Von Patrick Stefan Storch
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) untersagt dem Presse- und Informationsamt der Bundesregierung (Bundespresseamt) die von der Bundesregierung betriebene Facebook- Fanpage.
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt mit Bescheid vom 17. Februar 2023 angewiesen, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen.
Als Hauptgrund in seinem 44 Seiten umfassenden Bescheid nennt der BfDI,
„dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“
[BfDI – Pressemitteilung 6/2023]
A. Wesentliche Entscheidungsgründe (Auszug)
1. Verstöße gegen Grundsätze für die Verarbeitung personenbezogener Daten
a) Rechenschaftspflicht aus Artikel 5 Absatz DSGVO nicht nachgekommen
Das Bundespresseamt ist nicht in der Lage, seine gesetzliche Rechenschaftspflicht zu erfüllen und verstößt mit der betriebenen Fanpage gegen Artikel 5 Absatz 2 DSGVO.
b) Verstoß gegen Artikel 5 Absatz 1 littera a DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
Es ist für das BPA nicht vollumfänglich klar, in welchem Umfang Daten von Meta verarbeitet, zu welchen Zwecken diese weitergegeben und an welche Empfänger diese übermittelt werden. Dem BPA fehlen insbesondere Informationen zu den genauen Rechtsgrundlagen sowie den konkreten Zwecken der jeweiligen Verarbeitungsvorgänge. Außerdem ist anhand der nicht ausreichenden Informationen die notwendige Transparenz gegenüber den Nutzerinnen und Nutzern nicht gegeben.
c) Verstoß gegen Artikel 5 Absatz 1 littera b DSGVO („Zweckbindung“)
Die Bundesverwaltung darf zwar Öffentlichkeitsarbeit betreiben und hierbei auch Daten verarbeiten. Diese Verarbeitung ist jedoch begrenzt auf diesen Zweck der Öffentlichkeitsarbeit. Sofern aus der Fanpage erhobene Daten auch für andere Zwecke von Meta verarbeitet werden – wie Profilbildung und zielgerichtete Werbung – sind diese anderen, über den ursprünglichen Zweck hinausgehenden, Zwecke nicht mehr von der Rechtsgrundlage der ursprünglichen Verarbeitung gedeckt.
d) Verstoß gegen Artikel 5 Absatz 1 littera c DSGVO („Datenminimierung“)
Indem durch die auf der Facebook-Fanpage gesetzten Cookies Daten von Nutzern und von Nicht-Nutzern von Meta erhoben werden, die über das für die reine Information der Besucher der Fanpage erforderliche Maß hinausgehen, kann das BPA den Nachweis der Einhaltung des Grundsatzes der Datenminimierung nicht führen. Weiterhin ist die Statistikfunktion „Facebook Insights“ beim Eröffnen und Betreiben einer Fanpage voreingestellt. Aufgrund der dadurch erfolgenden, übermäßigen Verarbeitung von Daten von Nutzern und Nicht-Nutzern ist das BPA auf Grundlage seiner bisherigen Informationslage von Meta auch nicht in der Lage nachzuweisen, dass es durch diese umfangreiche Verarbeitung den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Artikel 25 Absatz 1 DSGVO einhalten kann.
e) Verstoß gegen Artikel 5 Absatz 1 littera e Halbsatz 1 DSGVO („Speicherbegrenzung“)
Indem die konkrete Speicherdauer der auf der Facebook-Fanpage erhobenen Daten aus Sicht des objektiven Empfängerhorizonts auf Grundlage der bisherigen Datenschutzinformationen nicht hinreichend und unzweideutig klar definiert ist und zum Teil eine dauerhafte Speicherung der Daten durch Meta, teilweise auch nach Antrag auf Löschung durch Betroffene erfolgt, hat mir das BPA die Einhaltung des Grundsatzes der Speicherbegrenzung vorliegend nicht hinreichend nachgewiesen.
f) Verstoß gegen Artikel 6 Absatz 1 littera und e DSGVO, § 3 BDSG („Rechtmäßigkeit der Verarbeitung)
Nach Auffassung des BfDI erfolgt die Verarbeitung personenbezogener Daten durch das BPA und Meta ohne Rechtsgrundlage:
„Keine Rechtfertigung auf Grundlage von Artikel 6 Absatz 1 littera e DSGVO in Verbindung mit § 3 BDSG oder einer Einwilligung der Nutzerinnen und Nutzer gemäß Artikel 6 Absatz 1 littera a DSGVO.“
g) Verstoß gegen Artikel 13 Absatz 1 littera c und e DSGVO („Informationspflicht“)
Weiterhin kann das BPA nicht nachweisen, wie Daten durch Meta nach Setzen der Cookies weiterverarbeitet werden. Folglich kann es die Besucher seiner Fanpage nicht transparent gemäß Artikel 13 Absatz 1 DSGVO informieren. So kennt das BPA beispielsweise nicht alle Zwecke der Verarbeitung im Sinne des Artikel 13 Absatz 1 littera c DSGVO und kennt auch nicht aller Empfänger gemäß Artikel 13 Absatz 1 littera e DSGVO.
