Facebook Fanpage
Facebook Urteil: Datenschutzbehörden dürfen Facebook Fanpage untersagen

Facebook Urteil: Datenschutzbehörden dürfen Facebook Fanpage untersagen

Das Bundesverwaltungsgericht in Leipzig hat im September 2019 entschieden, dass Datenschutzbehörden das Recht haben, den Betrieb einer Facebook Fanpage zu untersagen. Voraussetzung ist, dass dieses Verbot als Mittel der Gefahrenabwehr eingesetzt wird, also dem Datenschutz dienlich ist. Wir zeigen auf, was in diesem Rechtsstreit seit 2011 passiert ist und wie die rechtliche Lage zu Facebook Fanpages nun einzuschätzen ist.

Rechtsstreit um Facebook Fanpage

Schon seit 2011 läuft ein Rechtsstreit zu Facebook Fanpages bzw. zum Thema, ob es Datenschutzbehörden erlaubt ist, eine Deaktivierung anzuordnen. Eine Anordnung dieser Art hatte nämlich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erlassen. Nachdem das Verwaltungsgericht Schleswig, später dann das Oberverwaltungsgericht Schleswig, außerdem das Bundesverwaltungsgericht in Leipzig und schließlich der Europäische Gerichtshof (EuGH) den Fall verhandelt hatte, landete er wieder beim Bundesverwaltungsgericht.

Im Rahmen einer mündlichen Verhandlung entschied das Bundesverwaltungsgericht am 11. September 2019, dass Datenschutzbehörden das Betreiben von Facebook Fanpages untersagen können (BVerwG 6 C 15.18). In seiner Urteilsbegründung fand das Gericht deutliche Worte und übertrug den Gedanken der Gefahrenabwehr nun auf den Datenschutz:

„[…] Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann.
[…] Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. […]“

Mit diesem Urteil landet der Fall nun wieder vor dem Oberverwaltungsgericht Schleswig, welches über die Rechtskonformität der Anordnung aus 2011 entscheiden muss. Das Bundesverwaltungsgericht betonte die Konsequenzen, falls das Oberverwaltungsgericht der Anordnung Recht gibt: „Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können.“

Das Urteil des Bundesverwaltungsgerichts ist richtungsweisend: Grundsätzlich sind Verbote seitens Datenschutzbehörden zulässig. Anschließend gilt es, Einzelfälle konkret zu überprüfen.

Was bedeutet dieses Urteil für Betreiber einer Facebook Fanpage?

Im vorliegenden Fall ging es um die Tracking-Funktion der Facebook Insights und darum, ob ausschließlich Facebook für den Datenschutz verantwortlich ist oder auch die Betreiber einer Fanpage, die dieses oder vergleichbare Features nutzen. Zunächst einmal bestätigen die Richter des Bundesverwaltungsgerichts, was vorher schon andere Richter urteilten: Nicht Facebook, sondern Seitenbetreiber sind verantwortlich fürs Tracking und den Datenschutz einer Facebook Fanpage.

Diese Entscheidung hat einen großen Vorteil: Für Datenschutzverstöße auf Facebook können Betroffene den Seitenbetreiber verantwortlich machen. Darin liegt jedoch gleichzeitig der Nachteil des Urteils: Seitenbetreiber können auch dann für Datenschutzvorfälle verantwortlich gemacht werden, wenn sie nur wenig Einfluss auf die von Facebook vorgenommenen Datenverwendung haben.

In der Konsequenz hieße das nun, dass das Abschalten der Facebook Fanpage die einzige Option ist, rechtlichen Folgen zu entgehen – schließlich haben Fanseiten-Betreiber keinen Einfluss darauf, was Facebook mit den Daten anstellt. Das wäre solange ratsam, bis Facebook DSGVO-konforme Lösungen bereitstellt.

In der Praxis werden zahlreiche Fanseiten-Betreiber jedoch kaum ihre Facebook Fanpage deaktivieren. Es wird auch nichts so heiß gegessen, wie es gekocht wird: Der EuGH betonte, „dass die amerikanische Gesellschaft Facebook und […] deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten […] „Verantwortliche“ anzusehen sind. […]“

Das Bundesverwaltungsgericht muss diesen Fall auch erst mal zu Ende führen; es gibt noch einen eigenen Beurteilungsspielraum. Womöglich fügt das Gericht dem Fall noch weitere Aspekte hinzu, die wieder zu einem Aufatmen führen. Während Facebook Fanpage-Betreiber also auf das nächste Facebook Urteil warten, können Sie aktiv werden und die folgenden Schritte durchführen:

  • Binden Sie die von Facebook angepasste Datenschutzerklärung in Ihre Fanpage ein oder verlinken Sie diese (Page Controller Addendum).
  • Geben Sie in Ihrer Datenschutzerklärung eine Rechtsgrundlage fürs Tracking an. In aller Regel ist das das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO.
  • Sofern Sie auf Ihrer eigenen Website Tracking von Besuchern durchführen oder den Facebook Like-Button einfügen, müssen Sie eine Einwilligung Ihrer Website-Besucher einholen. Dies kann z. B. durch den Einsatz eines Content-Management-Tools erfolgen, dass die Einwilligung über ein Cookie-Banner einholt. Und hierin liegt das Problem: direkt auf Facebook haben Sie keine Möglichkeit dazu, sodass Sie hier die beiden obigen Punkte beachten müssen.
  • Geben Sie Ihren Nutzern die Möglichkeit, alle in der DSGVO dargestellten Betroffenenrechte wahrzunehmen.
  • Als Anregung für eine Datenschutzerklärung für Ihre Facebook Fanpage finden Sie unsere Datenschutzerklärung unter folgender Adresse der PSW GROUP.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*