Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG) Sperrung von Nutzerkonten und Aufforderung an Nutzer zur Eingabe von Echtdaten durch Facebook Ltd.
ULD . Postfach 71 16 . 24171 Kiel Internationales Einschreiben mit Rückschein
| Holstenstraße 98
Kiel, 14. Dezember 2012 |
Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG)
Sperrung von Nutzerkonten und Aufforderung an Nutzer zur Eingabe von Echtdaten durch Facebook;
Sehr geehrter Herr XXXXXXXXXXXX,
das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als zuständige Aufsichtsbehörde für die Einhaltung des Datenschutzes im nicht öffentlichen Bereich (§§ 39 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) in Verbindung mit § 38 Abs. 1 BDSG) ordnet hiermit gemäß § 38 Abs. 5 Satz 1 BDSG an:
I. Die Facebook Ltd. wird nach § 38 Abs. 5 Satz 1 BDSG als verantwortliche Stelle verpflichtet, für natürliche Personen, die in Schleswig-Holstein Telemedien unter www.facebook.com nutzen möchten, auch unter Einwirkung auf die Facebook Inc., als mitverantwortliche Stelle durch die Einrichtung eines technischen Verfahrens Folgendes sicherzustellen:
1. Es muss die Wahlmöglichkeit bestehen, im Rahmen der Registrierung unter www.facebook.com, anstelle der Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) sich unter Eingabe eines Pseudonyms zu registrieren.
2. Konten unter www.facebook.com registrierter Personen, die ausschließlich und allein wegen des Grundes der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt sind, müssen entsperrt werden.
3. Unter www.facebook.com muss vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms unterrichtet werden.
II. Die sofortige Vollziehung der unter I. Nr. 2 getroffenen Regelung wird angeordnet.
III. Sollte die Facebook Ltd. den unter I. getroffenen Regelungen nicht innerhalb von zwei Wochen nach Zustellung dieses Bescheides nachkommen, wird gegen sie ein Zwangsgeld in Höhe von 20.000 Euro verhängt.
Begründung
A.
Facebook Ltd. bietet natürlichen Personen in Schleswig-Holstein unter www.facebook.com nach vorheriger Registrierung verschiedene Dienste an. Zur Registrierung fordert Facebook Ltd. folgende Angaben: Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum. In den Nutzungsbedingungen von Facebook vom 8. Juni 2012 wird unter „4. Registrierung und Sicherheit der Konten“ wie folgt ausgeführt: „Facebook-Nutzer geben ihre wahren Namen und Daten an und wir benötigen deine Hilfe, damit dies so bleibt.“ Nutzer, welche nach Abschluss des Anmeldeverfahrens ein Konto erhielten und bei der Registrierung nicht ihre korrekten Vornamen und Nachnamen angegeben haben, werden von Facebook Ltd. über die vorübergehende Sperrung ihres Kontos unterrichtet. Facebook Ltd. macht die Entsperrung des Kontos davon abhängig, dass der Nutzer die Kopie seines amtlichen Lichtbildausweises zwecks Identifizierung zur Verfügung stellt. Soweit sich die betroffenen Personen bei ihren Nutzerkonten anmelden möchten, wird unter www.facebook.com folgender Text angezeigt:
"Wir haben dein Konto vorübergehend gesperrt, weil wir festgestellt haben, dass dein Profil nicht deinen richtigen Namen enthält. Bitte teile uns folgende Informationen mit, damit wir deinen echten Namen bestätigen und dein Konto entsprechend aktualisieren können. Facebook ist eine Gemeinschaft, in der Menschen mithilfe ihrer wahren Identitäten miteinander in Verbindung treten und Inhalte teilen können. Wir können Dir erst dann helfen, wenn Du Deinen richtigen, vollständigen Namen unten eingegeben hast. Dazu gehören nicht:
- Symbole, Nummern, ungewöhnliche Großschreibung oder Satzzeichensetzung
- Zeichen aus verschiedenen Sprachen
- Berufliche oder religiöse Titel
- Der Name von mehr als einer Person
Mehr über unsere Namensrichtlinien.
Sobald wir diese Informationen erhalten haben, werden wir den Status des Kontos neu bewerten.
