Brief des BfDI an alle Bundesbehörden - Facebook und die DSGVO

Der BfDI hat vor gut einer Woche ein Rundschreiben an alle Bundesbehörden verschickt, in welchem er das letzte Mal vor der Weiterverwendung von Fanpages auf Facebook warnt. In dem Schreiben wird eine Frist bis zum Ende 2021 gesetzt. Ab Januar 2022 möchte der BfDI gegen die Fanpages Abhilfemaßnahmen durchsetzen.

Ich frage mich, wie es mit den Plattformen von anderen großen Firmen aussieht. Twitter? Google? Apple? Zum Thema Whatsapp werden auch ein paar Worte im Brief verloren.

Ich hoffe dass die Bundesbehörden sich darum kümmern aber befürchte dass es Mitte 2022 (oder später) einen Rechtsstreit geben wird ob der BfDI die Verwendung von Facebook Fanpages verbieten darf oder nicht.

Wie seht ihr das?

3 „Gefällt mir“

Ich würde mich gerne hier dranhängen. Der BfDI schreibt am 16.6. 2021: mit meinem Rundschreiben vom 20. Mai 2019 an alle obersten Bundesbehörden hatte ich bereits darauf hingewiesen
Meine Frage: Wo finde ich dieses Rundschreiben vom 20.5.2019?

1 „Gefällt mir“

Danke dass du die Frage gestellt hast. Der BfDI veröffentlicht mittlerweile Rundschreiben und andere Dokumente von sich aus. Leider werden die Dokumente nicht Rückwirkend veröffentlicht, daher habe ich eben einen IFG-Antrag gestellt und werde das Rundschreiben, wenn ich es erhalten habe, hier verlinken.

Das ist sehr freundlich. Vielen Dank!

Hier ist zumindest schon mal das Rundschreiben. Die Anhänge werden bestimmt nachgereicht.

Verbieten darf er gem. Art.58 Abs.2 lit.f DSGVO, das muss von Gerichten nicht geklärt werden. Aber es ist gut möglich, dass einzelne Behörden gegen das Verbot klagen (Sind die wirklich alle auf Facebook?). Das Gericht würde sich mit den sachlichen Gründen des Verbots auseinandersetzen und wenn es die Facebook-Dokumente als ausreichend ansähe und die Nachweis-/Informationspflichten durch den Verantwortlichen erfüllt, könnte es das Verbot als unwirksam, hinfällig, wasauchimmer erklären, aufheben. Vermutlich ginge ein solches Verfahren bis zur letzten Instanz und würde sich ein wenig in die Länge ziehen. Unsere Rechtsstaatlichkeit ist nicht gerade von Raschheit geprägt. Das Ausgangsverfahren zur EuGH-Entscheidung dauerte bis zum Urteil des Bundesverwaltungsgerichts nur acht Jahre (ULD gegen Wirtschaftsakademie). Bleibt zu hoffen, dass sich die Aufsichtsbehörden mit geballter Expertise darum kümmern (ob Landes- oder Bundesbehörde sollte hier belanglos sein, weil in der Sache gleich), keine Formfehler passieren und dass Facebook dann noch existiert, sonst wär’ der ganze Spaß umsonst gewesen…

Danke für deinen Text, das ist genau das was ich mit meiner Zusammenfassung meine.

Ich bin mal kurz durch die Bundesoberbehörden gegangen und hab mal geschaut:

BPrA: Ja
BT: Nein
BR: Nein (Twitter, Instagram und YouTube)
BRH: Nein
BKAmt: Ja
BKM: Nein (Twitter, Instagram und Linkedin)
BPA: Ja
BMF: Nein (Twitter, Linkedin, Instagram und YouTube)
BMI: Nein (Twitter und Youtube)
AA: Ja
BMWi: Ja
BMJV: Ja
BMAS: Ja
BMVg: Ja
BMEL: Nein (Twitter, Instagram und YouTube)
BMFSFJ: Ja
BMG: Ja
BMVI: Ja
BMU: Ja
BMBF: Ja
BMZ: Ja
BBk: ?
BfDI: :upside_down_face:
Unabhängiger Kontrollrat: ?

Es sind also mehr als die Hälfte, das sind ja schon fast alle :smiley: . Ich finds auch interessant dass alle die kein Facebook mehr haben auf Instagram setzen, welches auch nur ein Facebook-Produkt ist. Und sonst ist Twitter sehr beliebt, Mastodon konnte ich nur bei einer obersten Bundesbehörde finden. :slight_smile:

1 „Gefällt mir“

Jaahh, der Unabhängige Kontrollrat ist unabhängig. Deswegen sitzt er in Pullach :roll_eyes:

Linkedin, Instagram, Twitter und Youtube bieten eine Parametrisierung des Zielpublikums und die personalisierte Werbeansprache an:
https://www.linkedin.com/help/lms/answer/a420822/targeting-mit-linkedin-lookalike-audiences-ubersicht?lang=de
https://business.instagram.com/blog/targeting-instagram-ads?_fb_noscript=1
https://business.twitter.com/en/advertising/targeting.html
https://www.youtube.com/ads/how-it-works/set-up-a-campaign/audience/

Das erfüllt prima vista den Anspruch des EuGH, C-210/16, Rn.36:

[…] dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.

