Das Bundesverwaltungsgericht hat aktuell entschieden, dass Datenschutzbehörden die Abschaltung einer Facebook-Fanpage anordnen dürfen (BVerwG, Urt. v. 11.09.2019, 6 C 15.18). ECC CLUB Mitglied Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN erläutert die Entscheidung.
Immer wieder ist in den letzten Jahren von datenschutzrechtlichen Urteilen gegen Facebook zu lesen. In diesem Rechtsstreit geht es aber gegen einen Fanpage-Betreiber. Damit sind alle betroffen, die eine solche Fanpage bei Facebook unterhalten. Der Streit hat eine lange Geschichte:
Mit Bescheid vom 10. November 2011 untersagte das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) der Wirtschaftsakademie Schleswig-Holstein, einer privatrechtlich organisierten Unternehmung der IHK, den Weiterbetrieb einer Fanpage bei Facebook.
Das OVG Schleswig (Urt. v. 04.09.2014, 4 LB 20/13) entschied im Instanzenweg, dass den Betreiber der Fanpage keine datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitung durch Facebook treffe. Das Bundesverwaltungsgericht stellte dem EuGH Fragen zur Vorabentscheidung.
Der EuGH (Urt. v. 05.06.2018, C-210/16) entschied dann in einem vielfach beachteten Urteil, dass der Betreiber einer Fanpage zusammen mit Facebook gemeinsamer Verantwortlicher ist. Auf der Basis dieses Urteils zur Auslegung von Unionsrecht hat jetzt das Bundesverwaltungsgericht sein Urteil zur Sache gefällt. Im Ergebnis verwies es den Rechtsstreit zurück an das OVG Schleswig, da für eine abschließende Entscheidung noch weitere Feststellungen zur Rechtswidrigkeit der Datenverarbeitung getroffen werden müssen.
Dazu geht es um die tatsächlichen Umstände der Verarbeitungsvorgänge, die allerdings in 2011 lagen, also zu einer Zeit, in denen die DSGVO noch nicht galt. Damals war noch das Telemediengesetz für diese Datenverarbeitungsvorgänge maßgeblich, welches eine Grundlage in der früheren Datenschutzrichtlinie hatte.
Vorgehen gegen Unternehmen statt gegen Facebook in Ordnung
Im Vorfeld war spekuliert worden, dass es unverhältnismäßig sei, gegen den Fanpage-Betreiber vorzugehen, da ein Vorgehen gegen Facebook letztlich effektiver sei. Das BVerwG sieht dies offenbar bedauerlicher Weise anders. In der Pressemitteilung zum Urteil heißt es:
„Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen.
Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre.“
Das sind erstaunliche Überlegungen, die einer Kapitulation vor der Macht eines Internet-Giganten gleichkommen. Weil Facebook nicht so kooperationsbereit ist, wie der deutsche Unternehmer kann man also ein Vorgehen gegen diesen vorziehen? Effizienz misst sich also am potentiellen Widerstand und damit auch an der Macht und den Geldmitteln. Diese Überlegungen sollten deutlichen Widerspruch finden.
Abschaltanordnung ist verhältnismäßig
Das Gericht beschäftigte sich auch mit der Frage, ob es verhältnismäßig sei, direkt die Abschaltung der Facebook-Fanpage anzuordnen und bejahte diese Frage, sofern die Datenverarbeitungsvorgänge rechtswidrig waren. Die Abschaltvorgabe begründet sich darin, dass der Betreiber der Fanpage letztlich keine andere Möglichkeit hat, für eine rechtskonforme Datenverarbeitung zu sorgen.
Fortsetzung folgt
Jetzt wird zunächst wieder das OVG Schleswig entscheiden. Dort wird (von Amts wegen) ermittelt, ob die damaligen Datenverarbeitungsvorgänge bei Facebook datenschutzrechtswidrig waren. Wenn ja, kann es die Abschaltanordnung bestätigen.
Heutige Fanpages betroffen?
Panik ist nicht unbedingt angesagt. Die Datenverarbeitungsvorgänge bei Facebook haben sich geändert. Zudem gilt jetzt eine andere Rechtslage. Allerdings haben die Behörden schon signalisiert, dass ihnen die Änderungen bei Facebook noch nicht ganz ausreichen.
Entwarnung kann damit nicht gegeben werden. Wer heute Fanpages betreibt, der bewegt sich nach wie vor auf dünnem Eis und muss hoffen, dass es nicht gerade ihn trifft, wenn eine Behörde von der Effizienz-Vorgabe des Bundesverwaltungsgerichts Gebrauch macht und Facebook lieber verschont.
