Gratis-Download

Bestimmt ist Ihr Unternehmen im Internet vertreten, vielleicht wird eine eigene Webseite betrieben oder gar ein Onlineshop. Wird gegen...

Jetzt downloaden

Datenverarbeitung auf Facebook: Ihr Unternehmen ist nicht verantwortlich

0 Beurteilungen
© ProMotion - Fotolia.com

Von Wolfram von Gagern,

Wenn Ihr Unternehmen mit der Zeit gehen und mit Kunden und Interessenten in Kontakt treten will, kommt man fast nicht mehr ohne sie aus: Die Rede ist von Fanseiten in sozialen Netzwerken wie beispielsweise Facebook oder Google+. Dabei geht es den Betreibern sozialer Netzwerke meist um eines: das Verhalten und die Interessen der Mitglieder kennenzulernen, Profile zu bilden und die gewonnenen Erkenntnisse an Unternehmen zu vermarkten. Hier spielen personenbezogene Daten eine wichtige Rolle.

Doch wer ist eigentlich für die Verarbeitung personenbeziehbarer Daten wie beispielsweise IP-Adressen im Zusammenhang mit einer Fanseite verantwortlich? Der Fanseitenbetreiber oder der Betreiber des sozialen Netzwerks? Das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) ging dieser Frage in einem Rechtsstreit zwischen Datenschutzaufsichtsbehörde und einer Weiterbildungsakademie nach (Urteil vom 4.9.2014, Az. 4 LB 20/13).

Der Ausgangspunkt des Rechtsstreits

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ging gegen schleswig-holsteinische Betreiber von Fanseiten auf Facebook vor. Darunter war auch ein gemeinnütziges Bildungsunternehmen der Industrie- und Handelskammern in Schleswig-Holstein. Nach Ansicht der Datenschutzaufsichtsbehörde wurden die Fanseiten nicht im Einklang mit dem Bundesdatenschutzgesetz (BDSG) bzw. Telemediengesetz (TMG) betrieben.

Das ULD ordnete an, dass die Fanseiten zu deaktivieren seien. Die Anordnung war nach Ansicht des ULD gegen die Fanseitenbetreiber zu richten. Doch diese sahen die Sache anders. Nach einem erfolglosen Widerspruchsverfahren klagte das Bildungsunternehmen vor dem Schleswig-Holsteinischen Verwaltungsgericht (Urteil vom 9.10.2013, Az. 8 A 218/11, 8 A 14/12, 8 A 37/12) und das mit Erfolg. Das ULD unterlag in dem Rechtsstreit, was dieses jedoch nicht davon abhielt, in Berufung zu gehen.

So argumentierten die Beteiligten

Auch in der Berufungsinstanz argumentierte das Bildungsunternehmen: Man nutze zwar die Facebook-Plattform und sei Diensteanbieter im Sinne des TMG. Allerdings sei man nur für die eigenen Inhalte datenschutzrechtlich verantwortlich. Im Hinblick auf die eigenen Inhalte fänden keine Datenerhebung und Datenverarbeitung im Sinne von § 15 Abs. 1 TMG statt. Auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Facebook habe man keinen Einfluss.

Eine Datenverarbeitung im Auftrag (ADV) im Sinne von § 11 BDSG liege nicht vor. Die Daten würden unmittelbar und ohne Mitwirkung des Fanseiten-Betreibers von Facebook verarbeitet.

Ein Auftrag bestehe nicht, auch nicht hinsichtlich des Nutzungsstatistiktools Insight. Dieses werde ungefragt von Facebook zur Verfügung gestellt, enthalte jedoch nur anonyme statistische Informationen.

Im Übrigen unterliege Facebook irischem Datenschutzrecht und damit der Aufsicht der irischen Datenschutzaufsichtsbehörde. Diese gehe von der Datenschutzkonformität von Facebook aus. Das ULD hätte keine Berechtigung, nach § 38 BDSG gegen das Bildungsunternehmen vorzugehen.

Facebook unterstützt Fanseiten-Betreiber

Als vom Gericht beigeladene Partei unterstützte Facebook die Argumentation des Fanseiten-Betreibers. Ein Fall der ADV sei nicht gegeben. Hinsichtlich der Datenverarbeitung durch Facebook im Zusammenhang mit der Fanseite sei das Bildungsunternehmen weder „Herr der Daten“ noch verantwortliche Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden würde. Das Bildungsunternehmen habe hier keine Entscheidungsgewalt. Ein Fanseiten-Betreiber könne nur entscheiden, ob er eine Fanseite einrichten wolle oder nicht.

ULD argumentiert dagegen

Das ULD sah in der Entscheidung der Vorinstanz ein Fehlurteil. Seiner Auffassung nach entscheide sehr wohl auch der Fanseiten-Betreiber über den Zweck und die Mittel der Verarbeitung von Nutzungsdaten. Es reiche aus, dass man eine Fanseite angelegt habe. Der Fanseiten-Betreiber sei als datenschutzrechtlich mitverantwortliche Stelle anzusehen. Man habe die Deaktivierung anordnen dürfen.

