Weg frei für Facebook-Fanseiten

von SÖNKE E. SCHULZ und CHRISTIAN HOFFMANN

SESchulz (2) Foto Christian Hoffmann_sw_klDas Verwaltungsgericht Schleswig verhandelte am Mittwoch, ob auch die Facebook-Fanseitenbetreiber für etwaige Datenschutzverstöße durch Facebook verantwortlich sind (Az. 8 A 37/12, 8 A 14/ 12 und 8 A 218/11). Aufgrund eigener Vorbefassung mit dem Thema – eine Parteilichkeit, die hier nicht verschwiegen werden soll – fuhren wir also voller Vorfreude und Spannung nach Schleswig. Erst einmal, um live aus dem Gerichtssaal zu twittern (eine gänzlich neue Erfahrung, offenbar auch rechtlich zulässig), aber auch, um hier die wesentliche Argumentation in aller Kürze zu berichten.

Worum ging es?

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte im November 2011 Bescheide gegen mehrere Behörden und Unternehmen in Schleswig-Holstein erlassen, mit denen den Adressaten untersagt wurde, sog. Fanseiten bei Facebook zu betreiben. Drei der Unternehmen hatten nach erfolglosen Widerspruchsverfahren den Klageweg bestritten. Das Urteil des zuständigen VG Schleswig war aufgrund der zunehmenden Bedeutung von Fanseiten für Unternehmen und öffentliche Stellen bundesweit mit Spannung erwartet worden.

Die Argumente des ULD

Das ULD begründete seine Auffassung vor allem damit, dass das Angebot von Facebook in einigen Punkten nicht dem deutschen Datenschutz- und Telemedienrecht entspreche und (auch) Fanseiten-Betreiber für diesen Verstoß verantwortlich seien (§ 3 Abs. 7 BDSG). Durch das Einrichten einer Fanseite werde ein willentlicher Beitrag zur (rechtswidrigen) Erhebung von Nutzungsdaten geleistet, sodass auch Seitenbetreiber adäquat kausal für den Datenschutzverstoß verantwortlich seien. Im Übrigen liege eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor, da die Seitenbetreiber durch Facebook bereitgestellte Daten nutzen (sog. Facebook-Insights).

Gericht äußert ernste Zweifel

Nach der einführenden Sachverhaltsdarstellung erläuterte der Vorsitzende die vorläufige Rechtseinschätzung der Kammer. Zunächst führte er aus, dass die Kammer bereits Zweifel habe, ob die Rechtsgrundlage des § 38 Abs. 5 Satz 2 BDSG einschlägig sei. Danach kann die Aufsichtsbehörde bei schwerwiegenden Verstößen oder Mängeln, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen. Der Vorsitzende deutete an, dass hier möglicherweise lediglich § 38 Abs. 5 Satz 1 BDSG einschlägig sei, wonach die Aufsichtsbehörde zunächst Maßnahmen zur Beseitigung der festgestellten Mängel anordnen kann. Die Kammer gab zu erkennen, hier der Auffassung der Kläger zu folgen, wonach die Sätze 1 und 2 in einem Stufenverhältnis stünden. Im Ergebnis ließ der Vorsitzende diese Frage jedoch offen, da es wohl jedenfalls an der datenschutzrechtlichen Verantwortlichkeit fehle.

Keine (gemeinsame) Verantwortlichkeit nach dem BDSG

Eine solche Verantwortlichkeit sei nur dann gegeben, wenn die Fanseitenbetreiber auch tatsächliche und/oder rechtliche Einflussmöglichkeiten auf die stattfindenden Datenverarbeitungsprozesse hätten. Derartige effektive Einwirkungsmöglichkeiten lägen hier jedoch nicht vor, da Facebook die Facebook-Insights-Daten in jedem Fall erhebe und den Seitenbetreibern zur Verfügung stelle, auch wenn diese dies nicht wollten oder die Daten gar nicht nutzen. Auch der Argumentation des ULD, es liege eine gemeinsame Verantwortlichkeit von Facebook und den Fanseitenbetreibern vor, erteilte das Gericht eine Absage. Diese erfordere zumindest eine Teilbeeinflussung der Datenverarbeitung bzw. die Möglichkeit dazu. Selbst das sei nicht erkennbar.

Keine Auftragsdatenverarbeitung

Nach Auffassung des Gerichts liegt zudem keine Auftragsdatenverarbeitung vor. Vor dem Hintergrund, dass Facebook die Nutzerdaten stets und gerade ohne konkreten Auftrag der Fanseitenbetreiber erhebe, könne nicht auf diese Rechtsfigur zurückgegriffen werden. Das Auftragsverhältnis sei zwar an keine bestimmte Rechtsform gebunden, dennoch beauftrage die öffentliche Verwaltung den Betreiber eines sozialen Netzwerks durch den Nutzungsvertrag nicht, für ihn Daten zu erheben und/oder zu verarbeiten. Eine Auftragsdatenverarbeitung setze den Willen voraus, im fremden Namen zu handeln bzw. einen anderen zu beauftragen. Beides sei nicht gegeben. Des Weiteren sei dem Fanseiten-Betreiber das Ausmaß und der Umfang der Datenerhebung und -verarbeitung nur unzureichend bekannt, sodass er kaum steuernden Einfluss haben könne. Ein Umstand, den die Beigeladene Facebook Ireland Ltd. nur zu gern bestätigte.

