Seit einigen Jahren schon gibt es einen Rechtsstreit um die Frage, ob ein Unternehmen eine Fanpage bei Facebook betreiben darf. Hintergrund ist die umfangreiche Verarbeitung der über diese Fanpages gewonnen Daten durch Facebook. Jetzt hat das Bundesverwaltungsgericht entschieden.
Das Bundesverwaltungsgericht (BVerwG, Urt. v. 11.09.2019, 6 C 15.18) hat entschieden, dass die Datenschutz-Aufsichtsbehörden unter Umständen den (Weiter-)Betrieb einer Fanpage bei Facebook untersagen können.
Datenschutzbehörde gegen IHK
Der Streit begann bereits im Jahr 2011. Das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) untersagte mit Bescheid vom 10. November 2011 der Wirtschaftsakademie Schleswig-Holstein, einer privatrechtlich organisierten Unternehmung der IHK, den Weiterbetrieb einer Fanpage bei Facebook.
Gegen diesen Bescheid wehrte sich die Wirtschaftsakademie. In den Vorinstanzen wurde der Bescheid aufgehoben.
Das OVG Schleswig (Urt. v. 04.09.2014, 4 LB 20/13) entschied damals, dass den Betreiber der Fanpage keine datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitung durch Facebook treffe. Grund für diese Entscheidung war (vereinfacht gesagt), dass der Fanpage-Betreiber keinen Zugriff auf die über diese Seite erhobenen Daten durch Facebook hatte.
Der Streit ging weiter an das Bundesverwaltungsgericht. Dieses setzte das Verfahren zunächst aus und stellte dem EuGH Fragen zur Vorabentscheidung.
Der EuGH (Urt. v. 05.06.2018, C-210/16) entschied, dass der Betreiber einer Fanpage zusammen mit Facebook gemeinsamer Verantwortlicher ist. Er ist also für die Datenverarbeitung durch Facebook mitverantwortlich.
Nun entschied das Bundesverwaltungsgericht erneut. Im Ergebnis verwies es den Rechtsstreit zurück an das OVG Schleswig, das für eine abschließende Entscheidung noch weitere Feststellung treffen muss.
Rechtswidrigkeit der Datenverarbeitung?
Grund für die Zurückverweisung an das OVG Schleswig ist, dass zunächst noch die Rechtswidrigkeit der Datenverarbeitungsvorgänge festgestellt werden muss. Hierzu sind noch die tatsächlichen Umstände der Verarbeitungsvorgänge zu ermitteln.
Aber Achtung: Für diesen Fall gelten noch nicht die Regelungen der DSGVO. Maßgeblich ist vielmehr das geltende Recht zum Zeitpunkt der letzten Entscheidung des ULD, als das Jahr 2011. Damals war noch das Telemediengesetz für diese Datenverarbeitungsvorgänge maßgeblich, welches eine Grundlage in der früheren Datenschutzrichtlinie hatte.
Warum geht die Behörde nicht gegen Facebook vor?
Das BVerwG hat sich auch zu der Frage geäußert, ob die Behörde überhaupt gegen den Betreiber einer Fanpage vorgehen kann oder ob sie nicht vielmehr gegen Facebook vorgehen müsse.
Dazu heißt es in der Pressemitteilung:
„Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen.
Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre.“
Die Behörde musste sich also nicht weiter mit Facebook beschäftigen, weil dort keine Kooperationsbereitschaft bestand? Diese Aussage ist im Ergebnis zumindest fragwürdig.
Abschaltanordnung ist verhältnismäßig
Das Gericht beschäftigte sich auch mit der Frage, ob es verhältnismäßig sei, direkt die Abschaltung der Facebook-Fanpage anzuordnen und bejahte diese Frage, sofern die Datenverarbeitungsvorgänge rechtswidrig waren.
Grund dafür ist, dass der Betreiber der Fanpage letztlich keine andere Möglichkeit hat, für eine rechtskonforme Datenverarbeitung zu sorgen.
Wie geht es weiter?
Der Fall geht jetzt zurück an das OVG Schleswig. Dort wird (von Amts wegen) ermittelt, ob die damaligen Datenverarbeitungsvorgänge bei Facebook datenschutzrechtswidrig waren. Sodann wird das OVG erneut entscheiden.
Ob anschließend noch einmal das BVerwG oder vielleicht sogar nochmals der EuGH angerufen wird, bleibt offen. Die Entscheidung des OVG Schleswig ist zunächst abzuwarten.
Fraglich ist auch, ob die Entscheidung Auswirkungen auf heutige Fanpages hat. Zum einen dürften sich sowohl die Datenverarbeitungsvorgänge bei Facebook geändert haben, zum anderen haben wir es mittlerweile mit einer geänderten Rechtslage zu tun.
Da Verwaltungsverfahren immer sehr lange dauern, ist ihre abschließende Entscheidung gerade in einem Gebiet der technisch rasanten Weiterentwicklung immer nur mit einem begrenzten Aussagewert für aktuelle Datenverarbeitungen verbunden.
Unternehmen sollten sich aber bewusst sein, dass beim Betrieb einer Facebook-Fanpage ein Risiko besteht.
Was ist mit Twitter, Instagram und Co.?
Die grundsätzlichen Überlegungen aus dem Urteil des BVerwG lassen sich ohne Weiteres auf andere Soziale Medien übertragen. So gilt auch bei Twitter, Instagram, Pinterest und anderen, dass das Unternehmen, welches dort einen Auftritt unterhält, gemeinsam mit dem Betreiber des sozialen Mediums für die Datenverarbeitungsvorgänge verantwortlich ist.
