Das Wichtigste in Kürze
- Das BVerwG bestätigt die Mitverantwortung von Facebook-Fanpage-Betreibern für den Datenschutz.
- Datenschutzbehörden können die Deaktivierung von Fanpages anordnen, wenn gravierende Datenschutzmängel bestehen.
- Das EuGH-Urteil von 2018 ist die Grundlage für die Feststellung der Mitverantwortung.
- Unternehmen müssen proaktiv handeln und ihre Facebook-Fanpages datenschutzkonform gestalten.
- Eine aktuelle, TMG- und DSGVO-konforme Datenschutzerklärung für Facebook ist dringend empfohlen.
BVerwG: Fanpage-Betreiber haftet für Facebook-Datenschutzmängel
Das Bundesverwaltungsgericht (BVerwG) hat eine richtungsweisende Entscheidung getroffen. Es urteilte, dass der Betreiber einer Unternehmensseite auf Facebook verpflichtet werden kann, seine Fanpage abzuschalten. Dies gilt, falls die von Facebook bereitgestellte digitale Infrastruktur gravierende datenschutzrechtliche Mängel aufweist. Diese Entscheidung hat weitreichende Konsequenzen für Unternehmen.
Hintergrund: Die Anordnung der Datenschutzaufsicht
Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht. Diese hatte die Klägerin dazu verpflichtet, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Die Behörde beanstandete, dass Facebook beim Aufruf der Fanpage auf personenbezogene Daten von Internetnutzern zugreife.
- Art der Erhebung
- Umfang der Erhebung
- Zwecke der Erhebung
- Widerspruchsrecht
Die Klage der betroffenen Partei war in den Vorinstanzen erfolgreich. Das Oberverwaltungsgericht lehnte eine datenschutzrechtliche Verantwortlichkeit der Klägerin ab. Es begründete dies damit, dass die Klägerin keinen Zugriff auf die erhobenen Daten habe. Gegen diese Ablehnung legte der Beklagte Revision ein.
EuGH-Urteil als Wendepunkt
Eine zentrale Rolle für die aktuelle Entscheidung spielte das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018. Der EuGH hatte darin bereits entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Diese Vorgabe war bindend für die nachfolgende rechtliche Bewertung.
Die Entscheidung des Bundesverwaltungsgerichts
Basierend auf der bindenden Vorgabe des EuGH hob das Bundesverwaltungsgericht das Berufungsurteil auf. Es verwies den Rechtsstreit zur erneuten Verhandlung an das Schleswig-Holsteinische Oberverwaltungsgericht zurück. Das Gericht betonte die Notwendigkeit eines hohen Datenschutzniveaus.
Verantwortlichkeit des Fanpage-Betreibers
Um das von der Datenschutzrichtlinie bezweckte Datenschutzniveau zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte vom Gedanken der Effektivität leiten lassen. Er konnte ermessenfehlerfrei die Klägerin als Fanpage-Betreiberin in die Pflicht nehmen. Es ging darum, datenschutzkonforme Zustände herzustellen.
Ein Vorgehen gegen Facebook selbst war nicht zwingend erforderlich. Dies wäre aufgrund der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen. Die Datenschutzbehörde konnte somit den lokalen Betreiber zur Verantwortung ziehen.
Verhältnismäßigkeit der Deaktivierungsanordnung
Erweisen sich die Datenverarbeitungen beim Aufruf der Fanpage als rechtswidrig, stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar. Dem Kläger stünde keine andere Möglichkeit zur Verfügung, um datenschutzkonforme Zustände zu gewährleisten. Die Anordnung ist damit ein letztes, aber notwendiges Mittel.
Ausblick und Handlungsempfehlung
Die Frage nach der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge erfordert eine nähere Aufklärung durch das Berufungsgericht. Die Rechtmäßigkeit muss anhand des gültigen Datenschutzrechts, insbesondere des Telemediengesetzes, geprüft werden. Dies betrifft alle Betreiber von Fanpages.
Das Thema Datenschutz auf Social Media ist weiterhin in Bewegung. Unternehmen sollten sich stets über aktuelle Entwicklungen informieren. Betrieblicher Datenschutz ist dabei ein essenzieller Baustein.
Es ist dringend zu empfehlen, eine aktuelle Datenschutzerklärung für Facebook vorzuhalten. Diese sollte den Anforderungen des Telemediengesetzes sowie der Datenschutz-Grundverordnung (DSGVO) entsprechen. So können mögliche rechtliche Risiken minimiert werden.
Fazit
Das Urteil des Bundesverwaltungsgerichts unterstreicht die Mitverantwortung von Fanpage-Betreibern für den Datenschutz auf Facebook. Unternehmen müssen proaktiv handeln und sicherstellen, dass ihre Fanpages den rechtlichen Anforderungen entsprechen. Andernfalls droht die Pflicht zur Abschaltung der Seite.