Von Lennart Schüßler, Rechtsanwalt, Bird & Bird LLP, Düsseldorf
Die Nutzung von Social Media ist heute gerade auch für Unternehmen von ganz zentraler Bedeutung. Es besteht allerdings in vielen Bereichen aus rechtlicher Sicht noch erheblicher Klärungsbedarf, gerade auch in Bezug auf das Datenschutzrecht. Neben den in den vergangenen Jahren vieldiskutierten Social Plug-ins stehen insbesondere auch sogenannte Fanpages im Zentrum der Debatte, welche ganz wesentlich vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) forciert wurde. Das ULD konzentriert sich dabei besonders auf die von Facebook angebotenen Dienste. Ein Versuch, den Klarnamenzwang (wonach Telemedienanbieter die anonyme oder pseudonyme Nutzung ihrer Dienste zulassen müssen) gegenüber Facebook direkt durchzusetzen, scheiterte im Rahmen eines Eilantrags vor dem Schleswig-Holsteinischen Oberverwaltungsgericht (OVG) im April dieses Jahres, da dieses deutsches Datenschutzrecht für nicht anwendbar hielt (vgl. Beschlüsse vom 22.04.2013 – Az. 4 MB 10/13, 4 MB 11/13). Aber nicht nur Facebook, sondern auch private und öffentliche Stellen in Schleswig-Holstein wurden vom ULD kontaktiert. So verschickte das ULD in den vergangenen Jahren nicht nur verschiedene Beseitigungsverfügungen wegen der Einbindung des sogenannten „Like-Buttons“, sondern erließ auch eine Reihe von Musteranordnungen, in denen es die Deaktivierung der jeweiligen unternehmenseigenen Fanpages forderte. Gegen diese Anordnungen wendeten sich drei betroffene Unternehmen vor dem Schleswig-Holsteinischen Verwaltungsgericht (Urteile vom 09.10.2013 – 8 A 8 A 218/11, 8 A 14/12, 8 A 37/12) – mit Erfolg!
Um was geht es genau?
Dem Rechtsstreit liegt die Auffassung des ULD zugrunde, dass Facebook-Fanpages in der gegenwärtigen Form nicht datenschutzkonform verwendet werden können. Bei Fanpages handelt es sich um von Facebook zur Verfügung gestellte Plattformen für Unternehmen, gemeinnützige Einrichtungen, Künstler, Sportler und (andere) Prominente, auf denen diese sich präsentieren können. Sobald der Betreffende sich bei Facebook registriert hat, kann er die Fanpage nutzen und eigene Inhalte einstellen. Wenn ein registrierter oder nicht registrierter Nutzer die Seite aufruft, werden bestimmte Daten an Facebook übermittelt. Facebook erstellt mit diesen Daten unter anderem statistische Profile über die Nutzung der Fanpage, die es den Betreibern (über „Facebook-Insights“) in anonymisierter Form kostenfrei zur Verfügung stellt.
Das ULD vertritt die Auffassung, dass der Betreiber einer Fanpage hinsichtlich der erhobenen Nutzerdaten (gemeinsam mit Facebook) als „verantwortliche Stelle“ im Sinne des Datenschutzrechts anzusehen ist (§ 3 Abs. 7 BDSG). Der jeweilige Betreiber leistet nämlich nach Ansicht des ULD durch das Einrichten der Fanpage einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten (etwa von IP-Adresse, Cookie-IDs, Familien- und Vorname, Geburtsdatum), und durch das Bereitstellen der Fanpage veranlasse er, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Besucher der Fanpage erstellen könne. Nach Auffassung des ULD ist der Fanpage-Betreiber als verantwortliche Stelle verpflichtet, die Unterrichtungspflichten nach § 13 Abs. 1 Telemediengesetz (TMG) einzuhalten und die für die Erstellung von Nutzungsprofilen („Facebook-Insights“) erforderliche Einwilligung nach § 13 Abs. 3 TMG einzuholen. Auch müsse der Betreiber der Fanpage den Nutzer entsprechend informieren und auf sein Widerspruchsrecht hinweisen (§§ 13. Abs. 1, 15 Abs. 3 Satz 2 TMG). Diesen Verpflichtungen sind die betroffenen Unternehmen nach Ansicht des ULD nicht nachgekommen. Es stellt fest, dass Facebook keine technischen Möglichkeiten für einen Widerspruch bereitstellt und es daher zurzeit keine Möglichkeit für Betreiber von Fanpages gebe, ihren datenschutzrechtlichen Verpflichtungen überhaupt nachzukommen. Das ULD ordnete deshalb direkt an, die jeweiligen Fanpages zu deaktivieren.
Schleswig-Holsteinisches VG: keine Verantwortlichkeit des Fanpage-Betreibers
Das Schleswig-Holsteinische Verwaltungsgericht (VG) folgte dieser Argumentation nicht. Es verneinte eine Verantwortlichkeit der Fanpage-Betreiber im Sinne des
§ 12 Abs. 3 TMG in Verbindung mit § 3 Abs. 7 BDSG und hob die streitigen Anordnungen des ULD auf.
Das Gericht begründet seine Auffassung damit, dass sich der Begriff der „verantwortlichen Stelle“ allein danach definiere, ob eine Stelle die personenbezogenen Daten für sich selbst erhebe, verarbeite oder nutze oder dies durch andere im Auftrag vornehmen lasse. Voraussetzung ist nach Ansicht des Gerichts also, dass der Kläger selbst Kenntnis von den Daten erhält oder objektive Verfügungsgewalt über diese begründet. Beides sei nicht der Fall, da die Daten der Nutzer der Fanpage zu keinem Zeitpunkt mit der technischen Infrastruktur der Kläger in Berührung kämen, sondern allein und unmittelbar von Facebook erhoben und durch Facebook verarbeitet würden. Das Gericht führte weiterhin aus, dass den Betreibern der Fanpages weder ein inhaltlicher Bewertungs- und Ermessensspielraum noch ein sonstiger Einfluss auf die Verarbeitung der Daten durch Facebook zukomme. Die Daten würden im alleinigen Entscheidungsspielraum von Facebook für dessen Geschäftszwecke erhoben und verarbeitet. Allein Facebook entscheide, ob Nutzeraktivitäten nachverfolgt würden oder nicht und in welcher Form Fanpage-Betreibern Informationen zur Verfügung gestellt würden. Nach Auffassung des VG werden die Daten bei Aufruf der Fanpage durch Facebook direkt vom Nutzer erhoben, ohne dass der Betreiber der Fanpage hiervon Kenntnis erlangt. Dementsprechend sei eine datenschutzrechtliche (Mit-)Verantwortlichkeit der Kläger für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fan-page durch Facebook auch abzulehnen.
Stellungnahme und Ausblick
Das Urteil ist juristisch richtig und zu begrüßen. Das VG stellt in seiner Entscheidung zutreffend fest, dass eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung über die Verarbeitung personenbezogener Daten hat, nicht verantwortliche Stelle im Sinne des Datenschutzrechts sein kann (vgl. Art. 29 Datenschutzgruppe, WP 169). Das ULD geht – wohl aus Wertungsgesichtspunkten – davon aus, dass die Verantwortlichkeit des Fanpage-Betreibers sich allein darin begründet, dass dieser sich dafür entscheidet, eine Fanpage einzurichten. Dabei wird aber übersehen, dass das deutsche Datenschutzrecht kein „Veranlasserprinzip“ kennt. Eine Argumentation auf Basis des „Veranlasserprinzips“ (die auch teilweise in der Literatur im Zusammenhang mit dem „Like-Button“ geführt wird) kann schon deshalb nicht überzeugen, weil das deutsche Datenschutzrecht die aus dem Störerrecht entnommene Figur des sogenannten „Veranlassers“ als eigene Form der Verantwortlichkeit (also einer Verantwortlichkeit, die akzessorisch zu einem fremden Rechtsverstoß besteht) nicht kennt. Das BDSG ist insoweit abschließend.
Wie sich der Streit um datenschutzrechtliche Verantwortlichkeiten im Zusammenhang mit Social Media weiter entwickeln wird, bleibt abzuwarten. Das Urteil bedeutet jedenfalls nicht, dass Unternehmen, die Fanpages betreiben, keinerlei rechtlichen Verpflichtungen unterliegen. Fanpage-Betreiber sollten sich darüber im Klaren sein, dass, soweit sie personenbezogene Daten selbst für eigene Geschäftszwecke über ihre Fanpage erheben, sie auch für diese Daten verantwortlich sind. Zudem sind die Betreiber einer solchen Seite – nach wohl nunmehr allgemeiner Ansicht – auch als Diensteanbieter im Sinne des § 2 TMG anzusehen und unterliegen dementsprechend auch der Impressumspflicht.
Auch wenn das Urteil ein erster Schritt in die richtige Richtung ist, von Rechtssicherheit kann (auch in Schleswig-Holstein) noch nicht gesprochen werden. Das ULD hat in seiner Pressemitteilung vom 01.11.2013 bereits mitgeteilt, dass es gegen eines der Urteile des Verwaltungsgerichts Berufung eingelegt hat. Die weiteren Entwicklungen dürfen also mit Spannung erwartet werden. In jedem Fall wäre eine klare gesetzliche Regelung in diesem Zusammenhang (etwa im Rahmen der geplanten EU-Datenschutz-Grundverordnung) wünschenswert.
Kontakt: Lennart.schuessler@twobirds.com