Stand: Februar 2020

Wesentliche Anforderungen an die behördliche Nutzung „Sozialer Netzwerke“

„Soziale Netzwerke“ sind Internet-Plattformen, die der Kommunikation, Interaktion und Präsentation ihrer Mitglieder und somit dem Austausch von Informationen dienen. Sie sind inzwischen zu einem wesentlichen Bestandteil des privaten und beruflichen Lebens geworden. Beispiele für solche Plattformen sind u.a. Facebook, Instagram und Twitter. Solche Plattformen basieren häufig auf profilbasierten technischen Lösungen, das heißt die Erfassung, systematische Speicherung und Verwertung personenbezogener Daten ihrer Mitglieder und ggf. auch von Bürgerinnen und Bürgern, die nicht Mitglieder sind, ist wesentlicher Teil ihres Geschäftsmodells.

Aufgrund der Vielzahl und der Sensibilität der dort verarbeiteten personenbezogenen Daten muss der Schutz betroffener Personen gerade im Bereich „Sozialer Netzwerke“ dadurch gewährleistet werden, dass die datenschutzrechtlichen Vorschriften konsequent eingehalten werden. Diese Schutzvorschriften verpflichten nicht nur den Plattformbetreiber selbst, sondern auch deren behördliche Mitglieder.

Dabei sind insbesondere folgende Anforderungen einzuhalten:

  1. Behördliche Mitglieder müssen eine Rechtsgrundlage vorweisen können.
  2. Die datenschutzrechtlichen Transparenzgebote müssen eingehalten werden.
  3. Soweit behördliche Mitglieder mit dem Plattformbetreiber zusammen gemeinsam verantwortlich für Datenverarbeitungen sind, muss dazu eine vertragliche Vereinbarung getroffen werden.
  4. Behördliche Mitglieder müssen alternative Informations- und Kommunikationswege anbieten, damit Bürgerinnen und Bürger nicht in „Soziale Netzwerke“ hineingezwungen werden.
  5. Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Bürgerinnen und Bürger muss respektiert werden.

Sind diese Anforderungen aktuell bei der Nutzung „Sozialer Netzwerke“ durch Behörden nicht erfüllt, so muss jetzt umgehend nachgebessert werden. Dies setzt die Kooperation des jeweiligen Plattformbetreibers voraus.

Kooperiert der Plattformbetreiber mit der Behörde nicht und gelingt es dieser nicht, die einschlägigen Vorgaben zu erfüllen, so ist die Plattform zu verlassen.

Dies bedeutet im Einzelnen:

  • Jede Phase der Verarbeitung personenbezogener Daten im Rahmen der Nutzung „Sozialer Netzwerke“ durch Behörden benötigt jeweils eine eigene Rechtsgrundlage (vgl. zur Datenschutz-Grundverordnung (DS-GVO) Artikel 6).
    Öffentliche Stellen nutzen „Soziale Netzwerke“ in der Regel für ihre Öffentlichkeitsarbeit. Sie handeln dabei in Erfüllung einer öffentlichen Aufgabe, die Verarbeitung personenbezogener Daten für ihre Öffentlichkeitsarbeit ist ihnen grundsätzlich durch Artikel 6 Absatz 1 Satz 1 Buchstabe e), Absatz 2 und 3 DS-GVO in Verbindung mit § 4 Landesdatenschutzgesetz BadenWürttemberg (LDSG BW) erlaubt. Ob § 4 LDSG die Anforderungen des Art. 6 Abs. 2 und 3 DSGVO erfüllt, ist allerdings umstritten.Werden die Daten der Bürgerinnen und Bürger über die Öffentlichkeitsarbeit hinaus etwa zur Analyse des Nutzerverhaltens ausgewertet, so ist dies für die Öffentlichkeitsarbeit der Behörde nicht mehr erforderlich und nicht mehr von dieser Rechtsgrundlage gedeckt. Infrage käme dafür nur noch eine Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a) DS-GVO. Eine freiwillige, vorherige, aktive, konkrete und separat erklärte sowie jederzeit zumutbar (mit Wirkung für die Zukunft) widerrufliche Einwilligung nach Artikel 6 Absatz 1 Satz 1 Buchstabe a) DS-GVO ist notwendig, wenn

    • über den Mitglieds-Account der Behörde personenbezogene Daten (z.B. über das Nutzerverhalten) der Bürgerinnen und Bürger gesammelt oder weitergegeben werden (z.B. mittels permanenter Cookies oder anderer Tracking-Mechanismen),
    • auf der eigenen Website oder App der Behörde Elemente wie Plug-Ins oder eingebettete Nachrichten von „Sozialen Netzwerken“ oder anderen Dritten ohne datenschutzfreundliche Implementierung (sichere Zwei-Klick-Lösung) eingebettet werden und diese die Verarbeitung von Daten über die Nutzung durch Bürgerinnen und Bürger ermöglichen,
    • externe einwilligungsbedürftige Analyse-Tools wie etwa Google Analytics eingebunden werden oder
    • persönliche Informationen von Bürgerinnen und Bürgern beispielsweise aus Adressbüchern hochgeladen werden.

