Anmeldung

Passwort vergessen




News

12.02.2020

Untersagung des Betriebs einer Facebook-Fanpage durch Datenschutzbehörde

Der Betreiber einer Fanpage im sozialen Netzwerk Facebook ist für die bei Aufruf dieser Seite ablaufenden Datenverarbeitungsvorgänge verantwortliche Stelle im Sinne des Datenschutzgesetzes und damit potentieller Adressat einer Deaktivierungsanordnung. Das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr kann es auch im Bereich des Datenschutzes rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen.

http://www.wkdis.de/aktuelles/images/aktuelles-facebook_fanpage.jpg

Sachverhalt:

Die Klägerin, eine gemeinnützige Bildungseinrichtung, die von den Industrie- und Handelskammern in Schleswig-Holstein getragen wird, betreibt bei Facebook einen speziellen Nutzeraccount in Form einer Fanpage, auf dem sie sich als Bildungseinrichtung präsentiert und ihr Bildungsangebot bewirbt. Sie wendet sich gegen eine datenschutzrechtliche Anordnung des Beklagten, mit der sie verpflichtet wird, ihre unter der Adresse "https://www.facebook.com/wirtschaftsakademie" unterhaltene Facebook-Seite (sog. Fanpage) zu deaktivieren. Der Beklagte, die schleswig-holsteinische Datenschutzaufsicht, beanstandete, dass Facebook bei Aufruf der Fanpage Cookies setze, die zu einer Verarbeitung personenbezogener Daten der Nutzer und zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung führten. Die Klägerin unterrichte die Nutzer nicht über Art, Umfang und Zwecke der Datenerhebung sowie das Bestehen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils. Zudem biete sie keine Möglichkeit, dieses Widerspruchsrecht auszuüben. Nach erfolgloser Durchführung eines Widerspruchsverfahrens erhob die Klägerin Klage gegen den Bescheid in Form des Widerspruchsbescheids. Das VG Schleswig hob den angefochtenen Bescheid auf. Die dagegen erhobene Berufung des Beklagten hat das OVG Schleswig-Holstein zurückgewiesen. Mit seiner vom Oberverwaltungsgericht zugelassenen Revision begehrt der Beklagte die Aufhebung der Urteile der Vorinstanzen und die Abweisung der Klage.

Entscheidungsanalyse:

Das Bundesverwaltungsgericht hat das Berufungsurteil aufgehoben und die Sache an das Oberverwaltungsgericht zurückverwiesen. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts, soweit es § 38 Abs 5 BDSG entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind. Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin beurteilt hat. Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig, zumal der Beklagte sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt hat. Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen. Im Detail führt der Senat in seinem Urteil aus, dass die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten ist. § 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Etwas anderes kann ausnahmsweise dann gelten, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (vgl. Vorlagebeschluss des BVerwG vom 25.02.2016 - 1 C 28/14). Nach Auffassung des BVerwG erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Weder kann die Aufsichtsbehörde bei einem Vorgehen auf ein erfolgloses Einschreiten gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen ergreifen. Mit dem revisiblen Recht nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 05.06.2018 - C-210/16 - rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Das BVerwG ist als zur Entscheidung berufenes Gericht nicht befugt, von der Antwort der entschiedenen Frage in seinen Entscheidungen abzuweichen. Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Darüber hinaus führt der Senat in seinem Urteil aus, dass die Ausübung des Ermessens durch den Beklagten im Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, nicht zu beanstanden ist. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann. Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 05.06.2018 - C-210/16 - herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße.

Praxishinweis:

Der 6. Senat des BVerwG stützt sich in seiner Entscheidung maßgeblich auf das Urteil des EuGH vom 05.06.2018 - C-210/16. Der Betreiber einer auf Facebook unterhaltenen Fanpage gibt mit der Einrichtung einer solchen Seite Facebook die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage. Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten. Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat. Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne der Datenschutzrichtlinie. Der Betreiber der Fanpage kann sich auch nicht darauf berufen, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der eigenen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit des einzelnen Betreibers für sein Angebot unberührt. Die Behörde ist nicht gehalten, vor einer Inanspruchnahme eines einzelnen Betreibers ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber zu erstellen. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (Beschluss des BVerwG vom 22.04.1995 - 4 B 55.95).

Urteil des BVerwG vom 11.09.2019, Az.: 6 C 15/18