Auch andere Social Media Auftritte riskant
Die grundsätzlichen Überlegungen aus dem Urteil des BVerwG lassen sich ohne Weiteres auf andere soziale Medien übertragen. So gilt auch bei Twitter, Instagram, Pinterest und anderen, dass das Unternehmen, welches dort einen Auftritt unterhält, gemeinsam mit dem Betreiber des sozialen Mediums für die Datenverarbeitungsvorgänge verantwortlich ist.
Stellen sich diese Datenverarbeitungsvorgänge als rechtswidrig heraus, drohen auch hier aufsichtsrechtliche Maßnahmen der Behörden.
Hohe Bußgeldrisiken, neue Vorgaben
Gerade nach der noch neuen DSGVO wurde der Bußgeldrahmen massiv erhöht. Die deutschen Datenschutz-Aufsichtsbehörden haben sich dazu zusammengesetzt und die Berechnungskriterien für künftige Bußgelder festgelegt.
Bemessungsgrundlage ist dabei immer der weltweite Jahresumsatz. Hieraus wird ein Tagessatz errechnet. Dieser Tagessatz wird mit einem Faktor von 1 bis 14,4 multipliziert, je nach Schwere des Verstoßes. So ist für leichte Verstöße ein Faktor von 1 bis 4 anzunehmen, für besonders schwere ein Faktor von 12 bis 14,4. Der Schweregrad bestimmt sich anhand eines Punktesystems.
Außerdem wird der Grad des Verschuldens noch mit in die Berechnung einbezogen: Bei geringer Fahrlässigkeit gibt es einen „Rabatt“ von 25 Prozent. Bei normaler Fahrlässigkeit bleibt es bei der bestimmten Summe, bei Vorsatz kann es einen Aufschlag von 25 Prozent oder sogar 50 Prozent geben.
Besonders teuer kann es für Wiederholungstäter werden. Handelt es sich bereits um den zweiten Verstoß, den die Behörde ahndet, kommt ein Aufschlag von 50 Prozent hinzu. Für den dritten Verstoß kommen 150 Prozent oben drauf und für den vierten (oder noch mehr) Verstöße wird ein Aufschlag von 300 Prozent hinzugerechnet.
Beim endgültigen Bußgeld soll außerdem berücksichtigt werden, wie das Unternehmen mit der Behörde zusammengearbeitet und welche Maßnahmen es ergriffen hat, um Schäden von betroffenen Personen abzuwenden.
Man kann sich allerdings fragen, ob ein Bußgeld gegen ein Unternehmen, das in Form einer juristischen Person organisiert ist (also GmbH, AG etc.), überhaupt ein Bußgeld erlassen werden kann. Schließlich handelt das Unternehmen nicht selbst. Hier müsste man schon einem leitenden Mitarbeiter oder Organ ein direktes Verschulden nachweisen - so erste Stimmen, die diese Frage untersucht haben.
Bei 1 Millionen Umsatz liegt das geringste Bußgeld damit bei ungefähr 2.000 Euro und erreicht im mittleren Bereich bereits 25.000 Euro. Bei einem schweren vorsätzlichen Verstoß (Grad 12) ist man mit 50.000 Euro dabei. Bei 5 Millionen Umsatz werden daraus dann schon 250.000 Euro und mit einem Jahresumsatz von 20 Millionen kann man dann bereits die Millionen-Grenze überschreiten.
Fazit
Das Datenschutzrecht stellt ein neues erhebliches Geschäftsrisiko dar. Die Prozesse im Unternehmen in den Griff zu bekommen, sollte jetzt langsam überall Priorität erhalten. Die Aufgabe lautet: Risiken erkennen, bewerten und möglichst abstellen. Gewissheiten sind in diesem Geschäft rar. Gerichtliche Entscheidungen haben nur kurze Halbwertzeiten und sind zudem noch selten zur DSGVO. Behörden geben zwar Hilfestellungen, begründen aber ihre Ansichten auch nicht immer vertieft, sodass es an Nachvollziehbarkeit fehlt. Diese ist aber gerade wichtig, wenn Ansichten an den Geschäftsmodellen kratzen. Letztlich hilft hier nur qualifizierter Rechtsrat und konsequentes Management. Gibt es „Kontakt“ zur Behörde in einem Verfahren, sollte man unbedingt jede Antwort bewerten lassen. Bevor sie das Haus verlässt!
Mit besten Grüßen
Rolf Becker
- ECC-Rechtstipp zum Download
Nr. 170 | September 2019
Über den Autor
Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC-Club kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de und www.fernabsatz-gesetz.de.
Pressehinweise
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC-Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!