von SÖNKE E. SCHULZ und CHRISTIAN HOFFMANN
Das Verwaltungsgericht Schleswig verhandelte am Mittwoch, ob auch die Facebook-Fanseitenbetreiber für etwaige Datenschutzverstöße durch Facebook verantwortlich sind (Az. 8 A 37/12, 8 A 14/ 12 und 8 A 218/11). Aufgrund eigener Vorbefassung mit dem Thema – eine Parteilichkeit, die hier nicht verschwiegen werden soll – fuhren wir also voller Vorfreude und Spannung nach Schleswig. Erst einmal, um live aus dem Gerichtssaal zu twittern (eine gänzlich neue Erfahrung, offenbar auch rechtlich zulässig), aber auch, um hier die wesentliche Argumentation in aller Kürze zu berichten.
Worum ging es?
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte im November 2011 Bescheide gegen mehrere Behörden und Unternehmen in Schleswig-Holstein erlassen, mit denen den Adressaten untersagt wurde, sog. Fanseiten bei Facebook zu betreiben. Drei der Unternehmen hatten nach erfolglosen Widerspruchsverfahren den Klageweg bestritten. Das Urteil des zuständigen VG Schleswig war aufgrund der zunehmenden Bedeutung von Fanseiten für Unternehmen und öffentliche Stellen bundesweit mit Spannung erwartet worden.
Die Argumente des ULD
Das ULD begründete seine Auffassung vor allem damit, dass das Angebot von Facebook in einigen Punkten nicht dem deutschen Datenschutz- und Telemedienrecht entspreche und (auch) Fanseiten-Betreiber für diesen Verstoß verantwortlich seien (§ 3 Abs. 7 BDSG). Durch das Einrichten einer Fanseite werde ein willentlicher Beitrag zur (rechtswidrigen) Erhebung von Nutzungsdaten geleistet, sodass auch Seitenbetreiber adäquat kausal für den Datenschutzverstoß verantwortlich seien. Im Übrigen liege eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor, da die Seitenbetreiber durch Facebook bereitgestellte Daten nutzen (sog. Facebook-Insights).
Gericht äußert ernste Zweifel
Nach der einführenden Sachverhaltsdarstellung erläuterte der Vorsitzende die vorläufige Rechtseinschätzung der Kammer. Zunächst führte er aus, dass die Kammer bereits Zweifel habe, ob die Rechtsgrundlage des § 38 Abs. 5 Satz 2 BDSG einschlägig sei. Danach kann die Aufsichtsbehörde bei schwerwiegenden Verstößen oder Mängeln, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen. Der Vorsitzende deutete an, dass hier möglicherweise lediglich § 38 Abs. 5 Satz 1 BDSG einschlägig sei, wonach die Aufsichtsbehörde zunächst Maßnahmen zur Beseitigung der festgestellten Mängel anordnen kann. Die Kammer gab zu erkennen, hier der Auffassung der Kläger zu folgen, wonach die Sätze 1 und 2 in einem Stufenverhältnis stünden. Im Ergebnis ließ der Vorsitzende diese Frage jedoch offen, da es wohl jedenfalls an der datenschutzrechtlichen Verantwortlichkeit fehle.
Keine (gemeinsame) Verantwortlichkeit nach dem BDSG
Eine solche Verantwortlichkeit sei nur dann gegeben, wenn die Fanseitenbetreiber auch tatsächliche und/oder rechtliche Einflussmöglichkeiten auf die stattfindenden Datenverarbeitungsprozesse hätten. Derartige effektive Einwirkungsmöglichkeiten lägen hier jedoch nicht vor, da Facebook die Facebook-Insights-Daten in jedem Fall erhebe und den Seitenbetreibern zur Verfügung stelle, auch wenn diese dies nicht wollten oder die Daten gar nicht nutzen. Auch der Argumentation des ULD, es liege eine gemeinsame Verantwortlichkeit von Facebook und den Fanseitenbetreibern vor, erteilte das Gericht eine Absage. Diese erfordere zumindest eine Teilbeeinflussung der Datenverarbeitung bzw. die Möglichkeit dazu. Selbst das sei nicht erkennbar.
Keine Auftragsdatenverarbeitung
Nach Auffassung des Gerichts liegt zudem keine Auftragsdatenverarbeitung vor. Vor dem Hintergrund, dass Facebook die Nutzerdaten stets und gerade ohne konkreten Auftrag der Fanseitenbetreiber erhebe, könne nicht auf diese Rechtsfigur zurückgegriffen werden. Das Auftragsverhältnis sei zwar an keine bestimmte Rechtsform gebunden, dennoch beauftrage die öffentliche Verwaltung den Betreiber eines sozialen Netzwerks durch den Nutzungsvertrag nicht, für ihn Daten zu erheben und/oder zu verarbeiten. Eine Auftragsdatenverarbeitung setze den Willen voraus, im fremden Namen zu handeln bzw. einen anderen zu beauftragen. Beides sei nicht gegeben. Des Weiteren sei dem Fanseiten-Betreiber das Ausmaß und der Umfang der Datenerhebung und -verarbeitung nur unzureichend bekannt, sodass er kaum steuernden Einfluss haben könne. Ein Umstand, den die Beigeladene Facebook Ireland Ltd. nur zu gern bestätigte.
