Datenschutz­woche

Fanpage-Verfahren zwischen BfDI und Bundesregierung geht in die nächste Runde

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und das Bundespresseamt streiten vor Gericht darum, ob die Bundesregierung Facebook-Fanpages betreiben darf. Ausgangspunkt war das vom ehemaligen BfDI Kelber gegenüber der Bundesregierung ausgesprochene Verbot gemäß Art. 58 Abs. 2 DSGVO. Sowohl die Bundesregierung als auch Facebook klagten gegen diese Entscheidung. Das Verwaltungsgericht Köln entschied am 17. Juli 2025, dass das Bundespresseamt seine Facebook-Seite weiter betreiben darf. Nach seiner Auffassung liegt die Verantwortung für wirksame Cookie-Einwilligungen allein bei Meta. Eine gemeinsame Verantwortlichkeit mit der Bundesregierung liege nicht vor. Das Gericht ließ die Berufung über das OLG Münster zu.

Die BfDI Louisa Specht-Riemenschneide hat nun erklärt, dass sie diese Möglichkeit nutzen will: „Ich möchte die Rechtsunsicherheit bei der Nutzung sozialer Medien durch öffentliche Stellen des Bundes beenden.“ Kirsten Bock, die Wissenschaftliche Leiterin der Stiftung Datenschutz, dazu auf Mastodon: „Gut, dass das Verfahren weitergeht und Rechtsunsicherheit geklärt wird. Der EuGH sah bereits in anderer Sache eine gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Meta.“

Außerdem veröffentlichte die BfDI eine Handreichung, die eine rechtssichere Nutzung sozialer Netzwerke für öffentliche Stellen ermöglichen soll. „Es geht nicht darum, Behörden für die Nutzung von sozialen Medien abzustrafen. Vielmehr ist es das Anliegen der BfDI, die bislang weder gesetzlich noch höchstrichterlich geklärten Bedingungen für eine rechtskonforme Nutzung abschließend und unmissverständlich zu klären und dabei die digitale Kommunikation mit Bürgerinnen und Bürgern zu ermöglichen.“

Die Handreichung empfiehlt, klare Rechtsgrundlage für die Datenverarbeitungen zu definieren, Nutzende transparent zu informieren, Datenschutzfolgen abzuschätzen sowie technische Schutzmaßnahmen nach dem Prinzip „Privacy by Default“ zu implementieren. Außerdem sollten alternativ zu sozialen Medien stets auch andere Kommunikationswege angeboten werden.

Kritik an neuer Facebook-Funktion: Zugriff auf private Smartphone-Fotos

Die Facebook-App bittet neuerdings per Pop-Up um Zustimmung zum sogenannten „Cloud Processing“, wie heise.de berichtete. Damit erhält die App Zugriff auf Fotos und Videos im Smartphone-Speicher, auch wenn diese nie auf der Plattform hochgeladen wurden. Die isländische Datenschutzaufsichtsbehörde schreibt dazu: „Anschließend werden die Bilder mit künstlicher Intelligenz verarbeitet, um Vorschläge für Einträge in der "Story" anzuzeigen. Dies geschieht, ohne dass der Nutzer die Fotos oder Videos konkret auf der Social-Media-Plattform zur dortigen Veröffentlichung hochgeladen hat.“ Auch die Verbraucherzentrale Südtirol hat bereits bei der Datenschutzaufsichtsbehörde Meldung erstattet.

Meta betont auf Nachfrage von „The Verge“, die Funktion sei freiwillig und diene allein der Nutzerfreundlichkeit. Allerdings stellt sich die Frage, ob und wie Facebook die Anforderungen an die informierte und freiwillige Einwilligung als Rechtsgrundlage gemäß Art. 6 DSGVO oder den Transparenzgrundsatz wahrt. 

Wie „The Verge“ berichtet, hat Meta seine KI-Modelle in der Vergangenheit bereits mit Milliarden öffentlicher Bilder aus Facebook und Instagram trainiert. Nun hofft der Konzern auch auf Zugriff auf die unveröffentlichten Fotos in den Kamera-Rollen der Nutzer. Meta versichert offiziell, diese Aufnahmen derzeit nicht für das Training von KI zu nutzen, räumt aber ein, dass Kameraroll-Daten bis zu 30 Tage lang gespeichert und für thematische Vorschläge verarbeitet werden können. Laut Facebook befindet sich die Funktion noch in einer Testphase. Nutzer können sie in den Einstellungen der Facebook-App deaktivieren oder der Anwendung den Fotozugriff komplett entziehen. Datenschutzorganisationen raten dazu, die App-Berechtigungen regelmäßig zu überprüfen, bis Klarheit über die künftige Datenverwendung besteht.

Internationale Nachrichten

• Schweiz: Der Anbieter datenschutzorientierter Dienste Proton kündigt an, große Teile seiner physischen Infrastruktur aus der Schweiz in die EU zu verlegen. Hintergrund sind geplante Gesetzesänderungen in der Schweiz, die nach Einschätzung des Unternehmens weitreichende staatliche Überwachungsbefugnisse schaffen und damit die eigenen Datenschutzversprechen untergraben würden. Mit Investitionen von über 100 Millionen Euro will Proton zugleich die digitale Souveränität Europas stärken. Als erstes Produkt soll der neue KI-Assistent Lumo in die EU-Infrastruktur umziehen.
• USA: Die US-Wettbewerbsbehörde FTC hat 13 große Tech-Firmen, darunter Apple, Meta, Microsoft und Signal, aufgefordert, innerhalb einer Woche darzulegen, wie sie Nutzerinnen und Nutzer aus den USA vor angeblichem Druck aus dem Ausland schützen. Laut FTC-Chef Andrew N. Ferguson würde EU-Recht unter anderem zu Zensur oder – im Falle des britischen Online Safety Acts zur Schwächung von Verschlüsselung führen.

Aktuelle Gerichtsentscheidungen

• VG Bremen, Urteil vom 14.07.2025, Az. 2 K 763/23 (BeckRS 2025, 20918): Automatisierte Einzelfallentscheidung – Bei dem Ausgangsbescheid handelt es sich um eine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO, die nicht durch eine Rechtsvorschrift zugelassen war. Angesichts des zuletzt von einem Sachbearbeiter gefertigten Widerspruchsbescheides in Bezug auf die gegen den Kläger ergangene Festsetzung von Abfallgebühren lag danach keine automatisierte Verarbeitung im Sinne des Art. 22 Abs. 1 DS-GVO (mehr) vor.
• OLG Dresden, Beschluss vom 16.07.2025, Az. 4 U 1448/22 (BeckRS 2025, 20607): Auskunft – Anfangs- und Zieltarife in der privaten Krankenversicherung sind keine personenbezogenen Daten (Festhaltung Senat, Urt. vom 04.02.2025, 4 U 512/23 und 4 U 1627/22). Auf die Datenschutzgrundverordnung kann der Versicherungsnehmer daher seinen Auskunftsanspruch nicht stützten.
• VG Hamburg, Beschluss vom 06.08.2025, Az. 17 K 3445/24 (BeckRS 2025, 20692): Rechtsmissbräuchliche Beschwerde – Das Datenschutzrecht mit der Einrichtung des Datenschutzbeauftragten als staatliche Stelle ist nicht dazu bestimmt, völlig belanglose Irrtümlichkeiten bei der Verarbeitung von Daten, hier das versehentlich verwendete neutrale numerische Zeichen als Korrespondenzzeichen des Klägers, behördlich verfolgen zu lassen, nur um mit dem Mittel der Datenschutzaufsicht eine aus einem anderen Grund bestehende Auseinandersetzung, hier der Streit um einen zivilrechtlichen Schadensersatz, böswillig auf dieses weitere Konfliktfeld auszuweiten.

Neuigkeiten aus den Aufsichtsbehörden 

• Datenschutzaufsicht Rheinland-Pfalz: „Biotechnologie und internationaler Datenschutz“ – Pressemitteilung
• Datenschutzaufsicht Sachsen-Anhalt: „Weiterverkaufte Retourenpakete als Datenschutzrisiko - Secret Packs und Mystery Boxen können persönliche Daten der ursprünglichen Paketempfängerinnen und -empfänger enthalten“ – Pressemitteilung vom 15.08.2025
• Datenschutzaufsicht Niedersachsen: „Datenschutzschulungen für öffentliche Stellen: KI, Öffentlichkeitsarbeit und vieles mehr“ – Pressemitteilung vom 18.08.2025
• Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 20.08.2025
• Datenschutzaufsicht Baden-Württemberg: „Fest der digitalen Freiheit am 18. Oktober“ – Pressemitteilung vom 23.08.2025
• Datenschutzaufsicht Baden-Württemberg: „Neue BIDIB-Schulungen nach der Sommerpause II“ – Pressemitteilung vom 23.08.2025
• Datenschutzaufsicht Baden-Württemberg: „KI-Woche 2025 – Wer/m nutzt KI?“ – Pressemitteilung vom 23.08.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „iPads im Unterricht: Landesbeauftragte gibt zum Schulbeginn Hinweise zur datenschutzgerechten Nutzung“ – Pressemitteilung vom 25.08.2025