Wenig Neues aus Schleswig – zur Facebook-Nutzung durch Unternehmen (Update)

Ein Bericht aus der mündlichen Verhandlung

VON CHRISTIAN HOFFMANN UND SÖNKE E. SCHULZ

Foto Christian Hoffmann_sw_klSESchulz (2)Vor etwa einem Jahr urteilte das Verwaltungsgericht Schleswig in einem Rechtsstreit, den man auch als Causa Facebook bezeichnen könnte – und dies obwohl Facebook lediglich als Beigeladene auftritt. Inhaltlich geht es um die Zulässigkeit der Facebook-Fanseiten nach deutschem und europäischem Datenschutzrecht – wie wir in unserem Beitrag vom Oktober 2013 darlegten. Ziel einer Untersagungsverfügung des Unabhängigen Landeszentrums für Datenschutz (ULD) war unter anderem die Wirtschaftsakademie Schleswig-Holstein, eine von der IHK getragene GmbH. Das Verwaltungsgericht hob die Untersagungsverfügung im Herbst 2013 mit der Begründung auf, eine datenschutzrechtliche Verantwortlichkeit sei nicht festzustellen. Von der Richtigkeit seiner Position überzeugt, zog das ULD mit Thilo Weichert in die nächste Instanz. Am Donnerstag fand die mündliche Verhandlung (erneut inklusive Live-Berichtserstattung via Twitter) statt. Eine große Überraschung blieb aus: das OVG wies die Berufung zurück. Für die Betreiber von Fanseiten dürfte dies zunächst die erforderliche Rechtssicherheit geben – Fortsetzung gleichwohl nicht ausgeschlossen.

Zwei- oder einstufiges Verfahren

Neben materiellen Fragen wurde – wie auch im Ausgangsverfahren – zunächst erörtert, in welchem Verhältnis die Eingriffsermächtigungen des § 38 Abs. 5 Satz 1 und 2 BDSG zueinander stehen. Und dies, obwohl auch die Klägerseite darauf hinwies, dass man an einer Entscheidung in der Sache interessiert sei; ein Obsiegen allein aufgrund eines formellen Fehlers würde jedenfalls keine Rechtssicherheit geben. Das Gericht betonte diesbezüglich, dass das zweistufige Verfahren, wie es § 38 Abs. 5 BDSG vorsieht, grundsätzlich einzuhalten sei. Nach dessen Satz 1 kann die Aufsichtsbehörde Maßnahmen anordnen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel. Erst auf zweiter Stufe sieht Satz 2 ein Untersagungsrecht vor. Dies jedoch nur bei schwerwiegenden Verstößen oder Mängeln, wenn die Verstöße trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. An dieses vom Gesetz vorgesehene Stufenverhältnis hatte sich das ULD jedoch nicht gehalten, sondern sofort auf zweiter Stufe die Unterlassung angeordnet. Das Gericht betonte, dass das Gesetz keine Ausnahmen vorsähe. Solche könnten nur anerkannt werden, wenn das abgestufte Verfahren absolut „sinnlos“ erschiene, bspw. weil eine datenschutzkonforme Gestaltung von vornherein ausscheide. Dies sei aber vorliegend nicht erkennbar, da mit Facebook jemand existiere, der Einfluss auf die konkreten Verarbeitungsprozesse habe.

Fehlende Verantwortlichkeit der Seitenbetreiber

Naturgemäß stand auch vor dem OVG die Frage im Mittelpunkt, ob es sich bei Seitenbetreibern um verantwortliche Stellen im Sinne des Datenschutzrechts handelt. Zutreffend bediente sich das Gericht der europäischen Datenschutzrichtlinie, um den Bedeutungsgehalt des maßgeblichen § 3 Abs. 7 BDSG zu ermitteln. Eine eigene Verantwortung setze voraus, dass (ggf. gemeinsam) Einfluss auf Zweck und Mittel der Datenverarbeitung genommen werden könne. Beides sei nicht feststellbar: die Datenerhebung und -verarbeitung erfolge im Interesse von Facebook, in ihrem Angebot passgenaue Werbeangebote schalten und verkaufen zu können. Das „Wie“ der Datenverarbeitung entziehe sich vollständig einer Einflussnahme deutscher Seitenbetreiber. Deren Grundentscheidung zur (Nicht-)Nutzung der Dienste von Facebook vermittle keine rechtliche oder tatsächliche Einflussmöglichkeit; sie verfolge auch einen völlig anderen Zweck, nämlich die Realisierung eines öffentlichkeitswirksamen Internetauftritts.

Auftragsdatenverarbeitung ohne Auftrag

Zugespitzt formulierte der Vorsitzende, dass es keine Auftragsdatenverarbeitung ohne Auftrag gebe. Ein solcher, der immer auch Weisungsrechte und andere Einflussmöglichkeiten voraussetze, sei im Verhältnis deutscher Seitenbetreiber zu Facebook Ireland Lt. oder Facebook Inc. nicht zu erkennen. Das Auftragsverhältnis sei zwar an keine bestimmte Rechtsform gebunden, dennoch beauftrage man den Betreiber eines sozialen Netzwerks durch den Nutzungsvertrag nicht, für ihn Daten zu erheben und/oder zu verarbeiten. Eine Auftragsdatenverarbeitung setze den Willen voraus, im fremden Namen zu handeln bzw. einen anderen zu beauftragen. Beides sei nicht gegeben.

