Facebook-Fanpages im Widerspruch zum Datenschutzrecht
Mit Urteil vom 11.09.2019 – 6 C 15.18 befasste sich das BVerwG mit der Frage, ob ein Fanpage-Betreiber bei Facebook verpflichtet werden kann, seine Seite zu deaktivieren, wenn die digitale Infrastruktur der Internetplattform schwerwiegende datenschutzrechtliche Mängel aufweist. Es liegen noch keine Entscheidungsgründe vor. Aus der Pressemitteilung jedoch ergibt sich, dass das Schließen von Fanpages den Seitenbetreibern auferlegt werden kann. Allerdings trug das Urteil nur wenig zu dem wesentlichen Aspekt der Streitigkeit bei: Wie kann die Verpflichtung, Fanpages zu schließen, verhindert werden?
Einer Bildungseinrichtung (Wirtschaftsakademie) wurde von schleswig-holsteinischen Datenschutzaufsicht aufgegeben, eine Fanpage bei Facebook zu deaktivieren. Die Anordnung wurde erlassen, da weder Facebook noch Fanpagebetreiber die Nutzer darauf hinwiesen, dass Facebook mittels Cookies personenbezogene Daten erhebt und diese verarbeitet.
Die Wirtschaftsakademie legte einen Widerspruch ein. Sie machte geltend, dass sie weder für die Datenverarbeitung durch Facebook noch für die gesetzten Cookies verantwortlich ist. Der Widerspruch wurde zurückgewiesen. Gegen den Bescheid wandte sich die Wirtschaftsakademie mit einer Klage. Im Revisionsverfahren legte das BVerwG zunächst die Sache zur Vorabentscheidung dem EuGH vor.
Es musste festgestellt werden, ob ein Fanpage-Betreiber ein (Mit-)Verantwortlicher im Sinne des Art. 26 DS-GVO ist. Dazu äußerte sich der EuGH (Urteil vom 05.06.2018 – C-210/16) wie folgt:
Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.
Betreiber von Facebook-Fanpages ermöglichen die Cookies-Platzierung und -Verwendung. Danach stellen sie mit Hilfe von durch Facebook zur Verfügung gestellten Filtern fest, nach welchen Kriterien die Statistiken hinsichtlich der Besucher zu erstellen sind.
Aus Sicht des EuGH soll es unerheblich sein, dass Seitenbetreiber die Statistiken in anonymisierter Form erhalten:
Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
Die Nutzung von Internet-Plattformen befreit nicht von datenschutzrechtlichen Verpflichtungen:
Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Insbesondere bekräftigte der EuGH seine Entscheidung damit, dass Facebook auch von Personen besucht werden kann, die keine Facebook-Nutzer sind:
Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
Daraufhin wurde von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Stellungnahme vom 06.06.2018 veröffentlicht. Die Mitverantwortlichkeit der Seitenbetreiber stand fest. Nach DSK war Folgendes zu beachten:
– Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
– Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
– Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
– Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Es stand außer Frage, dass die Erfüllung der Verpflichtungen sich schwierig gestalten kann:
Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Kurz danach veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu Seiten-Insights“. Diese sollten eine von DSK geforderte Vereinbarung darstellen. Allerdings wurden sie mit der Positionierung hinsichtlich der Anforderungen an Betrieb von Facebook-Fanpages vom 1.04.2019 durch DSK bemängelt:
1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. […]
Die DSK sah in den von Facebook veröffentlichten Insights-Vereinbarungen jedenfalls einen Widerspruch zum Grundsatz der gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO. So kann sich Facebook nicht die „alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen“. Es fehlte weiterhin am Einfluss seitens Fanpages-Betreiber.
Eine Stellungnahme, welche Pflichten und in welchem Umfang die Seitenbetreiber treffen sollten, blieb aus.
Sodann entschied das BVerwG, dass die Verpflichtung zum Abschalten von Fanpage den Seitenbetreibern auferlegt werden kann (Urteil vom 11.09.2019 – 6 C 15.18). Aus der Pressemitteilung ergab sich Folgendes:
Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.
Die Sache wurde an das das Schleswig-Holsteinische Oberverwaltungsgericht zurückgewiesen. Dieses muss entscheiden, ob die Datenverarbeitungsvorgänge rechtswidrig sind.
Die Entscheidung lässt vermuten, dass ein Seitenbetreiber der Gegebenheiten der digitalen Infrastruktur von Internetplattformen völlig ausgeliefert ist. Es bleibt weiterhin unklar, welche Anforderungen an die von DSK geforderte Vereinbarung zu stellen sind.
Einen neuen Anhaltspunkt lieferte nach dem Urteil Facebook mit verbesserten „Informationen zu Seiten-Insights“. Diese beinhalten eine genaue Darstellung von Arten der erhobenen Daten und mögliche Sicherheitsmaßnahmen. Die Besonderheit ergibt sich allerdings daraus, dass keine Daten mehr von Nicht-Mitgliedern von Facebook gespeichert werden.
Ob dies den Forderungen von DSK genügt, zumal sich die Einflussnahme der Seitenbetreiber dadurch nicht vergrößert, bleibt abzuwarten.