Die Facebook-Fanpage – und der Datenschutz

Die zuständige Datenschutzbehörde kann den Betrieb einer Facebook-Fanpage untersagen.

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, solange die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist.

Gegenstand des jetzt vom Bundesverwaltungsgericht in Leipzig entschiedenen Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), mit der die Unternehmerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie 95/46/EG verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Unternehmerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Schleswig-Holsteinische Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Unternehmerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe^[1]. Dagegen wandte sich der ULD im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts^[2] hat der Gerichtshof der Europäischen Union mit Urteil vom 5. Juni 2018^[3] entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe des Unionsgerichtshofs das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen.

Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich das ULD bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Unternehmerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Das ULD musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre.

Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Unternehmerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es allerdings nach Ansicht des Bundesverwaltungsgerichts einer näheren Aufklärung der tatsächlichen Umstände durch das Schleswig-Holsteinische Oberverwaltungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Unternehmerin als Betreiberin unterliegt, zu messen.

Bundesverwaltungsgericht, Urteil vom 11. September 2019 – 6 C 15.18

1. Schleswig-Holsteinisches OVG, Urteil vom 04.09.2014 – 4 LB 20/13[↩]
2. BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14[↩]
3. EuGH, Urteil vom 05.06.2018 – C-210/16[↩]