Bye Bye Twitter

Der baden-württembergische Landesdatenschutzbeauftragte Dr. Stefan Brink fordert Behörden auf, ihre Social-Media-Auftritte in Twitter und Facebook einzustellen. Die Accounts können wegen Verstoßes gegen datenschutzrechtliche Bestimmungen nicht rechtmäßig betrieben werden.

Die Rechtsprechung ist eindeutig

Am 30. Dezember dieses Jahres musste ich meinen Abschied von der Social-Media-Plattform Twitter bekannt geben. Seit dem November 2017 twitterte dort unter @lfdi_bw die einzige deutsche Datenschutz-Aufsichtsbehörde mit einem offiziellen Account über eigene News, kommentierte das aktuelle Datenschutz-Geschehen, tauschte sich in teilweise intensiven, aber immer sachbezogenen Diskussionen mit dem Datenschützer-Schwarm auf Twitter aus und war auch für unmittelbare Fragen ansprechbar.

Seit November 2017 setzte der LfDI etwa 3.000 Tweets ab, die Zahl der Follower des Accounts wuchs so auf zuletzt 5.500. Mit meinen Kurznachrichten erreichte ich binnen der letzten zwei Jahre mehrere Millionen Twitternutzer und erhielt tausendfaches Feedback mit Anregungen, Einschätzungen zu unserer Arbeit – erfreulicherweise überwog die freundliche Resonanz deutlich. Gleichzeitig nutzte ich die rege und vor allem schnelle Kommunikation auf dieser Plattform, um mich bei den 150 Personen und Instanzen, denen ich selbst folgte, über aktuelle Datenschutzthemen, Gerichtsentscheidungen und nationale wie internationale politisch-parlamentarische Vorgänge auf dem Laufenden zu halten.

Schon mit der Facebook-Fanpage-Entscheidung des Europäischen Gerichtshofs vom 5. Juni 2018 (C-210/16) verdüsterte sich das Bild für die Nutzer von Social Media: Der EuGH entschied darin, dass auch der Betreiber einer Fanpage neben dem Plattformbetreiber selbst als Verantwortlicher im datenschutzrechtlichen Sinne anzusehen ist – und damit bei Datenschutzverstößen auf der Plattform nicht mehr alleine auf deren Betreiber verweisen und seine Hände in Unschuld waschen kann. Zudem wurde damit klargestellt, dass zwischen den beiden gemeinsam Verantwortlichen ein Vertrag abzuschließen ist (vgl. Art. 26 DS-GVO), in dem die Wahrnehmung von Pflichten etwa gegenüber Betroffenen transparent und eindeutig geregelt werden muss. Und solche Verträge lagen und liegen bis heute nicht in einer datenschutzgerechten Form vor. Damit war seit Mitte des Jahres 2018 jedenfalls für öffentliche und private Betreiber von Facebook Fanpages klar, dass sie – ganz unabhängig von der Frage, ob die Plattformen die Daten von Mitgliedern und Nicht-Mitgliedern rechtmäßig verarbeiten – ihren Social-Media-Auftritt formell rechtswidrig unterhalten. Ob diese Rechtslage auch für andere Plattformen als Facebook gilt, wurde im Folgenden kontrovers diskutiert, lässt sich angesichts der zunehmenden Konvergenz der Social-Media-Angebote (ihre Funktionalitäten ähneln sich immer mehr, die darunter liegenden Geschäftsmodelle „wirtschaftliche Verwertung der personenbezogenen Daten der User“ sind identisch) allerdings kaum mehr bestreiten.

Noch prekärer – und noch eindeutiger – wurde die Rechtslage durch die Entscheidung des Bundesverwaltungsgerichts vom 11. September 2019 (BVerwG 6 C 15.18), das die im Wege der Vorabentscheidung vom EuGH im Juni 2018 eingenommene Position in den deutschen Rechtsraum überführte: Damit wurde nicht nur die datenschutzrechtliche Verantwortlichkeit des Fanpagebetreibers bestätigt, sondern zugleich den Aufsichtsbehörden ein Auswahlermessen zugesprochen, zur Beseitigung von Rechtsverstößen beim Betrieb der Plattform wahlweise auf jeden der Verantwortlichen – also auch auf den Nutzer zuzugreifen: „Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.“