Stellen sich diese als rechtswidrig heraus, drohen aufsichtsrechtliche Maßnahmen der Behörden.
Bußgelder drohen
Neben einer Anordnung zum Abschalten der Fanpage durch die Behörde drohen aber auch Bußgelder. Gerade nach der DSGVO wurde der Bußgeldrahmen massiv erhöht.
Es stellt sich jedoch die Frage, ob ein Bußgeld gegen ein Unternehmen, das in Form einer juristischen Person organisiert ist (also GmbH, AG etc.), überhaupt Bußgelder erlassen werden können.
Hintergrund ist, dass juristische Personen selbst nicht handeln. In diesen Unternehmen handeln die Mitarbeiter und Organe. Es stellt sich also die Frage, inwieweit das Handeln dieser Personen der juristischen Person zugerechnet werden kann.
Niko Härting kommt in seinem Beitrag gemeinsam mit Lasse Konrad „DSGVO-Bußgelder gegen Unternehmen – in Deutschland oft unmöglich“ zu dem Ergebnis, dass es die Aufsichtsbehörden in Zukunft sehr schwer haben werden, vor den Gerichten die Voraussetzungen für ein Bußgeld gegen ein Unternehmen nachzuweisen. Der Nachweis muss insbesondere dahingehend erbracht werden, dass einen Mitarbeiter in leitender Funktion ein Verschulden trifft oder dass eine Aufsichtspflicht verletzt wurde.
Neuer Bußgeldrechner der Aufsichtsbehörden
Passend zum Thema Bußgelder haben sich die deutschen Datenschutz-Aufsichtsbehörden zusammengesetzt und eine Art „Rechner für Bußgelder“ erstellt.
Die Behörden haben die Berechnungskriterien für künftige Bußgelder festgelegt.
Bemessungsgrundlage ist dabei immer der weltweite Jahresumsatz. Hieraus errechnet sich ein Tagessatz. Dieser Tagessatz wird mit einem Faktor von 1 bis 14,4 multipliziert, je nach Schwere des Verstoßes. So ist für leichte Verstöße ein Faktor von 1 bis 4 anzunehmen, für besonders schwere ein Faktor von 12 bis 14,4.
Der Schweregrad bestimmt sich anhand eines Punktesystems.
Außerdem wird der Grad des Verschuldens noch mit in die Berechnung einbezogen.
Bei geringer Fahrlässigkeit gibt es einen „Rabatt“ von 25 %. Bei normaler Fahrlässigkeit bleibt es bei der bestimmten Summe, bei Vorsatz kann es einen Aufschlag von 25 oder sogar 50 % geben.
Besonders teuer kann es für Wiederholungstäter werden. Handelt es sich bereits um den zweiten Verstoß, den die Behörde ahndet, kommt ein Aufschlag von 50 % hinzu. Für den dritten Verstoß kommen 150 % oben drauf und für den vierten (oder noch mehr) Verstöße wird ein Aufschlag von 300 % hinzugerechnet.
Beim endgültigen Bußgeld soll außerdem berücksichtigt werden, wie das Unternehmen mit der Behörde zusammengearbeitet und welche Maßnahmen es ergriffen hat, um Schäden von betroffenen Personen abzuwenden.
Aktuell verweigern die Aufsichtsbehörden jeden Einblick in dieses Konzept. Eine etwas fragwürdige Haltung für Behörden, die in einigen Bundesländern auch für die Informationsfreiheit zuständig sind.
Insbesondere muss man bedenken, dass dieses Konzept von der sog. „Datenschutzkonferenz“ (DSK) beschlossen wurde – ein Zusammenschluss, der keinerlei rechtliche Kompetenz hat.
Fazit
Das Datenschutzrecht bleibt für Unternehmen ein unsicheres Terrain, da sehr viele Fragen noch ungeklärt sind. Gerichtliche Entscheidung zum neuen Recht gibt es aufgrund der sehr langen Verfahrensdauern vor den Verwaltungsgerichten nur wenige und Grundsatzentscheidungen werden noch auf sich warten lassen. Zwar kann man aus Entscheidungen, die jetzt noch zum alten Recht ergehen auch immer eine Richtung erkennen, wohin sich die Rechtsprechung entwickelt. Wirklich sicher ist dies dann aber auch nicht. Hinzu kommt, dass die Aufsichtsbehörden zwar regelmäßig ihre Ansichten zu bestimmten Rechtsfragen äußern, diese aber nicht immer ausführlich begründen, sodass man nicht immer weiß, auf welcher Grundlage die Entscheidungen getroffen werden.
Unternehmen, die Bußgeldbescheide oder andere Verfügungen der Behörde erhalten, sollten sich unbedingt rechtlich beraten lassen. Bereits die erste Antwort auf eine Anfrage der Behörde kann den Grundstein für das weitere Verfahren bilden. Hier muss mit äußerster Vorsicht formuliert werden, damit man die Behörde nicht auch noch auf mögliche Verstöße gegen das Datenschutzrecht im eigenen Unternehmen aufmerksam macht. (mr)
- Informationspflichten zur Streitschlichtung sollen weitgehend wegfallen - 29. Oktober 2024
- EuGH zur Beschriftung des Bestellbuttons - 24. Oktober 2024
- Die Entwaldungsverordnung – Neue Pflichten für Händler - 1. Oktober 2024