebook Fanpages, Instagram Kanälen oder auch Twitter Kanälen vor – oder tun dieses zumindest nicht öffentlich. Es gibt allerdings Aussagen, dass etwa des BfDI, hier gegen Ministerien vorgehen zu wollen. Schulen dürften also, sofern es nicht konkrete Beschwerden von Betroffenen gibt, vorerst nicht damit rechnen müssen, dass Aufsichtsbehörden hier aktiv werden. Ob sie eine Präsenz auf Facebook, Instagram oder Twitter betreiben, ist eine Entscheidung, die sie treffen und gegebenenfalls vertreten können müssen.