Facebook-Fanpage und Datenschutz
Die Datenschutzbehörde kann einen Betreiber einer Facebook-Fanpage dazu verpflichten, von einem weiteren Betrieb abzusehen, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. So entschied nun das BVerwG.
Der Sachverhalt
Im vorliegenden Verfahren hat die schleswig-holsteinische Datenschutzaufsicht eine in Kiel ansässige Bildungseinrichtung verpflichtet, die von ihr betriebene Facebook-Fanpage zu deaktivieren.
Zur Begründung gab die Behörde an, dass Facebook mit dem Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes (TMG) über Art, Umfang und Zweck der Erhebung unterrichtet werden. Ebenfalls bemängelte sie das Fehlen eines Widerspruchsrechts gegen die Erstellung eines Nutzungsprofils zum Zwecke der Werbung oder Marktforschung.
Facebook-Fanpage muss abgeschaltet werden
Das BVerwG legte die Frage zunächst dem EuGH vor. Dieser entschied, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn dieser ermögliche Facebook durch den Betrieb der Fanpage den Zugriff auf die Daten der jeweiligen Besucher.
Sodann entschied das BVerwG zugunsten der Behörde und verwies die Angelegenheit zur erneuten Entscheidung zurück an das OVG Schleswig. Dabei sei auch die Inpflichtnahme des Betreibers rechtmäßig gewesen. Schließlich habe sich die Behörde bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen, um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen.
Dabei sei ein direktes Vorgehen gegen Facebook nicht notwendig gewesen, weil dann wegen der fehlenden Kooperationsbereitschaft mit erheblichen tatsächlichen und rechtlichen Unsicherheiten zu rechnen gewesen wäre.
Fazit
Im Streit mit Facebook um den Datenschutz werden nun offensichtlich andere Saiten aufgezogen. Bisher war es nur beschränkt möglich, Facebook zum Einhalten der Regelungen zu bewegen. Oftmals griff man auf Strafzahlungen zurück, hat aber de facto keine Änderungen im Kurs bezweckt. Nun scheinen die Behörden einen anderen Weg gefunden zu haben, ihre Ziele umzusetzen:
Durch die Verpflichtung der jeweiligen Betreiber!
Gerade diese dürften zum größten Teil vor den enormen Strafzahlungen zurückschrecken, sodass auf diese Weise das datenschutzrechtliche Soll wiederhergestellt werden kann.
Allerdings offenbart sich auch die Machtlosigkeit der Behörden gegenüber Facebook. Die DSGVO sollte nach ihrem Zweck gerade die großen Unternehmen im Umgang mit personenbezogenen Daten sensibilisieren. Bei der Durchsetzung scheinen jedoch eklatante Probleme zu bestehen.
Das Urteil ist wohl auch als ein Erfolg für Facebook zu verbuchen. Schließlich scheint sich der Kurs der fehlenden Kooperationsbereitschaft letztlich auszuzahlen. Faktisch wird nun nicht mehr das Unternehmen zum Handeln verpflichtet, sondern die Nutzer der Internetseite bzw. Betreiber der einzelnen Fanpages.
Zumindest insoweit sollte das Urteil mithin kritisch hinterfragt werden.