So entschied das OLG

Die Richter des 4. Senats des OLG schlossen sich im Wesentlichen der Auffassung der Vorinstanz an. Das ULD hätte nicht per Bescheid die Deaktivierung der Fanseite gegenüber dem Bildungsunternehmen anordnen dürfen. Die Rechtsgrundlage ergibt sich zwar aus § 38 Abs. 5 BDSG. Allerdings ist in diesem Paragrafen ein abgestuftes Verfahren vorgesehen.

Selbst bei schwerwiegenden Verstößen und Mängeln darf eine Datenverarbeitung erst untersagt werden, wenn diese entgegen einer Anordnung nach § 38 Abs. 5 Satz 1 BDSG und nach Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Datenschutzrechtliche Verstöße durch Facebook sind dem Fanseiten-Betreiber nicht zuzurechnen. Doch selbst, wenn dem so wäre, hätte man das abgestufte Verfahren einhalten müssen.

Anordnung war rechtswidrig

Nach Ansicht der Richter war die Anordnung gegenüber dem Unternehmen inhaltlich rechtswidrig. Hinsichtlich des Betriebs der Fanseite unterliegt das Bildungsunternehmen zwar als Diensteanbieter dem TMG, weil man ein Telemedium zur Nutzung bereithält. Diese Verantwortung geht aber nur so weit, wie man über die eigene Erhebung und Verwendung personenbezogener Daten bestimmt. Das Bildungsunternehmen ist nicht als verantwortliche Stelle im Sinne des § 3 Abs. 7 1. Alt. BDSG anzusehen. Das Unternehmen erhebt, verarbeitet oder nutzt die Daten der Nutzer nicht für sich selbst. Auch werden keine Daten an Facebook übermittelt, denn Facebook ist kein Dritter. Bei der Fanseite handelt es sich in erster Linie um eine Seite des sozialen Netzwerks. Bei Aufruf der Seite befindet man sich bereits im sozialen Netzwerk, bei dem Facebook die IP-Adresse des Nutzers erhält und auch Cookies auf dem Computer des Nutzers setzt.

Es besteht auch keine gemeinsame Verantwortlichkeit für die Fanseite. Der Fanseiten-Betreiber entscheidet nicht über das Wie der Datenverarbeitung. Die Art und Weise der Datenverarbeitung bestimmt allein Facebook. Dem Seitenbetreiber kommt lediglich die Entscheidung zu, ob er eine Fanseite einrichtet oder nicht. Es fehlt beim Seitenbetreiber an der rechtlichen und tatsächlichen Einflussnahmemöglichkeit hinsichtlich der Datenverarbeitung.

Es liegt keine ADV vor

Eine ADV ist faktisch nicht gegeben, wenn der Auftragnehmer tatsächlich entscheidet, wie personenbezogene Daten verarbeitet werden und der Auftraggeber keine Kontrolle über die Datenverarbeitung ausüben kann. Aufgrund der alleinigen Herrschaft von Facebook über die Daten, scheidet im Hinblick auf den Seitenbetreiber die Annahme einer Verantwortlichkeit im Rahmen einer ADV aus.

Unternehmen war falscher Adressat

Facebook ist als Verantwortlicher für die Datenverarbeitung anzusehen, sodass man Facebook gegenüber die Anordnung nach § 38 Abs. 5 BDSG hätte treffen müssen. Diese Regelung erlaubt nur eine Anordnung gegenüber der verantwortlichen Stelle, jedoch nicht gegenüber Dritten. Im Übrigen könnten die Grundsätze zur Störerhaftung nicht auf einen solchen datenschutzrechtlichen Sachverhalt übertragen werden.

  • Es muss immer genau geprüft werden, wer für das Erheben, Verarbeiten oder Nutzen personenbezogener Daten verantwortlich ist. Nur weil es zu einer Datenverarbeitung kommt, muss man noch nicht deren Veranlasser sein.
  • Bei der Einordnung einer Datenverarbeitung als ADV muss man Vorsicht walten lassen. Nur wenn ein „Auftraggeber“ tatsächlich über das Ob und Wie einer Datenverarbeitung bestimmen kann, ist ein ADV-Verhältnis gegeben. Gibt der „Auftragnehmer“ die Rahmenbedingungen vor und bestimmt im Wesentlichen das Vorgehen, besteht tatsächlich kein ADV-Verhältnis. Es kommt dann nicht darauf an, was die Beteiligten in einer ADV-Vereinbarung festgelegt haben.
  • Die im Urteil dargelegten Punkte können im Übrigen auch ein Argumentationsschlupfloch sein, wenn etwa ein Bußgeld wegen eines nicht korrekt ausgestalteten ADV-Verhältnisses droht. Ist die Zusammenarbeit zwischen Ihrem Unternehmen und einem Dienstleister nicht als ADV anzusehen, kann der Tatbestand des § 43 Abs. 1 Nr. 2b BDSG nicht erfüllt sein.
Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!