Deaktivierung einer Facebook-Seite: Europäischer Gerichtshof zu den Rechten von Datenschutzbehörden

Das Datenschutzrecht ist für Unternehmen und Verbraucher von zunehmender Bedeutung. So war in einem aktuellen Rechtsfall die Berechtigung einer deutschen Datenschutzbehörde umstritten, gegenüber dem Inhaber einer auf Facebook betriebenen Fanpage deren Deaktivierung anzuordnen.

Das Bundesverwaltungsgericht richtete in diesem Zusammenhang ein Vorabentscheidungsersuchen an den Europäischen Gerichtshof, um Klarheit über die Auslegung bestimmter europäischer Datenschutzregeln zu erhalten.

Der Sachverhalt: Rechtsstreit zwischen Landesdatenschutzbehörde und einem Unternehmen

Dem Vorabentscheidungsverfahren beim EuGH nach Artikel 267 AEV (Vertrag über die Arbeitsweise der Europäischen Union) lag ein Rechtsstreit zwischen der Datenschutzbehörde des Landes Schleswig-Holstein (ULD, Unabhängiges Landeszentrum für Datenschutz) und einem privatrechtlichen Bildungsunternehmen („Wirtschaftsakademie“) zugrunde.

Anordnung der Landesdatenschutzbehörde: Deaktivierung einer Fanpage

Am 03.11.2011 hatte die ULD als zuständige Kontrollstelle (Artikel 28 EU-Richtlinie 95/46/EG) gegenüber der Wirtschaftsakademie einen Bescheid gemäß § 38 Absatz 5 Satz 1 Bundesdatenschutzgesetz (BDSG, frühere Fassung) erlassen. Mit diesem wurde das Unternehmen verpflichtet, seine auf der Online-Plattform Facebook geführte Fanpage zu deaktivieren.

Eine Fanpage ist ein Facebook-Benutzerkonto einer Privatperson oder eines Unternehmens. Hierüber werden Informationen zu einem bestimmten Hobby oder zu einer in der Öffentlichkeit stehenden Person zur Verfügung gestellt.

Die ULD begründete ihre Löschungsanordnung damit, dass die Fanpage-Besucher weder von Facebook noch von der Wirtschaftsakademie darüber informiert würden, dass Facebook mittels Cookies personenbezogene Daten erhebe und verarbeite. Für den Fall einer nicht termingerechten Deaktivierung drohte die ULD dem Bildungsunternehmen ein Zwangsgeld an.

Widerspruch gegen den Bescheid und verwaltungsgerichtliche Klage

Die Wirtschaftsakademie legte gegen den Bescheid der ULD Widerspruch ein. Sie war der Auffassung, gemäß geltendem Datenschutzrecht weder für die seitens Facebook gesetzten Cookies noch für die Facebook-Datenverarbeitung verantwortlich zu sein.

Nach Zurückweisung des Widerspruchs durch die ULD erhob die Wirtschaftsakademie Klage vor dem zuständigen Verwaltungsgericht. Das Verwaltungsgericht gab der Klage des Unternehmens statt. Der Bescheid der ULD wurde aufgehoben. Denn bei dem Betreiber einer Facebook-Fanpage handele es sich nicht um eine verantwortliche Stelle gemäß Bundesdatenschutzgesetz. Daher könne die Wirtschaftsakademie auch nicht Adressat der datenschutzrechtlichen Verfügung der ULD sein.

Das von der Datenschutzbehörde als Berufungsinstanz angerufene Oberverwaltungsgericht schloss sich der Auffassung des Verwaltungsgerichts an. Die Berufungsklage der ULD wurde abgewiesen.

Nunmehr legte die ULD Revision beim Bundesverwaltungsgericht ein. Der Rechtsverstoß der Wirtschaftsakademie bestehe darin, dass die Wirtschaftsakademie mit Facebook Ireland einen ungeeigneten Anbieter ausgewählt habe. Dieser beachte das Datenschutzrecht nicht.

Das Bundesverwaltungsgericht beschloss wegen verschiedener Auslegungsfragen zum europäischen Datenschutzrecht, das Rechtsverfahren auszusetzen. In der Zwischenzeit wurde ein Vorabentscheidungsersuchen an den Europäischen Gerichtshof gerichtet.

Die Entscheidung des EuGH

Der EuGH beantwortete mit Urteil vom 05.06.2018 (Aktenzeichen C-210/16) die vom Bundesverwaltungsgericht vorgelegten Fragen wie folgt:
Der Betreiber einer Fanpage sei im Sinne der EU-Datenschutzrichtlinie 95/46/EG ein „für die Bearbeitung Verantwortlicher“.
Die ULD sei als Kontrollstelle gemäß BDSG anzusehen. Dies gilt auch dann, wenn die Facebook-interne Organisation vorsehe, dass der Konzern-Vertrieb zum Beispiel in Deutschland und die Datenverarbeitung in einem anderen EU-Mitgliedsstaat erfolge.
• Die Datenschutzbehörde eines Mitgliedsstaates sei berechtigt, die Rechtmäßigkeit der Datenverarbeitung (im vorliegenden Fall von Facebook) zu beurteilen. Dies gilt auch dann, wenn die Datenverarbeitung in einem anderen EU-Mitgliedsstaat erfolge und auch ohne vorheriges Involvieren der Kontrollstelle des anderen EU-Mitgliedsstaates.

Einordnung der EU-Datenschutz-Richtlinie 95/46/EG

Der EuGH befasste sich im vorliegenden Vorabentscheidungsverfahren mit Bestimmungen der 1995 erlassenen EU-Richtlinie 95/46/EG zum „Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten“. Diese Datenschutz-Richtlinie wurde am 25.05.2018 von der Datenschutz-Grundverordnung (DSGVO) abgelöst.

Reaktion der Datenschutzbehörden in Deutschland auf das EuGH-Urteil

Die Datenschutzbehörden des Bundes und der Länder begrüßten am 06.06.2018 die EuGH-Entscheidung.
Seitenbetreiber könnten sich nach dem EuGH-Urteil nicht mehr auf eine alleinige Datenschutz-Verantwortung von Facebook zurückziehen, sondern seien gegenüber den Fanpage-Nutzern mitverantwortlich für die Datenschutz-Einhaltung.
Hierbei seien die Verpflichtungen aus der neuen Datenschutz-Grundverordnung zu beachten. Das Urteil des EuGH beziehe sich zwar unmittelbar auf Bestimmungen der früher geltenden EU-Richtlinie 95/46/EG. Die EuGH-Rechtsprechung zur Mitverantwortung von Fanpage-Betreibern sei aber auf das jeweils geltende Datenschutzrecht anzuwenden, nunmehr also auf die aktuell geltende DSGVO.

Rechtsanwältin Züwerink-Roek – Kompetenz und Engagement im Datenschutzrecht

Frau Rechtsanwältin Kerstin Züwerink-Roek, Ihre erfahrene Fachanwältin für gewerblichen Rechtsschutz verfügt im Datenschutzrecht über eine umfassende Expertise und vertritt ihre Mandanten überall im Bundesgebiet stets engagiert und tatkräftig.

Nutzen Sie ihr Online-Formular, um mit Frau Rechtsanwältin Züwerink-Roek auf schnellstem Weg Kontakt aufzunehmen!