Aktuelles Urteil: Facebook Fanpage-Betreiber haften für Datenschutzverstöße

Wer eine Facebook Fanpage betreibt, ist für den Schutz personenbezogener Daten auf diesem Unternehmensauftritt in der Verantwortung. So eine Entscheidung des Bundesverwaltungsgerichts (BVerwG) mit Sitz in Leipzig vom 11. September 2019.

Dem Urteil zufolge sind Betreiber einer Fanpage auf Facebook dazu verpflichtet, unverzüglich Ihre Seite vom Netz zu nehmen, sobald hier drastische Mängel hinsichtlich der Datenschutzbestimmungen vorliegen. Facebook sollte also eine digitale Infrastruktur aufweisen, die datenschutzrechtlich den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen. Seitdem die DSGVO rechtsverbindlich ist, sind also deren Urheber dazu verpflichtet, auch das „Datenverhalten“ der Seitennutzer zu kontrollieren. Dies gilt uneingeschränkt auch für Vereine, NGOs und alle sonstigen gewerblichen Facebook-Nutzer. Dies entschied der Europäische Gerichtshof (EuGH) bereits im Juni 2018. Darunter zählt beispielsweise auch die Verwendung von Nutzungsdaten, welche über Cookies für Zwecke der Werbung seitens von Facebook oder für eine dem Betreiber zur Verfügung gestellten Nutzerstatistik erhoben werden.

Schon durch den bloßen Betrieb einer FB-Fanpage räumt der Seitenbetreiber Facebook Zugriff auf alle gespeicherten Daten ein. Diese Tatsache genügte den Richtern, ein Berufungsurteil zu einem vorliegenden Fall aufzuheben. Dabei ging es um die Fanpage der Wirtschaftsakademie Schleswig-Holstein. Gegenstand war die Forderung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), die Seite aus datenschutzrechtlichen Gründen abzuschalten. Bei dem Aufruf der Seite würden Daten von Nutzern erhoben, ohne dass diese durch einen Hinweis darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein lehnte eine Verantwortlichkeit der Betreiberin ab und verwies den Fall schließlich an den EuGH. Das ULD muss eine tatsächliche Rechtswidrigkeit der Datenverarbeitung nachweisen. Aktuell stehen keine anderweitigen Optionen für das Bereitstellen datenschutzkonformer Zustände von Facebook-Fanpages offen. „Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, so das ULD.

Datenschutz und Facebook: Wer kontrolliert den Internetriesen eigentlich?

Bereits 2016 hatte das BVerwG sich mit einem Fragenkatalog an den EuGH gewandt, um etwaigen Datenschutzvorwürfen gegen Facebook mit einer klaren juristischen Struktur zu begegnen. Denn auch auf einer Facebook-Fanpage müssen personenbezogene Daten so behandelt werden, wie es die DSGVO vorschreibt. Eine Frage des BVerwG war unter anderem, ob ein deutscher Datenschützer überhaupt zuständig für die Überprüfung und Kontrolle datenschutzrechtlicher Normen von Facebook sei. Denn faktisch liegt das europäische Datenzentrum von Facebook in Irland. Laut dem amerikanischen Großkonzern werden in den deutschen Niederlassungen keine personenbezogenen Daten verarbeitet.

Als weitere Unklarheit definierte das BVerwG die Frage nach der Verantwortung im Falle eines Datenschutzverstoßes. In dieser Frage waren sich das VG als auch das OVG Schleswig-Holstein einig und befanden die Wirtschaftsakademie Schleswig-Holstein einheitlich für verantwortlich. Grund hierfür sei eine nicht vorhandene datenschutzrechtliche Verantwortung der WAK als Fanpage-Betreiberin als auch eine fehlende Zuständigkeit deutscher Datenschutzbehörden.

Fazit

Aktuell bedeutet das Urteil für Fanpagebetreiber, dass mit jedem Besuch eines Nutzers der Betreiber dafür verantwortlich ist, für Datenschutz gemäß DSGVO zu sorgen. Aber ebenso ist Facebook als Anbieter des Dienstes in der Pflicht, datenschutzrechtlich einwandfreie Prozesse zu etablieren. Facebook ist nämlich der Entwickler der Technologie und programmierte darüber hinaus auch das dahinterliegende Geschäftsmodell der Datennutzung. Unter Verweis auf das Google-Spain-Urteil seien außerdem alle Niederlassungen von Facebook für die Zuständigkeit des internationalen Datenschutzes verantwortlich. Daher sind auch deutsche Datenschützer für einen DSGVO-konformen Datenschutz auf Facebook-Fanpages zuständig.