Regulierung um die Ecke – Verantwortlichkeit des Plattformnutzers

Damit eröffnet das Bundesverwaltungsgericht ausweislich der am 10. Dezember 2019 veröffentlichten Entscheidungsgründe die Möglichkeit einer „Regulierung um die Ecke“: Die Aufsicht kann bei rechtswidriger Datenverarbeitung auf der Plattform auch auf den Nutzer zugreifen und ihn mit Maßnahmen wie Verwarnungen oder Anordnungen belegen. Ob man das nun Auswahlermessen, Geiselnahme oder Bauernopfer nennt, ist zweitrangig. In der Sache geht es immer darum, einen nicht erreichbaren Störer – den Plattformbetreiber – über einen erreichbaren Störer – den Accountbetreiber – unter Druck zu setzen, das geltende Recht einzuhalten.

Und warum sind die meisten Betreiber von erfolgreichen und reichweitenstarken Plattformbetreibern „nicht erreichbar“? Darauf gibt es eine zweiteilige Antwort: Zunächst einmal hat die DS-GVO dafür gesorgt, dass das neue einheitliche Datenschutzrecht in Europa auch einheitlich umgesetzt wird (Stichwort Kohärenzverfahren zwischen den Aufsichtsbehörden) und hat mittels der sogenannten one stop-shop sichergestellt, dass für jeden Datenverarbeiter eine und nur eine Aufsichtsbehörde zuständig ist und die Ansagen macht. Im Falle von Facebook, Twitter und Co. ist dies die irische Aufsichtsbehörde, welche mit den anderen staatlichen Stelle der Republik Irland den Ruf teilt, besonders ansiedlungs- und wirtschaftsfreundlich zu agieren. Fakt ist, dass es den irischen Kollegen bis heute nicht gelungen ist, auch nur eine wirksame Regulierung gegenüber den Plattformbetreibern zu treffen. Das bedeutet: Andere europäische Aufsichtsbehörden dürfen die Plattformbetreiber nicht wirksam kontrollieren, die zuständige Behörde stellt aber keine effektive Kontrolle sicher. Damit liegen Voraussetzungen vor, die das Bundesverwaltungsgericht zur Bedingung der Ausübung von Aufsichtsbefugnissen gegenüber von plattformnutzenden Stellen gemacht hat. Zu denken wäre hierzu an Warnungen an die Nutzer (Art. 58 Abs. 2 lit. a DS-GVO), später auch an Verwarnungen oder sogar Anordnungen, ihre Accounts einzuschränken oder zu schließen (Art. 58 Abs. 2 lit. b und d DS-GVO).

„Schön“ ist das natürlich nicht: Wesentlich naheliegender und „fairer“ wäre es, Datenschutzverstöße an der Quelle abzustellen – zumal die Nutzer der Plattformen uns mit großer Regelmäßigkeit versichern, keinen Einfluss auf die Betreiber ausüben zu können (was wir gut nachvollziehen können). Dennoch: Es sind die Nutzer, welche diese Plattformbetreiber als Dienstleister einsetzen, um ihre Öffentlichkeitsarbeit mit möglichst großer Reichweite und Resonanz zu betreiben (so wie ich das auch bislang via Twitter tat), und dadurch setzen die Nutzer die Grundbedingung dafür, dass viele Interessenten auf die Social-Media-Plattformen gelockt werden – und dort ggf. in ihren Rechten verletzt werden.

Zwischenfrage: Aber handeln denn nun die Plattformbetreiber rechtswidrig, verarbeiten sie also Nutzerdaten entgegen den Bestimmungen der DS-GVO? Dazu ist zunächst festzuhalten, dass es gerade Aufgabe der irischen Aufsichtsbehörde ist, dies zu ermitteln und zu bewerten. Wenn dies aber nicht effektiv geschieht, dürfen die übrigen Aufsichtsbehörden die Hände nicht in den Schoß legen und müssen sich – vor dem Hintergrund der Social-Media-Nutzung durch verantwortliche Stellen, über die sie selbst die Aufsicht ausüben – ein Bild von der Rechtslage machen. Danach sieht es auf Grundlage der verfügbaren Informationen, insbesondere der Datenschutzerklärungen der Plattformbetreiber, und vorbehaltlich anderer Erkenntnisse der zuständigen Aufsichtsbehörde überblicksartig wie folgt aus:

So gut wie alle der gängigen Social Media-Plattformen sind derzeit nicht datenschutzkonform nutzbar. Viele Plattformen sammeln Daten von angemeldeten Nutzern und Nichtnutzern, auf der eigenen Website, in den eigenen Apps sowie auf Websites und Apps Dritter. Sie übermitteln nach eigenem Ermessen Daten an Dritte und behalten sich auch den Verkauf aller Daten vor.

