BVerwG: Datenschutzbehörde kann den Betrieb einer Facebook-Fanpage untersagen (Urteil v. 11.09.2019 – 6 C 15.18)

Das Bundesverwaltungsgericht (BVerwG) hat entschieden, dass der Betreiber eines, auf Facebook unterhaltenen Unternehmensauftritts (Fanpage), verpflichtet werden kann, diesen abzuschalten, sofern die von Facebook zur Verfügung gestellte Infrastruktur, schwerwiegende datenschutzrechtliche Mängel aufweist.

Grundlage des Urteils war, dass Facebook auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese über Art, Umfang und Zweck der Erhebung sowie einem Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils, für Zwecke der Werbung oder Marktforschung informiert wurden. Ein gegenüber der Betreiberin der Fanpage erklärter Widerspruch bleibe mangels technischer Einwirkungsmöglichkeiten folgenlos. Der Europäische Gerichtshof hatte zuvor entschieden, dass Betreiber einer Fanpage, für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht Facebook erst, durch den Betrieb der Fanpage, den Zugriff auf die Nutzerdaten.

Kommentar von Thilo Märtin:
Das Urteil des Bundesverwaltungsgerichtes zeigt verschiedene Dinge im Hinblick auf unser neues Datenschutzrecht: Zum einen stärkt es die Kompetenzen der Aufsichtsbehörden, die im vorliegenden Fall vereinfacht gesagt eine Datenverarbeitung untersagt haben, die der Verantwortliche nicht datenschutzkonform auszugestalten in der Lage war. Dass von der Untersagung ein weiterer Verantwortlicher – nämlich Facebook – im Rahmen einer gemeinsamen Verantwortlichkeit betroffen ist, scheint für die Gerichte nicht von Relevanz zu sein. Ebenfalls scheint nicht von Relevanz gewesen zu sein, dass die mögliche Verletzung des Datenschutzrechts im Rahmen der gemeinsamen Verantwortlichkeit von einem anderen als dem hier in die Pflicht Genommenen ausging:  Betroffen war die Fanpage einer Bildungseinrichtung, die befürchtete Datenschutzverletzung ging jedoch von Facebook aus.

Was bedeutet dies nun für die Fanpages der von der DSGVO betroffenen Unternehmen? – Nach Meinung des Autors sind alle in der Vergangenheit getroffenen Datenschutzmaßnahmen im Umgang mit Facebook-Tools oder der Fanpage nicht in der Lage, einen rechtssicheren Betrieb der Fanpage herzustellen. Dies hat MKM in seinen Handlungsempfehlungen stets betont. – So lange die Verarbeitung der Daten auf Seiten von Facebook nicht transparenter ausgestaltet wird, wird sich hieran wohl auch nichts ändern. Der Betrieb einer Fanpage bleibt damit für das Unternehmen nicht risikofrei.