2. Verstöße gegen den Schutz der Privatsphäre bei Endeinrichtungen
a) Verstoß gegen das Einwilligungserfordernis nach § 25 TTDSG
Der Zweck beim Einsatz bestimmter Cookies, wie z.B. das c_user-, das datr- und das fr-Cookie, ist nicht eindeutig erfasst. Für Ausnahmen vom Einwilligungserfordernis aus technisch erforderlichen Sicherheitsgründen ist nichts ersichtlich.
b) Verstoß gegen eine wirksame Einwilligung nach § 25 TTDSG
Dem aktuellen Einwilligungsbanner – ebenso wie der Vorversion – kann nicht eindeutig entnommen werden, dass eine Einwilligung gemäß § 25 TTDSG eingeholt werden soll. In der Cookie-Richtlinie von Meta, die im Einwilligungsbanner verlinkt ist, findet sich ebenfalls kein ausdrücklicher Hinweis auf § 25 TTDSG.
„Letztlich bleibt es aber für die Nutzerinnen und Nutzer unklar, ob von ihnen eine Einwilligung gemäß § 25 Absatz 1 TTDSG und/oder eine Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 littera a DSGVO abgefragt wird. Hinsichtlich der aktuellen Version des Banners ist davon auszugehen, dass der Klick auf die Schaltfläche „Erforderliche und optionale Cookies erlauben“ als Einwilligung in alle Cookies – auch von anderen Unternehmen – gewertet werden soll.“
So fehlen auf erster Ebene des Einwilligungsbanners Informationen zu
- konkrete Zwecke der Verarbeitung;
- sofern zutreffend, dass individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden;
- sofern zutreffend, dass Daten auch außerhalb des EWR verarbeitet werden und
- an wie viele Verantwortliche die Daten offengelegt werden.
c) Verstoß gegen die Informationspflicht „Widerruf“ nach Artikel 7 Absatz 3 Satz 3 DSGVO
Ebenso mangelt es an der Informationspflicht aus Artikel 7 Absatz 3 Satz 3 DSGVO. Betroffene Personen sind vor der Abgabe der Einwilligung auf ihr Widerrufsrecht hinzuweisen.
Ferner fehlt die Information, für wie viele Facebook/Meta-Produkte und von wie vielen anderen Unternehmen die Cookies verwendet werden. Hinzu kommt, dass der Satz „Dort [gemeint ist die Cookie-Richtlinie] kannst du deine Auswahl außerdem jederzeit überprüfen oder ändern.“, nicht als ein hinreichend ausdrücklicher Hinweis auf das Recht zum jederzeitigen Widerruf der Einwilligung gemäß Artikel 7 Absatz 3 Satz 1 DSGVO zu werten ist.
d) Verstoß gegen Artikel 4 Nummer 11 DSGVO durch den Einwilligungsbanner
Mit dem verwendeten Einwilligungsbanner wird die „Freiwilligkeit“ der Einwilligung gemäß Artikel 4 Nummer 11 DSGVO nicht erfüllt. Das Banner ist derart strukturiert, dass es den Nutzerinnen und Nutzern eine Wahlmöglichkeit suggeriert, die tatsächlich nicht besteht.
Durch das Einwilligungsbanner auf der Fanpage des BPA werden wesentliche Teile der Webseite verdeckt. Diese sind zudem ausgegraut und ein Scrollen und Klicken auf die Webseite neben dem Einwilligungsbanner ist nicht möglich.
Somit ist die Fanpage schlicht nicht nutzbar, ohne dass die Nutzerinnen und Nutzer mindestens auf die Schaltfläche „Nur erforderliche Cookies erlauben“ klicken.
Bei den drei im Einwilligungsbanner aufgeführten Zwecken wird nicht zwischen den erforderlichen und den optionalen Cookies differenziert. Es ist daher bereits nicht erkennbar, welche Cookies für welche Zwecke eingesetzt werden. Darüber hinaus fehlt eine Zuordnung von Cookies zu den jeweiligen Diensten und zu den jeweiligen Anbietern. Diese Informationen finden sich auch nicht in der Cookie-Richtlinie. Eine Information, welche „anderen Unternehmen“ Cookies setzen, fehlt ebenfalls vollständig.
e) „Nudging“
Dabei handelt es sich um ein methodisches Vorgehen, um das Verhalten von Nutzerinnen und Nutzern im eigenen Interesse bewusst zu beeinflussen. Beispielsweise ist die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option farblich auffälliger gestaltet und die Farben werden entsprechend den ihnen zugewiesenen Bedeutungen verwendet, zum Beispiel „Zustimmung“ in Grün und Text in Fettschrift und „Ablehnen“ in Rot oder in Grau mit kleiner Schrift. Genau diese Form des Nudgings mit sogenannten „Deceptive Design Patterns“, früher „Dark Patterns“, über die Farbgestaltungen ist im Einwilligungsbanner von Meta zu erkennen.
3. Verstoß gegen Vorschriften für „Gemeinsame Verantwortliche“
Die nach Artikel 26 Absatz 1 Satz DSGVO bei gemeinsamer Verantwortlichkeit erforderliche Vereinbarung zwischen dem BPA und Meta v. 4. November 2019 ist intransparent und nicht konkret genug:
„Daraus geht für einen objektiven Empfänger jedoch nicht klar, transparent und konkret genug hervor, welche Datenverarbeitungen aufgrund welcher Rechtsgrundlage stattfinden. Vielmehr müssten konkrete Rechtsgrundlagen für die gemeinsam erfolgende Verarbeitung bereits in dem Addendum angegeben werden und für jede Verarbeitung der dadurch verfolgte Verarbeitungszweck konkret erläutert werden.“
Gemeinsam Verantwortliche müssen beide eine wirksame Rechtsgrundlage für die (gemeinsame) Verarbeitung vorweisen können, was laut BfDI nicht der Fall ist.
B. Die Problematik
Cookies werden gesetzt – mit oder ohne Registrierung
Fanpages können – je nach Konfiguration durch die Seitenbetreiber – auch ohne vorherige Anmeldung aufgerufen und die dort verfügbaren Inhalte können daher auch von Personen gelesen werden, die nicht registrierte Nutzerinnen und Nutzer von Facebook sind. Je nachdem, ob Nutzerinnen und Nutzer eine Seite aufrufen und lesen, nachdem sie sich mit ihrem Account eingeloggt haben oder ohne sich zuvor einzuloggen, werden unterschiedliche Cookies gesetzt und dann entsprechend ausgelesen.
Zwecke der gesetzten Cookies nur teilweise bekannt
Bei eingeloggten Nutzer:innen wird c_user-Cookie, bei Nicht-Mitgliedern der datr-Cookie gesetzt. Zwecke dieser Cookies sind nur teilweise bekannt, so auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrem Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook Fanpages mit Stand vom 10. November 2022 (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluess-ePositionspapiere/103DSK-Kurzgutachten-Facebook.pdf?__blob=publicationFile&v=3).
Keine Zweckbindung bei der Verarbeitung personenbezogener Daten
Das Oberverwaltungsgericht Schleswig-Holstein (Urteil v. 25. November 2021, Az.: 4 LB 20/13) kam zu dem Ergebnis, dass bei Aufruf einer Fanpage die IP-Adressen der Besucher an die Server von Meta übermittelt, Cookies in den Endeinrichtungen der Besucher platziert und in den Endeinrichtungen gespeicherte Cookies ausgelesen werden. Die Übermittlung bestimmter Cookies ermöglicht es nach den Feststellungen des OVG Schleswig-Holstein bspw., die dort registrierten und angemeldeten Mitglieder zu erkennen und die Aktivität auf der Fanpage mit den sonstigen Informationen zu verknüpfen.
Mithilfe weiterer Cookies werden durch Meta Platforms Ireland Limited (früher Facebook Ireland Limited) personenbezogene Daten erhoben und verknüpft diese wiederum zu anderen Plattformen des Unternehmens und anderen Webseiten, die in das Werbenetzwerk des Unternehmens integriert sind.
Darüber hinaus verwendet Meta die gesammelten Daten der Nutzerinnen und Nutzer für sein Werbenetzwerk, aus dem der wesentliche Umsatz seines Geschäftsmodells generiert wird.
Hierdurch wird die Reichweite von Fanpages auf der Plattform beeinflusst.
C. Rechtliche Konsequenzen für das Bundespresseamt
Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe Klage bei dem Verwaltungsgericht Köln erhoben werden.
Wird der Bescheid des BfDI rechtskräftig, muss das BPA den Betrieb seiner Facebook-Fanpage einstellen.
D. Maßgebliche Rechtsvorschriften
Artikel 58 Absatz 2 littera b, f DSGVO, Artikel 5 Absatz 1 littera a, Artikel 5 Absatz 2 DSGVO, Artikel 6 Absatz 1 DSGVO, § 25 Absatz 1 Satz 1 TTDSG.