Vorname, z. B. Max
Zweiter Vorname, Optional
Nachname, z. B. Mustermann
Bitte lade eine Kopie deines amtlichen Lichtbildausweises hoch, damit wir bestätigen können, dass dies dein echter Name ist. In unseren Ausweis-Richtlinien erfährst du mehr darüber, warum wir eine Kopie deines Ausweises benötigen und welche Arten von Ausweisen wir akzeptieren.“
B.
a) Für die von dem Unternehmen Facebook Ltd. angebotenen Dienste, welche von Nutzern in Deutschland in Anspruch genommen werden, findet nach § 1 Abs. 5 Satz 2 BDSG, Art. 4 Abs. 1 c) der EU-Richtlinie 95/46/EG deutsches Datenschutzrecht Anwendung. Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Zusammenhang mit der Sperrung von Nutzerkonten und der Aufforderung an die Nutzer zur Eingabe von Echtdaten in ihren Profilen qualifiziert sich Facebook Ltd. als verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG, Art. 2 d) der EU-Richtlinie 95/46/EG und kooperiert dabei mit der Facebook Inc., United States.
Das Unternehmen Facebook Ltd. ist verpflichtet, die Bestimmungen des Telemediengesetzes (TMG) einzuhalten. Gemäß Ziffer 17.3 der Nutzungsbedingungen von Facebook („Letzte Überarbeitung: 8. Juni 2012“) gilt in Abänderung der Ziffer 16.1 für „Nutzer mit Wohnsitz in Deutschland“ deutsches Recht. Über zahlreiche Verweise in den „Richtlinien für Promotions, letzte Überarbeitung: 11. Mai 2011“, den „Facebook-Richtlinien für Werbeanzeigen, letzte Überarbeitung: 20. März 2012“, den „Richtlinien der Facebook-Plattform“ und den „Nutzungsbedingungen für Seiten“, letzte Überarbeitung: 29. Februar 2012 gilt die über Ziffer 17.3 der Nutzungsbedingungen getroffene Rechtswahlvereinbarung für sämtliche Datenverarbeitungen durch Facebook. Damit gilt auch für die Facebook Ireland Ltd. deutsches Datenschutzrecht und diesem Zusammenhang auch das deutsche Telemediengesetz (TMG).
Gemäß § 3 Abs. 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die Regelung setzt Art. 2 d) der Richtlinie 95/46/EG um, wonach für die Verarbeitung Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach dieser Maßgabe ist zunächst Facebook Inc. verantwortliche Stelle. Für die Beurteilung der Verantwortlichkeit aus datenschutzrechtlicher Sicht ist entscheidend, wer objektiv über die Datenverarbeitung bestimmen kann und wer die Entscheidungsgewalt über die Zwecke und Mittel der Datenverarbeitung hat. Facebook Inc. bestimmt die Geschäftspolitik und in diesem Zusammenhang über die Zwecke (z.B. Werbung, bedarfsgerechte Gestaltung von Telemedien), zu welchen die personenbezogenen Daten der Nutzer verarbeitet werden. Ferner bestimmt Facebook Inc. im Rahmen dieser geschäftspolitischen Arbeitsteilung über die wesentlichen Mittel der Datenverarbeitung, d.h. über die technischen Methoden der Verarbeitung und z.B. auch über die Fragen, welche Daten verarbeitet werden oder wann eine Löschung erfolgt.
Im Schreiben der Facebook Ltd. vom 6. Dezember 2012 wird allerdings behauptet, „Facebook Ltd. habe „die Organisation, die notwendige Struktur und das Personal, um aktiv Richtlinien und Methoden für den Umgang mit personenbezogenen Daten von europäischen Nutzern zu entwickeln und zu implementieren.“ Facebook Ltd. treffe „auch tatsächlich die relevanten Entscheidungen betreffend der Behandlung der Daten europäischer Nutzer“ und entwickle „spezifisch europäische Vorgehensweisen.“ Verwiesen wird zudem auf den kürzlich für die europäischen Datenschutzbehörden eingerichteten Kommunikationskanal per E-Mail, der von Mitarbeitern der Facebook Ltd. betreut werde. Diese Ausführungen können zwar die Annahme einer alleinigen Verantwortlichkeit der Facebook Ltd. nicht stützen. Allerdings kann unter Beteiligung zweier oder mehrerer Stellen eine gemeinsame Kontrolle wahrgenommen werden, indem diese im Zusammenhang mit spezifischen Verarbeitungen entweder über den Zweck oder über wesentliche Elemente der Mittel entscheiden, die einen für die Verarbeitung Verantwortlichen kennzeichnen (Art. 29-Datenschutzgruppe, WP 169, v. 16.02.2010, S. 23). Die Beteiligung kann verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein. Wenn zwei oder mehrere Akteure an den entsprechenden Entscheidungen beteiligt sind, kann ihre Beziehung sehr eng (vollständig übereinstimmende Zwecke und Mittel) oder weit (Aussschließlich die Zwecke oder die Mittel oder nur Teile hiervon stimmen überein.) ausgestaltet sein. Vor diesem Hintergrund ist neben der Facebook Inc. auch die Facebook Ltd. als verantwortliche Stelle zu qualifizieren.