Zutreffend bleibt festzustellen, dass es Vorgänge geben kann, die durchaus einen Bezug zur Datenverarbeitung (durch Dritte) haben, die gleichwohl datenschutzrechtlich aber nicht erfasst sind. Liegt weder eine eigene Verantwortlichkeit, noch eine Auftragsdatenverarbeitung, noch eine (in der Regel unzulässige) Datenübermittlung vor, hilft auch eine noch so kreative Auslegung nun einmal nicht weiter.

Seitenbetreiber als Störer oder Zweckveranlasser

Das Gericht verwarf zumindest in der mündlichen Verhandlung Überlegungen, zivilrechtliche Grundsätze einer Störerverantwortlichkeit zu übertragen, grundsätzlich. Ein solcher Rückgriff käme im Rahmen der hoheitlichen Eingriffsverwaltung, die insofern ein geschlossenes System bilde, nicht in Betracht. Was nicht zugleich bedeute, dass dies auch für gefahrenabwehrrechtliche Störerverantwortlichkeiten bis hin zur Figur des Zweckveranlassers gelte. Obwohl § 38 Abs. 5 BDSG zu den in Anspruch zu nehmenden Personen schweigt (was ein Indiz für einen zulässigen Rückgriff aus das allgemeine Polizei- und Ordnungsrecht sein könne), sei der Regelungssystematik aber zu entnehmen, dass dies die „verantwortlichen Stellen“, einschließlich der Auftraggeber einer Auftragsdatenverarbeitung seien. Eine Ausdehnung über diesen Kreis hinaus sei systemwidrig.

Was bleibt? Eine Schutzlücke…

An diesem Punkt setzt die eigentliche Kontroverse an: Führt die Sichtweise eines in sich geschlossenen datenschutzrechtlichen Systems zu einer Schutzlücke, die es zu schließen gilt, bspw. über allgemeine Rechtsgrundsätze, zur Verantwortlichkeit? Das ULD vertritt diese Position vehement unter Berufung auf den grundrechtlichen Schutz des Rechts auf informationelle Selbstbestimmung, verkennt dabei aber zweierlei: Einerseits – und dies betonte das Gericht mehrfach – kann nicht von einer Schutzlücke gesprochen werden. Für die streitgegenständlichen Datenverarbeitungen gebe es mit Facebook wohl (genau mochte man sich nicht festlegen) einen Verantwortlichen. Andererseits – und darauf wiesen die Klägervertreter zutreffend hin – sei es Aufgabe des Gesetzgebers, erkannte Schutzlücken zu schließen und nicht die einer kreativen Auslegung mit dem Ziel, (so die Formulierung des ULD) einen „greifbaren Verantwortlichen zu haben“. Dies muss umso mehr gelten, wenn es darum geht, einen schonenden Ausgleich verschiedener Grundrechtspositionen im Sinne praktischer Konkordanz zu erzielen. Regelmäßig wird in der Diskussion nämlich vernachlässigt, dass auch die betroffenen Seitenbetreiber wie auch „amerikanische Großkonzerne“ Träger von Grundrechten sind.

… und der Ärger darüber, dass Zuständigkeiten nun mal so sind, wie sie sind!

Mit der Konstruktion der Seitenbetreiber als „greifbare Verantwortliche“ entlarvte sich das ULD am Ende der Verhandlung aber selbst– so ehrenwert der Einsatz für die digitale Privatsphäre auch ist. Mehrfach wurde auf den zutreffenden Verweis des Gerichts auf den Verantwortlichen Facebook betont, oder besser: bedauert, dass es diesbezüglich an einer örtlichen Zuständigkeit des ULD fehle. Zuständig sei die irische Datenschutzbehörde, mit deren datenschutzrechtlicher Aufsicht man in Kiel offenbar aber nicht einverstanden ist. Aufgrund der rechtsstaatlichen und demokratischen Funktionen von Zuständigkeiten auch im europäischem Mehrebenensystem müssen diese aber gleichwohl auch und gerade von (unzuständigen) Behörden selbst akzeptiert und im Interesse rationaler und begrenzter Herrschaft respektiert werden. Ergänzend sei angemerkt, dass die Verneinung der eigenen Zuständigkeit hinsichtlich Facebook durch das ULD beim Gericht Irritationen auslöste, waren VG und OVG Schleswig doch bspw. mit datenschutzrechtlichen Anordnungen desselben ULD an die Facebook Ireland Ltd. im Zusammenhang mit dem Klarnamenzwang befasst.

Nach dem Verlauf der mündlichen Verhandlung war das Urteil schließlich wenig überraschend: Unternehmen, öffentliche und sonstige Stellen, die dem BDSG unterliegen, dürfen weiter auf das Marketing-Instrument Facebook-Fanseite setzen. Endgültige Rechtssicherheit wird es wohl aber erst geben, wenn das Urteil rechtskräftig wird oder aber – wie vom ULD nun geprüft wird – Revision zum Bundesverwaltungsgericht eingelegt wird und ein endgültiges Urteil in dieser Sache gesprochen wird.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*