26 Sep
2019

Update: BVerwG zu Facebook Fanpages – nun Pflicht zur Abschaltung?

Wenn Sie für Ihr Unternehmen eine Facebook Fanpage betreiben, sollten Sie sich die neueste Rechtsprechung dazu nicht entgehen lassen. Vor einiger Zeit berichteten wir bereits über die Problematik von bei Facebook unterhaltenen Unternehmensauftritten – sogenannten Fanpages. Denn die deutschen Datenschutzaufsichtsbehörden halten den Betrieb von Facebook Fanpages nach dem Urteil des EuGH vom letzten Jahr in der gegenwärtigen Form für datenschutzrechtlich unzulässig (siehe Beitrag vom 21.05.2019). Nun hat das Bundesverwaltungsgericht (BVerwG) in Leipzig in dieser Sache entschieden.

Rechtsstreit über die Zulässigkeit von Fanpages

Dem Urteil des BVerwG liegt ein Rechtsstreit zugrunde, der seit nunmehr acht Jahren andauert. Darin geht es um eine Anordnung der schleswig-holsteinischen Datenschutzaufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz (ULD), die von der Wirtschaftsakademie Schleswig-Holstein forderte, ihre Fanpage auf Facebook zu deaktivieren. Denn Facebook erhebe bei Aufruf dieser Fanpage Daten der nutzenden Personen, ohne diese über die geplante Verarbeitung und ein bestehendes Widerspruchsrecht zu informieren. Dies betreffe sowohl bei Facebook registrierte und eingeloggte als auch nichtregistrierte Personen. Die Datenerhebung und etwaige Weitergabe an Dritte bleiben den nutzenden Personen damit unbekannt.

Nach dem Gang durch die Instanzen der Verwaltungsgerichtsbarkeit legte das BVerwG den Fall dem EuGH vor. Dieser entschied letztes Jahr, dass Unternehmen, die eine eigene Fanpage betreiben, gemeinsam mit Facebook für die durch Facebook durchgeführte Datenverarbeitung gemäß Art. 26 DS-GVO verantwortlich sind (Urteil vom 05.06.2018 - Rs. C-210/16, abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=15322487). Denn die Betreiber ermöglichen durch den Betrieb ihrer Fanpages Facebook den Zugriff auf die Daten der Fanpage-Besucher. Die Verarbeitung der im Rahmen der Facebook-Nutzung erhobenen Besucherdaten wird zudem nicht allein durch Facebook bestimmt. Vielmehr können die Betreiber durch eine entsprechende Parametrierung über die Zwecke und Mittel der Verarbeitung mitentscheiden.

Urteil des BVerwG

Das BVerwG hat auf Grundlage des EuGH-Urteils am 11.09.2019 entschieden, dass Datenschutzaufsichtsbehörden die Betreiber von Fanpages verpflichten können, ihre Fanpage abzuschalten, wenn die von Facebook bereitgestellte Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (BVerwG, Urteil vom 11.09.2019 - 6 C 15.18, Pressemitteilung mit den nachfolgenden Zitaten abrufbar unter https://www.bverwg.de/pm/2019/62).

Das BVerwG bekräftigt damit die Entscheidung des EuGH und stellt klar, dass die Datenschutzaufsichtsbehörden, so sie gegen gemeinsam Verantwortliche (Facebook und Fanpage-Betreiber) vorgehen wollen, auch die Fanpage-Betreiber allein „für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen“ können. Denn ein Vorgehen gegen Facebook sei wegen dessen fehlender „Kooperationsbereitschaft […] mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden“. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, stelle die Anordnung, die Fanpage ganz abzuschalten, nach Ansicht des Gerichts ein verhältnismäßiges Mittel dar, um datenschutzkonforme Zustände herzustellen. Ob die Datenverarbeitung durch Facebook jedoch im Einzelnen solche schwerwiegenden Mängel aufweist und damit rechtswidrig ist, muss nun das Oberverwaltungsgericht Schleswig erneut klären.

Konsequenzen in der Praxis

Nun bleibt abzuwarten, ob Facebook aus diesem Urteil Konsequenzen zieht. Nach dem EuGH-Urteil hatte das Unternehmen im letzten Jahr zunächst seine Hinweise für die Funktion Seiten-Insights ergänzt („Controller Addendum“, abrufbar unter https://de-de.facebook.com/legal/terms/page_controller_addendum). Diese Ergänzung genügt den Anforderungen der DS-GVO jedoch nicht (Beschluss der Datenschutzkonferenz vom 01.04.2019, abrufbar unter https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf). Weitergehende Informationen über die durchgeführten Datenverarbeitungen gibt Facebook dagegen nicht preis, sodass es den Fanpage-Betreibern schlichtweg nicht möglich ist, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen und die Rechtmäßigkeit dieser Verarbeitungen nachzuweisen. Nun bleibt die Entscheidung des OVG Schleswig über die Rechtswidrigkeit der Datenverarbeitungen abzuwarten.

Das bedeutet für Sie: Der Betrieb von Fanpages stellt für Unternehmen derzeit ein besonderes Risiko dar, da ein datenschutzrechtskonformer Betrieb solcher Seiten nach Ansicht der deutschen Aufsichtsbehörden derzeit nicht möglich ist. Wenn Sie eine solche Fanpage betreiben, müssen Sie sich dessen bewusst sein und damit rechnen, von der für Sie zuständigen Datenschutzaufsichtsbehörde diesbezüglich kontaktiert zu werden. Dabei verwenden die deutschen Behörden einen einheitlich abgestimmten Fragebogen. Um vorbereitet zu sein, können Sie sich hier bereits einen Überblick verschaffen.

Rechtsanwältin Johanna Mäkert

dmp@derra-b.de

Stand: 09/2019