Datenschutz bei Facebook-Fanseiten

Das Bundesverwaltungsgericht hatte darüber zu entscheiden, ob eine private Wirtschaftsakademie im Rahmen ihrer Facebook-Fanseite für Defizite hinsichtlich der Datenverarbeitung haftbar zu machen ist, die jedoch auf Facebook zurückzuführen sind und damit nicht hausintern entstanden sind. Das BVerwG hat die diese Rechtsfrage zur Vorabentscheidung an den Europäischen Gerichtshof verwiesen.

Die Wirtschaftsakademie Schleswig-Holstein ist in einer privatrechtlichen Trägerschaft organisiert und Betreiberin einer Facebook-Fanseite. Das BVerwG hatte darüber zu entscheiden, ob die Wirtschaftsakademie als „verantwortliche Stelle“ im Hinblick auf § 3 Abs. 7 BDSG / Art. 2 d) RL 95/46/EG anzusehen ist. Die verantwortlichen Richter haben diese Rechtsfrage an die Kollegen des Europäischen Gerichtshofes zur Vorabentscheidung verwiesen. Sie haben zu klären, ob bei Vorliegen eines mehrseitigen Informationsanbieterverhältnisses, das in diesem Fall zweifelsfrei vorliegt, eine Stelle innerhalb dieser Informationskette als verantwortliche Stelle im Sinne der zuvor zitierten europäischen Richtlinie anzusehen ist, obwohl sie für die Datenverarbeitung nicht verantwortlich ist.

Die Wirtschaftsakademie hatte das Verfahren vor dem Bundesverwaltungsgericht eingeleitet. Beanstandet wurde der Betrieb ihrer Facebook-Fanpage durch das Unabhängige Landeszentrum für Datenschutz. Das BVerwG hat den EuGH zwecks Vorabentscheidung zur Auslegung der europäischen Richtlinie 95/46/EG angerufen. Es geht um den Schutz natürlicher Personen im Hinblick auf die Verarbeitung personenbezogener Daten und den freien Datenverkehr. Die Datenschutz-Richtlinie garantiert ein gleichwertiges Schutzniveau in allen EU-Mitgliedsstaaten. Die Datenschutzbehörde hatte im November 2011 die Deaktivierung der Facebook-Fanpage der Klägerin angeordnet. Der Grund für diese Anordnung war die Tatsache, dass Facebook die personenbezogenen Daten der Nutzer bei Aufruf der Fanpage über einen Cookie speichert und für Werbezwecke verwendet. Auch stellt Facebook der Klägerin eine diesbezügliche Nutzerstatistik zur Verfügung. Die Nutzer der Seite werden über diese Datenerhebung jedoch nicht informiert.

Die Datenschutzbehörde bemängelt die fehlende Aufklärung der Nutzer und die gleichfalls fehlende Einverständniserklärung zur Erhebung besagter personenbezogener Daten. Die Wirtschaftsakademie klagte gegen die Anordnung der Datenschutzbehörde. Das Verwaltungsgericht hatte der Klage stattgegeben. Die Beklagte legte erfolglos Berufung ein. Das Oberverwaltungsgericht begründete seine Entscheidung damit, die Klägerin könne nicht als verantwortliche Stelle im Sinne der europäischen Datenschutzrichtlinie angesehen werden, da sie für die Datenverarbeitung von Facebook und die in diesem Zusammenhang erhobenen personenbezogenen Daten nicht verantwortlich sei. Das Verfahren ging in die Revisionsinstanz vor dem Bundesverwaltungsgericht.

Die Richter sehen Klärungsbedarf hinsichtlich der Reichweite der Prüf- und Handlungsbefugnisse der Datenschutzbehörde. Zudem sei die Rechtsfrage zu klären, inwieweit der Klägerin eine datenschutzrechtliche Verantwortlichkeit bei der Auswahl des Anbieters ihrer Internetpräsenz zukomme. Die Kernfrage ist, ob die Klägerin für eventuell bestehende Versäumnisse von Facebook im Umgang mit den personenbezogenen Daten der Nutzer verantwortlich zu machen ist oder nicht. Eine Beurteilung, ob die Datenerhebung durch Facebook rechtmäßig ist oder nicht, hat das Gericht nicht vorgenommen. Der EuGH muss entscheiden, ob die Europäische Datenschutzrichtlinie Datenverstöße abschließend regelt, oder ob Spiel- und Handlungsraum hinsichtlich mehrstufiger Informationsanbieterverhältnisse im Rahmen „geeigneter Maßnahmen“ und „wirksamer Eingriffsbefugnisse“ verbleibt. Daraus ergibt sich die Frage, ob die Klägerin in der Pflicht war, ihren Anbieter sorgfältig auszusuchen und sicherzustellen, dass die Vorschriften zum Datenschutz hinsichtlich der Europäischen Datenschutzrichtlinie auf jeden Fall eingehalten werden. Im Umkehrschluss besteht die Frage, ob die Klägerin von einer derart sorgfältigen Auswahlpflicht befreit ist, da sie keinen Einfluss auf die Datenerhebung durch Facebook hat.

Ein weiteres Problem besteht darin, dass es sich bei Facebook Deutschland rechtlich um eine Tochtergesellschaft handelt, der Mutterkonzern jedoch in Irland ansässig ist, dem außerdem die Entscheidung über die Datenerarbeitung obliegt. Facebook Deutschland ist lediglich für Werbe- und Marketingmaßnahmen zuständig, nicht jedoch für die Datenverarbeitung. Auch muss geklärt werden, ob die Datenschutzbehörde als Kontrollinstanz auftreten darf oder nicht und die Klägerin zur Mitverantwortung hinsichtlich der durch Facebook Deutschland festgestellten Datenverstöße ziehen darf. Die Richter wollen abschließend wissen, ob ihr eine selbständige Überprüfung dieser Angelegenheit offensteht oder ob sie zuvor die Kontrollstelle eines anderen Mitgliedstaates, in diesem Fall Irland als Sitz des Mutterkonzerns von Facebook, einzuschalten hat.

Das Revisionsverfahren bleibt bis zur Klärung dieser rechtlichen Fragen ausgesetzt.

BVerwG, Beschluss vom 25. Februar 2016, Az. 1 C 28.14