Das Bundesverwaltungsgericht (BVerwG) hat entschieden, dass der Betreiber eines Unternehmensauftritts auf Facebook verpflichtet werden kann, diese Fanpage abzuschalten, wenn die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist (Az.: 6 C 15.18).
Facebook sammelte heimlich Daten über Seitenbesucher
Die Klägerin, eine in Kiel ansässige Bildungseinrichtung, wurde von der Datenschutzaufsicht in Schleswig-Holstein aufgefordert, die von ihr betriebene Fanpage zu deaktivieren. In ihrem Bescheid wies die Behörde darauf hin, dass Facebook bei jedem Aufruf der Fanpage auf personenbezogene Daten der Nutzer zugreife, ohne dass diese darüber unterrichtet würden. Dies wäre weder mit dem Telemediengesetz noch mit der Datenschutzrichtlinie (RL 95/46/EG) vereinbar. Die Klägerin klagte gegen diese Anordnung.
Betreiber einer Fanpage mitverantwortlich
Die Klage hatte in den Vorinstanzen zunächst Erfolg. Das Verwaltungsgericht und das Oberverwaltungsgericht hatten eine datenschutzrechtliche Verantwortlichkeit abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Der Beklagte wehrte sich gegen diese Entscheidungen vor dem Bundesverwaltungsgericht. Das BVerwG legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor. Dieser entschied, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist, da er durch den Betrieb der Fanpage Facebook überhaupt erst die Möglichkeit eröffne, auf die Daten der Seitenbesucher zuzugreifen.
Oberverwaltungsgericht muss erneut entscheiden
Aufgrund dieser Entscheidung hat das BVerwG das Urteil des Oberverwaltungsgerichts aufgehoben und den Rechtsstreit zurückverwiesen. Dies muss nun die tatsächlichen Umstände näher aufklären und insbesondere der Frage nachgehen, ob die Datenverarbeitungsvorgänge zum Zeitpunkt der letzten Behördenentscheidung tatsächlich gegen das zu diesem Zeitpunkt gültige Datenschutzrecht verstoßen haben. Sollte die Datenverarbeitung sich als rechtswidrig erweisen, ist nach Auffassung des BVerwG die Entscheidung der Behörde verhältnismäßig und damit rechtmäßig. Insbesondere musste sie nicht gegen Facebook vorgehen, da dies wegen mangelnder Kooperationsbereitschaft mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre und das mit dem Grundgedanken der Effektivität des Datenschutzrechts nicht vereinbar ist.
Unternehmen und Facebook in der Pflicht
Die Entscheidung verdeutlicht, dass im Hinblick auf das Datenschutzrecht sowohl Facebook als auch die Unternehmen in der Pflicht sind, die Vorschriften einzuhalten. Datenschutzbehörden haben bereits angekündigt, weitere Verstöße prüfen zu wollen.
Mit Blick auf die effektive Umsetzung des Datenschutzrechts ist das Urteil zu begrüßen. Für die Unternehmen ist dies allerdings eine schwierige Situation, weil sie kaum Einfluss auf die Datenverarbeitungsprozesse von Facebook nehmen können. Dabei ist auch zu berücksichtigen, dass es für das Marketing der Unternehmen wichtig sein kann, solche Facebook Fanpages zu betreiben. Daher sollte Facebook stärker in die Pflicht genommen werden. Ob Facebook tatsächlich Konsequenzen aus dem Urteil zieht und welche Maßnahmen Facebook ergreift, bleibt abzuwarten.
Ihr Ansprechpartner im Verwaltungsrecht:
Christoph Häntzschel, Fachanwalt für Verwaltungsrecht