BVerwG zu Facebook-Fanpages: Betreiber können zur Abschaltung verpflichtet werden

Download PDF

(c) BBH

Datenschutzaufsichtsbehörden können den Betrieb einer Facebook-Fanpage bei einem schwerwiegenden datenschutzrechtlichen Verstoß grundsätzlich untersagen. Das hat das Bundesverwaltungsgericht (BVerwG) am 11.9.2019 entschieden (Az. 6 C 15.18).

In dem zugrundliegenden Verfahren hatte die schleswig-holsteinische Datenschutzaufsichtsbehörde eine Bildungseinrichtung verpflichtet, ihre Fanpage abzuschalten. Sie beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese über Art, Umfang und Zwecke der Erhebung sowie ihr Recht unterrichtet würden, der Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung zu widersprechen. Ein gegenüber der Betreiberin der Fanpage erklärter Widerspruch des Nutzers bliebe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Das Oberverwaltungsgericht (OVG) Schleswig hatte – wie die Vorinstanz (VG Schleswig, Urt. v. 9.10.2013, Az. 8 A 14/12) – eine datenschutzrechtliche Verantwortlichkeit der klagenden Betreiberin noch abgelehnt (Urt. v. 4.9.2014, Az. 4 LB 20/13), weil diese keinen Zugriff auf die erhobenen Daten habe. Einen Zugriff habe ausschließlich Facebook. Dagegen wandte sich die beklagte Datenschutzaufsichtsbehörde im Revisionsverfahren vor dem BVerwG, welches die Sache wegen der europarechtlichen Vorgaben aus der – für den Sachverhalt noch anzuwendenden – Datenschutzrichtlinie (RL 95/46/EG) dem EuGH vorlegte.

Mit Urteil vom 5.6.2018 (Az. C-210/16) stellte der EuGH  fest (wir berichteten), dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook datenschutzrechtlich verantwortlich seien, soweit über das von Facebook implementierte Tool „Insights“ personenbezogene Daten der Besucher der Fanpage verarbeitet werden. Zwar machte der EuGH in seinem Urteil in erster Linie Facebook für die Verarbeitung personenbezogener Daten auf der Fanpage verantwortlich. Gleichzeitig entschied der EuGH aber, dass der Betreiber einer Fanpage gemeinsam mit Facebook im datenschutzrechtlichen Sinne für die Verarbeitung verantwortlich sei („gemeinsame Verantwortlichkeit“ – Art. 26 DS-GVO).

Das BVerwG hat nun aufgrund dieser bindenden Vorgaben des EuGH das Urteil des OVG Schleswig aufgehoben und den Rechtsstreit dorthin zurückverwiesen.

Gleichzeitig hat das BVerwG klargestellt, dass Besucher der Fanpage sich in datenschutzrechtlichen Angelegenheiten (vorrangig) an den Betreiber der Fanpage wenden können. Denn um das unionsrechtlich bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchsetzen zu können, sollten sich Betroffene bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom „Gedanken der Effektivität leiten lassen“. Dies führt nach Ansicht des BVerwG dazu, dass der in Deutschland ansässige Betreiber der Fanpage in Anspruch genommen werden kann, denn der Betroffene müsse dann „nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen“. Dies sei „wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“.

Diese Begründung des BVerwG erscheint zunächst erstaunlich, kommt sie auf den ersten Blick doch einem „Einknicken“ vor Facebooks fehlender „Kooperationsbereitschaft“ gleich. Bei näherem Hinsehen wird jedoch deutlich, dass damit indirekt der Druck auf Facebook erhöht wird. Indem die Datenschutzaufsichtsbehörden konsequent gegen die Betreiber der Fanpages vorgehen und diese sogar zur Abschaltung der Fanpage verpflichten können, sinkt deren Interesse am Betrieb einer Fanpage, wenn sie aufgrund dessen rechtliche Risiken und vergeblichen Aufwand für den Aufbau der Fanpage fürchten müssen. Einzelne Unternehmen haben den Betrieb ihrer Fanpage bereits nach dem EuGH-Urteil eingestellt. Facebook wird daher handeln müssen, wenn die Fanpage auch zukünftig noch eine Rolle im Geschäftsmodell von Facebook spielen soll.

Zwar hat Facebook zwischenzeitlich auf das Urteil des EuGH reagiert und ein sog. Addendum zu den AGB bereitgestellt. Mehr Rechtssicherheit wurde dadurch für die Betreiber der Fanpages jedoch nicht geschaffen. Dies gilt umso mehr nach dem aktuellen Urteil des BVerwG.

Damit ist der Betrieb einer Fanpage auch weiterhin mit rechtlichen und finanziellen Risiken verbunden. Inwieweit diese tragbar sind, müssen die Betreiber individuell entscheiden. Jedenfalls sollten sie von Facebook vollständige Transparenz über die Verarbeitung der Nutzerdaten und gegebenenfalls Nachbesserungen im Addendum verlangen sowie selbst flankierende Maßnahmen zu dem Addendum (wie zum Beispiel eine eigene Datenschutzerklärung auf der Fanpage oder ähnliches) ergreifen.

Ansprechpartner: Nils Langeloh/Alexander Bartsch/Thomas Schmeding/Sebastian Holst