    Auf ein berechtigtes Interesse im Sinne des Artikel 6 Absatz 1 Satz 1 Buchstabe f) DS-GVO können sich Behörden nach Artikel 6 Absatz 1 Satz 2 DS-GVO nie berufen.
    In Fällen, in denen nicht eine reine Öffentlichkeitsarbeit durchgeführt wird, sondern beispielsweise mittels der Nutzung „Sozialer Netzwerke“ die öffentliche Sicherheit gewährleistet wird (Warnung vor Umweltkatastrophen oder terroristischen Anschlägen), kann der behördliche Auftritt in „Sozialen Netzwerken“ auch gestützt auf Artikel 6 Absatz 1 Satz 1 Buchstabe e), Absatz 2 und 3 DS-GVO in Verbindung mit einer speziellen fachgesetzlichen Rechtsgrundlage erfolgen.
    Aufgrund dieser insgesamt nur schwer nachvollziehbaren und teilweise unklaren Rechtslage ist der Gesetzgeber dazu aufgerufen zu prüfen, ob durch ein Gesetz zur Öffentlichkeitsarbeit von Behörden künftig mehr Rechtssicherheit geschaffen werden kann.

  • Jegliche Verarbeitung personenbezogener Daten muss transparent gemacht werden (vgl. Artikel 13 und 14 DS-GVO). Eine beispielhafte Aufzählung von Datenverarbeitungen genügt dafür nicht. Neben der Angabe von Rechtsgrundlage, Zweck und verarbeiteten Datenkategorien ist auch über eine etwaige Weitergabe personenbezogener Daten der Bürgerinnen und Bürger an Dritte zwingend zu informieren. Bei der Verwendung von Cookies oder ähnlichen Techniken zur Wiedererkennung von nutzenden Bürgerinnen und Bürgern müssen Zwecke und die Dauer solcher Tracking-Maßnahmen angegeben werden.
  • Wer einen solchen Dienst als Behörde nutzt, ist zunächst dafür verantwortlich, was er selbst dort tut. Soweit die behördlichen Mitglieder mit dem Plattformbetreiber zusammen gemeinsam verantwortlich und haftbar sind (vgl. dazu EuGH C-210/16)[1], erstreckt sich ihre Verantwortlichkeit auch auf Datenverarbeitungen durch den Plattformbetreiber und auf die gemeinsame Erfüllung von Betroffenenrechten wie Auskunfts-, Lösch- oder Schadensersatzpflichten. Das Argument, man habe auf den Betreiber der gewählten Plattform nur beschränkt Einfluss (Blackbox-Argument), ist bei einer gemeinsamen Verantwortlichkeit kein gültiges Argument.
    Liegt eine gemeinsame Verantwortlichkeit vor, so müssen Account-Inhaber und PlattformBetreiber in einer Vereinbarung transparent festlegen, wer von ihnen welche Verpflichtung gemäß DS-GVO erfüllt. Eine solche Aufteilung der Pflichten ist aber nur möglich, wenn – anders als etwa in dem aktuell von Facebook bereitgestellten Addendum und den Datenschutzhinweisen – tatsächlich alle Verarbeitungen personenbezogener Daten vollständig offen gelegt werden. Die wesentlichen Inhalte dieser Vereinbarung nach Art. 26 DS-GVO müssen zudem den Bürgerinnen und Bürgern, die das Informationsangebot nutzen, zur Verfügung gestellt werden.[2]
  • Alternative Informations- und Kommunikationswege müssen vom behördlichen Mitglied angeboten werden. Einwilligungen können bei der behördlichen Nutzung von „Sozialen Netzwerken“ nur dann als freiwillig betrachtet werden, wenn es den Bürgerinnen und Bürgern auch möglich ist, sich der Verarbeitung der eigenen personenbezogenen Daten durch einen Plattformbetreiber über die Nutzung alternativer Angebote wie etwa einer Behörden-Webseite zu entziehen. Die Landesregierung hat sich bereits im Bereich der Kurznachrichtendienste dazu entschlossen, einen solchen alternativen Kommunikationskanal auf Mastodon – einem dezentralen Kurznachrichtendienst – anzubieten. [3] Näheres findet sich hierzu in der „Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen“[4].
  • Die technischen und organisatorischen Sicherungsmaßnahmen von Plattform und Behörden-Account müssen dem Stand der Technik entsprechen und den Selbstschutz der Bürgerinnen und Bürger respektieren. Von Bürgerinnen und Bürgern im Browser gewählte Schutzmaßnahmen (z.B. Einstellungen zu Cookies, Do-Not-Track, Deaktivierung von Standortdaten, Blockierung von bestimmten Domains) dürfen weder vom Plattformbetreiber noch vom behördlichen Mitglied ausgeschaltet oder umgangen werden.

Fußnoten

[1]Siehe die Entscheidung des Europäischen Gerichtshofs vom 5. Juni 2018 (C-210/16), in der eine gemeinsame Verantwortlichkeit (vgl. Artikel 26 DS-GVO) des „Sozialen Netzwerks“ Facebook und dessen Mitgliedern festgestellt wurde.

[2]Muster für eine solche Vereinbarung und die Informationen, die weitergegeben werden müssen, erhalten Sie unter: https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/

[3]https://mastodon.social/@RegierungBW

[4]Siehe dazu die Richtlinie des LfDI zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen

Beitrag online gestellt am 20.08.2025. Inhaltlicher Stand: Februar 2020