In Deutschland sehen die Aufsichtsbehörden die Nutzung von Facebook Fanpages schon länger kritisch, vor allem wenn es um eine Nutzung durch öffentliche Stellen geht. Entsprechend legen sie öffentlichen Stellen wie Ministerien, Verwaltungen und Behörden nahe, ihre Auftritte auf Facebook einzustellen. Aus den Niederlanden liegt jetzt eine umfangreiche Datenschutz Folgenabschätzung (DSFA) zu Facebook Fanpages mit Bezug auf eine Nutzung durch Regierungsstellen vor. Die war bei Privacy Company durch das Niederländische Innenministerium in Auftrag gegeben worden. Eine Zusammenfassung der Ergebnisse gibt es in englischer Sprache bei Privacy Company unter dem Titel „DSFA zur Nutzung von Facebook-Fanpages durch die Regierung: sieben hohe Datenschutzrisiken„1original „https://www.privacycompany.eu/blogpost-en/dpia-on-government-use-of-facebook-pages-seven-high-data-protection-risks“ Im Rahmen der DSFA hat Privacy Company die personenbezogenen Daten durchgeführt, welche Facebook verarbeitet, wenn Nutzer die Facebook-Seite einer Regierungsstelle besuchen in technischer und rechtlicher Hinsicht untersucht.2 Man hat außerdem eine Risikobewertung für Menschenrechte durchgeführt. Facebook versteht sich selbst als eigenständiger Verantwortlicher hinsichtliche sämtlicher Daten, die der Konzern auf einer Regierungs-Fanpage von Besuchern sammelt und ist der Ansicht, diese Daten für eigene Zwecke verarbeiten zu können. In der DSFA wurden hier 15 Kategorien von Verarbeitungszwecken identifiziert. Dazu gehören die Erstellung von Profilen, das Anzeigen von persönlichen Informationen und von Anzeigen. Dazu werden Tracking Cookies eingesetzt. Daten werden auch von nicht registrierten Nutzern erhoben. Facebook will diese Datenverarbeitungen nicht in das Joint Controller Agreement (Dokument zur gemeinsamen Verantwortlichkeit) mit einschließen, sondern begrenzt dieses einen sehr kleinen Ausschnitt aus der gesamten Verarbeitung von Besucherdaten. Das ist Page Insights, ein Tool der Plattform, über welche Betreiber von Fanpages Nutzungsstatistiken zu ihrer Seite einsehen können. Das bedeutet laut Privacy Company, dass das Joint Controller Agreement praktisch nur die Spitze des Eisbergs umfasst, der Rest der personenbezogenen Daten außerhalb des Joint Controller Agreements verarbeitet wird und damit eine Übermittlung an Dritte darstellt. Regierungsbehörden übermitteln damit die personenbezogenen Daten Daten von Besuchern ihrer Fanpages an ein kommerzielles Unternehmen, wozu es nach Einschätzung von Privacy Company keine Erfordernis gebe. Hinzu kommt, dass die Besucher einer Regierungs-Fanpage auch keine wirksame Einwilligung erteilen können, sofern Facebook diese überhaupt einholt, da Facebook sie nicht informiert, was mit ihren Daten geschieht und wie man bestimmt, welche Inhalte Besucher zu sehen bekommen. Nach Einschätzung von Privacy Company werden Nutzer über den Einsatz Tracking Cookies getäuscht. Angeblich handelt es sich um zwingend erforderliche Cookies, die in Wahrheit jedoch genutzt werden, um personalisierte Beiträge, weitere Inhalte und Werbung anzuzeigen. Hinzu kommt die Übermittlung von personenbezogenen Daten in die USA. Die Transparenzberichte Facebooks zeigen, dass auch für die Besucher von niederländischen Facebook Fanpages ein realistisches Risiko besteht, dass ihre Daten durch Facebook gegenüber Ermittlungsbehörden und Geheimdiensten offengelegt werden.
Insgesamt kommt die DSFA zu dem Schluss, dass bei der Nutzung einer Facebook Fanpage durch eine Regierungsstellen zur Kommunikation mit einem Massenpublikum 7 hohe und 1 geringes Datenschutzrisiko bestehen. Diese Risiken werden dann mit den Maßnahmen vorgestellt, welche die Regierung und Facebook treffen können, um die Risiken zu mindern. Die komplette DSFA ist als Word Dokument englischer Sprache auf der oben verlinkten Seite abzurufen.
Hohe Risiken
- Betroffenenrechte können nicht ausgeübt werden.
- Chilling Effekt bezüglich anderer Grundrechte.
- Mangelnde Transparenz bezüglich der Verarbeitungszwecke
- Kontrollverlust durch die weitere Verarbeitung durch Facebook
- Kontrollverlust indem Daten Dritten zugänglich gemacht werden
- Kontrollverlust durch Re-Identifizierung von pseudonymisierten Daten für eine Offenlegung gegenüber US Behörden
- Filter Bubble: Verpasse Nachrichten (der Regierungsstellen)
Geringes Risiko
- Chilling Effekt durch den Zugriff der Regierungsstellen auf Insights.
Privacy Company kommt zu dem Schluss, dass Regierungsstellen die Nutzung von Facebook Fanpages einstellen müssen, wenn Facebook keine Maßnahmen (wie in der DSFA beschrieben) ergreift, um die hohen Risiken zu mindern. Die Regierung der Niederlande wird diesbezüglich Kontakt zu Facebook aufnehmen.
Bewertung
Deutsche Aufsichtsbehörden dürften sich bestätigt fühlen in ihrer Bewertung von Facebook Fanpages und ihrer Empfehlung für öffentliche Stellen, die Nutzung einzustellen. Was Privacy Company für den Betrieb einer Facebook Fanpage durch eine niederländische Regierungstelle beschreibt, wird so auch in gleicher Art und Weise auf eine Nutzung durch Schulen zutreffen. Das heißt, auch Schulen können keine Facebook Fanpage betreiben, solange Facebook hier nicht umsteuert. Damit ist nach Erfahrungen aus der Vergangenheit kaum zu rechnen. Strafen von EU Gerichten zahlt Facebook bzw. Meta aus der Portokasse.
Die Zahl von Schulen, die noch einen Facebook Fanpage Auftritt unterhalten, dürfte eher sinken als zunehmen. Anders ist dieses jedoch bei Instagram, ebenfalls eine Facebook Plattform, die viele Datenschutzpraktiken und Techniken der Datenverarbeitung mit dem Mutterkonzern teilt und bei der Datenschutzdokumentation sogar einen gemeinsamen Webauftritt nutzen. Eine DSFA dürfte von daher zu recht ähnlichen Ergebnissen führen. Bisher hatten die Aufsichtsbehörden allerdings eher Facebook als Instagram im Visier. Bei einer Untersuchung durch den BfDI ging es weniger um die Plattform als um mögliche Datenabflüsse auf den Smartphones von Mitarbeitern in Bundesbehörden3Siehe hierzu https://www.ludwigsburg24.com/im-visier-datenschutz-aufsichtsbehoerde-nimmt-sich-instagram-tiktok-co-vor/.