… und würde die Anwendung desselben Verbots bei nicht datenschutzkonformen Vereinbarungen erfordern. Eine “Flucht” dorthin ergäbe also wenig Sinn.

Ja, ich konnte nur leider keine Informationen finden ob der Unabhängige Kontrollrat eine Facebook-Fanpage verwendet oder auf anderen Sozialen Medien vertreten ist und bitte um sachdienliche Hinweise. :slight_smile:

Dem stimme ich grundsätzlich zu, aber ich sehe jetzt keine wirkliche “Flucht” zu den genannten Diensten. Es wirkt auf mich eher so dass die Behörden die kein Facebook benutzen entweder auf das Schreiben des BfDI reagiert haben indem sie es durch die Löschung der Fanpage die Bitte im Schreiben (engstirnig bzw. mit aufgesetzten Scheuklappen) umgesetzt haben oder nie eine Facebook-Fanpage besessen haben.

Wenn ich davon ausgehe dass die Behörden die Twitter nutzen und keine Facebook-Fanpage haben vorher eine Fanpage hatten, dann ist die Umsetzungsrate der Bitte des Schreibens der obersten Bundesbehörden mit unter 25% eher… dürftig.

Ich hoffe sehr dass die Facebook-Fanpages als Präzedenzfall die anderen von dir genannten Fälle beschleunigt.

Och, Ironie und Spott haben bei mir immer einen sachdienlichen Hintergrund, bisweilen nicht auf den ersten Blick erkennbar: Der Kontrollrat ist für den BND zuständig. Wäre er von den genannten Medien abhängig, gerieten er und seine Kommunikation zwangsläufig in den Fokus der sog. operativen Tätigkeiten des Dienstes, den er kontrollieren soll. Da der Kontrollrat unabhängigerweise nur dem Gesetz unterworfen ist - eben jenem, das die Geheimschutzbelange des BND regelt - sitzt er in Pullach (so die Gesetzesbegründung). Es ist gänzlich undenkbar, dass er in irgendeiner Form medial oder öffentlichkeitswirksam tätig wird. Eine solche Unabhängigkeit hat was, passt zum “?” dahinter und forderte eine spöttische Bemerkung geradezu heraus. :slight_smile: Ich denke, den Unabhängigen Kontrollrat kann man von der Liste streichen.

2 „Gefällt mir“

Ich habe die Liste aktualisiert. :slight_smile:

Neben einer eigenen Mastodon-Instanz, könnte in meinen Augen auch eine eigene PeerTube-Instanz für die Behörden, Institute und Anstalten des Bundes - entweder bereitgestellt durch den BfDI oder den ITZBund(?) -unter videos.bund.de oder einer vergleichbaren Subdomain von bund.de sinnig sein, damit auch die YouTube-Kanäle der dem BfDI datenschutzrechtlich unterstellten Behörden, Institute und Anstalten des Bundes auf diese bezogen auf Datenschutz bessere Plattform migriert werden könnten.

Wie seht ihr das?

1 „Gefällt mir“

Quasi ein öffentlicher Part der Bundescloud.

Naja, bin mir nicht sicher, ob es ein öffentlicher Part der Bundescloud wäre - social.bund.de ist ja auch kein öffentlicher Teil der Bundescloud. Würde also vielleicht denken, dass es ähnliche, wie social.bund.de gehandhabt werden könnte?

Die Mastodon-Instanz und das Forum sind BfDI-eigene, unabhängige Angebote und bei T-Systems angesiedelt. Die Website bfdi.bund.de liegt (wie die aller Bundesbehörden?) beim ITZBund, das lt. eigener Aussage bei der Digitalisierung der Bundesverwaltung zu den “aktiven Playern” gehört und die Bundescloud betreut. In meinen Augen ergibt es wenig Sinn, eine IT-Konsolidierung des Bundes anzustreben, die ausgerechnet den öffentlichen Part - den für die Bürger - zu einer Behörde auslagert, die damit gar nichts zu tun hat (bis auf die begleitenden Datenschutzthemen). Die Bereitstellung von IT-Ressourcen für Bundesbehörden liegt nicht im Aufgabenbereich des BfDI.

2 „Gefällt mir“