Ein Bericht aus der mündlichen Verhandlung vor dem BVerwG
von CHRISTIAN HOFFMANN und SÖNKE E. SCHULZ
Seit längerer Zeit wird diskutiert, ob ein Unternehmen, das auf Facebook eine Fanseite betreibt, selbst für etwaige Datenschutzverstöße, die Facebook begeht, verantwortlich sein kann, alleine deshalb, weil es sich dafür entschieden hat, eine Fanseite auf Facebook zu betreiben. Diese Frage bleibt zunächst weiter unbeantwortet. Das Bundesverwaltungsgericht (BVerwG) hat das Verfahren ausgesetzt und den EuGH angerufen.
Gegenstand des Verfahrens
Gegenstand des Verfahrens ist eine auf § 38 Abs. 5 Satz 2 BDSG gestützte Verfügung, mit der das Unabhängige Landeszentrum für Datenschutz (ULD) der privatrechtlich organisierten Wirtschaftsakademie Schleswig-Holstein (WAK), eine Tochtergesellschaft der Industrie- und Handelskammer, untersagte, eine Facebook-Fanseite zu betreiben. Im Jahr 2013 hat das VG Schleswig (8 A 14/12 – Urt. v. 09.10.2013) die Untersagungsverfügung des ULD mit der Begründung aufgehoben, eine datenschutzrechtliche Verantwortlichkeit sei nicht festzustellen. Das OVG Schleswig (4 LB 20/13 – Urt. v. 04.09. 2014) hat die Berufung des ULD zurückgewiesen, da es das in § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren (1. Stufe: Aufforderung zur Beseitigung, 2. Stufe: Untersagung) für nicht eingehalten erachtete.
Zunächst wenig Neues vom BVerwG
Der 1. Revisionssenat des BVerwG brachte während der mündlichen Verhandlung zunächst zum Ausdruck, dass er der Argumentation der Vorinstanzen im Wesentlichen folge. Eine treffende begriffliche Analogie des Gerichts zum Strafrecht verdeutlicht dabei die Problematik: Die Schaffung von „Tatgelegenheitsstrukturen“ sei nicht ausreichend. Zwar ermögliche der jeweilige Fanseiten-Betreiber Facebook durch seine Seite den Zugriff auf die Nutzerdaten, dies begründe aber weder eine datenschutzrechtliche Verantwortlichkeit noch ein Auftragsdatenverarbeitungsverhältnis (vgl. § 3 Abs. 7 BDSG)
Wieso dann eine Vorlage zum EuGH?
Dass es dennoch zur Vorlage an den EuGH kommt, liegt daran, dass der Senat die vom ULD in der Revisionsinstanz vorgetragene Argumentation, es gebe neben der „datenschutzrechtlichen Verantwortlichkeit“, wie sie vom Gesetz vorgezeichnet wird, noch einen allgemeinen Rechtsgrundsatz, so etwas wie eine allgemeine „Auswahlverantwortlichkeit“, zumindest in Erwägung zu ziehen scheint. Diese wurde bspw. von Mario Martini und Saskia Fritzsche in einem Beitrag in der NVwZ ebenfalls entworfen und meint eine in Anlehnung an § 11 Abs. 2 Satz 1 BDSG konzipierte Pflicht des Unternehmens, zu prüfen, ob Dienste, die datenschutzrechtlich bedenklich sind, überhaupt – jenseits der unmittelbaren Verantwortlichkeit – zum Einsatz kommen dürfen. Ob und inwieweit eine solche Verantwortlichkeit bei der Auswahl des Anbieters anzuerkennen sei, nahm dann auch breiten Raum in der mündlichen Verhandlung ein und kommt in den Vorlagefragen Nr. 1 und 2 prominent (allerdings europarechtlich verklausuliert) zum Ausdruck. So soll der EuGH klären, ob die europäische Datenschutzrichtlinie die Haftung und Verantwortung für Datenschutzverstöße abschließend regelt oder ob in mehrstufigen Informationsanbieterverhältnissen (hier: Facebook, Fanseitenbetreiber, Nutzer) Raum für eine Auswahlverantwortung des Fanseitenbetreibers bleibt.