Kein Rückgriff auf allgemeine Rechtsgrundsätze

Und schließlich verwarf das Gericht alle denkbaren Ansätze, die Verantwortlichkeit unter Rückgriff auf allgemeine Rechtsgrundsätze zu erweitern. Die ggf. weiter reichende Störerverantwortlichkeit aus dem Gefahrenabwehrrecht sei neben bereichsspezifischem Recht nicht anwendbar; die bloße Kausalität scheide als Zurechnungskriterium aus. Die Rechtsfigur des Zweckveranlassers blieb ausgeblendet.

Und was gab’s Neues?

Nach Darstellung dieser vorläufigen Einschätzung gab der Vorsitzende den Beteiligten die Gelegenheit, ihre Rechtsauffassungen noch einmal darzustellen. In den sich anschließenden Ausführungen der Beteiligten wurden im Wesentlichen bereits bekannte Standpunkte ausgetauscht.

Nur ca. 45 Minuten nach dem Ende der mündlichen Verhandlung verkündete die Kammer das nicht mehr überraschende Urteil: Die Bescheide des ULD gegen die drei klagenden Unternehmen sind rechtswidrig und verletzen die Kläger in ihren Rechten. In der kurzen mündlichen Begründung führte der Vorsitzende lediglich aus, dass das Gericht die datenschutzrechtliche Verantwortlichkeit nicht bei den Fanseiten-Betreibern, sondern bei Facebook sehe. Auch wenn die (maßgeblichen) schriftlichen Urteilsgründe noch nicht vorliegen, ist zu erwarten, dass sie sich hauptsächlich auf diesen Aspekt stützen werden.

Berufung zugelassen oder: auf zu Runde zwei!

Ebenfalls nicht überraschend ist, dass die Kammer die Berufung gegen das Urteil zugelassen hat. Der Vorsitzende betonte dabei, dass die Kammer – soweit ersichtlich – sich als erstes Gericht mit der hier strittigen Frage zu beschäftigen hatte und die Sache von „grundsätzlicher Bedeutung“ sei.

Auch der Landesbeauftragte für den Datenschutz Dr. Thilo Weichert erklärte im anschließenden TV-Interview, das ULD wolle die schriftlichen Urteilsgründe abwarten und prüfen, ob man gegen das Urteil vorgehen wolle. Zu erwarten ist jedoch, dass sich bald das Oberverwaltungsgericht Schleswig mit der Sache wird beschäftigen müssen.

Fazit: Rechtssicherheit ist im Interesse aller Beteiligten

Das Urteil des VG Schleswig ist unter mehreren Aspekten positiv zu bewerten. Zum einen vermeidet das Gericht mit der Ablehnung der datenschutzrechtlichen Verantwortlichkeit eine Überdehnung des Verantwortlichkeitsbegriffs. Da behördliche Fanpages nicht Gegenstand des Verfahrens waren, wurde die aufgrund der besonderen Rechtsgebundenheit ggf. diskussionswürdige „mittelbare Verantwortlichkeit“ öffentlicher Stellen und ihre rechtliche Bewertung nicht thematisiert.

Nicht weniger positiv hervorzuheben ist, dass das ULD und sein Leiter Dr. Thilo Weichert im Gegensatz zu vielen anderen Datenschutzbeauftragten den Mut besessen haben, ihre Überzeugungen einer gerichtlichen Prüfung auszusetzen. Damit riskieren sie zwar „Niederlagen“, tragen aber letztendlich zur Rechtssicherheit im Interesse aller bei – verbunden mit dem positiven Nebeneffekt, die Datenschutzbedenken, die den unmittelbar verantwortlichen Diensteanbieter Facebook betreffen, beständig in Erinnerung zu rufen.

Positiv ist das Urteil aber vor allem für Fanseitenbetreiber, die vorerst sicher sein können, dass ihre Aktivitäten datenschutzrechtlich unbedenklich sind. Dies dürfte sowohl für Unternehmen als auch für öffentliche Stellen ein Grund mehr sein, mit Social-Media-Aktivitäten zu beginnen.

 

Den Autoren auf Twitter folgen:

Sönke E. Schulz: seschulz https://twitter.com/SESchulz
Christian Hoffmann: Hopeman16 https://twitter.com/hopeman16

Christian Hoffmann, Datenschutz, , Fanseiten, , Sönke E. Schulz, Verantwortlichkeit
Nächster Beitrag
Was bedeutet „Einsatz bewaffneter Streitkräfte“ nun wirklich?
Vorheriger Beitrag
Kadi II: Der EuGH kämpft um Informationen und der Einzelne sieht zu

Ähnliche Beiträge

von MALTE KRÖGER Nachdem Deutschland vom Europäischen Gerichtshof wegen der mangelnden Unabhängigkeit seiner Datenschutzbehörden verurteilt wurde, soll ein Gesetzentwurf der Bundesregierung nun die unabhängige und effektive Kontrolle des Datenschutzes sichern. Der Entwurf gleicht das Bundesdatenschutzgesetz im Aufsichtsrecht dem Unionsrecht an und regelt auch die Entlassung neu. Ferner soll es dem…
Weiterlesen
Vom 18. bis zum 20. September 2013 findet in Berlin im Abgeordnetenhaus die 8. Internationale Konferenz der Informationsfreiheitsbeauftragten (ICIC 2013) statt, die der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, ausrichten wird. Das vorläufige Programm kann…
Weiterlesen
JuWiss-Schwerpunktwoche zum Datenschutzrecht von STEFAN KIEBER Neuere technologische Entwicklungen bringen große Gefahren für die Privatsphäre und den Schutz personenbezogener Daten des Einzelnen mit sich. Der vorliegende Beitrag wirft einen Blick darauf, wie der Europäische Gerichtshof für Menschenrechte diesen Gefahren in Urteilen aus der jüngeren Vergangenheit begegnete. (mehr …)
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.