Niedersächsischer Landtag  17. Wahlperiode Drucksache 17/3573 1 Antwort auf eine Kleine schriftliche Anfrage - Drucksache 17/3143 - Wortlaut der Anfrage der Abgeordneten Maximilian Schmidt, Marco Brunotte, Petra Emmerich- Kopatsch, Hans-Dieter Haase, Ulf Prange, Andrea Schröder-Ehlers, Doris Schröder-Köpf, Grant Hendrik Tonne, Kathrin Wahlmann (SPD), Helge Limburg und Belit Onay (GRÜNE), eingegangen am 06.03.2015 Neue Datenrichtlinien von Facebook Das soziale Netzwerk Facebook wird in Deutschland von rund 28 Millionen Menschen genutzt, hin- zukommen weitere Nutzergruppen, die auf zum Facebook-Konzern gehörende Plattformen (WhatsApp, Instagram u. a.) zugreifen. Zum 30.01.2015 hat das Unternehmen Facebook für seine zentrale Plattform eine neue Datenrichtlinie erlassen, zudem gelten für die Nutzerinnen und Nutzer eine neue Cookies-Richtlinie sowie neu gefasste allgemeine Geschäftsbedingungen. Eine geson- derte Zustimmung der Nutzerinnen und Nutzer zu den neuen Datenverwendungsregelungen wurde nicht eingeholt, sondern stattdessen durch deren pauschale Weiternutzung des Dienstes voraus- gesetzt. Facebook bezieht dabei den Standpunkt, sich an geltendes Datenschutzrecht nach dem Safe-Harbor-Abkommen sowie der EG-Datenschutzrichtlinie (95/46/EG) aus dem Jahre 1995 zu halten. Im Rahmen der Einführung der neuen Richtlinien ist von mehreren Datenschutzbeauftragten Kritik geübt worden, insbesondere mit Blick auf die mögliche Verwendung von Daten der Facebook- Plattform mit anderen Plattformen des Konzerns (WhatsApp, Instagram u. a.) sowie deren mögliche Aggregation und Nutzung durch Dritte. So stellte insbesondere die Hamburger Datenschutzaufsicht Fragen nach der Rechtsgrundlage der neuen Facebook-Datenrichtlinien, nach der Wirksamkeit der Einwilligung der Nutzerinnen und Nutzer zu eben diesen sowie der Anwendung von datenschutz- rechtlichen Grundprinzipien wie Datenvermeidung und Datensparsamkeit. Deshalb wurde seitens der Beauftragten gefordert, die Umsetzung der Regelungen bis zum Abschluss eines Prüfverfah- rens auszusetzen. Zudem wurde seitens der Beauftragten ankündigt, im Streitfall den Rechtsweg beschreiten zu wollen. Die Zuständigkeit der Hamburger Datenschutzaufsicht für Facebook begründet diese mit Verweis auf § 38 BDSG i. V. m. § 24 des Hamburgischen Datenschutzgesetzes und dem Umstand, dass die Facebook Germany GmbH ihren Sitz in Hamburg hat. Dieser Auffassung nach ergäbe sich die An- wendung des nationalen Datenschutzrechts auf die Facebook Ireland Ltd. und Facebook Inc. ins- besondere aus den Vorgaben des TMG und aus § 1 Abs. 5 BDSG. Diese müssten nach dem Urteil des EuGH vom 13.05.2014 (C-131/12, Recht auf Löschung in der Google-Suchmaschine) europa- rechtskonform ausgelegt und angewandt werden (anhand des Artikel 4 der Europäischen Daten- schutzrichtlinie 95/46/EG). Vor diesem Hintergrund fragen wir die Landesregierung: 1. Wie bewertet die Landesregierung die neuen Datenrichtlinien der Plattform Facebook mit Blick auf das Datenschutzinteresse der Nutzerinnen und Nutzer und im Kontext des geltenden Datenschutzrechts? 2. Welche Prüf- und Regelungszuständigkeit für die Facebook-Datenrichtlinien sowie die Rege- lungen für vergleichbare Plattformen und soziale Netzwerke sieht die Landesregierung im Kontext von Landes-, Bundes- und EU-Datenschutzrecht? 3. Welche Maßnahmen hat die Landesregierung bereits unternommen, um die Datenschutzrech- te von Nutzerinnen und Nutzern im Internet und insbesondere in sozialen Netzwerken zu stär- ken, und sind gegebenenfalls weitere Schritte mit Blick auf die o. a. Debatte geplant? Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/3573 2 4. Welche Rückschlüsse zieht die Landesregierung im Kontext der Geltung der neuen Daten- richtlinien von Facebook für das Angebot von eigenen Facebook-Präsenzen von Dienststellen und insbesondere Amtsträgerinnen und Amtsträgern des Landes? (An die Staatskanzlei übersandt am 16.03.2015) Antwort der Landesregierung Niedersächsisches Ministerium Hannover, den 21.05.2015 für Inneres und Sport - 34.26-01425/N - Soziale Netzwerke spielen bei der elektronischen Kommunikation eine bedeutende Rolle. Das so- ziale Netzwerk Facebook ist dabei einer der Marktführer, nicht nur in Deutschland, sondern welt- weit. Bei der Nutzung dieses Netzwerkes mit seinen diversen Funktionen und Angeboten stellt sich die Frage, ob die damit verbundene Verarbeitung von personenbezogenen Daten in ihren vielfälti- gen Formen rechtlich zulässig ist. Die bestehenden Vorschriften zur Verarbeitung personenbezo- gener Daten über das Internet, insbesondere in sozialen Netzwerken, sind hierzu nicht hinreichend klar und umfassend. Dies gilt besonders im Hinblick darauf, dass die verantwortlichen Stellen oft vom auch außereuropäischen Ausland aus agieren und die Daten weltweit verfügbar sind. Um den Herausforderungen durch die Globalisierung und die technische Entwicklung effektiv begegnen zu können, hat die Europäische Kommission am 25.01.2012 einen Vorschlag für eine Datenschutz- Grundverordnung vorgelegt, der hierzu rechtssichere Regelungen schaffen soll. Die Beratungen im Rat der Europäischen Union sollen in absehbarer Zeit abgeschlossen werden, um im Anschluss den Trilog zwischen Kommission, Parlament und Rat beginnen zu können. Derzeit wird erwartet, dass die Datenschutz-Grundverordnung zum Ende dieses Jahres in Kraft treten kann, allerdings für die Umsetzung Übergangsregelungen enthält. Der lange Beratungszeitraum ist begründet durch die genannten Herausforderungen. Dabei sollen auch ein angemessener Datenschutz in sozialen Netzwerken festgelegt werden ebenso wie konkrete Vorgaben zu datenschutzfreundlichen Vorein- stellungen, zum Minderjährigenschutz, zur Löschungsverpflichtung bei Dritten sowie zur Verant- wortlichkeit für den Umgang mit Nutzerdaten. Die Datenschutz-Grundverordnung wird für alle Da- tenverarbeitungen im europäischen Raum gelten sowie im außereuropäischen Raum, wenn die Da- ten verarbeitenden Unternehmen Dienstleistungen gegenüber Unionsbürgern erbringen. Die vielfältigen Aktivitäten im Zusammenhang mit den Angeboten und der Nutzung sozialer Netz- werke sind derzeit nach den bestehenden datenschutzrechtlichen Vorschriften zu bewerten. Dies vorausgeschickt, beantworte ich die Anfrage namens der Landesregierung wie folgt: Zu 1: Die Zulässigkeit der Verarbeitung personenbezogener Daten bemisst sich für nicht öffentliche Stel- len wie das Unternehmen Facebook grundsätzlich nach dem Bundesdatenschutzgesetz (BDSG). § 1 Abs. 5 BDSG bestimmt dabei das anzuwendende Recht für die Fälle, in denen die für die Da- tenverarbeitung verantwortliche Stelle keinen maßgeblichen Sitz in der Bundesrepublik Deutsch- land hat. Soweit die Datenverarbeitung durch eine verantwortliche Stelle mit Sitz in einem anderen Mitgliedstaat der Europäischen Union erfolgt, findet das BDSG gemäß § 1 Abs. 5 Satz 1 keine An- wendung. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat mit Beschluss vom 22.04.2013 festgestellt, dass die maßgebliche Datenverarbeitung durch die Facebook GmbH auch in Bezug auf deutsche Nutzer durch deren Niederlassung in Irland durchgeführt wird und die Zuläs- sigkeit der Datenverarbeitung somit nach irischem Recht zu beurteilen ist. Eine Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 über die datenschutzrechtlich relevanten Tätigkeiten eines Betreibers einer Suchmaschine hat den Begriff der maßgeblichen Nie- derlassung weiter ausgelegt. Inwieweit diese Entscheidung Auswirkungen auf die Situation bei Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/3573 3 Facebook hat, wird noch zu prüfen sein. Davon abgesehen wird die Frage des anzuwendenden Rechts durch das Inkrafttreten der Datenschutz-Grundverordnung voraussichtlich obsolet. Die Datenschutzressorts der Länder haben die Aktivitäten von Facebook bereits in den vergange- nen Jahren soweit wie möglich analysiert und bewertet. Dabei kommt erschwerend hinzu, dass Fa- cebook zu seinem Hauptsitz in den USA mehrere Niederlassungen in Europa und dabei auch in Deutschland betreibt, was bei der Frage der für die Verarbeitung maßgeblichen Niederlassung und des danach anzuwendenden Rechts, der Bewertung der Zulässigkeit und der Verantwortlichkeit bei der Datenverarbeitung von Bedeutung ist. Zur Klärung der hierzu noch offenen Fragen haben Ver- treterinnen und Vertreter des zuständigen Arbeitskreises der Innenministerkonferenz gemeinsam mit Vertreterinnen und Vertretern der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zunächst einen Fragenkatalog an Facebook übermittelt und von Facebook beantworten lassen und daran anschließend am 25. März dieses Jahres ein Gespräch mit Vertretern von Face- book geführt. Die Auswertung des Gespräches ist noch nicht abgeschlossen. Nach derzeitigem Kenntnisstand zu den neuen Richtlinien nutzt Facebook die Daten seiner Mitglieder über deren Surfverhalten im Internet (z. B. besuchte Websites und benutzte Apps), um ihnen personalisierte Werbung zukommen zu lassen. Dabei werden auch Informationen sogenannter Drittpartner von Facebook einbezogen und ausgewertet. Facebook weist seine Mitglieder in den Datenschutzrichtli- nien ausführlich auf die Datenverarbeitung hin. Es erfolgen jedoch nur unbestimmte Angaben über Aufbewahrungs- und Löschungsfristen. Die Nutzerinnen und Nutzer willigen mit dem Einloggen au- tomatisch in die Datenverarbeitung nach den neuen Richtlinien ein. Zur Gewährleistung eines umfassenden Schutzes der persönlichen Daten der Nutzerinnen und Nutzer sozialer Netzwerke ist es erforderlich, dass die Daten nur in dem Umfang und für die Zwe- cke erhoben und verarbeitet werden, wie es rechtlich zulässig ist. Soweit der rechtliche Rahmen auf der Einwilligung der Betroffenen basiert, muss diese Einwilligung wirksam sein, d. h. freiwillig und nach umfassender Information erfolgen und alle Datenverarbeitungsprozesse, die vorgesehen sind, einbeziehen. Die Einhaltung dieser Vorgaben durch Facebook ließ sich bisher mangels aus- reichender Kenntnisse der relevanten Tatsachen nicht abschließend prüfen. Hier soll die Auswer- tung des o. g. Gesprächs mit Facebook Klarheit bringen und eine abschließende rechtliche Bewer- tung ermöglichen. Zu 2: Zuständig für die Beurteilung der Zulässigkeit der Datenverarbeitung in Deutschland und für die Kontrolle über die Einhaltung der datenschutzrechtlichen Vorschriften sind gemäß § 1 Abs. 5 Satz 5 und § 38 Abs. 1 Satz 1 BDSG die deutschen Aufsichtsbehörden, d. h. die Beauftragten für den Da- tenschutz der Länder. Nach derzeitiger Rechtsauffassung deutscher Gerichte haben diese bei der Beurteilung der Zulässigkeit der Datenverarbeitung durch Facebook irisches Recht zugrunde zu le- gen. Im Übrigen siehe Antwort zu Frage 1. Zu 3: Soziale Medien im Internet sind in unserer Gesellschaft immer weiter verbreitet. Im privaten wie im beruflichen Umfeld wird durch die Internetnutzerinnen und -nutzer zunehmend auf diesem Wege in- teragiert und zusammengearbeitet. Besonders für Jugendliche und junge Erwachsene sind die so- zialen Medien, insbesondere die sozialen Netzwerke, zur entscheidenden Informationsquelle und zur zentralen Kommunikationsplattform geworden. Mit der wachsenden Verbreitung sozialer Medi- en haben diese auch für die Erledigung der Aufgaben in der niedersächsischen Landesverwaltung an Bedeutung gewonnen. Allerdings ist die Nutzung sozialer Medien mit Risiken verbunden, insbesondere in Bezug auf den Datenschutz und die Persönlichkeitsrechte der Nutzerinnen und Nutzer. Daher ist es ein besonde- res Anliegen der Landesregierung, die allgemeine Medienkompetenz zu fördern und kontinuierlich Aufklärungsarbeit in Bezug auf die mit der Nutzung sozialer Medien verbundenen Gefahren zu leis- ten. Das Ministerium für Inneres und Sport hat einen Leitfaden erstellt, der auf die Möglichkeiten und Chancen der sozialen Medien, aber auch auf die damit verbundenen Risiken sowie die rechtlichen und organisatorischen Regelungen hinweist; zugleich werden dort Verhaltensregeln für den Um- gang mit sozialen Medien benannt. So dürfen z. B. bei der Nutzung der sozialen Medien grundsätz- Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/3573 4 lich keine sensiblen Daten preisgegeben werden. Behördenauftritte in sozialen Medien sind auf ihre Erforderlichkeit und ihre Rechtmäßigkeit zu überprüfen und bedürfen einer Freigabe durch die Be- hördenleitung. Personenbezogene Daten dürfen nicht veröffentlicht werden. Manipulationen müs- sen durch entsprechende technische und organisatorische Maßnahmen verhindert werden. Der Leitfaden wurde im Herbst 2012 vom Niedersächsischen IT-Planungsrat beschlossen und ist daher von allen niedersächsischen Ressorts zu berücksichtigen. Er richtet sich als Empfehlung so- wohl an die Behördenleitungen, die über die Einrichtung bzw. Nutzung von sozialen Medien ent- scheiden, als auch an die Bediensteten der niedersächsischen Landesverwaltung. Der Leitfaden ist allgemein gehalten, damit eine Vielzahl verschiedener sozialer Medien (z. B. Facebook, Twitter, Whatsapp, Wikipedia, Xing) berücksichtigt wird. Er wird vom Ministerium für Inneres und Sport fort- laufend inhaltlich überprüft und gegebenenfalls angepasst. Zu 4: Eine abschließende rechtliche Bewertung der neuen Datenschutzrichtlinien von Facebook steht wie beschrieben noch aus. Die Landesregierung hat aus diesem Grund und unter Berücksichtigung des vielfach zu Recht kritisierten Umgangs des Unternehmens Facebook mit personenbezogenen Da- ten intensiv abgewogen, ob und in welcher Weise Facebook überhaupt für die direkte Kommunika- tion mit Bürgerinnen und Bürgern genutzt werden sollte. Letztlich haben die große Zahl von Face- book-Nutzerinnen und -Nutzern - insgesamt sind es rund 28 Millionen in Deutschland - und der Wunsch, die Bürgerinnen und Bürger nicht nur über die herkömmlichen Medien, sondern auch di- rekt über die Aktivitäten der Landesregierung informieren zu können, den Ausschlag gegeben. So- ziale Netzwerke und insbesondere Facebook bieten der Landesregierung zudem die Möglichkeit, mit Bürgerinnen und Bürgern in einen Dialog zu treten. So betreiben beispielsweise die Presse- und Informationsstelle der Landesregierung und die jewei- ligen Pressestellen Facebook-Fanpages für den Ministerpräsidenten, für die Ministerin für Soziales, Gesundheit und Gleichstellung