{"id":51786,"date":"2020-03-12T06:59:19","date_gmt":"2020-03-12T05:59:19","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=51786"},"modified":"2020-03-11T03:00:38","modified_gmt":"2020-03-11T02:00:38","slug":"facebook-fanpages-und-datenschutz","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/facebook-fanpages-und-datenschutz\/","title":{"rendered":"Facebook-Fanpages und Datenschutz"},"content":{"rendered":"
\"Facebook-Fanpage
Photo by Tim Bennett on Unsplash<\/figcaption><\/figure>\n

Es gibt ein Urteil des Bundesverwaltungsgerichts zu Unternehmensauftritten im sozialen Netzwerk Facebook, so genannten \u201eFanpages\u201c (BVerwG, Urteil vom <\/span>11.9.2019, Az. 6 C 15.18<\/a> \u2013 Vorinstanzen: OVG Schleswig, Urteil vom 4.9.2014; Az. 4 LB 20\/13<\/a> und VG Schleswig, Urteil vom 9.10.2013, Az. 8 A 14\/12<\/a>). <\/em><\/p>\n

Demnach kann die Datenschutzbeh\u00f6rde den Betrieb einer solchen Seite untersagen, wenn die daf\u00fcr von Facebook zur Verf\u00fcgung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche M\u00e4ngel aufweist.<\/em><\/p>\n

Problem: Nutzung personenbezogener Daten ohne Information<\/h2>\n

Gegenstand des Verfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht gegen eine in Kiel ans\u00e4ssige Bildungseinrichtung, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Das Problem, das die Datensch\u00fctzer in der Seite erkannten, besteht darin, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreift, ohne dass diese gem\u00e4\u00df den Bestimmungen des Telemediengesetzes \u00fcber Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils f\u00fcr Zwecke der Werbung oder Marktforschung unterrichtet werden.<\/p>\n

Dieser Mangel besteht generell bei Facebook-Fanpages. Entsprechend hatte die Bildungseinrichtung in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hatte zuletzt eine datenschutzrechtliche Verantwortlichkeit der Fanpage-Betreiberin abgelehnt, da sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich die Datenschutzbeh\u00f6rde und es kam zum\u00a0 Revisionsverfahren vor dem Bundesverwaltungsgericht in Leipzig. Das hat erst mal in Stra\u00dfburg nachgefragt, wie man dort die Sache sieht. Der Gerichtshof der Europ\u00e4ischen Union hat entschieden, dass der Betreiber einer Fanpage f\u00fcr die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist, da er durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher erm\u00f6gliche (EuGH, Urteil vom 5.6.2018; Az. C-210\/16<\/a>). Diesen bindenden Entscheid hat das BVerwG nun nachvollzogen.<\/p>\n

Warum aber wird Facebook selbst nicht belangt?<\/h2>\n

Mitverantwortlich hei\u00dft nicht alleinverantwortlich. Im Grunde liegt die Ursache des Mangels ja nicht bei der Bildungseinrichtung aus Kiel, sondern bei dem Social Media-Betreiber aus Menlo Park. Das Bundesverwaltungsgericht urteilte, dass die Datensch\u00fctzer es sich aussuchen k\u00f6nnten, gegen welches Glied in der Kette der unrechtm\u00e4\u00dfigen Nutzung personenbezogener Daten es belangt. Und da liege es nahe, sich vom Gedanken der Effektivit\u00e4t leiten zu lassen und an die Fanpagebetreiberin zu wenden, und nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorzugehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tats\u00e4chlichen und rechtlichen Unsicherheiten verbunden gewesen w\u00e4re. Die Anordnung zur Deaktivierung der Fanpage sei ein verh\u00e4ltnism\u00e4\u00dfiges Mittel, weil den Datensch\u00fctzern keine anderweitige M\u00f6glichkeit zur Herstellung datenschutzkonformer Zust\u00e4nde offensteht. Ein milderes Mittel, also etwa eine Behebung des Mangels, ist mangels technischer Einwirkungsm\u00f6glichkeiten der Fanpagebetreiberin unm\u00f6glich \u2013 die F\u00e4den zieht Facebook aus der Ferne.<\/p>\n

