Das Bundesverwaltungsgericht in Leipzig hat im September 2019 entschieden, dass Datenschutzbehörden das Recht haben, den Betrieb einer Facebook Fanpage zu untersagen. Voraussetzung ist, dass dieses Verbot als Mittel der Gefahrenabwehr eingesetzt wird, also dem Datenschutz dienlich ist. Wir zeigen auf, was in diesem Rechtsstreit seit 2011 passiert ist und wie die rechtliche Lage zu Facebook FanPages nun einzuschätzen ist.

Rechtsstreit um Facebook Fanpage

Schon seit 2011 läuft ein Rechtsstreit zu Facebook FanPages bzw. zum Thema, ob es Datenschutzbehörden erlaubt ist, eine Deaktivierung anzuordnen. Eine Anordnung dieser Art hatte nämlich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erlassen. Nachdem das Verwaltungsgericht Schleswig, später dann das Oberverwaltungsgericht Schleswig, außerdem das Bundesverwaltungsgericht in Leipzig und schließlich der Europäische Gerichtshof (EuGH) den Fall verhandelt hatte, landete er wieder beim Bundesverwaltungsgericht.

Im Rahmen einer mündlichen Verhandlung entschied das Bundesverwaltungsgericht am 11. September 2019, dass Datenschutzbehörden das Betreiben von Facebook FanPages untersagen können (BVerwG 6 C 15.18). In seiner Urteilsbegründung fand das Gericht deutliche Worte und übertrug den Gedanken der Gefahrenabwehr nun auf den Datenschutz:

„[…] Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann.
[…] Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. […]“

Mit diesem Urteil landet der Fall nun wieder vor dem Oberverwaltungsgericht Schleswig, welches über die Rechtskonformität der Anordnung aus 2011 entscheiden muss. Das Bundesverwaltungsgericht betonte die Konsequenzen, falls das Oberverwaltungsgericht der Anordnung recht gibt: „Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können.“

Das Urteil des Bundesverwaltungsgerichts ist richtungsweisend: Grundsätzlich sind Verbote seitens Datenschutzbehörden zulässig. Anschließend gilt es, Einzelfälle konkret zu überprüfen.

Was bedeutet dieses Urteil für Betreiber einer Facebook Fanpage?

Im vorliegenden Fall ging es um die Tracking-Funktion der Facebook Insights und darum, ob ausschließlich Facebook für den Datenschutz verantwortlich ist oder auch die Betreiber einer Fanpage, die dieses oder vergleichbare Features nutzen. Zunächst einmal bestätigen die Richter des Bundesverwaltungsgerichts, was vorher schon andere Richter urteilten: Nicht Facebook, sondern Seitenbetreiber sind verantwortlich fürs Tracking und den Datenschutz einer Facebook Fanpage.

Diese Entscheidung hat einen großen Vorteil: Für Datenschutzverstöße auf Facebook können Betroffene den Seitenbetreiber verantwortlich machen. Darin liegt jedoch gleichzeitig der Nachteil des Urteils: Seitenbetreiber können auch dann für Datenschutzvorfälle verantwortlich gemacht werden, wenn sie nur wenig Einfluss auf die von Facebook vorgenommenen Datenverwendung haben.

In der Konsequenz hieße das nun, dass das Abschalten der Facebook Fanpage die einzige Option ist, rechtlichen Folgen zu entgehen – schließlich haben Fanseiten-Betreiber keinen Einfluss darauf, was Facebook mit den Daten anstellt. Das wäre so lange ratsam, bis Facebook DSGVO-konforme Lösungen bereitstellt.

In der Praxis werden zahlreiche Fanseiten-Betreiber jedoch kaum ihre Facebook Fanpage deaktivieren. Es wird auch nichts so heiß gegessen, wie es gekocht wird: Der EuGH betonte, „dass die amerikanische Gesellschaft Facebook und […] deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten […] „Verantwortliche“ anzusehen sind. […]“

Das Bundesverwaltungsgericht muss diesen Fall auch erst mal zu Ende führen; es gibt noch einen eigenen Beurteilungsspielraum. Womöglich fügt das Gericht dem Fall noch weitere Aspekte hinzu, die wieder zu einem Aufatmen führen. Während Facebook Fanpage-Betreiber also auf das nächste Facebook Urteil warten, können Sie aktiv werden und die folgenden Schritte durchführen:

• Binden Sie die von Facebook angepasste Datenschutzerklärung in Ihre Fanpage ein oder verlinken Sie diese (Page Controller Addendum).
• Geben Sie in Ihrer Datenschutzerklärung eine Rechtsgrundlage fürs Tracking an. In aller Regel ist das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO.
• Sofern Sie auf Ihrer eigenen Website Tracking von Besuchern durchführen oder den Facebook Like-Button einfügen, müssen Sie eine Einwilligung Ihrer Website-Besucher einholen. Dies kann z. B. durch den Einsatz eines Content-Management-Tools erfolgen, dass die Einwilligung über ein Cookie-Banner einholt. Und hierin liegt das Problem: direkt auf Facebook haben Sie keine Möglichkeit dazu, sodass Sie hier die beiden obigen Punkte beachten müssen.
• Geben Sie Ihren Nutzern die Möglichkeit, alle in der DSGVO dargestellten Betroffenenrechte wahrzunehmen.
• Als Anregung für eine Datenschutzerklärung für Ihre Facebook Fanpage finden Sie unsere Datenschutzerklärung unter folgender Adresse der PSW GROUP.

 

UPDATE

Bundesregierung klagt gegen Facebook-Verbot

Ulrich Kelber: Der ewige Datenschutz-Mahner

Ulrich Kelber ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) und damit der wichtigste Datenschützer in Deutschland. Und eben jener Ulrich Kelber hat einen Feind: den Meta-Konzern von Mark Zuckerberg um Facebook, Instagram und WhatsApp.

Konkret ist der BfDI im Prinzip seit dem Start der Europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 davon überzeugt, dass es datenschutzrechtlich nicht möglich ist, eine Facebook Fanpage sicher zu betreiben.

Dementsprechend weist er auch seit Jahren daraufhin, dass beispielsweise die Facebook Fanpage der Bundesregierung eigentlich nicht weiter betrieben werden darf.

„Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten“, erklärte Kelber. Dies sei nach dem Ergebnis seiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.

Die Bundesregierung will sich das aber nicht untersagen lassen

Das Bundespresseamt (BPA) hat gegen eine Anordnung des Bundesdatenschutzbeauftragten Klage eingereicht und will sich nicht aus dem sozialen Netzwerk Facebook zurückziehen.

Der Beauftragte gab dem Bundespresseamt eine Frist von vier Wochen, die Seite abzuschalten. Dagegen geht das Bundespresseamt nun gerichtlich vor.

Die Klage vor dem Verwaltungsgericht Köln ermögliche, „in einer Art Musterverfahren Rechtsklarheit für den Betrieb von Facebook-Seiten zu schaffen“, sagte die Sprecherin. Das Amt sei der Auffassung, dass für die von dem Beauftragten angesprochenen Datenschutzfragen allein Facebook als Plattform zuständig sei – nicht die Regierung als Inhaberin der Seite.

Facebook-Fanpage bleibt vorerst in Betrieb

Bis zu einer gerichtlichen Klärung bleibe der Facebook-Auftritt ein „wichtiger Bestandteil“ der Öffentlichkeitsarbeit des Bundespresseamts, sagte die Sprecherin. Die Bundesregierung habe „einen verfassungsrechtlich gebotenen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren“, sagte die Regierungssprecherin. „Um die Bürgerinnen und Bürger zu erreichen, müssen wir uns an deren tatsächlicher Mediennutzung orientieren.“

Mit knapp 1,1 Millionen Followern auf Facebook ist die Fanpage der Bundesregierung sehr aktiv und macht den Zugang zu Informationen für einen großen Teil der Bevölkerung einfacher.

Wie wichtig ist der Datenschutz in Deutschland?

Dass die Bundesregierung freiwillig eines der wichtigsten Werkzeuge ihrer Kommunikation aufgibt, darf bezweifelt werden.

Im Endeffekt wird diese Auseinandersetzung jedoch auch zeigen, ob der Datenschutz in Deutschland und Europa tatsächlich relevant ist oder doch nur eine rechtliche Finesse, die im Zweifelsfall ignoriert wird.

Vom Angriff auf die Regierungsbehörden erhofft man sich offenbar, dass Bund und Länder ihren Druck auf Irland bzw. Facebook erhöhen.