und für den Minister für Wirtschaft, Arbeit und Verkehr. Auch die Po- lizei Niedersachsen nutzt Facebook zur Öffentlichkeitsarbeit, Nachwuchsgewinnung, Einsatzbeglei- tung und Präventionsarbeit für die Polizei. Damit werden Zielgruppen erreicht, die auf anderen etablierten Kommunikationswegen wie z. B. Zeitungen nur schwierig oder nicht erreicht werden können. Nach dem Urteil des OVG Schleswig vom 05.09.2014 ist der Betreiber einer Facebook-Fanpage zwar für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Be- suchern der Fanpage datenschutzrechtlich nicht verantwortlich, weil er keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook hat. Andererseits besteht nach allgemeiner Auffassung für öffentliche Stellen aufgrund einer Vorbildfunktion des Staates bei der Öffentlichkeitsarbeit die Pflicht, auf ein hohes Datenschutzniveau zu achten und die Nutzung sozialer Netzwerke bei der Aufgabenwahrnehmung sorgfältig abzuwägen. Auf Facebook-Seiten der Landesregierung wird deshalb auf die umfangreiche bzw. ungeklärte Da- tenverarbeitung durch Facebook hingewiesen. So wird beispielsweise auf der Facebook-Fanpage des Ministerpräsidenten ausdrücklich darauf hingewiesen, dass Facebook nicht nur Daten spei- chert, die direkt von Nutzern eingegeben werden, sondern auch Aktionen der Facebook-Nutzer - vermutlich lückenlos - aufzeichnet. So kann Facebook Vorlieben, Neigungen und Kontakte seiner Nutzer sehr genau und über die Facebook Nutzung hinaus untersuchen, und erfährt außerdem die wichtigsten Daten des Computersystems, von dem aus ein Nutzer sich ins Netzwerk einloggt. Da- her wurde für diese Seite ein zweistufiger Zugang vom Landesportal eingerichtet, einen unmittelba- ren Zugang von den Websites der Ministerien gibt es nicht, sogenannte Like-Buttons sind auf den Websites nicht enthalten. Die technische Realisierung und die datenschutzrechtlichen Hinweise sollen bewirken, dass die Besucherinnen und Besucher vor der Nutzung der Seiten eine informierte und bewusste Entschei- dung hinsichtlich der Verwendung ihrer Daten durch Facebook treffen können oder im Zweifel von der Nutzung absehen. Darüber hinaus sind die Facebook-Seiten der Landesregierung öffentlich, sodass interessierte Bürgerinnen und Bürger oder auch Medienvertreterinnen und -vertreter sich nicht bei Facebook anmelden müssen, um Einträge nachvollziehen zu können. In dieser Form hält Niedersächsischer Landtag – 17. Wahlperiode Drucksache 17/3573 5 die Landesregierung die Nutzung von Facebook-Seiten als zusätzliches Informationsangebot für al- le Bürgerinnen und Bürger für vertretbar. Die Landesregierung hält es aber für erforderlich, die Prozesse der Datenverarbeitung durch Face- book umfassend zu klären und rechtlich zu bewerten, um eine möglichst einheitliche, transparente und rechtssichere Nutzung gewährleisten zu können. Dies soll mit der laufenden Auswertung der Gesprächsergebnisse mit Facebook erreicht werden. Die Landesregierung begrüßt daher auch die politische Auseinandersetzung der Bundesregierung und der Europäischen Institutionen mit der Praxis von Facebook. In Vertretung Stephan Manke (Ausgegeben am 01.06.2015) Drucksache 17/3573 Antwort auf eine Kleine schriftliche Anfrage - Drucksache 17/3143 - Wortlaut der Anfrage der Abgeordneten Maximilian Schmidt, Marco Brunotte, Petra Emmerich-Kopatsch, Hans-Dieter Haase, Ulf Prange, Andrea Schröder-Ehlers, Doris Schröder-Köpf, Grant Hendrik Tonne, Kathrin Wahlmann (SPD), Helge Limburg und Belit Onay (GRÜNE), eingegangen am 06.03.2015 Neue Datenrichtlinien von Facebook Antwort der Landesregierung