Es gibt ein Urteil des Bundesverwaltungsgerichts zu Unternehmensauftritten im sozialen Netzwerk Facebook, so genannten „Fanpages“ (BVerwG, Urteil vom 11.9.2019, Az. 6 C 15.18 – Vorinstanzen: OVG Schleswig, Urteil vom 4.9.2014; Az. 4 LB 20/13 und VG Schleswig, Urteil vom 9.10.2013, Az. 8 A 14/12).
Demnach kann die Datenschutzbehörde den Betrieb einer solchen Seite untersagen, wenn die dafür von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist.
Problem: Nutzung personenbezogener Daten ohne Information
Gegenstand des Verfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht gegen eine in Kiel ansässige Bildungseinrichtung, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Das Problem, das die Datenschützer in der Seite erkannten, besteht darin, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreift, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet werden.
Dieser Mangel besteht generell bei Facebook-Fanpages. Entsprechend hatte die Bildungseinrichtung in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hatte zuletzt eine datenschutzrechtliche Verantwortlichkeit der Fanpage-Betreiberin abgelehnt, da sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich die Datenschutzbehörde und es kam zum Revisionsverfahren vor dem Bundesverwaltungsgericht in Leipzig. Das hat erst mal in Straßburg nachgefragt, wie man dort die Sache sieht. Der Gerichtshof der Europäischen Union hat entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist, da er durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher ermögliche (EuGH, Urteil vom 5.6.2018; Az. C-210/16). Diesen bindenden Entscheid hat das BVerwG nun nachvollzogen.
Warum aber wird Facebook selbst nicht belangt?
Mitverantwortlich heißt nicht alleinverantwortlich. Im Grunde liegt die Ursache des Mangels ja nicht bei der Bildungseinrichtung aus Kiel, sondern bei dem Social Media-Betreiber aus Menlo Park. Das Bundesverwaltungsgericht urteilte, dass die Datenschützer es sich aussuchen könnten, gegen welches Glied in der Kette der unrechtmäßigen Nutzung personenbezogener Daten es belangt. Und da liege es nahe, sich vom Gedanken der Effektivität leiten zu lassen und an die Fanpagebetreiberin zu wenden, und nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorzugehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Die Anordnung zur Deaktivierung der Fanpage sei ein verhältnismäßiges Mittel, weil den Datenschützern keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Ein milderes Mittel, also etwa eine Behebung des Mangels, ist mangels technischer Einwirkungsmöglichkeiten der Fanpagebetreiberin unmöglich – die Fäden zieht Facebook aus der Ferne.
Das Ende der Vermarktung via Facebook?
Es ist ein wenig frustrierend, aber festzuhalten bleibt: Der Betreiber einer Fanpage im Facebook ist für die bei Aufruf dieser Seite ablaufenden Datenverarbeitungsvorgänge verantwortlich (§ 3 Abs. 7 BDSG a.F.) und damit auch potentieller Adressat einer Anordnung nach § 38 Abs. 5 BDSG a.F., die auch eine Deaktivierung einschließen kann.
Was bedeutet das nun in der Praxis für Betreiber einer Facebook-Fanpage – und derer gibt es in Deutschland Millionen? Sicherheitshalber deaktivieren, um einem kostspieligen Verfahren aus dem Weg zu gehen? Nein, das dürfte in der Regel nicht nötig sein. Entscheidend ist, dass die Besucher der Fanpage über Cookies und Datennutzung informiert werden. Dafür muss man als Betreiber der Fanpage sorgen.
Das BVerwG skizziert die Anforderungen und damit eine mögliche Lösung: „Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte.“
Facebook hat schon nachgebessert, bleibt aber weiter in der Pflicht
Das bedeutet, man muss als Betreiber einer Facebook-Fanpage diese Unterrichtung aktiv leisten: durch einen entsprechenden Hinweis auf die umfangreichen Informationen, mit denen Facebook heute – der Fall stammt aus dem Jahr 2011 – dem Datenschutz gerecht zu werden versucht, insbesondere auch zu Cookies und zur Verarbeitung personenbezogener Daten. Doch auch Facebook selbst wird vom BVerwG nochmal in die Pflicht genommen. Der Social Media-Gigant stehe „unter Zugzwang“ und werde sich „um eine datenschutzrechtskonforme Lösung bemühen müssen“, wenn er denn „sein Geschäftsmodell in Deutschland weiterverfolgen“ wolle.
Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe “Berichte aus der Parallelwelt”. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beiträge betrachten, anders als unsere sonstigen Fachbeiträge Begebenheiten und Rechtsfälle daher auch nicht juristisch, sondern aus einem völlig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser überlassen bleiben. Interessant wird es, wie wir meinen, allemal.