Zudem soll beantwortet werden, ob in Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag i. S. d. Art. 17 Abs. 2 RL 95/46/EG bzw. § 11 BDSG verbunden sind, quasi analog zur Auftragsdatenverarbeitung eine Pflicht zur sorgfältigen Auswahl des Anbieters besteht oder ob eine solche nach nationalem Recht begründet werden kann. Diesbezüglich wies die Beigeladene Facebook zutreffend darauf hin, dass eine derartige Analogie entweder europarechtskonform auszulegen oder die Rechtsfrage dem EuGH vorzulegen sei. Letzteren Weg wählte das BVerwG.
Analogieverbot im Verwaltungsrecht?
Jenseits der spannenden Frage, ob im Verwaltungsrecht überhaupt Raum für – noch dazu belastende – Analogien ist, bleiben jedenfalls die Voraussetzungen jeder Analogie, insbesondere das Vorliegen einer planwidrigen Regelungslücke, fraglich. Mit Facebook steht ein Akteur bereit, der sich – was im Verfahren mehrfach betont wurde – selbst als datenschutzrechtlich verantwortlich einstuft. Dass das ULD für diesen Verantwortlichen unzuständig ist, schleswig-holsteinisches und möglicherweise nicht einmal deutsches Datenschutzrecht greifen und damit auch kein deutsches Gericht zur Entscheidung berufen ist, mag man bedauern, ist jedoch Folge des Binnenmarktes. Abhilfe könnte insoweit nur der geplante Kohärenzmechanismus in der Datenschutzgrundverordnung (Art. 57 DSGVO) schaffen (Zusammenarbeit der Datenschutzbehörden mit dem Ziel der einheitlichen Anwendung der DSGVO-Vorgaben).
Andere Fanseitenbetreiber, andere Regeln?
Eine wie auch immer geartete Auswahlverantwortlichkeit und der Rückgriff auf allgemeine Rechtsgrundsätze – neben der Verantwortlichkeit – wurden von den Autoren dieses Beitrags bereits im Rahmen der Ausgangsdiskussion in Schleswig-Holstein als denkbare vermittelnde Ansicht konzipiert. Dies jedoch ausschließlich begrenzt auf den öffentlichen Bereich und nicht als striktes Verbot der Facebook-Nutzung, sondern als Grundlage einer Ermessensentscheidung, in die verschiedene Faktoren einfließen können (Web 2.0 in der öffentlichen Verwaltung: Twitter, Facebook und Blogs aus rechtlicher Perspektive, in: Schliesky/Schulz (Hrsg.), Transparenz, Partizipation, Kollaboration – Web 2.0 für die öffentliche Verwaltung, Kiel 2012, S. 163 ff.):
„Diese mittelbare Verantwortlichkeit bewirkt, dass der Einsatz von Plattformen, die über bestimmte rechtlich problematische Funktionalitäten verfügen, ausgehend von allgemeinen Rechtsgrundsätzen nur aufgrund einer Abwägung der widerstreitenden Interessen legitimiert werden kann. Dies […] zugrunde gelegt, lassen sich sachgerechte Ergebnisse erzielen, die sowohl rechtsstaatlichen Grundsätzen genügen als auch eine Überdehnung der Haftung […] für Drittinhalte und -aktivitäten verhindern. Angesichts der Rechtsbindung der deutschen Verwaltung aus Art. 20 Abs. 3 GG und der Schutzverpflichtung gegenüber den Persönlichkeitsrechten der Nutzer muss analysiert werden, ob der Umstand des ggf. nicht datenschutzkonformen Umgangs mit personenbezogenen Daten durch Facebook einer Nutzung dieser Angebote grundsätzlich entgegensteht. Mangels gesetzlicher Regelungen verlagert sich die Diskussion somit auf eine andere Ebene, die keine ‚Schwarz-Weiß-Sicht bzw. -Lösung‘ und eine (vermeintlich) klare Rechtslage bereithält. Die damit aufgeworfene grundlegende Frage ist, ob eine Nutzung von Angeboten zugelassen werden kann, bei denen die öffentliche Verwaltung für bestimmte Datenverarbeitungen zwar nicht verantwortlich […] ist, bei denen jedoch möglicherweise problematische Datenverarbeitungsprozesse – auch unter Rückgriff auf die von der öffentlichen Verwaltung generierten Inhalte – seitens Facebook initiiert werden.