Kein Rückgriff auf allgemeine Rechtsgrundsätze
Und schließlich verwarf das Gericht alle denkbaren Ansätze, die Verantwortlichkeit unter Rückgriff auf allgemeine Rechtsgrundsätze zu erweitern. Die ggf. weiter reichende Störerverantwortlichkeit aus dem Gefahrenabwehrrecht sei neben bereichsspezifischem Recht nicht anwendbar; die bloße Kausalität scheide als Zurechnungskriterium aus. Die Rechtsfigur des Zweckveranlassers blieb ausgeblendet.
Und was gab’s Neues?
Nach Darstellung dieser vorläufigen Einschätzung gab der Vorsitzende den Beteiligten die Gelegenheit, ihre Rechtsauffassungen noch einmal darzustellen. In den sich anschließenden Ausführungen der Beteiligten wurden im Wesentlichen bereits bekannte Standpunkte ausgetauscht.
Nur ca. 45 Minuten nach dem Ende der mündlichen Verhandlung verkündete die Kammer das nicht mehr überraschende Urteil: Die Bescheide des ULD gegen die drei klagenden Unternehmen sind rechtswidrig und verletzen die Kläger in ihren Rechten. In der kurzen mündlichen Begründung führte der Vorsitzende lediglich aus, dass das Gericht die datenschutzrechtliche Verantwortlichkeit nicht bei den Fanseiten-Betreibern, sondern bei Facebook sehe. Auch wenn die (maßgeblichen) schriftlichen Urteilsgründe noch nicht vorliegen, ist zu erwarten, dass sie sich hauptsächlich auf diesen Aspekt stützen werden.
Berufung zugelassen oder: auf zu Runde zwei!
Ebenfalls nicht überraschend ist, dass die Kammer die Berufung gegen das Urteil zugelassen hat. Der Vorsitzende betonte dabei, dass die Kammer – soweit ersichtlich – sich als erstes Gericht mit der hier strittigen Frage zu beschäftigen hatte und die Sache von „grundsätzlicher Bedeutung“ sei.
Auch der Landesbeauftragte für den Datenschutz Dr. Thilo Weichert erklärte im anschließenden TV-Interview, das ULD wolle die schriftlichen Urteilsgründe abwarten und prüfen, ob man gegen das Urteil vorgehen wolle. Zu erwarten ist jedoch, dass sich bald das Oberverwaltungsgericht Schleswig mit der Sache wird beschäftigen müssen.
Fazit: Rechtssicherheit ist im Interesse aller Beteiligten
Das Urteil des VG Schleswig ist unter mehreren Aspekten positiv zu bewerten. Zum einen vermeidet das Gericht mit der Ablehnung der datenschutzrechtlichen Verantwortlichkeit eine Überdehnung des Verantwortlichkeitsbegriffs. Da behördliche Fanpages nicht Gegenstand des Verfahrens waren, wurde die aufgrund der besonderen Rechtsgebundenheit ggf. diskussionswürdige „mittelbare Verantwortlichkeit“ öffentlicher Stellen und ihre rechtliche Bewertung nicht thematisiert.
Nicht weniger positiv hervorzuheben ist, dass das ULD und sein Leiter Dr. Thilo Weichert im Gegensatz zu vielen anderen Datenschutzbeauftragten den Mut besessen haben, ihre Überzeugungen einer gerichtlichen Prüfung auszusetzen. Damit riskieren sie zwar „Niederlagen“, tragen aber letztendlich zur Rechtssicherheit im Interesse aller bei – verbunden mit dem positiven Nebeneffekt, die Datenschutzbedenken, die den unmittelbar verantwortlichen Diensteanbieter Facebook betreffen, beständig in Erinnerung zu rufen.
Positiv ist das Urteil aber vor allem für Fanseitenbetreiber, die vorerst sicher sein können, dass ihre Aktivitäten datenschutzrechtlich unbedenklich sind. Dies dürfte sowohl für Unternehmen als auch für öffentliche Stellen ein Grund mehr sein, mit Social-Media-Aktivitäten zu beginnen.
Den Autoren auf Twitter folgen:
Sönke E. Schulz: seschulz https://twitter.com/SESchulz
Christian Hoffmann: Hopeman16 https://twitter.com/hopeman16