c't 9/2023
S. 32
Aktuell
Datenschutz

Bund gegen Bund

Bundesregierung klagt gegen Bundesdatenschutzbeauftragten

Das Bundespresseamt will eine Auflage des Bundesdatenschutzbeauftragten nicht akzeptieren und hat nun sogar Klage eingereicht.

Von Falk Steiner

Für die eine Seite geht es um die Information der Öffentlichkeit, für die andere um die Vorbildfunktion einer deutschen Behörde und das Datenschutzrecht: Das Presse- und Informationsamt der Bundesregierung (BPA) hat beim Verwaltungsgericht Köln gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI) geklagt. Der hatte dem für die Öffentlichkeitsarbeit der Bundesregierung verantwortlichen Amt unter Regierungssprecher Steffen Hebestreit untersagt, die Facebook-Fanpage „Bundesregierung“ zu betreiben. Das Bundespresseamt sei als Seitenbetreiber gemeinsam mit Facebook für Rechtsverstöße mitverantwortlich.

Facebooks Datenverarbeitung führt immer wieder zu Streit zwischen Datenschutzbehörden und Betreibern offizieller Fanpages, in diesem Fall sogar jener der Bundesregierung., ZUMA Press Wire
Facebooks Datenverarbeitung führt immer wieder zu Streit zwischen Datenschutzbehörden und Betreibern offizieller Fanpages, in diesem Fall sogar jener der Bundesregierung.
ZUMA Press Wire

Die Auseinandersetzung zwischen dem vom Parlament gewählten und unabhängigen BfDI Ulrich Kelber, ehemals selbst SPD-Bundestagsabgeordneter, und der SPD-geführten Bundesregierung hat aus deren Sicht Grundsatzcharakter: „Die gerichtliche Überprüfung ermöglicht in einer Art Musterverfahren, Rechtsklarheit für den Betrieb von Facebook-Seiten zu schaffen“, begründete eine Sprecherin der Bundesregierung den Gang vor das Gericht. „Wir sind der Auffassung, dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind.“

Der BfDI bemängelte in seinem Bescheid vom Februar 2023, dass Facebook unzulässige Cookies bei allen Nutzern setze, die die Seite aufriefen. Selbst bei Nutzern, die nicht auf Facebook registriert seien, würden Cookies gesetzt. Zudem könne Facebook sich derzeit auf keine gültige Rechtsgrundlage für Datenerhebungen stützen: Nach Ansicht von Datenschützern fehlt sie seit der Annullierung des Privacy Shields durch den EuGH 2020.

Eigentlich wäre gemäß DSGVO die irische Datenschutzaufsicht DPC für Meta zuständig, weil das Unternehmen dort seinen Hauptsitz in der EU hat. Da der jeweilige Fanpage-Betreiber nach Ansicht der Datenschützer aber eine Mitverantwortung trägt, richtet sich der Bescheid gegen das BPA. Für Bundesbehörden ist der BfDI mit Sitz in Bonn zuständig.

Dabei kann der Bundesdatenschutzbeauftragte auf zwei bereits entschiedene Verfahren des Europäischen Gerichtshofs (EuGH) verweisen: 2018, unmittelbar nach Inkrafttreten der Datenschutzgrundverordnung, hatte der EuGH eine Mitverantwortung der Seitenbetreiber im Fall Unabhängiges Landesdatenschutzzentrum Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein bejaht. Und auch 2019 sah der EuGH im Fall des Modeshopbetreibers Fashion ID eine Mitverantwortung für die Erhebung von Nutzerdaten. Allerdings ging es in dem Fall um auf der Website des Betreibers eingebundene Elemente, nicht um eine Seite auf der Facebook-Plattform selbst.

Bundesregierung fürchtet um Öffentlichkeitsarbeit

Sollte Kelber Erfolg haben, könnte das für die Öffentlichkeitsarbeit der Bundesregierung massive Folgen haben: Sie müsste prüfen, welche Angebote auf Fremdplattformen sie überhaupt betreiben darf. „Die Bundesregierung hat einen verfassungsrechtlich gebotenen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren“, argumentiert die Regierungssprecherin. „Um die Bürgerinnen und Bürger zu erreichen, müssen wir uns an deren tatsächlicher Mediennutzung orientieren.“

Das bezweifelt im Grunde auch der BfDI nicht. Er sieht aber bei Behörden die Verpflichtung, sich an geltendes Recht zu halten. „Allerdings ist es ein vollkommen normaler Vorgang in einem Rechtsstaat, dass die Maßnahmen von Aufsichtsbehörden auch gerichtlich überprüft werden können“, sagte ein Sprecher des BfDI auf c’t-Anfrage. „Das schließt ein, dass der Rechtsweg von allen Verfahrensbeteiligten ausgeschöpft werden kann.“

Das Verfahren könnte auch ins Leere gehen, je nachdem wie schnell das Kölner Gericht entscheidet. Denn nachdem USA und EU einen neuen Anlauf für einen besseren Schutz für EU-Daten in den USA unternommen haben, könnte eine Entscheidung der EU-Kommission noch vor dem Gerichtsverfahren die Facebook-Aktivitäten und damit auch die mögliche Mitverantwortung von Fanpage-Betreibern auf eine neue Rechtsgrundlage stellen. Das Verfahren Bundesdatenschutzbeauftragter gegen Bundesregierung hätte sich dann womöglich erledigt. Allerdings würde auch das sogenannte „EU-US- Data-Privacy-Framework“ wahrscheinlich erneut vom Europäischen Gerichtshof geprüft – fiele es ein weiteres Mal durch, wäre die Diskussion wie in einer Zeitschleife gefangen. (tig@ct.de)

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen