und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt. Dieses wurde seither auf Drängen der in Deutschland zuständigen Datenschutzbehörden zwar mehrfach überarbeitet,[407] die Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) dennoch nicht. Ein datenschutzkonformer Betrieb einer Facebook-Fanpage ist insofern der DSK zufolge aktuell nicht möglich.[408] Ebenso hat sich die LDI NRW in ihrem Tätigkeitsbericht für das Jahr 2019 positioniert.[409] Der LDI RLP hat hingegen auf seiner Website eine Muster-Datenschutzerklärung für Facebook-Fanpages zur Verfügung gestellt (Stand: 9.6.2020).[410] Die unterschiedliche Praxis der Datenschutzaufsichten, einerseits wird ein Muster für den Betrieb einer Fanpage zur Verfügung gestellt, ein anderes Mal wird impliziert von einem Verbot ausgegangen, ist für die Praxis problematisch.
164
Bis zur Vorlage einer allseits anerkannten Vereinbarung nach Art. 26, drohen Verantwortlichen datenschutzrechtliche Sanktionen durch die Datenschutzaufsichtsbehörden. Das BVerwG hat ausdrücklich darauf hingewiesen, dass Datenschutzbehörden zur möglichst zügigen und wirkungsvollen Durchsetzung eines hohen Datenschutzniveaus ermessenfehlerfrei einen Fanpagebetreiber unmittelbar für die Herstellung datenschutzkonformer Zustände bei Nutzung seiner Fanpage in die Pflicht nehmen können.[411] Die Aufsichtsbehörden müssen nicht „gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden (…) wäre.“[412] Bis zur Rechtskraft der abschließenden Entscheidung des OVG Schleswig kann eine Behörde versuchen, aus formalen Gründen unter Berufung auf die fehlende Rechtskraft im konkreten Verfahren vor dem OVG Schleswig, die Rechtswidrigkeit des Betriebs einer Facebook-Fanpage auch ohne wirksame Vereinbarung nach Art. 26 in Abrede zu stellen.
165
Weil alle sozialen Netzwerke einem gemeinsamen Zweck zu einem gegenseitigen Nutzen im Sinne der Rechtsprechung dienen, dürfte sich die Rechtsprechung über Facebook hinaus, etwa auch auf Twitter, Xing, LinkedIn, Instagram, TikTok usw. erstrecken. Inwieweit sie auch auf Messengerdienste wie WhatsApp[413], Signal oder Threema erstrecken, hängt von der konkreten Ausgestaltung der Angebote ab.
166
Zu berücksichtigen ist dabei, dass es in Zeiten digitaler Kommunikation gerade auch für öffentliche Stellen eine Pflicht zur Teilhabe an digitaler Kommunikation sowie zur Nutzung digitaler Angebote zur Öffentlichkeitsarbeit und zur Krisenkommunikation geben kann. Diese Teilhabepflicht besteht schon aus Gründen der Aufgabenerfüllung im Netz („digitalisierte Daseinsvorsorge“). Schließlich korrespondiert der Anspruch des Bürgers auf digitale Angebote mit der Pflicht der öffentlichen Hand zur Bereitstellung und Nutzung dieser Angebote. Essentiell erforderlich ist hierbei die Differenzierung nach Ausrichtung und Funktion des Angebots.
167
Konkrete Rechtsfragen digitaler behördlicher Kommunikation stellen sich nicht nur mit Blick auf die Kommunikation im Rahmen der Aufgabenerfüllung. Von Bedeutung ist auch die Ermittlung der konkreten Nutzungsbefugnisse je nach DS-GVO-Erlaubnistatbestand und die Frage des Vorgehens bei der Nutzung nicht rechtskonformer Dienste zur Aufgabenerfüllung (Art. 1 Abs. 3 GG). Fragen werfen auch die rechtliche Bindungswirkung von behördlichen Positionierungen im Rahmen digitaler Kommunikation (Regelung, Bindungswirkung), die Abgrenzung von formellen und informelle Positionierungen in Posts und Tweets, die Abgrenzung der Kommunikation zu dienstlichen oder privaten Zwecken, die Nutzung privater Endgeräte zu dienstlichen Zwecken, die Wahrnehmung von Rechenschafts- und Dokumentationspflichten bei digitalen Äußerungen, die Differenzierung der Zulässigkeit von Äußerungen, abhängig der Funktionen im Rahmen der Staatsgewalten, auf. Jeweils genauer Prüfung bedarf auch die Eröffnung der Anwendungsbereiche (DS-GVO/BDSG/LDG) etwa bezogen auf die datenschutzrechtliche Stellung von Abgeordneten (parlamentarisch/fiskalisch) und den Einsatz sozialer Mediendienste zu Wahlwerbezwecken.
168
Die Frage der Verantwortlichkeit für eine Datenverarbeitung stellt sich zudem bei der Nutzung von Videokonferenzdiensten im Rahmen von Telearbeit.[414] Insbesondere im Zuge der Corona-Pandemie sind aufgrund der anhaltenden Infektionsgefahr viele Arbeitnehmer ins Home Office ausgewichen und Vorlesungen für Studierende an Hochschulen konnten nicht stattfinden, so dass sowohl Unternehmen als auch Hochschulen vermehrt die Dienstleistungen verschiedener Anbieter für die Einrichtung von Videokonferenzen, Online-Vorlesungen, Webinaren etc. in Anspruch nehmen. Es stellt sich in diesem Zusammenhang unter anderem[415] die Frage, wer als datenschutzrechtlich Verantwortlicher i.S.v. Art. 4 Nr. 7 anzusehen ist. Grundsätzlich ist davon auszugehen, dass der Veranstalter der Videokonferenz als Verantwortlicher anzusehen ist.[416] Arbeitnehmer fallen dabei unter die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers und sind für die Einrichtung einer Videokonferenz selbst nicht datenschutzrechtlich verantwortlich, sofern sie keine Daten zu eigenen Zwecken verarbeiten.[417] Dies ergibt sich bereits aus der Dienst- und Treuepflicht der Arbeitnehmer gegenüber dem Arbeitgeber. Eine abweichende Beurteilung kann sich allerdings dann ergeben, wenn der Arbeitgeber etwa die Nutzung eines bestimmten Dienstes anbietet, etwa weil er für Arbeitnehmer ein Nutzerkonto bei einem bestimmten Dienst einrichtet, der Arbeitnehmer sich aber für die Nutzung eines anderen Dienstes entscheidet. In diesem Falle ist fraglich, ob dies ausreicht, um eine eigene Verantwortlichkeit des Arbeitnehmers zu begründen. Erforderlich ist eine Prüfung der durch die Rechtsprechung des EuGH[418] konkretisierten tatbestandlichen Voraussetzungen von Art. 4 Nr. 7 im Einzelfall. Eine gemeinsame Verantwortlichkeit verschiedener Veranstalter einer Videokonferenz hängt von den bestehenden Zugriffsrechten auf die Inhalte der Videokonferenz (Aufzeichnung, Transkripte etc.)[419] ab und bedarf ebenfalls einer eingehenden Prüfung im Einzelfall. Im Falle einer gemeinsamen Verantwortlichkeit bedarf es einer Vereinbarung nach Art. 26. Ob eine gemeinsame Verantwortlichkeit des Veranstalters einer Videokonferenz mit dem jeweiligen Diensteanbieter in Betracht kommt, hängt davon ab, ob der Anbieter lediglich eine datenverarbeitende Hilfsfunktion[420] wahrnimmt und somit Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 ist oder ob er darüber hinaus Daten für eigene Zwecke verarbeitet (z.B. Dauer der Videokonferenz, Anzahl der Teilnehmer, Standortdaten), vgl. zur Abgrenzung Rn. 155 ff. Auch hier ist eine eingehende Prüfung im Einzelfall anhand der Voraussetzungen von Art. 4 Nr. 7 und der Rechtsprechung des EuGH sowie der jeweiligen Datenschutzerklärung des Anbieters unabdingbar. Im Außenverhältnis zum Anbieter der Videokonferenz dürfte eindeutig von einer Auftragsverarbeitung nach Art. 28 auszugehen sein, da der Anbieter als Auftragnehmer auf Weisung des Auftraggebers handelt und keinerlei eigene Zwecke mit der Durchführung der Konferenz verfolgt.[421]
169
Ebenfalls noch nicht geklärt ist die Frage, welche Folgen eine „aufgedrängte Verantwortlichkeit“ hat. In diesen Situationen werden einem Dritten personenbezogene Daten z.B. offengelegt, ohne dass er hiervon Kenntnis hat oder dies will. Zu denken ist insbesondere an Fälle von Datenpannen, bei denen ein Verantwortlicher personenbezogene Daten, ob gewollt oder nicht, an die falsche Person übermittelt. Würde man den Dritten in diesen Situationen als Verantwortlichen einstufen, träfen ihn die kompletten Pflichten, die sich aus der DS-GVO für den Verantwortlichen ergeben. Resultierend aus der weiten Definition der Verarbeitung unter der DS-GVO verarbeitet der Dritte bereits bei Kenntnisnahme der personenbezogenen Daten die selbigen. Unabhängig davon, ob auch eine aufgedrängte Verarbeitung unter die Begriffsdefinition