Eine eindeutige Antwort liefert das Gesetz nicht. Sicher ist jedoch, dass allgemeine Rechtsgrundsätze beachtet werden und die Nutzung vor dem Hintergrund staatlicher Schutzpflichten vertretbar und verhältnismäßig sein müssen. Es bedarf insoweit einer Abwägung von Risiko und Nutzen, die sowohl (angesichts der lediglich mittelbaren Wirkung von Grundrechten in Privatrechtsverhältnissen nur eingeschränkt) die seitens Facebook möglicherweise beeinträchtigten Grundrechte der Nutzer als auch die Interessen der behördlichen Fanseiten-Betreiber (öffentlicher Informationsauftrag der staatlichen Stellen, Berufsfreiheit von Privatunternehmen) einbezieht.“
Für das Verfahren vor dem BVerwG hätte diese Argumentation jedoch nur herangezogen werden können, wenn man die WAK – wie vom ULD angedeutet – als öffentliche Stelle mit Grundrechtsbindung eingestuft hätte. Dieser Versuch, einen strengeren Maßstab anzulegen, würde aber – so der Vorsitzende – dazu führen, dass die Anordnungsbefugnis aus § 38 Abs. 5 BDSG nicht mehr als taugliche Rechtsgrundlage infrage käme, da diese keine Maßnahmen gegenüber Behörden abdecke.
Auswahlverantwortlichkeit als Störerhaftung in neuem Gewand
Problematisch an der Sympathie, die das Gericht für eine Auswahlverantwortlichkeit erkennen lässt, ist, dass es sich in gewisser Weise in Widerspruch zu eigenen Äußerungen stellt. So wurden die von den Vorinstanzen zumindest andiskutierten Optionen, eine Verantwortlichkeit über eine Störerhaftung oder die Rechtsfigur des Zweckveranlassers (im Grunde die Schaffung von „Tatgelegenheitsstrukturen“) verworfen. Zutreffend wies daher der Vertreter der WAK in seinem Schlusswort darauf hin, dass die von Gericht konzipierte Auswahlverantwortlichkeit letztlich eine solche Störerhaftung sei und deren Reichweite unklar bliebe. Schließlich bleibt fraglich, ob sich die so konstruierte Auswahlverantwortlichkeit ebenfalls über § 38 Abs. 5 BDSG und von den Datenschutzbeauftragten durchsetzen ließe.
Wer die Vorteile genießt, muss auch die Lasten tragen
Demgegenüber mag man zwar grundsätzliche Sympathie für den römisch-rechtlichen Grundsatz „Qui habet commoda, ferre debet onera“ („Wer die Vorteile genießt, muss auch die Lasten tragen“) hegen, auf den sich der Vertreter des ULD unter Verweis auf den Beitrag von Martini und Fritzsche bezog. Unterschlagen hat er dabei allerdings die systematische Einordnung durch die beiden Autoren: Der Satz findet sich im Kapitel über „Rechtspolitische Desiderate“.
Insofern dürften die Gerichte – BVerwG wie EuGH – nicht der richtige Ort sein, um Erweiterungen der Verantwortlichkeiten jenseits des geschriebenen europäischen und nationalen Rechts zu diskutieren. Gefordert sind die europäischen und ggf. nationalen Gesetzgeber. Umso misslicher erscheint es – und darauf wies der Vorsitzende mehrfach hin – dass es im Kontext der Verantwortlichkeiten durch die DSGVO keine wesentlichen Veränderungen geben wird. Die Realität der sozialen Medien, des Web 2.0 – der mehrstufigen Informationsanbieterverhältnisse, oder wie anderer Stelle formuliert: des Entstehens einer zweiten Infrastrukturebene – wird bisher nur unvollständig abgebildet.
1 Kommentar. Hinterlasse eine Antwort
[…] des Betriebs einer Facebook-Fanpage erlassen. Gestützt wurde die Verfügung auf angebliche Datenschutzverstöße von Facebook und eine angenommene Mitverantwortung der Fanpage-Betreiber. Im Mittelpunkt der Kritik der Datenschutzaufsichtsbehörde stand der Facebook-Analysedienst […]