Bundesverwaltungsgericht: Facebook-Seite kann wegen Datenschutzmängeln untersagt werden
Unternehmen müssen aufpassen: Laut einer Entscheidung des Bundesverwaltungsgerichts tragen sie Mitverantwortung für die Datenschutzpraktiken ihrer Facebook-Seiten - auch wenn sie darauf keinen Einfluss haben. Erfahren Sie, wie dieses Urteil die Anforderungen an Unternehmen verändert und welche Risiken bestehen.
Datenschutzbehörde: Facebook nicht transparent genug
Anordnung zur Löschung der Facebook-Fanpage
Die Datenschutzbehörde von Schleswig-Holstein, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), hatte bereits im Jahre 2011 ein Unternehmen angewiesen, seine Unternehmensseite auf Facebook (eine „Facebook-Fanpage“) zu löschen.
Begründung der Anordnung
Die Behörde begründete ihre Anordnung damit, dass Facebook von den Besuchern der Fanpage personenbezogene Daten erhebt und verarbeitet, ohne dabei ausreichend über die Datenverarbeitung zu informieren. Es fehle an der notwendigen Transparenz, welche Daten Facebook zu welchem Zweck verarbeitet, ggf. an Dritte weiterleitet und wie lange die Daten gespeichert bleiben. Das werbende Unternehmen als Betreiber der Fanpage sei hierfür mitverantwortlich.
Gerichtlicher Streit durch alle Instanzen
Das Unternehmen wehrte sich gegen die behördliche Anordnung mit einer Klage vor dem Verwaltungsgericht Schleswig (Az. 8 A 14/12). Anschließend wurde das Verfahren vor dem Oberverwaltungsgericht Schleswig (Az. 4 LB 20/13) weitergeführt. Jetzt entschied das Bundesverwaltungsgericht (Az. BVerwG 6 C 15.18, Urteil vom 11. 9. 2019), nachdem es zwischenzeitlich auch die Rechtsansicht des Europäischen Gerichtshofs (EuGH, Az. C-210/16) eingeholt hatte.
Urteil: Seitenbetreiber mitverantwortlich für Facebooks Handeln
Mitverantwortung des Seitenbetreibers
Für die Datenverarbeitung im Zusammenhang mit Unternehmensseiten auf Facebook (Fanpages, gewerbliche Angebote, Shops) ist nicht nur Facebook als Portal verantwortlich, sondern auch der Betreiber der darauf eingerichteten einzelnen Facebook-Seite. Es besteht insofern eine Mitverantwortung des Seitenbetreibers für die Datenverarbeitung, die Facebook vornimmt.
Praktische Schwierigkeiten für Seitenbetreiber
Das bedeutet für einen Seitenbetreiber, dass ihn auch Auskunftspflichten, Löschungspflichten und die Pflicht zur Einschränkung der Verarbeitung treffen. Solche Pflichten kann ein Seitenbetreiber aber in der Praxis nicht erfüllen, weil er weder ausreichende Kenntnis von der Datenverarbeitung durch Facebook hat noch darauf Einfluss nehmen kann. Ein Seitenbetreiber kann demnach seine Pflichten gemäß DSGVO bereits bei Einrichtung seiner Facebook-Seite nicht erfüllen.
Befugnis der Datenschutzbehörde
Vor diesem Hintergrund hat das Bundesverwaltungsgericht entschieden, dass eine Datenschutzbehörde die Befugnis hat, den Betrieb der Facebook-Fanpage eines Unternehmers zu untersagen.
Rechtslage ist Risiko für alle Unternehmen auf Facebook
Sowohl nach der aktuellen Rechtsprechung des Bundesverwaltungsgerichts und des Europäischen Gerichtshofs (EuGH Rechtssache C-210/16) als auch nach Ansicht der Datenschutzkonferenz (Stellungnahme vom 6. 6. 2018 [PDF]) erscheint ein rechtskonformer Betrieb von Unternehmensseiten (Fanpages) auf Facebook derzeit nicht möglich. Der Betrieb eines Unternehmensauftrittes auf Facebook bedeutet ein erhebliches Risiko, von behördlichen Maßnahmen betroffen zu werden und kostenträchtigte Abmahnungen von Wettbewerbern zu erhalten.