Sind Betreiber von Facebook-Fanpages für eventuelle Datenschutzverstöße von Facebook mit verantwortlich? – Bundesverwaltungsgericht ruft den EuGH an

In einem mehrjährigen verwaltungsgerichtlichen Verfahren zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein geht es bei der Frage, ob der Betreiber einer Fanpage auf Facebook für die durch den Besuch einer Fanpage ausgelöste Datenverarbeitung durch Facebook mitverantwortlich sein kann, in die Endrunde.

Das ULD hatte von dem Unternehmen verlangt, die eigene Fanpage auf Facebook zu deaktivieren. Der Grund hierfür seien datenschutzrechtliche Verstöße. Denn bei einem Aufruf der Fanpage würden die Nutzerdaten der Besucher von Facebook erhoben und verarbeitet werden, die sodann von Facebook u. a. zu Werbezwecken sowie für das Erstellen einer sogenannten Nutzerstatistik genutzt würden, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in die Datennutzung eingewilligt hätten. Für diese datenschutzrechtlichen Verstöße sei der Betreiber der Fanpage neben Facebook zumindest mitverantwortlich.

In den Vorinstanzen wurde die datenschutzrechtliche Verantwortlichkeit des Betreibers der Fanpage verneint. Begründet wurde dies damit, dass der Betreiber keine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG und Artikel 2 Buchst. d) der Richtlinie 95/46/EG (Datenschutzrichtlinie) sei, da er die personenbezogenen Nutzerdaten weder selbst erhebe, verarbeite oder nutze, noch Facebook mit der Datenverarbeitung beauftragt habe. Vielmehr komme der Fanpagebetreiber in dieser Konstellation in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen Daten. Dies schließe seine datenschutzrechtliche Verantwortung für die durch Facebook erhobenen Daten aus. Eine Störerhaftung käme aufgrund der abschließenden Regelungen nicht in Betracht.

Das nunmehr angerufene Bundesverwaltungsgericht hat das Verfahren ausgesetzt und dem EuGH mehrere Vorlagefragen zur Vorabentscheidung vorgelegt (BVerwG 1 C 28.14, Beschluss vom 25. Februar 2016). Das BVerwG möchte unter anderem wissen, ob die Vorschriften über die Verantwortlichkeit für Datenschutzverstöße (§ 3 Abs. 7 BDSG, Art. Artikel 2 Buchst. d) der Richtlinie 95/46/EG) abschließend sind, oder ob daneben weiterer Raum für eine Verantwortlichkeit einer weiteren Stelle bestehen kann, die nicht im Sinne dieser Vorschriften für die Datenverarbeitung verantwortlich ist.

Fazit:
Es bleibt abzuwarten, ob der EuGH die datenschutzrechtliche Haftung auch auf diejenigen Personen ausweitet, die zwar nicht selbst Datenverarbeitungen vornehmen oder diese in Auftrag geben, die aber anderen quasi durch das Betreiben einer Fanpage eine unzulässige Datenverarbeitung ermöglichen. Öffentlich-rechtlich würde dies auf eine Störerhaftung hinauslaufen.

Zivilrechtlich können anspruchsberechtigte Stellen im Sinne der §§ 2, 3 UKlaG seit dem 24.02.2016 bei entsprechenden Verstößen gegen datenschutzrechtliche Vorschriften, die die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Unterlassung und Beseitigung verlangen. Bei Zuwiderhandlungen gegen die in § 2 Abs. 2 S. 1 Nr. 11 UklaG genannten Vorschriften richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften (§ 2 Abs. 1 S. 3 UklaG).

Quelle und weiterführende Informationen

Pressemitteilung des Bundesverwaltungsgerichts Nr. 11/2016 vom 25.02.2016 (auf den Internetseiten des Bundesverwaltungsgerichts) >>
(Vorinstanzen:
OVG Schleswig 4 LB 20/13 – Urteil vom 04. September 2014
VG Schleswig 8 A 14/12 – Urteil vom 09. Oktober 2013)

News der Wettbewerbszentrale vom 23.02.2016 // Verbandsklagebefugnis bei Datenschutzverstößen – Neue Regelungen treten morgen in Kraft >>

spk