Sind Fanpage-Betreiber auf Facebook für Datenschutzverstöße verantwortlich?

Betreiber einer sogenannten Fanpage (Unternehmensauftritt) im sozialen Netzwerk Facebook sind generell dazu verpflichtet, datenschutzrechtliche Maßnahmen für die Sicherheit personenbezogener Daten zu gewährleisten.

Das Bundesverwaltungsgericht (BVerwG) in Leipzig entschied am 11. September 2019, dass Betreiber einer Fanpage auf Facebook dazu verpflichtet werden können, ihre Seite abzuschalten, sofern schwerwiegende datenschutzrechtliche Mängel vorliegen. Facebook sollte also eine digitale Infrastruktur aufweisen, die datenschutzrechtlich den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen.

Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 sind nun Betreiber einer gewerblichen Fanpage mitverantwortlich für die Datenverarbeitung ihrer Nutzer. Auch Vereine, NGOs und sonstige nicht-private-Betreiber von Facebook-Fanpages sind von diesem Urteil gleichermaßen betroffen. Dies entschied der Europäische Gerichtshof (EuGH) bereits im Juni 2018. Darunter zählt beispielsweise auch die Verwendung von Nutzungsdaten, welche über Cookies für Zwecke der Werbung seitens Facebook oder für eine dem Betreiber zur Verfügung gestellten Nutzerstatistik erhoben werden.

Ein Betreiber einer Facebook-Fanpage ermöglicht durch den alleinigen Betrieb Facebook den Zugriff auf die Daten der Nutzer. Aufgrund dieser Vorgabe durch Facebook hat das BVerwG das Berufungsurteil aufgehoben. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) forderte bereits 2011 eine Abschaltung der Fanpage von der Wirtschaftsakademie Schleswig-Holstein. Bei dem Aufruf der Seite würden Daten von Nutzern erhoben, ohne dass diese durch einen Hinweis darüber informiert würden.

Das Oberverwaltungsgericht (OVG) Schleswig-Holstein lehnte eine Verantwortlichkeit der Betreiberin ab und verwies den Fall schließlich an den EuGH. Das ULD muss eine tatsächliche Rechtswidrigkeit der Datenverarbeitung nachweisen. Aktuell stehen keine anderweitigen Optionen für das Bereitstellen datenschutzkonformer Zustände von Facebook-Fanpages offen. „Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, so das ULD.

Wer überprüft die datenschutzrechtlichen Grundlagen von Facebook?

Das BVerwG legte 2016 dem EuGH einige Fragen vor, um zukünftige datenschutzrechtliche Klagen bezüglich einer Facebook-Fanpage klaren Strukturen anzugleichen. Nutzerdaten oder sensible personenbezogene Daten müssen auch auf einer Facebook-Fanpage rechtskonform behandelt werden. Eine Frage des BVerwG war unter anderem, ob ein deutscher Datenschützer überhaupt zuständig für die Überprüfung und Kontrolle datenschutzrechtlicher Normen von Facebook sei. Denn faktisch liegt das europäische Datenzentrum von Facebook in Irland. Laut dem amerikanischen Großkonzern werden in den deutschen Niederlassungen keine personenbezogenen Daten verarbeitet.

Eine weitere Frage des BVerwG war, wer denn tatsächlich im Falle einer rechtswidrigen Datennutzung zur Verantwortung gezogen werden könnte. Sowohl das VG als auch das OVG Schleswig-Holstein entschieden relativ eindeutig zugunsten des beklagten Unternehmens, der Wirtschaftsakademie Schleswig-Holstein (WAK). Grund hierfür sei eine nicht vorhandene datenschutzrechtliche Verantwortung der WAK als Fanpage-Betreiberin als auch eine fehlende Zuständigkeit deutscher Datenschutzbehörden.

Fazit

Der Generalanwalt des EuGH legte am 24. Oktober 2017 seine Schlussanträge vor. Dieser sieht den Fanpage-Betreiber als mitverantwortlich, sobald ein Nutzer die Fanpage besuche. Für Facebook gelte ebenso eine Verantwortlichkeit gegenüber datenschutzrechtlichen Prozessen. Denn Facebook ist der Entwickler der Technologie und programmierte darüber hinaus auch das dahinterliegende Geschäftsmodell der Datennutzung. Unter Verweis auf das Google-Spain-Urteil seien außerdem alle Niederlassungen von Facebook für die Zuständigkeit des internationalen Datenschutzes verantwortlich. Daher sind auch deutsche Datenschützer für einen DSGVO-konformen Datenschutz auf Facebook-Fanpages zuständig.