Social Media hat sich für viele Firmen in den letzten Jahren zu einem der wichtigsten Marketingwerkzeuge entwickelt. Z. B. kann sich ein Unternehmen auf Facebook durch eine sog. “Fanpage” der Öffentlichkeit präsentieren und auf diese Weise (potentielle) Kunden erreichen. Allerdings stand der Betrieb einer solchen Fanpage aufgrund datenschutzrechtlicher Bedenken immer wieder in der Kritik von Datenschützern. Nun hat das Bundesverwaltungsgericht (BVerwG) entschieden, dass die Aufsichtsbehörden für den Datenschutz Unternehmen das Unterhalten einer solchen Seite sogar untersagen können.
Am 11.09.2019 veröffentlichte das BVerwG auf seiner Homepage eine Pressemitteilung zu einem Verfahren, in dem es um die Rechtmäßigkeit einer Anordnung der schleswig-holsteinischen Aufsichtsbehörde für den Datenschutz ging. Durch die Anordnung sollte einer in Kiel ansässigen Bildungseinrichtung untersagt werden, die betriebene Facebook-Fanpage weiterzuführen, diese somit zu deaktivieren. Die Behörde beanstandete, dass Facebook bei Aufruf der Seite auf personenbezogene Daten der Besucher zugreife, ohne dass diese ausreichend darüber belehrt werden würden. Darüber hinaus sei die Bildungseinrichtung als Betreiberin der Fanpage datenschutzrechtlich mitverantwortlich und habe die Rechte der Betroffenen sicherzustellen. Die Bildungseinrichtung hingegen war der Ansicht, dass ausschließlich Facebook zur Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sei, da ausschließlich Facebook die Daten der Besucher erhielte.
Das BVerwG legte diese Frage dem EuGH zur Entscheidung vor, der entschied, dass Fanpagebetreiber durchaus mitverantwortlich sind. Dem Urteil folgend hat das BVerwG das Verfahren nunmehr an das zuständige schleswig-holsteinische Oberverwaltungsgericht zurückverwiesen und betont:
Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.
Dies bedeutet nichts anderes, als dass nunmehr richterlich geklärt ist, dass Datenschutz-Aufsichtsbehörden Unternehmen unter Umständen den Betrieb einer Fanpage auf Facebook untersagen dürfen, sofern diese gegen geltendes Datenschutzrecht verstoßen. Diese Prüfung hat jedoch zunächst noch durch das Oberverwaltungsgericht zu erfolgen.
Bis dahin sollten Unternehmen auf ihren Fanseiten sicherstellen, dass diese über in vollständiges Impressum verfügen, sowie Datenschutzhinweise hinterlegt sind, die über die Funktionsweise von Fanpages, die einschlägige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer sowie über die Vereinbarung über die gemeinsame Verantwortlichkeit informieren.