Facebook Fanpages können untersagt werden


In der Beratungspraxis kommt immer wieder die Frage auf, ob der Betrieb einer Facebook Fanpage für Unternehmen unproblematisch möglich oder mit finanziellen Risiken verbunden ist. Kürzlich entschied nun das Bundesverwaltungsgericht in Leipzig, dass der Betrieb einer Facebook Fanpage zumindest untersagt werden kann.

Anordnung der Datenschutzaufsicht

Hintergrund des Verfahrens war eine Anordnung der Schleswig-Holsteinischen Datenschutzaufsicht. Die Behörde hatte eine Bildungseinrichtung dazu verpflichtet, ihre Facebook Fanpage zu deaktivieren. Die Anordnung erfolgte noch vor Wirksamwerden der DS-GVO, sodass sich die Entscheidung nach der zuvor geltenden Datenschutzrichtlinie (Richtlinie 95/46/EG) in Form des deutschen Telemediengesetzes richten musste.

Erlassen wurde die Anordnung, da die Besucher der Fanpage nicht gemäß § 15 TMG über die Widerspruchsmöglichkeit in Bezug auf die Erhebung und Verwendung der bei Facebook erhobenen Nutzungsdaten zu Werbezwecken informiert wurden. Da es der Bildungseinrichtung bei einem Widerspruch auch überhaupt nicht möglich gewesen wäre, diesen umzusetzen, verfügte die Behörde die Deaktivierung der Facebook Fanpage.

Die Verwaltungsgerichte in den Vorinstanzen beurteilten die Anordnung der Datenschutzaufsicht als rechtswidrig. Sie begründeten dies damit, dass die Datenschutzaufsicht nicht das abgestufte Verfahren des damals geltenden § 38 BDSG alt eingehalten habe. Danach hätte die Datenschutzaufsicht die Anordnung erst erlassen dürfen, nachdem Sie der Bildungseinrichtung die Möglichkeit zur Beseitigung des Rechtsverstoßes ermöglicht und bei Nichtbeseitigung ein Zwangsgeld auferlegt hätte. Zudem sah das Gericht die Verantwortlichkeit für den Betrieb der Facebook Fanpage nicht bei der Bildungseinrichtung, da diese die Daten nicht selbst erhob, sondern die von Facebook erhobenen Daten nur anonymisiert nutzte.

Entscheidung des Gerichtshofs der Europäischen Union

Das Bundesverwaltungsgericht legte dem Gerichtshof der Europäischen Union im Jahr 2016 die Frage zur Entscheidung vor, wer eigentlich beim Betrieb einer Facebook Fanpage die datenschutzrechtliche Verantwortlichkeit trägt. Diese Frage wurde bekanntlich im Juni 2018 entschieden: Betreiber von Facebook Fanpages sind gemeinsam mit Facebook für die Datenverarbeitung verantwortlich, weil diese es Facebook durch den Betrieb der Fanpage ermöglichen, Cookies bei den Nutzern zu setzen und diese auszuwerten. Dabei können die Fanpage Betreiber auch festlegen, in welchem Umfang die Statistiken erstellt und welche Kategorien von Personen einbezogen werden sollen. Damit trägt der Fanpage Betreiber zur Auswertung der Daten bei und ist gemeinsam mit Facebook für den Betrieb der Fanpage verantwortlich.

Diese Entscheidung hatte unter anderem zur Folge, dass jeder Fanpage Betreiber einen separaten Vertrag mit Facebook abschließen musste. Die Inhalte richten sich nach Art. 26 DS-GVO, der die gemeinsame Verantwortlichkeit regelt.

Revision vor dem Bundesverwaltungsgericht erfolgreich

Das Bundesverwaltungsgericht hat nach der Entscheidung des Gerichtshofs der Europäischen Union das Urteil des Berufungsgerichts aufgehoben und die Sache an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Es ging bei seiner Entscheidung davon aus, dass die Datenschutzaufsicht aufgrund der gemeinsamen Verantwortlichkeit mit Facebook gegen die Bildungseinrichtung selbst vorgehen konnte und sich nicht zunächst an Facebook wenden musste. Zudem war es der Auffassung, dass die Anordnung auch nicht dem aus § 38 BDSG alt vorgegebenen abgestuften Verfahren widersprach, da der Bildungseinrichtung gar keine andere Möglichkeit zur Beseitigung der rechtswidrigen Umstände zur Verfügung gestanden hatte und die Anordnung damit verhältnismäßig war.

Diese Entscheidung beruht zwar auf den alten Vorschriften zum Datenschutz. Die entwickelten Grundsätze und getroffenen Feststellungen können aber auf die jetzige Rechtslage nach der DS-GVO übertragen und angewandt werden. Es ist also möglich, dass der Betrieb einer Facebook Fanpage durch die Datenschutzaufsichtsbehörden untersagt oder mit einem Bußgeld belegt werden kann.

zurück zu den News