b) Mit den angebotenen Diensten hält das Unternehmen Facebook Ltd. eigene und fremde Telemedien zur Nutzung bereit und wird dadurch gegenüber den Nutzern als Diensteanbieter nach § 2 Nr. 1 TMG tätig. Gemäß § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist nach § 13 Abs. 6 Satz 2 TMG über diese Möglichkeit zu informieren. Das Unternehmen Facebook Inc. verstößt mit dem angebotenen Registrierungsprozess unter www.facebook.com, bei welchem Echtdaten eingegeben werden müssen, sowie mit der Forderung, eine Kontoentsperrung erst nach Eingabe der Echtdaten vorzunehmen, gegen § 13 Abs. 6 TMG. Es ist dem Unternehmen Facebook Inc. technisch möglich und tatsächlich zumutbar, eine pseudonyme Nutzung von Telemedien zu ermöglichen.
c) Die angeordneten Maßnahmen sind geeignet. Sie bezwecken den Schutz des Rechts auf informationelle Selbstbestimmung von natürlichen Personen, welche Dienstangebote der Facebook Ltd. in Anspruch nehmen möchten. Mit der Anordnung, durch ein technisches Verfahren eine Wahlmöglichkeit zu schaffen, Anmeldungen auch unter Pseudonym zuzulassen, wird die Einhaltung des Gebots der Datensparsamkeit und Datenvermeidung nach § 13 Abs. 6 TMG, § 3a BDSG durchgesetzt (BT-Drs. 13/7385, S. 23). Das Gebot der Datensparsamkeit und der Datenvermeidung knüpft dabei an den datenschutzrechtlichen Grundsatz der Erforderlichkeit an, der das Erheben, Verarbeiten und Nutzen personenbezogener Daten auf den für die Erreichung eines gesetzlich bestimmten oder vereinbarten Zwecks notwendigen Umfang begrenzt. Von der verantwortlichen Stelle wird eine aktive Gestaltung ihrer technischen und organisatorischen Verfahren in der Form verlangt, dass diese möglichst wenig personenbezogene Daten verarbeiten (Scholz, in: Simitis, BDSG, 7. Auflage 2011, § 3a, Rn 33). Zur Umsetzung dieser Grundsätze muss den Nutzern die Wahlmöglichkeit verbleiben, bei der Registrierung Echtdaten einzugeben oder nicht. Eine Unterrichtung vor dem Registrierungsprozess wahrt die Entscheidungsfreiheit der Nutzer und ist geeignet, deren Recht auf informationelle Selbstbestimmung zu schützen. Die Anordnung der Kontenentsperrung ist weiterhin geeignet, dass eine rechtswidrige Zugangsschranke für den Zugriff auf Nutzerdaten beseitigt wird.
d) Die angeordneten Maßnahmen sind erforderlich. Im Rahmen der rechtlich zulässigen Anordnungen ist kein milderes Mittel ersichtlich, welches einen gleichwertigen Schutz bewirken könnte. Die Ermöglichung einer pseudonymen Nutzung und eine Unterrichtung über die Möglichkeit einer Anmeldung mit Echtdaten oder per Pseudonym durch Einrichtung eines technischen Verfahrens sind alternativlos. Ebenso sind bezüglich der angeordneten Kontenentsperrung keine milderen Mittel ersichtlich.
e) Die angeordneten Maßnahmen sind angemessen. Sie greifen nur insoweit in die Rechte des Adressaten der Anordnung ein, wie dies für das angestrebte Ziel unerlässlich ist.