Die Verarbeitungen werden weder hinsichtlich der eingesetzten Technologien, noch der betroffenen Datenarten, Verarbeitungszwecke oder Empfänger konkret und abschließend genannt.

Die Verarbeitungen erfolgen weitgehend ohne Rechtsgrundlage: Eine informiert, freiwillig, vorherig, aktiv, für den konkreten Einzelfall und separat erklärte sowie jederzeit zumutbar widerrufliche Einwilligung wird nicht abgefragt. Stattdessen muss man bei der Registrierung zustimmen, dass die Datenschutzrichtlinien „gelten“. Andere Rechtsgrundlagen (Art. 6 Abs. 1 UAbs. 1 lit b-f DS-GVO) sind offensichtlich nicht einschlägig.

Es gibt keinen Ausweg – Konsequenzen und Alternativen

Eine Möglichkeit, als Plattform-Nutzer, als Drittwebseiten- oder Drittappbetreiber eine Vereinbarung hinsichtlich der Gemeinsamen Verantwortung (Art. 26 DS-GVO) mit der Plattform abzuschließen, ist oft nicht ersichtlich.

Die Schlussfolgerungen aus diesen Umständen müssen zunächst die Verantwortlichen selbst ziehen und sich darüber klar werden, ob sie zu den von ihnen verfolgten Zwecken unter diesen Umständen Social-Media-Plattformen noch weiter nutzen können. Es versteht sich von selbst, dass öffentliche Stellen, die dem Vorbehalt des Gesetzes unterliegen und besondere rechtsstaatliche Bindungen aufweisen, hier wesentlich schneller und strikter vorgehen müssen als nicht-öffentliche Stellen, als Unternehmen und Vereine, die auf diesen Plattformen zumeist aus Werbezwecken unterwegs sind. Der LfDI wird daher zunächst die Behörden des Landes, mit denen bereits seit Mitte 2019 intensive Gespräche geführt werden, auf ihr Verhalten ansprechen und versuchen, im Dialog zu einer Verbesserung der Situation beizutragen. Wie auch immer die Positionen der Behörden dabei sind: So, wie es jetzt ist, kann es auf keinen Fall bleiben.

Damit ist auch die Frage von Alternativen angesprochen – und da sieht es nicht besonders komfortabel aus: Eine datenschutzkonforme Alternative zu Facebook ist weit und breit nicht in Sicht, Facebook ist jedenfalls in Europa quasi ein Monopolist, was sich negativ auf deren Veränderungsbereitschaft auswirken dürfte. Bei Twitter gibt es zwar mit Mastodon einen funktionstüchtigen Konkurrenten mit datenschutzkonformer dezentraler Struktur – dem fehlt es allerdings noch an Reichweite. Ansonsten besteht gerade im öffentlichen Sektor die Chance, durch Aufbau einer eigenen staatlichen Plattform eine autarke und rechtmäßige Alternative zu schaffen. Anfangs wirken solche Gegenmodelle immer etwas unbeholfen – aber das muss ja nicht so bleiben. Und gegenüber öffentlichen Stellen könnte der Gesetzgeber eine Pflichtnutzung der öffentlichen Plattform anordnen und damit für genügend „traffic“ sorgen.

Fazit

Wie geht es jetzt beim LfDI weiter, wenn er Ende Januar seinen Twitter-Account schließt? Als Ausgleich für die dann verlorene Reichweite bietet sich ein Bündel an kommunikativen Maßnahmen an: Wir werden unseren vierteljährlichen Newsletter stärken, einen eigenen Podcast aufsetzen und prüfen, ob wir mit einem täglichen E-Mail-Infodienst jene Rückmeldungen, die bisher auf unmittelbare Ansprache via Twitter gegeben werden konnten, einem Kreis von Abonnenten unseres Mail-Services weiter sicherstellen können.

Also: Auch nach Twitter wird der LfDI so kommunikativ, kreativ, responsiv und spontan wie nur irgend möglich bleiben. Wir schaffen das!