Facebook-Fanpage und kein Ende. Bekanntlich  hat der Europäische Gerichtshof (EuGH) mit Urteil vom 05.06.2018 (Aktenzeichen C-210/16) entschieden, dass Betreiber von Facebook-Fanpage gemeinsam mit Facebook für die dadurch ausgelösten Datenverarbeitungen verantwortlich sind (ich habe dazu auf meiner Kanzleiseite schutt-waetke.de einen Blogbeitrag veröffentlicht). Und die Datenschutzkonferenz (DSK) hat dieses Jahr in einem Papier betont, dass es die Maßnahmen von Facebook nach dem Urteil für nicht ausreichend hält (ich habe hier darüber berichtet). 

EuGH entschied nach Vorlage des BVerwG

Grundlage war seinerzeit die Vorlage dieser Frage durch das Bundesverwaltungsgericht (BVerwG) an den EuGH. Das BVerwG hat die Sache mittlerweile an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverweisen. Dort wird dann (wohl endgültig) entschieden.

Pressemitteilung des BVerwG

In einer Pressemitteilung des BVerwG vom 11.09.2019 wird dabei nochmals ausdrücklich darauf hingewiesen, dass die Datenschutzbehörde Schleswig-Holstein in dem Verfahren berechtigt war sich direkt an den Betreiber der Facebook-Fanpage zu wenden. 

Wörtlich heißt es dort:

„Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte (Anmerkung von mir: Hier ist das Schleswig-Holsteinische ULD als Datenschutzaufsichtsbehörde gemeint) bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin (Anmerkung: Das ist die Betreiberin der Facebook-Fanpage) für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.“

Soll heißen: Die deutschen Datenschutzbehörden können nicht darauf verwiesen werden an Facebook statt an den deutschen Nutzer von Facebook heranzutreten. Es ist und bleibt eine Ermessensentscheidung der Datenschutzbehörden gegen wen sie konkret vorgehen. Dabei dürfen sie auch andere, ggf. noch eher in Frage kommende, Beteiligte und Verantwortliche außen vor lassen.

Meine Meinung dazu

Grundsätzlich lässt sich das aus verwaltungsrechtlicher Sicht nachvollziehen (Auswahlermessen der Verwaltung). Aber es ist dennoch bezeichnend, dass die „fehlende Kooperationsbereitschaft“ und die „erheblichen tatsächlichen und rechtlichen Unsicherheiten“ dazu führen sollen, dass Facebook hier unbehelligt bleiben soll.

Ich bin ein großer Verfechter davon, dass die Aufsichtsbehörden sich die Anbieter, die Plattformbetreiber, die Softwarehersteller, also letztlich die großen Player vornehmen, um für alle Nutzer und Anwender deren Produkte und Dienstleistungen die Einhaltung der Datenschutzvorgaben zu erleichtern oder überhaupt erst zu ermöglichen.

Die Datenschutzbehörde macht sich doch einen „schlanken Fuß“, wenn sie stattdessen die Nutzer angeht und ihnen die Nutzung der Produkte und Dienstleistungen verbietet. Denn wir wissen doch alle, dass wir in unserer heutigen Zeit um diese Produkte der Kategorie Google, Facebook, Amazon & Co. schlicht nicht herum kommen.

Wir alle als Datenverarbeiter müssen uns aber wohl bis auf weiteres darauf einrichten, dass der Kampf um Einhaltung der DSGVO eher auf dem Rücken der User und nicht der Anbieter ausgetragen wird.

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
Datenschutz-Man

Urheberangabe für das Foto für diesen Beitrag: