Neues zum Datenschutzrecht

12.9.2019

BVerwG: Datenschutzaufsicht darf gegen Betreiber von Facebook—Fanpages vorgehen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann von einer Datenschutzaufsichtsbehörde verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht (BVerwG) entschieden (BVerwG 6 C 15.18).

Hintergrund

Dieses Urteil überrascht nicht, da diesem ein Vorlageverfahren beim EuGH vorausgegangen war. Bereits am 5.6.2018 entschied der EuGH auf Vorlage des BVerwG in dem Verfahren ULD S-H / Wirtschaftsakademie Schleswig-Holstein GmbH (Az. C-210/16), dass eine gemeinsame Verantwortlichkeit auch im Verhältnis zwischen dem Social Media-Dienste-Anbieter Facebook und dem Betreiber einer Fanpage auf der Plattform von Facebook vorliegen kann – zumindest, wenn dabei wie im konkreten Fall eine Funktion zum Einsatz kommt, mit der Daten der Fanpage-Besucher erhoben und an Facebook übermittelt wurden (Facebook Insight). Das BVerwG hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen.

Um das von der – im Rechtsstreit noch anzuwendenden – Datenschutzrichtline von 1995 (Richtlinie 95/46/EG), bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich die Datenschutzaufsichtsbehörde bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Fanpage-Betreiberin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht, was bereits im EuGH-Urteil (Az. C-210/16), deutlich wurde.

Konsequenzen und Hinweise für die Praxis

Facebook-Fanpage-Betreiber müssen sich des Risikos bewusst sein, Adressat einer aufsichtsbehördlichen Handlung und von der Aufsicht in die Pflicht genommen werden zu können. Zwar hat Facebook im Nachgang zum EuGH-Urteil sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“ veröffentlicht. Damit sollen die in Art. 26 DSGVO vorgesehenen Pflichten einer Vereinbarung zwischen gemeinsamen Verantwortlichen und einer besonderen Information der betroffenen Personen erfüllt werden. Allerdings halten die deutschen Datenschutzaufsichtsbehörden diese Vereinbarung und Informationen für nicht hinreichend. Sie erwarten, „dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“ (Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit Stand: 01.04.2019).

Sollten Sie Fragen zur Nutzung von Facebook-Fanpages, dem Einsatz von Social Plugins auf Websites und zu der in diesem Fällen datenschutzrechtlich relevanten gemeinsamen Verantwortlichkeit haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht