Verwaltungsgericht Schleswig-Holstein: Das Betreiben einer Facebook-Fanpage verstößt nicht gegen das Datenschutzrecht -
Das Schleswig-Holsteinische Verwaltungsgericht entschied mit Urteil vom 09.10.2013, dass deutsche Betreiber von Facebook-Fanpages für die bei Facebook erfolgende Datenverarbeitung datenschutzrechtlich in keiner Weise verantwortlich gemacht werden können (Aktz: 8 A 37/12, 8 A 14/12, 8 A 218/11). Unternehmen und öffentliche Einrichtungen in Schleswig-Holstein dürfen damit nicht daran gehindert werden, Fanseiten in dem sozialen Netzwerk zu betreiben.
Das Verwaltungsgericht entsprach damit drei Klagen von Unternehmen in Schleswig-Holstein – u.a. der Wirtschaftsakademie Schleswig-Holstein GmbH der Industrie- und Handelskammer – gegen Verfügungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wegen des Betriebs von Facebook-Fanseiten.
Zum Hintergrund
Im Herbst 2011 war das ULD gegen mehrere private und öffentliche Betreiber solcher Fanseiten vorgegangen, weil beim Betrieb derartiger Seiten nach Ansicht des ULD ein Verstoß gegen datenschutzrechtliche Vorschriften im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) vorliege. Daraufhin wurden vom ULD im November 2011 gegen drei Unternehmen Anordnungen erlassen, in denen auferlegt wurde, die von den Unternehmen betriebenen Fanseiten auf Facebook zu deaktivieren.
Das ULD hatte diese Anordnungen unter anderem damit begründet, dass Daten von Nutzern, welche die Fanseite aufrufen, für Zwecke der Werbung von Facebook erhoben werden, ohne dass die für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle den Nutzern eine Widerspruchsmöglichkeit - wie gesetzliche vorgeschrieben – bereitstellt und auch hierüber unterrichtet. Hier fehle es nach Ansicht des ULD schon an einer technischen Möglichkeit diese Anforderung zu beachten, da Facebook hierfür keine technische Lösung bereitstellt, so dass allein schon deshalb ein Verstoß gegen das Telemediengesetz vorläge.
Weiter hatte das ULD vertreten, dass die Unternehmen die Fanpages betreiben zudem datenschutzrechtlich verantwortlich seien, da sie durch das Bereitstellen einer Fanpage veranlassen, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Besucher für Marketingzwecke erstellt. Über diese Datenerfassung von Facebook würde der Besucher auch nicht ausreichend informiert werden, weshalb auch keine wirksame Einwilligung vorliege.
Aufgrund dessen und der mangelnden Möglichkeiten zur Errichtung eines Widerspruchsmechanismus gegen die Datenverarbeitung hatte das ULD angeordnet, die betriebenen Fanpages zu deaktivieren.
Nach erfolglosem Widerspruchsverfahren gegen die erlassenen Anordnungen haben die drei Unternehmen hierauf im Dezember 2011 Klage erhoben. In den Gerichtsverfahren geht es um die grundlegende Frage, ob und inwieweit Stellen in Deutschland, die das Fanseiten-Angebot von Facebook nutzen, für die durch Facebook praktizierte Datenverarbeitung mit verantwortlich gemacht werden können. Diese Frage hat weit über die zu entscheidenden Einzelfälle hinaus Bedeutung. Es ist eine im Internet weit verbreitete Praxis, dass sich Stellen in Deutschland ausländische Datenverarbeitung für ihre eigenen Datenzwecke nutzbar machen, da es gerichtlich bisher ungeklärt war, welche datenschutzrechtlichen Verpflichtungen sich durch die Nutzung von Internetdiensten, wie das Betreiben von Fanseiten, ergeben.
Zur Entscheidung
Das Schleswig-Holsteinische Verwaltungsgericht folgte in seinem Urteil vom 09.10.2013 der Argumentation des ULD bezüglich der Anordnungen nicht. Es ließ zwar offen, ob und in welchem Umfang die Erfassung von Daten der Nutzer der Fanpage zur Verletzung von Datenschutzrechten führt, der Betreiber der Fanpage sei hierfür jedoch datenschutzrechtlich nicht verantwortlich. Die Verantwortlichkeit ergibt sich aus dem Bundesdatenschutzgesetz (BDSG) und der Europäischen Datenschutzrichtlinie. Danach sei nicht verantwortlich, wer weder tatsächlich noch rechtlichen Einfluss auf die Datenverarbeitung habe. Die Datenverarbeitung findet bei Facebook in der irischen Niederlassung von Facebook statt, so dass die deutschen Fanpage-Betreiber darauf keinen Einfluss nehmen können und auch keinen Zugriff auf die personenbezogenen Daten hätten. Dementsprechend fehle es auch an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook allein stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss. Das Gericht hat daher die streitigen Anordnungen des ULG aufgehoben.
Bereits im April 2013 entschied das Verwaltungsgericht, wie auch das Oberverwaltungsgericht Schleswig, dass auch Facebook in Irland bzw. USA selbst nicht zur Anwendung des deutschen Datenschutzrechtes verpflichtet werden kann (Beschlüsse vom 22. April 2013, Aktz: 4 MB 10/13 und 11/13). Die Datenverarbeitung finde nämlich bei der irischen Niederlassung von Facebook statt. Deutsches Recht ist damit nach der Europäischen Datenschutzrichtlinie und dem Bundesdatenschutzgesetz auf die Verarbeitung der Facebook-Nutzerdaten nicht anwendbar, sondern ausschließlich irisches Datenschutzrecht.
Reaktion des ULD / Ausblick
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat gegen das Urteil am 1.11.2013 Berufung eingelegt.
Nach Ansicht des ULD ist eine Korrektur der Urteile des VG Schleswig dringend geboten: „Grundlegende Regelungen des deutschen Telemedienrechts werden nicht ausreichend beachtet. Insbesondere ignorieren sie die grundrechtliche Schutzpflicht des Staates für das Recht auf informationelle Selbstbestimmung im Hinblick auf das Internet.“
Aufgrund der grundsätzlichen Bedeutung der Rechtsache ist mit einem weiteren Verlauf des Verfahrens zu rechnen. Thilo Weichert, Leiter des ULD schlägt „im Zweifel eine Vorlage beim Europäischen Gerichtshof vor, um insofern eine schnelle verbindliche Klärung herbeizuführen“.
Fazit
Die datenschutzrechtliche Verantwortung für die Datenverarbeitung liegt bei Facebook und nicht bei den Unternehmen, die Fanpages auf Facebook betreiben.
Die Ansicht des ULD, dass Unternehmen, die Facebook-Fanpages anbieten, datenschutzrechtlich für die Datenverarbeitung von Facebook, die ausschließlich zwischen Facebook und den Nutzern stattfindet, verantwortlich seien geht fehl. Dies würde die datenschutzrechtliche Verantwortung für Unternehmen über die Gebühr strapazieren, denn Fakt ist, dass die Datenverarbeitung durch Facebook erfolgt und gerade nicht durch die Unternehmen veranlasst wird.
In diesem Zusammenhang ist zu beachten, dass zwischen der Verantwortlichkeit für Dienstleister, die im Auftrag der Unternehmen Daten verarbeiten und der Verantwortlichkeit für Dienstleister deren Leistung Unternehmen lediglich in Anspruch nehmen, zu unterscheiden ist. Die Unternehmer, die Fanpages betreiben, beauftragen Facebook nicht in ihrem Auftrag Daten zu verarbeiten und können daher auch nicht für die Datenverarbeitung von Facebook verantwortlich gemacht werden.
Das Verwaltungsgericht entsprach damit drei Klagen von Unternehmen in Schleswig-Holstein – u.a. der Wirtschaftsakademie Schleswig-Holstein GmbH der Industrie- und Handelskammer – gegen Verfügungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wegen des Betriebs von Facebook-Fanseiten.
Zum Hintergrund
Im Herbst 2011 war das ULD gegen mehrere private und öffentliche Betreiber solcher Fanseiten vorgegangen, weil beim Betrieb derartiger Seiten nach Ansicht des ULD ein Verstoß gegen datenschutzrechtliche Vorschriften im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) vorliege. Daraufhin wurden vom ULD im November 2011 gegen drei Unternehmen Anordnungen erlassen, in denen auferlegt wurde, die von den Unternehmen betriebenen Fanseiten auf Facebook zu deaktivieren.
Das ULD hatte diese Anordnungen unter anderem damit begründet, dass Daten von Nutzern, welche die Fanseite aufrufen, für Zwecke der Werbung von Facebook erhoben werden, ohne dass die für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle den Nutzern eine Widerspruchsmöglichkeit - wie gesetzliche vorgeschrieben – bereitstellt und auch hierüber unterrichtet. Hier fehle es nach Ansicht des ULD schon an einer technischen Möglichkeit diese Anforderung zu beachten, da Facebook hierfür keine technische Lösung bereitstellt, so dass allein schon deshalb ein Verstoß gegen das Telemediengesetz vorläge.
Weiter hatte das ULD vertreten, dass die Unternehmen die Fanpages betreiben zudem datenschutzrechtlich verantwortlich seien, da sie durch das Bereitstellen einer Fanpage veranlassen, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Besucher für Marketingzwecke erstellt. Über diese Datenerfassung von Facebook würde der Besucher auch nicht ausreichend informiert werden, weshalb auch keine wirksame Einwilligung vorliege.
Aufgrund dessen und der mangelnden Möglichkeiten zur Errichtung eines Widerspruchsmechanismus gegen die Datenverarbeitung hatte das ULD angeordnet, die betriebenen Fanpages zu deaktivieren.
Nach erfolglosem Widerspruchsverfahren gegen die erlassenen Anordnungen haben die drei Unternehmen hierauf im Dezember 2011 Klage erhoben. In den Gerichtsverfahren geht es um die grundlegende Frage, ob und inwieweit Stellen in Deutschland, die das Fanseiten-Angebot von Facebook nutzen, für die durch Facebook praktizierte Datenverarbeitung mit verantwortlich gemacht werden können. Diese Frage hat weit über die zu entscheidenden Einzelfälle hinaus Bedeutung. Es ist eine im Internet weit verbreitete Praxis, dass sich Stellen in Deutschland ausländische Datenverarbeitung für ihre eigenen Datenzwecke nutzbar machen, da es gerichtlich bisher ungeklärt war, welche datenschutzrechtlichen Verpflichtungen sich durch die Nutzung von Internetdiensten, wie das Betreiben von Fanseiten, ergeben.
Zur Entscheidung
Das Schleswig-Holsteinische Verwaltungsgericht folgte in seinem Urteil vom 09.10.2013 der Argumentation des ULD bezüglich der Anordnungen nicht. Es ließ zwar offen, ob und in welchem Umfang die Erfassung von Daten der Nutzer der Fanpage zur Verletzung von Datenschutzrechten führt, der Betreiber der Fanpage sei hierfür jedoch datenschutzrechtlich nicht verantwortlich. Die Verantwortlichkeit ergibt sich aus dem Bundesdatenschutzgesetz (BDSG) und der Europäischen Datenschutzrichtlinie. Danach sei nicht verantwortlich, wer weder tatsächlich noch rechtlichen Einfluss auf die Datenverarbeitung habe. Die Datenverarbeitung findet bei Facebook in der irischen Niederlassung von Facebook statt, so dass die deutschen Fanpage-Betreiber darauf keinen Einfluss nehmen können und auch keinen Zugriff auf die personenbezogenen Daten hätten. Dementsprechend fehle es auch an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook allein stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss. Das Gericht hat daher die streitigen Anordnungen des ULG aufgehoben.
Bereits im April 2013 entschied das Verwaltungsgericht, wie auch das Oberverwaltungsgericht Schleswig, dass auch Facebook in Irland bzw. USA selbst nicht zur Anwendung des deutschen Datenschutzrechtes verpflichtet werden kann (Beschlüsse vom 22. April 2013, Aktz: 4 MB 10/13 und 11/13). Die Datenverarbeitung finde nämlich bei der irischen Niederlassung von Facebook statt. Deutsches Recht ist damit nach der Europäischen Datenschutzrichtlinie und dem Bundesdatenschutzgesetz auf die Verarbeitung der Facebook-Nutzerdaten nicht anwendbar, sondern ausschließlich irisches Datenschutzrecht.
Reaktion des ULD / Ausblick
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat gegen das Urteil am 1.11.2013 Berufung eingelegt.
Nach Ansicht des ULD ist eine Korrektur der Urteile des VG Schleswig dringend geboten: „Grundlegende Regelungen des deutschen Telemedienrechts werden nicht ausreichend beachtet. Insbesondere ignorieren sie die grundrechtliche Schutzpflicht des Staates für das Recht auf informationelle Selbstbestimmung im Hinblick auf das Internet.“
Aufgrund der grundsätzlichen Bedeutung der Rechtsache ist mit einem weiteren Verlauf des Verfahrens zu rechnen. Thilo Weichert, Leiter des ULD schlägt „im Zweifel eine Vorlage beim Europäischen Gerichtshof vor, um insofern eine schnelle verbindliche Klärung herbeizuführen“.
Fazit
Die datenschutzrechtliche Verantwortung für die Datenverarbeitung liegt bei Facebook und nicht bei den Unternehmen, die Fanpages auf Facebook betreiben.
Die Ansicht des ULD, dass Unternehmen, die Facebook-Fanpages anbieten, datenschutzrechtlich für die Datenverarbeitung von Facebook, die ausschließlich zwischen Facebook und den Nutzern stattfindet, verantwortlich seien geht fehl. Dies würde die datenschutzrechtliche Verantwortung für Unternehmen über die Gebühr strapazieren, denn Fakt ist, dass die Datenverarbeitung durch Facebook erfolgt und gerade nicht durch die Unternehmen veranlasst wird.
In diesem Zusammenhang ist zu beachten, dass zwischen der Verantwortlichkeit für Dienstleister, die im Auftrag der Unternehmen Daten verarbeiten und der Verantwortlichkeit für Dienstleister deren Leistung Unternehmen lediglich in Anspruch nehmen, zu unterscheiden ist. Die Unternehmer, die Fanpages betreiben, beauftragen Facebook nicht in ihrem Auftrag Daten zu verarbeiten und können daher auch nicht für die Datenverarbeitung von Facebook verantwortlich gemacht werden.