Datenschutzbehörde kann Betrieb einer Facebook Seite untersagen

Der Betreiber einer gewerblichen Facebook Seite kann verpflichtet werden, seine Fanpage aus Datenschutzgründen abzuschalten. Ein effektiver Datenschutz muss möglich sein. Nach einem Urteil des Bundesverwaltungsgerichts (BVerwG) steht fest, dass Datenschutzbehörden sich hierzu auch an die Betreiber von Fanpages wenden und diesen das Betreiben der Pages auf Facebook untersagen können. Damit ist nicht alleine Facebook für die Datenverarbeitung verantwortlich.

Der Sachverhalt

In dem bereits seit 2011 laufenden Verfahren ging es um die Frage, ob die Datenschutzaufsicht Schleswig-Holsteins eine in Kiel ansässige Betreiberin einer Facebook-Fanpage zwingen durfte, die Facebook-Seite aufgrund von Datenschutzproblematiken zu deaktivieren.

Besucht ein Nutzer eine Facebook-Seite, dann erhebt Facebook diverse personenbezogene Daten über ihn. Die Behörde bemängelte nicht nur, dass die Nutzer darüber nur unzureichend aufgeklärt werden würden. Facebook nutzt die erhobenen Daten vor Allem zur Erstellung von Nutzerprofilen für Werbe- und Marktforschungszwecke. Dass der Nutzer hierbei nicht über ein Widerspruchsrecht aufgeklärt werden würde, sah die Behörde auch kritisch. Für diesen datenschutzrechtlichen Missstand ist nach Ansicht der Datenschützer neben Facebook selbst auch die Betreiberin der Fanpage verantwortlich.

Die bisherigen Instanzen gaben der betroffenen Seitenbetreiberin zunächst Recht, weil sie mangels Zugriffsmöglichkeit auf die erhobenen Daten keine Verantwortung für die Erhebung und Verarbeitung tragen würde. Deshalb hätte die Behörde nicht gegen sie vorgehen dürfen. Zuletzt lag der Fall beim BVerwG. Im Zuge des Rechtsstreits fragte das höchste deutsche Verwaltungsgericht den europäischen Gerichtshof (EuGH) in Luxemburg, ob Seitenbetreiber (neben Facebook selbst) nun mitverantwortlich für die Datenverarbeitung durch Facebook sind.

Die Entscheidung

Der EuGH bejahte die Frage, weil nach Ansicht der Richter die Seitenbetreiber Facebook das Datensammeln durch Einrichtung der Fanpage überhaupt erst ermöglichen würden.

Mit der Antwort stellte das BVerwG wiederum in seinem Urteil (Az. 6 C 15.18) fest, dass die vorinstanzlichen Gerichte fehlerhaft entschieden haben könnten, weil sie die Rechtmäßigkeit des behördlichen Vorgehens bisher verneinten.

Aufgrund der EuGH-Antwort steht jetzt fest, dass die Behörde auch gegen Seitenbetreiber direkt vorgehen darf, wenn es zu Datenschutzverstößen kommt. Dabei spielte es für das BVerwG auch eine Rolle, dass Facebook sich höchst unkooperativ beim Thema Datenschutz zeigt und die Behörde deshalb nicht gezwungen sein darf, alleine gegen das soziale Netzwerk vorzugehen. Die Deaktivierungsanordnung an den Seitenbetreiber ist deshalb das einzige Mittel für die Behörde, um den Datenschutz effektiv durchzusetzen.

Die Folgen für Seitenbetreiber

Das Urteil weist den Weg für die Datenschutzbehörden, dass ihnen das schwierige Vorgehen gegen Facebook selbst erspart bleibt und sie sich stattdessen an die oftmals greifbareren Seitenbetreiber wenden können. Diese werden wohl nun verstärkt in den Fokus der Datenschützer geraden, wenn es zu Problemen kommt.

Nicht entschieden hat das BVerwG hingegen, dass die Datenverarbeitung durch Facebook tatsächlich rechtswidrig geschieht. Diesen Umstand hat jetzt das Oberverwaltungsgericht Schleswig aufzuklären, dorthin wurde das Verfahren zurückverwiesen. Es bleibt deshalb abzuwarten, ob das Betreiben einer Facebook-Seite datenschutzwidrig ist.