(1) Facebook Ltd. sieht nach den Ausführungen in seinem Schreiben vom 6. Dezember 2012 seine „Kultur der wahren Identität“ in Gefahr. Das Unternehmen sei bemüht, die sozialen Normen der realen Welt in einer Online-Umgebung abzubilden, indem besondere Betonung auf die menschlichen Qualitäten von Kommunikation und gemeinsamer Nutzung gelegt werde. Beklagt wird die Einstellung von „Troll-Beiträgen“. Damit seien Personen gemeint, die „in Online-Communities wie z.B. in Online-Diskussionsforen, Chat-Räumen oder Blogs aufrührerische, irrelevante oder nicht zum Thema gehörende Beiträge schreiben und damit in erster Linie das Ziel verfolgen, andere Nutzer zu einer emotionalen Antwort zu bewegen oder die normale themenbezogene Diskussion auf sonstige Weise zu stören.“
Den Nutzern von Facebook steht nach Art.1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG ein Recht auf Wahrung ihres allgemeinen Persönlichkeitsrechts zu, aus welchem ein Recht auf informationelle Selbstbestimmung resultiert. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (BVerfGE 65, 1, 43). Das BVerfG hat ferner ausgeführt, dass derjenige in seiner Freiheit wesentlich gehemmt werden kann, aus eigener Selbstbestimmung zu planen und zu entscheiden, wer nicht mit Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist (BVerfGE 65, 1, 43).
Dem Recht auf informationelle Selbstbestimmung steht das Recht des Facebook-Konzerns gegenüber, sich wettbewerblich zu betätigen. Aus verfassungsrechtlicher Sicht muss ein verhältnismäßiger Ausgleich der widerstreitenden Interessen ermittelt werden. Dabei ist von Bedeutung, dass die Facebook Ltd. nicht etwa die Erfüllung karitativer Zwecke anstrebt und im Rahmen einer weltweiten „Mission“ (so im Schreiben vom 6. Dezember 2012, S. 6) lediglich die Kommunikation unter den Menschen verbessern möchte. Facebook Ltd. ist wie Facebook Inc. ein Unternehmen, welches mit Gewinnerzielungsabsicht tätig wird und sein Geschäftsmodell über diverse Werbungs- und Marketingmaßnahmen betreibt. Daten zu Nutzeraktivitäten werden detailliert ausgewertet und für diese Werbe- und Marketingzwecke verarbeitet und genutzt. Nach den Ausführungen in den Datenverwendungsrichtlinien unter www.facebook.com (letzte Aktualisierung: 8. Juni 2012) stellt Facebook seinen Geschäftspartnern Tools bereit, um anhand bestimmter Nutzerinformationen (z.B. Standort, Demographie, Vorlieben, Schlüsselwörter, Alter) gezielt Werbung zu schalten. Facebook nutzt insbesondere Informationen wie z.B. die Registrierungsdaten der Nutzer (Vorname, Nachname, Geburtsdatum, Geschlecht, E-Mail), Cookies und IP-Adressen, um Werbeanzeigen bereitzustellen. Insbesondere über den realen Namen eröffnen sich den Unternehmen Möglichkeiten der Verknüpfung von Angaben aus der analogen Welt mit Daten in der Internetumgebung. Der wettbewerbsrechtlichen Betätigungsfreiheit stehen die Rechte der einzelnen Nutzer entgegen, gerade nicht identifiziert zu werden und dass eine Erstellung von Nutzerprofilen für Werbe- und Marketingzwecke unterbleibt.
Ein weiteres Recht der Nutzer ist die Ausübung der verfassungsrechtlich gewährleisteten Meinungsäußerungsfreiheit. Vom Schutzbereich der Meinungsfreiheit umfasst sind zum einen Meinungen, das heißt durch das Element der Stellungnahme und des Dafürhaltens geprägte Äußerungen. Sie fallen stets in den Schutzbereich von Art. 5 Abs. 1 Satz 1 GG, ohne dass es dabei darauf ankäme, ob sie sich als wahr oder unwahr erweisen, ob sie begründet oder grundlos, emotional oder rational sind, oder ob sie als wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt werden (BVerfGE 90, 241, 247; 124, 300, 320). Sie verlieren diesen Schutz auch dann nicht, wenn sie scharf und überzogen geäußert werden (BVerfGE 61, 1, 7 f.; 90, 241, 247; 93, 266, 289). Wer damit rechnen muss, als „Troll“ identifiziert zu werden und dessen Meinungskundgabe somit über Facebook gesteuert, zugelassen oder erlaubt wird, wird an der Ausübung seiner Meinungsäußerungsfreiheit massiv gehindert. Dies stellt auch einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, wenn die Meinungskundgabe stets von einer Registrierung mit Echtdaten abhängig gemacht wird. Die wettbewerbliche Betätigungsfreiheit von Facebook muss hier zurücktreten. Dies ist von § 13 Abs. 6 TMG gedeckt. Facebook hat nicht die Befugnis, von Art. 5 Abs. 1 Satz 1 GG geschützte Äußerungen zu unterbinden, soweit diese „aufrührerische, irrelevante oder nicht zum Thema gehörenden Beiträge“ enthalten.
(2) Facebook führt im Schreiben vom 6. Dezember 2012 aus, dass die Nutzer „wollen und erwarten, dass ihre Verbindungen auf Facebook authentisch sind.“ Schließlich würde die pseudonyme Nutzung von Facebook die „Integrität des Umfelds für alle Nutzer destabilisieren und das Vertrauen untergraben, das für den Austausch auf Facebook erforderlich ist.“ Es mag sein, dass bestimmte Nutzer im Rahmen der Registrierung unter www.facebook.com ihre Echtdaten eingeben und sich wünschen, dass dies auch andere Personen tun. Jeder Nutzer muss nach Maßgabe von § 13 Abs. 6 TMG aber die Wahlmöglichkeit haben, anstelle der Eingabe der Echtdaten mit einem Pseudonym zu arbeiten. Gerade hierin besteht der Schutz des allgemeinen Persönlichkeitsrechts solcher Nutzer, die ihre Identität nicht preisgeben wollen. Es ist zu beachten, dass der Facebook-Konzern mit seinen Diensteangeboten eine Monopolstellung einnimmt und gerade die Kommunikation unter Minderjährigen in vielen Bereichen (Schule, Freizeit) nur noch über das Facebook-Portal abgewickelt wird. Eine Wahrung der Privatsphäre ist nicht mehr möglich, wenn Teilnahmezwänge entstehen und dies mit der ausnahmslosen Preisgabe der Echtdaten verbunden ist.
(3) Weiterhin schildert Facebook im Schreiben vom 6. Dezember 2012, dass das „Erfordernis der wahren Identität untrennbar mit der Nutzersicherheit auf der Facebook-Plattform verbunden und wesentlicher Bestandteil der implementierten Sicherheitsmaßnahmen“ sei. Datenschutz, Sicherheit und Integrität der Facebook-Plattform wären ohne derartige Maßnahmen wesentlich beeinträchtigt. Schließlich wird behauptet, dass die große Mehrheit der von Facebook deaktivierten Konten mit „Spamming, Verbreitung von Malware, Täuschung von Nutzern zur Offenlegung von Finanzdaten, „Trolling“, Cybermobbing, Verbreitung von Hassreden, Austausch von Kinderpornographie und Mogeleien bei Spielen“ im Zusammenhang gestanden hätten.
Es wird bereits nicht deutlich, welche implementierten Sicherheitsmaßnahmen durch die Ermöglichung einer Anmeldung per Pseudonym beeinträchtigt würden. Maßnahmen der Datensicherheit nach § 9 BDSG i.V.m. der Anlage zum BDSG (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie die Wahrung des Trennungsgebots und der Einsatz von Verschlüsselungstechnik nach dem Stand der Technik) können auch bei der Verwendung von Pseudonymen durchgeführt werden. Die behaupteten Gründe, weswegen in der Vielzahl der Fälle eine Kontensperrung erfolgt sein soll, widersprechen den Ausführungen gegenüber den Nutzern, nachdem bei diesen die Konten gesperrt wurden: „Facebook ist eine Gemeinschaft, in der Menschen mithilfe ihrer wahren Identitäten miteinander in Verbindung treten und Inhalte teilen können. Wir können Dir erst dann helfen, wenn Du Deinen richtigen, vollständigen Namen unten eingegeben hast.“ Diese Botschaft wurde an sämtliche Nutzer gerichtet, welche nicht oder nicht vollständig ihre Echtdaten bei der Registrierung angegeben haben.
Technische Maßnahmen zur künftigen Unterbindung von z.B. urheber- oder strafrechtlichen Verhaltensweisen von Nutzern wären für Diensteanbieter, die hiervon Kenntnis erhalten, zudem auch dann möglich, wenn der mutmaßliche Täter unter Pseudonym agiert. Hierzu müssen nicht die Echtdaten vorliegen. Weiterhin erfolgen, wie bereits ausgeführt, Kontensperrungen auch dann, wenn die nicht unter den Echtdaten kommunizierenden Nutzer von Facebook als „Troll“ qualifiziert werden, was deren Meinungsäußerungsfreiheit eklatant beeinträchtigt.
(4) Vor diesem Hintergrund sind die in dieser Verfügung getroffenen Maßnahmen verhältnismäßig. Die Ermöglichung einer Registrierung unter Pseudonym wahrt die Persönlichkeitsrechte der Nutzer. Facebook steht das Recht zur wettbewerblichen Betätigung zu (Art. 12, 14 GG), welches jedoch gegenüber den Persönlichkeitsrechten der Nutzer nicht überwiegt. Facebook Ltd. kann die Pflichten eines Diensteanbieters, gerade mit Blick auf die §§ 7 ff. TMG, insbesondere nach § 10 TMG auch dann erfüllen, wenn die Nutzer nicht ihre Echtdaten angegeben haben. Erhält Facebook im Einzelfall Kenntnis davon, dass ein Nutzer bei Nutzung des Diensteangebots gegen bestehende Rechtsnormen verstößt, was z.B. bei strafrechtlichen Verfehlungen der Fall sein kann, so könnten auch ohne Ermittlung der Echtdaten technische Maßnahmen zur Unterbindung solcher Verstöße ergriffen werden.
Folglich müssen die Nutzungswilligen vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms unterrichtet werden. Die Maßnahme der Aufforderung zur Entsperrung der Konten registrierter Nutzer, welche bei der Registrierung nicht oder nicht vollständig ihre Echtdaten angegeben haben, greift verhältnismäßig in das Facebook zustehende Recht auf gewerbliche Betätigung ein, indem nur diejenigen Nutzerkonten erfasst werden, die allein wegen der Nutzung von Pseudonymen gesperrt wurden. Getroffene technische Maßnahmen von Facebook Ltd. im Falle, dass Facebook Ltd. Kenntnis von einem Nutzerverhalten erlangt, welches gegen Rechtsvorschriften verstößt (z.B. straf-, urheber- oder wettbewerbsrechtliche Bestimmungen), bleiben von dieser Verfügung unberührt. Das Anbieten einer Nutzung unter Pseudonym ist der Facebook Ltd. in diesem Zusammenhang technisch möglich und zumutbar. Das Unternehmen verfügt über die entsprechenden technischen und wirtschaftlichen Möglichkeiten.
C.
Die sofortige Vollziehung der Anordnung unter I. Nr. 2 des Tenors war anzuordnen, weil dies zum Schutze des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der betroffenen registrierten Personen erforderlich ist. Durch die Sperrung der Konten registrierter Nutzer können diese nicht mehr auf die von ihnen eingegebenen und verwalteten Informationen zugreifen und mit anderen Nutzern kommunizieren. Eine besondere Dringlichkeit besteht weiterhin, da zahlreiche Nutzer ihre Facebook-Konten auch für geschäftliche Zwecke nutzen und diese somit an ihrer Berufsausübung gehindert sind. Dies greift in deren Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG ein. Indem Facebook Ltd. zur Identifizierung der Nutzer die Übersendung der Kopie des Personalausweises fordert, werden zudem die Anforderungen nach § 20 Abs. 2 des Personalausweisgesetzes nicht gewahrt. Nach der Bestimmung darf der Ausweis außer zum elektronischen Identitätsnachweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden. Nach der Intention des Gesetzgebers sollen hiervon alle Formen des vorbehaltlosen automatisierten Abrufs, vor allem die Nutzung von Scanntechnik, erfasst sein. Auch eine teilweise Anonymisierung von Ausweiskopien hat die Facebook Ltd. nicht in Erwägung gezogen. Die Nutzer gesperrter Konten werden mit der Aufforderung zur Übersendung von Ausweiskopien zwecks Abgleich der Registrierungsdaten mit den Ausweisdaten damit zu einem Verhalten gezwungen, welches gegen § 20 Abs. 2 Personalausweisgesetz verstößt. Dies führt zu besonderen Beeinträchtigungen der schutzwürdigen Belange von Nutzern. Die Anordnung der sofortigen Vollziehung steht damit auch im öffentlichen Interesse. Dieses öffentliche Interesse am sofortigen Vollzug überwiegt das Interesse von Facebook Ltd. an der Wahrung der aufschiebenden Wirkung.
D.
Gemäß § 235 Abs. 1 Nr. 1, 236, 237 Abs. 1 LVwG i.V.m. § 38 Abs. 5 Satz 1 und 2 BDSG ist die Androhung von Zwangsgeld zulässig, wenn der Pflichtige angehalten werden soll, eine Handlung vorzunehmen. Andere Zwangsmittel scheiden aus, da sie nicht geeignet sind, den mit der Anordnung angestrebten Erfolg zu bewirken. Die Höhe des angedrohten Zwangsgeldes ist auch verhältnismäßig. Die Kontensperrung betrifft sämtliche natürlichen Personen, die in Schleswig-Holstein Telemedien unter www.facebook.com nutzen möchten und die bei der Registrierung keine Echtdaten angegeben haben. Die fehlenden Hinweise bezüglich der Wahlmöglichkeit, eine Registrierung unter Pseudonym vorzunehmen und letztlich auch die fehlende Bereitstellung dieser Möglichkeit führen bei den betroffenen Nutzern zu erheblichen Beeinträchtigungen von deren Persönlichkeitsrechten, da diese nicht selbstbestimmt über die Verarbeitung ihrer personenbezogenen Daten entscheiden können.
Das angedrohte Zwangsgeld ist geeignet, den Adressaten der Anordnung dazu anzuhalten, die angeordnete Kontenentsperrung, die Ermöglichung einer Registrierung unter Pseudonym und die Unterrichtung über die Wahlmöglichkeit fristgerecht vorzunehmen. In Anbetracht der unmittelbar bevorstehenden Gefährdung des Rechts auf informationelle Selbstbestimmung von weiteren Nutzern in Schleswig-Holstein, die für die Zukunft eine Registrierung unter www.facebook.de beabsichtigen und im Hinblick auf die registrierten Nutzer in Schleswig-Holstein, deren Konten von der Facebook Inc. infolge Nichtangabe/nicht vollständiger Angabe der Echtdaten gesperrt wurden, ist die Höhe des Zwangsgeldes auch erforderlich und angemessen.
Rechtsbehelfsbelehrung
Gegen I. Nr. 1 und Nr. 3 dieser Anordnung kann innerhalb eines Monats nach Bekanntgabe Widerspruch beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel, erhoben werden. Der Widerspruch ist schriftlich oder zur Niederschrift einzulegen.
Wir weisen Sie darauf hin, dass ein Widerspruch gemäß § 80 Abs. 2 Nr. 4 VwGO keine aufschiebende Wirkung hat, soweit er sich gegen I., Nr. 2 der Anordnung richtet.
Der Widerspruch gegen III. der Anordnung hat nach § 248 Abs. 1 Satz 2 LVwG kraft Gesetzes keine aufschiebende Wirkung.
Gegen I. Nr. 2 dieser Anordnung kann beim Verwaltungsgericht Schleswig, Brockdorff-Rantzau-Straße 13, 24837 Schleswig, ein Antrag auf Wiederherstellung der aufschiebenden Wirkung gestellt werden.
Zusätzlich weise ich Sie darauf hin, dass die Zuwiderhandlung gegen eine vollziehbare Anordnung nach § 38 Abs. 5 Satz 1 BDSG gemäß § 43 Abs. 1 Nr. 11, Abs. 3 Satz 1 BDSG mit einem Bußgeld in Höhe von bis zu 50.000 Euro belegt werden kann.
gez.
Dr. Thilo Weichert
Anlage: Anordnung gegenüber der Facebook Inc.