16.09.2019
Gerrit Feuerherdt / Kata Viktoria Éles
Seit fast sieben Jahren läuft nun das Verfahren um die datenschutzrechtliche Zulässigkeit des Betriebes von Facebook-Fanpages. Das Bundesverwaltungsgericht (BVerwG) hat nun entschieden, dass die Anordnung einer Datenschutzaufsichtsbehörde mit dem Inhalt, eine Facebook-Fanpage zu deaktivieren, rechtmäßig sein kann.
Viele Unternehmen nutzen eine Facebook-Fanpage für ihre Marketing- und Vertriebstätigkeiten. Eine Fanpage ist ein spezielles Benutzerkonto, welches der Präsentation und Werbung eines Unternehmens dienen kann. Aufgrund der enormen Reichweite von Facebook und Co. ist dies eine vielversprechende Alternative zu traditionellen Werbe- und Präsentationswegen. Eine für den Betreiber besonders attraktive Funktion ist dabei „Facebook-Insights“, die ihm kostenfrei zur Verfügung gestellt wird, allerdings auch nicht abdingbar ist. Dem Betreiber werden hierüber Statistiken über Nutzerdaten zur Verfügung gestellt, die Facebook zuvor mit Hilfe der Fanpage (durch das Setzen von Cookies bei dem Besuch der Fanpage) erhebt. Diese Daten kann der Betreiber zu Marktforschungs- oder Werbezwecken nutzen.
Eine solche Fanpage betrieb auch die Wirtschaftsakademie Schleswig-Holstein (WSH). Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte in ihrer Funktion als Aufsichtsbehörde für den Datenschutz in Schleswig-Holstein gegenüber der WSH eine Anordnung erlassen, die Facebook-Fanpage zu deaktivieren. Grund dafür war unter anderem, dass ein Widerspruch eines Nutzers der Fanpage gegen die Datenverarbeitung gegenüber der WSH erfolglos bleibe, da die WSH keine technische Einwirkungsmöglichkeit auf die Datenverarbeitungsprozesse von Facebook habe. Gegen diesen Bescheid ging die WSH gerichtlich vor.
In den Vorinstanzen (VG Schleswig, 8 A 14/12; OVG Schleswig, 4 LB 20/13) hatte die Klage Erfolg. Das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) lehnte eine datenschutzrechtliche Verantwortlichkeit der WSH ab, da für sie kein Zugriff auf die erhobenen Daten bestehe. Gegen dieses Urteil ging die Aufsichtsbehörde wiederum in Revision. Das BVerwG legte dem Europäischen Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens die Frage vor, ob der Betreiber einer Facebook-Fanpage für die Datenverarbeitung durch Facebook mitverantwortlich sei.
Der EuGH stellte schließlich fest, dass eine gemeinsame Verantwortlichkeit im Sinne der Richtlinie 95/46/EG zwischen dem Betreiber der Facebook-Fanpage und Facebook selbst vorliegt. Denn durch den Betrieb der Seite entstehe für Facebook die Möglichkeit, die Daten der Nutzer zu erheben. Zudem könne der Seitenbetreiber mittels Parametrierung mitentscheiden, welche Daten welcher Personen analysiert werden. Dadurch sei er maßgeblich an der Entscheidung über Zwecke und Mittel der Datenverarbeitung beteiligt, sodass die Voraussetzungen für eine gemeinsame Verantwortlichkeit vorliegen. Aufgrund des in der DSGVO identischen Wortlauts der Definition der gemeinsamen Verantwortlichkeit sowie des Vorhandenseins entsprechender Anordnungsrechte nach Art. 58 DSGVO dürften diese Ergebnisse auch auf die Bewertung von Fanpages nach der DSGVO zu übertragen sein.
Nachdem der EuGH die gemeinsame Verantwortlichkeit feststellte, wurde der Rechtsstreit an das BVerwG zurückverwiesen. Dieses entschied auf Grundlage der bindenden Entscheidung des EuGH, dass die Aufforderung zur Deaktivierung der Facebook-Fanpage rechtmäßig sein kann, soweit „die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist“.
Außerdem stelle das BVerwG fest, dass es zulässig ist, den Seitenbetreiber (statt Facebook) in die Pflicht zu nehmen, einen datenschutzkonformen Zustand herzustellen. Denn die Auswahl desjenigen, an den die Anordnung gerichtet werde, stehe im Ermessen der Aufsichtsbehörde; dabei müsse sie sich vom Gedanken der Effektivität leiten lassen. Da es Facebook an Kooperationsbereitschaft fehle und ein Vorgehen gegen Facebook daher mit „erheblichen tatsächlichen und rechtlichen Unsicherheit verbunden“ sei, könne die Aufsichtsbehörde effektiver gegen den Betreiber der Fanpage vorgehen.
Daher hob das BVerwG das vorherige Urteil auf und verwies den Rechtsstreit an das OVG zurück. Dieses hat nun zu prüfen, ob die Datenverarbeitungsvorgänge, die im Rahmen der Fanpage-Nutzung stattfinden, tatsächlich rechtswidrig sind.
