Die Face­book-Fan­page – und der Daten­schutz

Die zustän­di­ge Daten­schutz­be­hör­de kann den Betrieb einer Face­book-Fan­page unter­sa­gen.

Die Face­book-Fan­page – und der Daten­schutz

Der Betrei­ber eines im sozia­len Netz­werk Face­book unter­hal­te­nen Unter­neh­mens­auf­tritts (Fan­page) kann ver­pflich­tet wer­den, sei­ne Fan­page abzu­schal­ten, solan­ge die von Face­book zur Ver­fü­gung gestell­te digi­ta­le Infra­struk­tur schwer­wie­gen­de daten­schutz­recht­li­che Män­gel auf­weist.

Gegen­stand des jetzt vom Bun­des­ver­wal­tungs­ge­richt in Leip­zig ent­schie­de­nen Revi­si­ons­ver­fah­rens war eine Anord­nung der schles­wig-hol­stei­ni­schen Daten­schutz­auf­sicht, des Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD), mit der die Unter­neh­me­rin, eine in Kiel ansäs­si­ge Bil­dungs­ein­rich­tung, unter der Gel­tung der Daten­schutz­richt­li­nie 95/​46/​EG ver­pflich­tet wor­den war, die von ihr bei Face­book betrie­be­ne Fan­page zu deak­ti­vie­ren. Der Bescheid bean­stan­de­te, dass Face­book bei Auf­ruf der Fan­page auf per­so­nen­be­zo­ge­ne Daten der Inter­net­nut­zer zugrei­fe, ohne dass die­se gemäß den Bestim­mun­gen des Tele­me­di­en­ge­set­zes über Art, Umfang und Zwe­cke der Erhe­bung sowie ein Wider­spruchs­recht gegen die Erstel­lung eines Nut­zungs­pro­fils für Zwe­cke der Wer­bung oder Markt­for­schung unter­rich­tet wür­den. Ein gegen­über der Unter­neh­me­rin als Betrei­be­rin der Fan­page erklär­ter Wider­spruch des Nut­zers blei­be man­gels ent­spre­chen­der tech­ni­scher Ein­wir­kungs­mög­lich­kei­ten fol­gen­los.

Die Kla­ge hat­te in den Vor­in­stan­zen Erfolg. Das Schles­wig-Hol­stei­ni­sche Ober­ver­wal­tungs­ge­richt hat eine daten­schutz­recht­li­che Ver­ant­wort­lich­keit der Unter­neh­me­rin abge­lehnt, weil sie kei­nen Zugriff auf die erho­be­nen Daten habe 1. Dage­gen wand­te sich der ULD im vor­lie­gen­den Revi­si­ons­ver­fah­ren.

Auf Vor­la­ge des Bun­des­ver­wal­tungs­ge­richts 2 hat der Gerichts­hof der Euro­päi­schen Uni­on mit Urteil vom 5. Juni 2018 3 ent­schie­den, dass der Betrei­ber einer Fan­page für die durch Face­book erfol­gen­de Daten­ver­ar­bei­tung mit­ver­ant­wort­lich ist. Denn er ermög­licht durch den Betrieb der Fan­page Face­book den Zugriff auf die Daten der Fan­page-Besu­cher.

Das Bun­des­ver­wal­tungs­ge­richt hat auf der Grund­la­ge die­ser bin­den­den Vor­ga­be des Uni­ons­ge­richts­hofs das Beru­fungs­ur­teil auf­ge­ho­ben und den Rechts­streit an das Schles­wig-Hol­stei­ni­sche Ober­ver­wal­tungs­ge­richt zurück­ver­wie­sen.

Um das von der Daten­schutz­richt­li­nie bezweck­te hohe Daten­schutz­ni­veau mög­lichst zügig und wir­kungs­voll durch­zu­set­zen, konn­te sich das ULD bei der Aus­wahl unter meh­re­ren daten­schutz­recht­li­chen Ver­ant­wort­li­chen vom Gedan­ken der Effek­ti­vi­tät lei­ten las­sen und ermes­sen­feh­ler­frei die Unter­neh­me­rin für die Her­stel­lung daten­schutz­kon­for­mer Zustän­de bei Nut­zung ihrer Fan­page in die Pflicht neh­men. Das ULD muss­te nicht gegen eine der Unter­glie­de­run­gen oder Nie­der­las­sun­gen von Face­book vor­ge­hen, weil das wegen der feh­len­den Koope­ra­ti­ons­be­reit­schaft von Face­book mit erheb­li­chen tat­säch­li­chen und recht­li­chen Unsi­cher­hei­ten ver­bun­den gewe­sen wäre.

Erwei­sen sich die bei Auf­ruf der Fan­page ablau­fen­den Daten­ver­ar­bei­tun­gen als rechts­wid­rig, so stellt die Deak­ti­vie­rungs­an­ord­nung ein ver­hält­nis­mä­ßi­ges Mit­tel dar, weil der Unter­neh­me­rin kei­ne ander­wei­ti­ge Mög­lich­keit zur Her­stel­lung daten­schutz­kon­for­mer Zustän­de offen­steht.

Zur Fra­ge der Rechts­wid­rig­keit der bean­stan­de­ten Daten­ver­ar­bei­tungs­vor­gän­ge bedarf es aller­dings nach Ansicht des Bun­des­ver­wal­tungs­ge­richts einer nähe­ren Auf­klä­rung der tat­säch­li­chen Umstän­de durch das Schles­wig-Hol­stei­ni­sche Ober­ver­wal­tungs­ge­richt. Die Recht­mä­ßig­keit der bei Auf­ruf der klä­ge­ri­schen Fan­page ablau­fen­den Daten­ver­ar­bei­tungs­vor­gän­ge ist an den Vor­ga­ben des im Zeit­punkt der letz­ten Behör­den­ent­schei­dung gül­ti­gen Daten­schutz­rechts, ins­be­son­de­re an den Vor­schrif­ten des Tele­me­di­en­ge­set­zes, denen die Unter­neh­me­rin als Betrei­be­rin unter­liegt, zu mes­sen.

Bun­des­ver­wal­tungs­ge­richt, Urteil vom 11. Sep­tem­ber 2019 – 6 C 15.18

  1. Schles­wig-Hol­stei­ni­sches OVG, Urteil vom 04.09.2014 – 4 LB 20/​13[]
  2. BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14[]
  3. EuGH, Urteil vom 05.06.2018 – C‑210/​16[]