Datenschutz für öffentliche Stellen: DSGVO-konforme Nutzung sozialer Netzwerke

In diesem Beitrag werfen wir zunächst einen Blick auf die aktuelle Rechtslage und erklären, wie öffentliche Stellen soziale Netzwerke datenschutzkonform nutzen können. Eines vorweg: Ein Restrisiko bleibt immer bestehen. Dennoch gibt es Möglichkeiten, die Nutzung so sicher wie möglich zu gestalten. Und varISO steht dabei an Ihrer Seite.

Wichtig zu wissen ist, dass Social Media nicht nur datenschutzrechtliche Anforderungen mit sich bringt. Die Nutzung unterliegt auch anderen rechtlichen Regelungen, wie dem Medien- oder Urheberrecht. In diesem Beitrag konzentrieren wir uns jedoch ausschließlich auf das Thema Datenschutz in sozialen Medien. Sollten Sie zu anderen Rechtsbereichen Fragen haben, empfehlen wir die Konsultation eines Fachanwalts für Medien- und IT-Recht.

DSGVO und soziale Netzwerke: Die Herausforderung für Kommunen und Behörden

Warum sind soziale Netzwerke oft nicht DSGVO-konform?

Ein Hauptproblem der DSGVO-Konformität sozialer Netzwerke liegt darin, dass Plattformbetreiber wie Facebook, Instagram und Co. ihre Nutzer nicht transparent über die Verwendung personenbezogener Daten informieren. So wird unklar, welche Daten gesammelt, wie sie mit anderen Daten verknüpft und für die Profilerstellung genutzt werden. Bei Facebook, Instagram & Co. werden zahlreiche Daten gesammelt und an Werbepartner, Suchmaschinen und Dienstleister weitergegeben. Besonders kritisch: Viele dieser Daten werden in die USA übermittelt, wo laut EuGH-Urteil kein angemessenes Datenschutzniveau gewährleistet ist.

Warum ist dies auch für den Besitzer eines Social Media Kanals problematisch?

Kurz gesagt: Mitverantwortung! Der Europäische Gerichtshof (EuGH) entschied 2018, dass Betreiber von Social Media Kanälen, wie z. B. Facebook-Fanpages, als (Mit-)Verantwortliche für die Datenverarbeitung auf der Plattform gelten. Dies betrifft insbesondere Gemeinden, Behörden und andere öffentliche Stellen, die Social Media nutzen.

Für Kanalbetreiber bedeutet dies, dass sie alle Anforderungen der DSGVO erfüllen und deren Einhaltung auch nachweisen müssen. Das stellt eine erhebliche Herausforderung dar, denn in vielen Fällen ist nicht klar, welche Daten von den Plattformen gesammelt und verarbeitet werden. So wird es schwierig, eine wirklich rechtskonforme Verarbeitung zu gewährleisten.

Kann man die Verantwortung öffentlicher Stellen bei Social Media anders bewerten?

Ein häufiger Einwand lautet: Öffentliche Stellen selbst verarbeiten doch keine personenbezogenen Daten rechtswidrig – das geschieht ausschließlich durch die Plattformen. Außerdem nutzen Bürger soziale Netzwerke ohnehin freiwillig.

Doch diese Argumentation greift zu kurz. Staatliche und kommunale Stellen unterliegen einer verfassungsrechtlichen Bindung an Recht und Gesetz (Rechtsstaatsprinzip). Aufgrund ihrer gesellschaftlichen Vorbildfunktion stehen sie in einer besonderen Verantwortung – auch bei der Nutzung sozialer Netzwerke. Zudem weisen Aufsichtsbehörden darauf hin, dass durch die Präsenz öffentlicher Stellen auf Plattformen wie Facebook oder Instagram zusätzliche Nutzungsdaten entstehen, die von den Plattformbetreibern verarbeitet werden. Diese Datenverarbeitung erfolgt häufig außerhalb der Kontrolle der öffentlichen Stellen und birgt Datenschutzrisiken.

Was folgt für Kommunen und Behörden bei der Nutzung von Social Media daraus?