Schon das Urteil des EuGH vom 5. Juni 2018 sorgte für Aufsehen: die gemeinsame Verantwortlichkeit von Facebook und dem Betreiber der Facebook-Fanpage bedeutet, dass auch den Seitenbetreiber die Pflichten der DSGVO treffen, wie etwa Informationspflichten nach Art. 13 ff. DSGVO. Daraus folgt, dass auch der Betreiber verpflichtet ist, Datenschutzhinweise auf der Fanpage für die Nutzer zur Verfügung zu stellen.
Weder EuGH noch BVerwG haben festgestellt, dass der Betrieb einer Facebook-Fanpage per se datenschutzwidrig ist. Die Datenschutzaufsichtsbehörden scheinen jedoch von einer grundsätzlichen Datenschutzwidrigkeit auszugehen, denn es fehle bereits an einer Vereinbarung im Sinne von Art. 26 DSGVO zwischen dem Seitenbetreiber und Facebook. Die von Facebook in den Nutzungsbedingungen integrierte Vereinbarung reiche nicht aus. Solange Facebook nicht nachbessere, sei eine datenschutzkonforme Nutzung nicht möglich. Darüber hinaus fehle es an der erforderlichen Transparenz bei der Datenverarbeitung durch Facebook.
Gegenüber Unternehmen könnte die Vorgehensweise des ULD dabei eine starke Benachteiligung darstellen, insbesondere, wenn sie auch durch andere Aufsichtsbehörden übernommen wird: diejenigen Unternehmen, die ihre Fanpage deaktivieren müssen, sind weniger visibel am Markt bzw. gegenüber Verbrauchern und verlieren eine interaktive Kommunikations- und Austauschmöglichkeit mit Kunden und Interessenten. Es ist zudem sehr unwahrscheinlich, dass die – ohnehin schon am Rande der Überlastung arbeitenden - Aufsichtsbehörden gegen alle Fanpage-Betreiber entsprechende Anordnungen erlassen (alleine die Aufsichtsbehörde in NRW ist für ca. 750.000 Unternehmen sowie Teile der öffentliche Hand zuständig). Dies könnte dazu führen, dass manche Unternehmen ihre Fanpage deaktivieren müssen, andere jedoch ihre Fanpage weiterbetreiben. Zudem besteht das Risiko, dass die Entscheidung auch auf andere „Fanpages“ oder Unternehmensseiten, z. B. Xing oder LinkedIn, übertragen wird. Denn auch dort werden vom Betreiber des Netzwerkes Daten erhoben, gesammelt und verarbeitet sowie dem jeweiligen Unternehmen aufbereitet zur Verfügung gestellt.
Aus diesen Gründen erscheint das Vorgehen gegen Unternehmen kritisch, auch wenn für Behörden grundsätzlich die Möglichkeit besteht, gegen diese unter dem Gesichtspunkt der Effektivität vorzugehen. Wie aber bereits die Verhandlungen der Niederlande mit Microsoft über den datenschutzkonformen Einsatz von Windows 10 und Office365 zeigen, dürfte auch ein Vorgehen gegen die „Big Player“ der IT-Industrie durchaus Erfolg versprechen. Die DSGVO gibt hierfür sowohl eine Rechtsgrundlage als auch Instrumente zur Durchsetzung von Maßnahmen an die Hand. Neben Anordnungen gegenüber Facebook besteht auch die Möglichkeit von hohen Bußgeldern – insbesondere mit dem von den deutschen Behörden entwickelten und mittlerweile in Anwendung befindlichen Bußgeldberechnungsschema. Die potentiell enorme Höhe der Bußgelder könnte Facebook zu einem Handeln zwingen, ohne die Fanpage-Betreiber zu belasten.
Sollte das OVG jedoch die Ansicht der Aufsichtsbehörden teilen, wäre die Konsequenz, dass in dem gesamten Geltungsbereich der DSGVO der Betrieb von Facebook-Fanpages eingestellt werden müsste, sobald eine entsprechende Anordnung zur Deaktivierung durch eine Aufsichtsbehörde ergeht.
Nichtsdestotrotz sollten Unternehmen und Personen, die eine Facebook-Fanpage betreiben, diese nicht sofort deaktivieren. Aufgrund der noch nicht abschließend geklärten Rechtslage dürfte ein Weiterbetrieb noch keine direkten Bußgelder nach sich ziehen. Erreicht jedoch den Seitenbetreiber die Anordnung einer Aufsichtsbehörde, eine Fanpage zu deaktivieren, sollte diese Anweisung unverzüglich befolgt werden.
Gerrit Feuerherdt
Rechtsanwalt
Associate
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 221 9937 27059
gerrit.feuerherdt(at)luther-lawfirm.com
Kata Viktoria Éles
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 221 9937 25812
kata.viktoria.eles(at)luther-lawfirm.com