Das Bundesverwaltungsgericht hat gestern entschieden, dass der Betrieb von Facebook-Fanpages nun von Datenschutzbehörden gegenüber Fanpage-Betreibern untersagt werden darf (BVerwG 6 C 15.18). Weil das Vorgehen gegen Facebook, so die Pressemitteilung des BVerwG (https://www.bverwg.de/pm/2019/62), „wegen fehlender Kooperationsbereitschaft mit erheblichen tatsächlichen und rechtlichen Unsicherheiten“ verbunden gewesen wäre, stelle die Deaktivierungsanordnung gegenüber dem Fanpagebetreiber ein verhältnismäßiges Mittel dar (…), um datenschutzkonforme Zustände herzustellen.
Dieses Urteil wird vor allem kleine und mittelständische Unternehmen treffen, die ihre Marketingkampagnen kostengünstig über Facebook starteten. Eine „Facebook-Fanpage“ ist, so das höchste Verwaltungsgericht, „ein im sozialen Netzwerk Facebook unterhaltener Unternehmensauftritt“. Dieser wird in der Regel dazu genutzt, das Unternehmen möglichst nah am Kundenkreis zu platzieren und stellte bislang für Viele eine komfortable Lösung dar, Zielgruppen anzusprechen.
Jedoch steht in Frage, ob Facebook den neuesten datenschutzrechtlichen Regelungen, insbesondere der EU-DSGVO, nachkommt.
Dem gestern ergangenen Urteil liegt folgender Sachverhalt zugrunde:
Zunächst erging eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde gegenüber der Klägerin, einer in Kiel ansässigen Bildungseinrichtung, die von ihr betriebene Facebook-Fanpage zu deaktivieren, da, so die Begründung, Facebook bei Aufrufen der Fanpage auf personenbezogene Daten der Internetnutzer zugreife. Eine Belehrung gemäß Telemediengesetz darüber, dass aus diesen Daten Nutzerprofile für Zwecke der Werbung und Marktforschung erstellt werden, genauso wie über ein etwaiges Widerspruchsrecht, unterbleibe. Ebenso bleibe ein gegenüber der Fanpage-Betreiberin erklärter Widerspruch des Nutzers faktisch folgenlos, da die Betreiberin keinerlei techische Einwirkungsmöglichkeiten auf die von Facebook betriebene Fanpage habe.
Gegen diese Anordnung wehrte sich die Klägerin jedoch mit Erfolg in einem ersten Gerichtsverfahren. Das Oberverwaltungsgericht Schleswig-Holstein entschied, dass die Fanpage-Betreiberin keinerlei datenschutzrechtliche Verantwortlichkeit habe, weil sie keinen Zugriff auf die personenbezogenen Daten innerhalb der Nutzerprofile habe.
Hiergegen wehrte sich aber sodann der Beklagte (besagte Aufsichtsbehörde). Da es bei der Frage über die Verantwortlichkeit im Datenschutzrecht nach EU-DSGVO um die Auslegung eines europäischen Gesetzes geht, legte das zuständige Gericht diese Frage dem EuGH vor. Das berühmte EuGH Facebook-Fanpage-Urteil sorgte bereits im Juni 2018 für Aufsehen, da nun, so der EuGH, Facebook-Fanpage-Betreiber für die von Facebook vorgenommene Datenverarbeitung mitverantwortlich sein sollen. Schließlich, so das Gericht, ermögliche der Betreiber durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.
Da somit von einer sogenannten gemeinsamen Verantwortlichkeit auszugehen ist, durfte sich nach Entscheidung des BVerwG die Aufsichtsbehörde Schleswig-Holstein im Rahmen ihres Ermessens unter mehreren Verantwortlichen – Facebook auf der einen Seite und der Fanpage-Betreiber auf der anderen – einen Verantwortlichen für die Herstellung datenschutzkonformer Zustände auswählen. Weil das Vorgehen gegen Facebook (s.o.) wegen „fehlender Kooperationsbereitschaft mit erheblichen tatsächlichen und rechtlichen Unsicherheiten“ verbunden gewesen wäre, „stelle die Deaktivierungsanordnung gegenüber dem Fanpagebetreiber ein verhältnismäßiges Mittel dar“, wenn und soweit diesem keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.
Die Frage der tatsächlichen Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge wird indes noch durch das Berufungsgericht erörtert.
Her Legal Desk wird Sie auf dem Laufenden halten!