Einerseits wird die besondere Vorbildfunktion öffentlicher Stellen betont und die mangelnde DSGVO-Konformität sozialer Netzwerke kritisiert. Andererseits erkennen Aufsichtsbehörden das große Nutzungsinteresse öffentlicher Stellen an Social Media und geben Empfehlungen, wie diese Kanäle datenschutzrechtlich konform betrieben werden können.

Kurz gesagt: Die Nutzung sozialer Netzwerke durch öffentliche Stellen ist nicht ohne Risiken. Wenn sich staatliche und kommunale Stellen jedoch für den Betrieb eines Social Media Kanals entscheiden, sollten sie maximalen Datenschutz gewährleisten, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden.

Erstellung eines Nutzungskonzepts für Social Media: Ein Leitfaden für öffentliche Stellen

Bevor eine öffentliche Stelle ein soziales Netzwerk nutzt, muss ein Nutzungskonzept entwickelt werden. Dieses Konzept beschreibt den Zweck, die Art und den Umfang der geplanten Social-Media-Nutzung. Es sollten die Gründe für die Wahl des Netzwerks erörtert sowie Verantwortlichkeiten für die redaktionelle und technische Betreuung und für die Wahrnehmung der Betroffenenrechte gemäß Art. 15 ff. DSGVO festgelegt werden.

Wichtig ist, dass die Vorteile der Nutzung und die Nachteile eines Verzichts deutlich miteinander abgewogen werden und die Entscheidung für ein bestimmtes Soziales Netzwerk nachvollziehbar erscheint. Auch alternative Informationsmöglichkeiten sollten im Nutzungskonzept behandelt werden. Das Konzept sollte allgemein zugänglich gemacht werden, z. B. auf der Website der öffentlichen Stelle. Nach einer gewissen Nutzungszeit sind die gesammelten Erfahrungen mit den ursprünglichen Erwartungen zu vergleichen und gegebenenfalls die Notwendigkeit und das Ausmaß der Nutzung zu überdenken. Das Nutzungskonzept sollte regelmäßig, mindestens jährlich, evaluiert werden.

Empfehlung der varISO GmbH: Erstellen Sie ein Nutzungskonzept für die Nutzung Ihres gewählten Social Media Kanals. Beschreiben Sie darin genau, was Ihre Erwartungen diesbezüglich sind, und dokumentieren Sie möglichst präzise, wie Sie den Schutz der Rechte und Freiheiten der Betroffenen gewährleisten möchten. Wir sind Ihnen bei der Erstellung eines Nutzungskonzeptes gerne behilflich.

Alte Bekannte: Impressum und Datenschutzerklärung

Ein Social Media Kanal muss – wie jeder Dienst im Internet – Angaben enthalten, die die öffentliche Stelle als Anbieter erkennen lassen. Dies geschieht durch ein Impressum, das leicht erkennbar, direkt erreichbar (maximal zwei Klicks) und ständig verfügbar sein sollte. Da die Unterbringung dieser Angaben je nach Plattform schwierig sein kann, empfiehlt es sich, auf das Impressum der eigenen Website zu verlinken. Bei redaktionellen Beiträgen, wie Blog-Artikeln, ist auch die Angabe einer verantwortlichen Person mit Namen und Anschrift erforderlich.

Bei der Nutzung eines Social-Media-Kanals werden personenbezogene Daten verarbeitet. Der häufig geäußerte Einwand, dass man nur einseitig informiere und keinerlei personenbezogene Daten verarbeite, greift nicht, denn die Verarbeitung dieser Daten erfolgt zwar in der Regel durch die Plattform, allerdings geschieht dies während des Besuchs auf dem eigenen Kanal. Zudem könnten diese Daten auch für eigene Analysezwecke (z. B. Facebook Insights) von der öffentlichen Stelle genutzt werden. Wenig überraschend benötigt daher jeder Kanal eine eigene, deutlich zugängliche Datenschutzerklärung, die mit einem Klick erreichbar sein muss. Hier empfiehlt sich ein Link zur Datenschutzerklärung der eigenen Website, wobei sichergestellt werden muss, dass diese auch Informationen über den Social Media Kanal enthält.

