Datenschutzbehörde darf den Betrieb einer Facebook-Fanpage untersagen

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 11. September 2019 (BVerwG 6 C 15.18) entschieden, dass eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte im Jahre 2011 eine Anordnung gegen die Wirtschaftsakademie Schleswig-Holstein GmbH erlassen, dass diese ihre Facebook-Fanpage zu deaktivieren habe und drohte widrigenfalls ein Zwangsgeld an. Das ULD beanstandete, dass Facebook bei Aufruf der Fanpage Cookies setze, die zu einer Verarbeitung personenbezogener Daten der Nutzer und zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung führten. Die Klägerin unterrichte die Nutzer nicht über Art, Umfang und Zwecke der Datenerhebung sowie das Bestehen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils. Zudem biete sie keine Möglichkeit, dieses Widerspruchsrecht auszuüben. Facebook generiere aus den Nutzerdaten eine anonymisierte statistische Zusammenstellung, die über die Funktion „Facebook Insights“ vom Fanpagebetreiber zur Analyse des Nutzerverhaltens abgerufen werden könne. Die Wirtschaftsakademie sei für die von Facebook veranlassten Datenverarbeitungsvorgänge datenschutzrechtlich verantwortlich, weil sie mit dem Betrieb der Fanpage Facebook den Zugriff auf die Daten der Nutzer eröffne und ihrerseits von den Vorteilen der unentgeltlichen zur Verfügung gestellten Infrastruktur profitiere.

Nach erfolgloser Durchführung eines Widerspruchsverfahrens erhob die Wirtschaftsakademie Klage gegen den Bescheid in Form des Widerspruchsbescheids vom 16. Dezember 2011. Sie machte im Wesentlichen geltend, sie sei lediglich Nutzer eines sozialen Netzwerks und an dessen Infrastruktur gebunden. Sie trage keine Verantwortung für die von Facebook durchgeführten Datenverarbeitungen. Im Übrigen hätten Facebooknutzer im Rahmen ihrer Registrierung und der Annahme der Facebook-Nutzungsbedingungen in die Datenverarbeitungen eingewilligt. Nutzer, die keine Facebookmitglieder seien, könnten sich über einen Link am Ende der Fanpage über die Nutzungsbedingungen informieren. Die bloße Übertragung der Internetprotokolladresse stelle kein personenbezogenes Datum dar.

Mit Urteil vom 09. Oktober 2013 hob das Verwaltungsgericht den angefochtenen Bescheid in Gestalt des Widerspruchsbescheids auf. Die Wirtschaftsakademie sei keine verantwortliche Stelle im Sinne des§ 3 Abs. 7 BDSG a.F., weil sie die Nutzerdaten weder selbst verarbeite noch die Beigeladene als Auftragsdatenverarbeiterin einsetze. Sie entscheide auch nicht gemeinsam mit Facebook über die Zwecke und Mittel der Datenverarbeitung. Die für eine Anwendung des § 38 Abs. 5 BDSG a.F. erforderliche datenschutzrechtliche Verantwortlichkeit könne nicht durch einen Rückgriff auf die Zurechnungsnormen des Privatrechts oder des allgemeinen Polizei- und Ordnungsrechts ausgeweitet werden.

Die dagegen erhobene Berufung des ULD hat das Oberverwaltungsgericht mit Urteil vom 04. September 2014 zurückgewiesen.

Mit seiner vom Oberverwaltungsgericht zugelassenen Revision begehrt das ULD die Aufhebung der Urteile der Vorinstanzen und die Abweisung der Klage. Es rügt im Wesentlichen eine Verletzung der§ 3 Abs. 7, § 38 Abs. 5 BDSG a.F. sowie von Art. 2 Buchst. d der Datenschutzrichtlinie. Das im Berufungsurteil zum Ausdruck kommende Verständnis der datenschutzrechtlichen Verantwortlichkeit erweise sich als zu eng und beruhe auf einem unzureichenden Verständnis des Geschäftsmodells des Sozialen Netzwerks Facebook und der wechselseitigen geschäftlichen Interessen der Klägerin und der Beigeladenen. Als Adressat einer datenschutzrechtlichen Anordnung komme auch in Betracht, wer sich aus Eigeninteresse die digitale Infrastruktur eines Anbieters zunutze mache, obwohl diese den Anforderungen des Datenschutzrechts nicht genüge. Das Berufungsurteil verkenne, dass die Klägerin als Trägerin eines öffentlichrechtlichen Bildungsauftrags in besonderem Maße zur Wahrung der datenschutzrechtlichen Belange ihrer Nutzer verpflichtet sei.

Der damals befasste 1. Senat des Bundesverwaltungsgerichts hat das Revisionsverfahren mit Beschluss vom 25. Februar 2016 ausgesetzt und in einem Vorabentscheidungsverfahren den Gerichtshof der Europäischen Union (EuGH) um Auslegung mehrerer Bestimmungen der Datenschutzrichtlinie gebeten. Mit Urteil vom 05. Juni 2018-C-210/16- hat der Gerichtshof der Europäischen Union festgestellt, dass der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage ein für die Verarbeitung Verantwortlicher im Sinne des Art. 2 Buchst. d der Datenschutzrichtlinie ist. Weil die amerikanische Muttergesellschaft Facebook Inc. mit Facebook Germany GmbH in Deutschland über eine dauerhafte Niederlassung verfüge und die beanstandeten Verarbeitungen in den Rahmen der Tätigkeiten dieser Niederlassung fielen, sei deutsches Datenschutzrecht anwendbar. Die nationale Kontrollstelle sei zur Ausübung ihrer Hoheitsbefugnisse gegenüber einer in ihrem Hoheitsgebiet gelegenen Niederlassung eines außerhalb der europäischen Union sitzenden Unternehmens auch dann befugt, wenn die Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliege. Die nationale Datenschutzbehörde sei für ein Tätigwerden im Rahmen ihrer Zuständigkeit nicht an die rechtliche Bewertung einer Datenverarbeitung durch die Kontrollstelle eines anderen Mitgliedstaats gebunden (siehe Beitrag „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“ – veröffentlicht am 18.06.2018 in diesem Portal).

Aufgrund der Ausführungen des EuGH hat der 6. Senat des Bundesverwaltungsgerichts nunmehr entschieden, dass auch die Betreiberin der Fanseiten die datenschutzrechtliche Verantwortung trage, und zwar gemeinsam mit Facebook. Somit könne eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen.

Das Bundesverwaltungsgericht hatte nicht die Aufgabe, über die Rechtskonformität der konkreten Anordnung aus dem Jahr 2011 zu entscheiden. Dies obliegt nunmehr dem Oberverwaltungsgericht Schleswig. Die Bundesverwaltungsrichter betonen allerdings die Konsequenz, sollte die Rechtskonformität der Anordnung des ULD bestätigt werden: „Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können.“

Fundstelle:

https://www.datenschutzzentrum.de/uploads/facebook/20190911_Urteil-BVerwG.pdf