(Bild: dpa, Friso Gentsch)

Die baden-württembergische Datenschutzaufsicht hat heute eine erste Richtlinie für die Nutzung von Social Media durch öffentliche Stellen herausgegeben, welche die Öffentlichkeitsarbeit und Bereitstellung allgemeiner Informationen regelt.

Bislang zeigten sich Datenschutzaufsichtsbehörden sehr restriktiv, was die Nutzung von Social Media durch öffentliche Stellen anbelangt. Ihre Vorbehalte fanden jedoch "erschreckend geringe Resonanz", wie der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink feststellt. So wollen Sicherheitsbehörden via Twitter aktuelle Kurzhinweise an Teilnehmer von Versammlungen geben, Kommunen wollen über Facebook ihr touristisches Angebot bewerben und einige Behörden rekrutieren ihren Nachwuchs bereits über soziale Netzwerke.

Vorbildfunktion öffentlicher Stellen

"Um sich der Realität anzunähern" hat Brink nun eine Richtlinie "zur Nutzung Sozialer Medien durch öffentliche Stellen" erstellt, die er heute veröffentlicht hat. Brink erklärte gegenüber heise online: "Die öffentlichen Stellen haben eine Vorbildfunktion und müssen die rechtlichen Vorgaben einhalten, die ich kontrollieren werde."

Aus Sicht der deutschen Datenschutzaufsichtsbehörden war das alles bisher nicht in Ordnung, konkrete Vorgaben und Hilfestellungen gaben sie bislang jedoch nicht. Gleichzeitig verweigerten sie sich selbst der Nutzung von Social Media. Während beispielsweise die französische Aufsichtsbehörde CNIL, die den Vorsitz der europäischen Artikel-29-Gruppe innehat, einen englischen und einen französischen Twitter-Account unterhält, gibt es von den 18 deutschen Aufsichtsbehörden keinen einzigen. Zwei Behördenleiter twittern bislang privat beziehungsweise unter Pseudonym. Mit seinem Vorstoß will Stefan Brink im Kreis der anderen 17 deutschen Aufsichtsbehörden nun eine konstruktive Diskussion anstoßen.

Messaging-Dienste "hoch problematisch"

In den Richtlinien definiert Brink klare Nutzungsauflagen. Dabei geht es vornehmlich um Öffentlichkeitsarbeit und die Bereitstellung allgemeiner Informationen der Verwaltung über Social-Media-Kanäle. Verwaltungsleistungen und die Nutzung von Messaging-Diensten wie WhatsApp und Snapchat hingegen hält Brink für "rechtlich hoch problematisch", weshalb er diese von der nun vollzogenen Öffnung ausnimmt. Er stellt aber fest, dass gerade im Bereich von Kindergärten und Schulen "eine besondere Schutz- und Obhutsbeziehung" bestehe.

Öffentliche Stellen tragen nach Auffassung von Brink eine datenschutzrechtliche Mitverantwortung, der sie Rechnung tragen müssen: So müssen sie vor der Erstellung eines Accounts ein klares Nutzungskonzept festlegen. Es muss Zweck, Art und Umfang der Nutzung beschreiben, Verantwortlichkeiten für die redaktionelle und technische Betreuung und für die Wahrnehmung der Betroffenenrechte festlegen. Die öffentlichen Stellen sollen im Rahmen des Konzepts auch eine Datenschutzfolgenabschätzung nach der europäischen Datenschutzgrundverordnung vornehmen. Eine Meldepflicht gegenüber der Datenschutzaufsicht besteht nicht, doch das Konzept soll allgemein zugänglich sein und die Grundlage für künftige Prüfungen bilden.

Pflichten nach dem Telemediengesetz

Außerdem müssen öffentliche Stellen das Angebot so gestalten, dass sie die Pflichten nach dem Telemediengesetz einhalten, das die Verarbeitung von Nutzungsdaten und die Erstellung von Nutzungsprofilen regelt. Dazu gehören ein Impressum sowie eine eigene Datenschutzerklärung. Falls öffentliche Stellen die Nutzung außerhalb der Plattform über Social-Plug-Ins ermöglichen, sollen sie die 2-Klick- bzw. die Shariff-Lösung verwenden.

Brink sieht eine datenschutzrechtliche Mitverantwortung öffentlicher Stellen: Sie müssen den datenschutzrechtlichen Defiziten einiger Plattformen dadurch begegnen, dass sie ihre Angebote auf "Datensparsamkeit bei der Verarbeitung von Nutzungsdaten und auf eine aktive Information der Nutzerinnen und Nutzer über die angesprochenen Gefahren für deren persönliche Daten ausrichten". Die fehlenden Widerspruchsmöglichkeiten sollen öffentliche Stelle damit kompensieren, dass sie Nutzer aktiv aufklären, auf ihre eigenverantwortliche Nutzung hinweisen. Überdies müssen sie das eigene Angebot kontinuierlich betreuen und alternative Informations- und Kommunikationswege anbieten.

Brink definiert damit einen Handlungsrahmen, "der trotz weiterhin offener Punkte anerkannte Datenschutzstandards wirksam werden lässt." Wenn öffentliche Stellen diese Vorgaben einhalten, will der baden-württembergische Landesdatenschutzbeauftragte von einer Beanstandung oder Sanktionierung absehen. Dies will er ab Januar 2018 "verstärkt prüfen". Er weist jedoch darauf hin, dass weitere Anpassungen notwendig werden, wenn ab Mai 2018 die europäische Datenschutzgrundverordnung umgesetzt werden muss. (Christiane Schulzki-Haddouti) / (kbe)