Die Datenschutzerklärung muss den Umgang der öffentlichen Stelle mit personenbezogenen Daten sowie die Verarbeitung durch den Plattformbetreiber und mögliche Datenübermittlungen außerhalb der EU erörtern. Für ein umfassendes Bild sollte zudem auf die Datenschutzerklärung des Plattformbetreibers verlinkt werden. Ergänzend sollte auf die datenschutzrechtlichen Probleme sozialer Netzwerke und Möglichkeiten zur Einschränkung der Verarbeitung von Nutzungsdaten durch eigene Datenschutz- oder Privatsphäreneinstellungen hingewiesen werden.

Empfehlung der varISO GmbH: Achten Sie darauf, dass Impressum und Datenschutzerklärung gut erreichbar sind. Wenn die Datenschutzerklärung nicht als Text im jeweiligen Social Media Kanal untergebracht werden kann, so verlinken Sie auf die Datenschutzerklärung auf Ihrer Website und integrieren Sie dort die entsprechenden Angaben in die bestehende Datenschutzerklärung. Gerne sind wir bei der Erstellung einer passenden Datenschutzerklärung behilflich.

Haftung vermeiden: Die Rolle der kontinuierlichen Betreuung bei der Verwaltung von Social Media Kanälen

Diensteanbieter, wie die öffentliche Stelle, sind grundsätzlich nicht für fremde Inhalte verantwortlich. Allerdings haften sie, wenn sie von einer rechtswidrigen Handlung oder Information erfahren und nicht unverzüglich handeln, um diese zu entfernen, beispielsweise bei volksverhetzenden Äußerungen von Nutzern. Daher sollte die öffentliche Stelle ihr Angebot von einer geschulten Person redaktionell betreuen lassen.

Empfehlung der varISO GmbH: Benennen Sie intern eine Person und ggf. eine Stellvertretung, die mit der Betreuung des Kanals betraut wird.

Alternative Informationskanäle: Wie Sie den Zugang zu Informationen gewährleisten sollten

Der Zugang zu Informationen einer öffentlichen Stelle sollte nicht von einer vorherigen Registrierung bei einem sozialen Netzwerk abhängig sein. Daher müssen bereitgestellte Informationen auch auf alternativen Wegen, wie der eigenen Website, verfügbar sein. Bürger sollten nicht gezwungen sein, sich bei einem sozialen Netzwerk zu registrieren, um staatliche oder kommunale Informationen zu erhalten. Bei geplanter Interaktion mit Bürgern, wie Umfragen, sollte ebenfalls eine alternative Interaktionsmöglichkeit zur Verfügung stehen, etwa Abstimmungen per E-Mail oder postalisch. Diese alternativen Kommunikationswege müssen im Nutzungskonzept dargestellt werden, um zu verdeutlichen, dass der Social-Media-Kanal ein zusätzliches Angebot ist, das man nutzen kann, keinesfalls jedoch bestehende Informations- und Kommunikationswege ersetzen soll.

Empfehlung der varISO GmbH: Legen Sie in Ihrem Nutzungskonzept dar, dass es sich beim beabsichtigten Social Media Kanal nur um ein Zusatzangebot handelt und keinesfalls bestehende Informations- und Kommunikationswege ersetzt werden sollen und stellen Sie sicher, dass dies gewährleistet wird.

Der Schutz personenbezogener Daten sollte auch bei der Nutzung sozialer Netzwerke oberste Priorität haben. Mit der richtigen Strategie, einem klaren Nutzungskonzept und der Beachtung der DSGVO-Vorgaben können öffentliche Stellen ihre Social-Media-Kanäle erfolgreich betreiben. Lassen Sie sich von uns unterstützen, um datenschutzrechtliche Risiken zu minimieren und die Rechte Ihrer Bürger zu wahren.

Sie haben Fragen zu den Themen Datenschutz und Datensicherheit für Kommunen und Gemeinden? Sprechen Sie uns gerne an!