Das Ende der Vermarktung via Facebook?<\/span><\/h2>\n

Es ist ein wenig frustrierend, aber festzuhalten bleibt: Der Betreiber einer Fanpage im Facebook ist f\u00fcr die bei Aufruf dieser Seite ablaufenden Datenverarbeitungsvorg\u00e4nge verantwortlich (\u00a7\u00a03 Abs.\u00a07 BDSG<\/a> a.F.) und damit auch potentieller Adressat einer Anordnung nach \u00a7\u00a038 Abs.\u00a05 BDSG<\/a> a.F., die auch eine Deaktivierung einschlie\u00dfen kann.<\/p>\n

Was bedeutet das nun in der Praxis f\u00fcr Betreiber einer Facebook-Fanpage \u2013 und derer gibt es in Deutschland Millionen? Sicherheitshalber deaktivieren, um einem kostspieligen Verfahren aus dem Weg zu gehen? Nein, das d\u00fcrfte in der Regel nicht n\u00f6tig sein. Entscheidend ist, dass die Besucher\u00a0 der Fanpage \u00fcber Cookies und Datennutzung informiert werden. Daf\u00fcr muss man als Betreiber der Fanpage sorgen.<\/p>\n

Das BVerwG skizziert die Anforderungen und damit eine m\u00f6gliche L\u00f6sung: \u201eDas Oberverwaltungsgericht wird zu pr\u00fcfen haben, welche Datenerhebungen bei Aufruf der Fanpage im f\u00fcr die Entscheidung ma\u00dfgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten w\u00e4re nur dann rechtm\u00e4\u00dfig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe f\u00fcr die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine m\u00f6glicherweise erforderliche Unterrichtung erfolgte.\u201c<\/p>\n

Facebook hat schon nachgebessert, bleibt aber weiter in der Pflicht<\/h2>\n

Das bedeutet, man muss als Betreiber einer Facebook-Fanpage diese Unterrichtung aktiv leisten: durch einen entsprechenden Hinweis auf die umfangreichen Informationen, mit denen Facebook heute \u2013 der Fall stammt aus dem Jahr 2011 \u2013 dem Datenschutz gerecht zu werden versucht, insbesondere auch zu Cookies<\/a> <\/span>und zur\u00a0 Verarbeitung personenbezogener Daten<\/a><\/span>. Doch auch Facebook selbst wird vom BVerwG nochmal in die Pflicht genommen. Der Social Media-Gigant stehe \u201eunter Zugzwang\u201c und werde sich \u201eum eine datenschutzrechtskonforme L\u00f6sung bem\u00fchen m\u00fcssen\u201c, wenn er denn \u201esein Gesch\u00e4ftsmodell in Deutschland weiterverfolgen\u201c wolle.<\/span><\/p>\n

Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe \u201cBerichte aus der Parallelwelt\u201d. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beitr\u00e4ge betrachten, anders als unsere sonstigen Fachbeitr\u00e4ge Begebenheiten und Rechtsf\u00e4lle daher auch nicht juristisch, sondern aus einem v\u00f6llig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser \u00fcberlassen bleiben. Interessant wird es, wie wir meinen, allemal.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Es gibt ein Urteil des Bundesverwaltungsgerichts zu Unternehmensauftritten im sozialen Netzwerk Facebook, so genannten \u201eFanpages\u201c (BVerwG, Urteil vom 11.9.2019, Az. 6 C 15.18 \u2013 Vorinstanzen: OVG Schleswig, Urteil vom 4.9.2014; Az. 4 LB 20\/13 und VG Schleswig, Urteil vom 9.10.2013, Az. 8 A 14\/12). Demnach kann die Datenschutzbeh\u00f6rde den Betrieb einer solchen Seite untersagen, wenn […]<\/p>\n","protected":false},"author":74,"featured_media":51787,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[142,17380],"class_list":["post-51786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-datenschutz","tag-personenbezogene-daten"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/51786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=51786"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/51786\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/51787"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=51786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=51786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=51786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}