Der Betreiber einer im sozialen Netzwerk Facebook unterhaltenen Fanpage (Unternehmensauftritt) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht (BVerwG) in Leipzig am 11.09.2019 entschieden.
Der EuGH hatte bereits im Juni 2018 entschieden, dass der Betreiber einer Fanpage in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen ist. Spätestens zu diesem Zeitpunkt hätte jedem klar sein müssen, dass eine Fanpage bei Facebook und ein seriöser Internetauftritt praktisch unvereinbar ist.
Die nachgeschobene Vereinbarung von Facebook ist ungenügend
Die „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ mit welcher Facebook am 11.09.2018 reagierte ist untauglich. Sie erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO, so die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). In der Positionierung der DSK (Stand 01.04.2019) wird unmissverständlich erklährt:
Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.
Positionierung der DSK
Bundesverwaltungsgericht bestätigt die Deaktivierungsanordnung
Das Bundesverwaltungsgericht bestätigt in seinem Urteil vom 11. September 2019 – BVerwG 6 C 15.18 – die Deaktivierungsanordnung als verhältnismäßiges Mittel und stellt in der Pressemitteilung Nr. 62/2019 klar: Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.
Zwar ist die Rechtmäßigkeit der bei Aufruf der Fanpage ablaufenden Datenverarbeitungsvorgänge zu dem Fall noch anhand der damaligen Rechtslage – insbesondere an den Vorschriften des Telemediengesetzes – zu messen, für künftige Fälle wird die ab 25.05.2018 geltende DSGVO maßgeblich sein.
Die Facebook Fanpage degradiert die Datenschutzerklährung zum Lippenbekenntnis
Viele Datenschutzerklährungen auf Webseiten beinhalten Passagen wie diese:
- Für uns ist der Schutz und die Vertraulichkeit Ihrer Daten von besonderer Bedeutung.
- Ihre Privatsphäre ist für uns ein wichtiges Anliegen.
- Wir betrachten es als unsere vorrangige Aufgabe, die Vertraulichkeit der von Ihnen bereitgestellten personenbezogenen Daten zu wahren und diese vor unbefugten Zugriffen zu schützen.
- Die xy GmbH nimmt den Schutz personenbezogener Daten sehr ernst.
- Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung der xy GmbH
Auf den gleichen Seiten finden sich nach wie vor die datenschutzrechtlich bedenklichen Links zur Fanpage des Unternehmens. Bisweilen wird in der selben Datenschutzerklährung unter einer der obigen Lippenbekenntnisse, zu verstehen gegeben, dass „neben Facebook auch der Betreiber von Facebook-Fanpages für die Datenverarbeitung verantwortlich ist.“ Und gleich weiter wird erklährt, „Deshalb informieren wir Sie hier entsprechend der EU-Datenschutz-Grundverordnung (DS-GVO) über die Datenverarbeitung im Zusammenhang mit Facebook, soweit wir diese Datenverarbeitungen kennen und beeinflussen können.“
Das Wegducken vor der Verantwortung, weil man nichts beeinflussen könne, ist gefährliches „nicht wissen wollen“
Von der einfachen und wirksamen Maßnahmen will man nichts wissen – was aber bekanntlich nicht vor Strafe schützt! Man könnte die widerrechtliche Weitergabe von Daten seiner Kunden durch seinen Geschäftspartner Facebook ganz einfach unterbinden: Fanpage abschalten.
Wer glaubt, sich das nicht leisten zu können, sollte auch dazu stehen und offen zugeben, dass er in bewußter Rechtsverletzung seinen Vorteil sucht, am treffendsten in der Datenschutzerklährung.