Beschwerdebegründung im Verfahren gegen die Facebook Ireland Ltd.
Verwaltungsrechtssache
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ./. Facebook Ireland Ltd., Az.: 8 B 60/12; Beschluss v. 14. Februar 2013
Sehr geehrte Damen und Herren,
in der oben genannten Verwaltungsstreitsache beantragt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hiermit:
Der Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts vom 14. Februar 2013, Az. 8 B 60/12, wird aufgehoben.
Begründung:
A. Deutsches Datenschutzrecht findet Anwendung
Das VG Schleswig hat in seinem Beschluss v. 14. Februar 2013 (dort S. 6) unzutreffend angenommen, dass die Regelungen des § 1 Abs. 5 Satz 2 BDSG i.V.m. Art. 4 Abs. 1 c) der Richtlinie 95/46/EG nicht zur Anwendung von deutschem materiellem Datenschutzrecht führen. Die Frage, ob die Facebook Inc. allein, neben der Facebook Ireland Ltd. oder gar die Facebook Ireland Ltd. allein verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG bzw. für die Verarbeitung Verantwortlicher im Sinne von Art. 2 d) der Richtlinie 95/46/EG sei, könne auch in Anwendung der Vorschriften des § 1 Abs. 5 Satz 2 BDSG und des Art. 4 Abs. 1 c) der Richtlinie 95/46/EG letztlich dahinstehen, da jedenfalls am Sitz der Facebook Ireland Ltd. eine Niederlassung der verantwortlichen Stelle bzw. des für die Verarbeitung Verantwortlichen vorliege, die im Rahmen ihrer Tätigkeit die hier relevante Verarbeitung personenbezogener Daten mit der Folge der ausschließlichen Anwendbarkeit materiellen irischen Datenschutzrechts gemäß Art. 4 Abs. 1 a) der Richtlinie 95/46/EG vornehme.
Das VG Schleswig hat dabei unzutreffend angenommen, es handle sich bei der Facebook Ireland Ltd. um eine Niederlassung der Facebook Inc. (a). Eine Qualifizierung der Facebook Germany GmbH als Niederlassung wird zum einen verneint, für die Facebook Ireland Ltd. bejaht das VG Schleswig hingegen mit den gleichen Erwägungen eine Niederlassung (b). Nicht berücksichtigt wurde ferner die Direkterhebung von personenbezogenen Daten durch Beauftragung der Firma Akamai (c).
a) Facebook Ireland Ltd. ist keine Niederlassung der Facebook Inc. im datenschutzrechtlichen Kontext
Mit der unzutreffenden Annahme, dass die Verarbeitung der personenbezogenen Daten durch die Facebook Ireland Ltd. als Niederlassung für die Facebook Inc. stattfinde, verneint das VG Schleswig die Anwendbarkeit deutschen Datenschutzrechts. Das VG Schleswig führt aus, dass jedenfalls am Sitz der Facebook Ireland Ltd. eine Niederlassung der Facebook Inc. als verantwortliche Stelle bzw. des für die Verarbeitung Verantwortlichen vorliege, die im Rahmen ihrer Tätigkeit die hier relevante Verarbeitung personenbezogener Daten mit der Folge der ausschließlichen Anwendbarkeit materiellen Datenschutzrechts gemäß Art. 4 Abs. 1 a) der Richtlinie 95/46/EG vornehme. Die Facebook Ireland Ltd. erfülle mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen für die Annahme des Vorhandenseins einer Niederlassung in Irland. Ferner sei auch davon auszugehen, dass die hier relevanten personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden. Es bestünden „keine Zweifel“, dass eine Verarbeitung personenbezogener Daten der in Ziffer I.2 des Bescheides vom 14. Dezember 2012 genannten Nutzer im Rahmen der Tätigkeit dieser Niederlassung ausgeführt werde. Das VG Schleswig verweist in diesem Zusammenhang noch auf die Ausführungen in der Stellungnahme (Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 15 –Anlage 1) der Art. 29-Datenschutzgruppe, d.h. des auf Basis von Art. 29 der Richtlinie 95/46/EG eingesetzten Beratungsgremiums der Datenschutzaufsichtsbehörden in den Mitgliedstaaten der EU, wonach der Standort der Daten, insbesondere der Standort des Servers weder für den Begriff „Niederlassung“ noch dafür ausschlaggebend ist, ob die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Niederlassung stattfindet.
Das VG Schleswig hat damit zunächst zutreffend festgestellt, dass es sich bei der Facebook Inc. um eine aus Datenschutzsicht verantwortliche Stelle handelt. Gemäß Art. 2 d) der Richtlinie 95/46/EG ist für die Verarbeitung Verantwortlicher diejenige natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Weiterhin hat der Irische Datenschutzbeauftragte in seinem Report of Audit vom 21. Dezember 2011, S. 26, (Anlage 2) unbestritten festgestellt, dass sich die Server mit sämtlichen personenbezogenen Daten, d.h. auch der Daten der in Ziffer I.2 des Bescheids vom 14. Dezember 2012 genannten Nutzer, in den Vereinigten Staaten bei der Facebook Inc. befinden und dort verarbeitet werden („All of these servers are currently situated in data centres in the United States.“).
Unzutreffend ist jedoch die Annahme des VG Schleswig, die Facebook Ireland Ltd sei eine Niederlassung der Facebook Inc. i.S.d. Richtlinie 95/46/EG. Der Begriff der Niederlassung ist in der Richtlinie 95/46/EG nicht definiert. Allerdings wird im Erwägungsgrund 19 der Richtlinie 95/46/EG ausgeführt: „Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.“ Für die Niederlassungsfreiheit hat der Europäische Gerichtshof nach Art. 49 AEUV festgestellt, dass eine feste Niederlassung „ein ständiges Zusammenwirken von persönlichen und Sachmitteln voraussetzt, die für die Erbringung der betreffenden Dienstleistungen erforderlich sind“ (EuGH, Urteil v. 4. Juli 1985, Bergholz, [Rs. 168/84, Slg. 1985, 2251, Rndr. 14 ff.) und EuGH, Urteil v. 7. Mai 1998, Lease Plan Luxembourg/Belgische Staat (Rs. C-390/96, Slg. 1998, I-2553). Die Art. 29-Datenschutzgruppe hat zur näheren Bestimmung des Begriffs der „Niederlassung“ Kriterien entwickelt (Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 15 – Anlage 1). Demnach gilt:
„Ein Server oder Computer dürfte kaum als Niederlassung in Frage kommen, da es sich lediglich um eine technische Einrichtung oder ein Instrument für die Verarbeitung von Informationen handelt. Ein nur mit einer Person besetztes Büro würde von der Definition erfasst, solange es sich nicht bloß um die Vertretung eines für die Verarbeitung Verantwortlichen handelt, der an einem anderen Ort niedergelassen ist, und das Büro aktiv in Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet werden.“
Zur Verarbeitung personenbezogener Daten, die im „Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden“, legt die Art. 29-Datenschutzgruppe dar (Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 16 – Anlage 1), dass die Richtlinie 95/46/EG die Anwendbarkeit des mitgliedstaatlichen Datenschutzrechts „an die Verarbeitung personenbezogener Daten“ knüpft. Eine Verarbeitung personenbezogener Daten bezeichnet nach der Definition in Art. 2 b) der Richtlinie 95/46/EG jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten. Das VG Schleswig unterstellt eine Datenverarbeitung durch die Facebook Ireland Ltd. mit dem unzutreffenden Hinweis, es sei „davon auszugehen, dass die hier relevanten personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden.“ Hierfür lässt es das VG Schleswig genügen, dass nach den Behauptungen der Facebook Ireland Ltd. am Standort Dublin 400 Personen tätig sind. Es wurden jedoch fälschlicherweise keine Feststellungen dazu getroffen, ob die Facebook Ireland Ltd. tatsächlich personenbezogene Daten verarbeitet. Für die Annahme einer Niederlassung ist es aber essentiell, dass diese „aktiv in Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet“ werden. Für Letzteres bestehen keine Anhaltspunkte:
aa) Die Facebook Ireland Ltd. hat keinen steuernden Einfluss auf die Verarbeitung der hier relevanten personenbezogenen Daten. Die Art. 29-Datenschutzgruppe (Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 34 – Anlage 1) hat in einem Beispielsfall das Folgende ausgeführt:
„Ein soziales Netz hat seinen Sitz in einem Drittland und eine Niederlassung in einem Mitgliedstaat der EU. Seine Politik für die Verarbeitung personenbezogener Daten von EU-Bürgern wird von der Niederlassung festgelegt und umgesetzt. Das soziale Netz richtet sich aktiv an alle in den Mitgliedstaaten ansässigen Personen. Ein Großteil seiner Kunden und auch seiner Einnahmen stammen aus diesem Personenkreis. Das soziale Netz arbeitet mit Cookies, die es auf den Rechnern der in der EU ansässigen Benutzer setzt.
Gemäß Artikel 4 Absatz 1 Buchstabe a ist in diesem Fall das Datenschutzrecht des Mitgliedstaats, in dem das Unternehmen seinen EU-Sitz hat, das anwendbare Recht. Ob das soziale Netz Mittel verwendet, die im Hoheitsgebiet eines anderen Mitgliedstaats belegen sind, ist hierbei irrelevant, da die gesamte Verarbeitung im Rahmen der Tätigkeiten der einzigen Niederlassung erfolgt und eine kumulative Anwendung von Artikel 4 Absatz 1 Buchstabe a und Artikel 4 Absatz 1 Buchstabe c laut der Richtlinie ausgeschlossen ist.“
Mit dem Fallbeispiel macht die Art. 29 - Gruppe deutlich, dass es für die Annahme einer Niederlassung gerade nicht ausreicht, wenn lediglich ein Büro (wir wie vielen Beschäftigten auch immer) eingerichtet wird. Voraussetzung für das Vorliegen einer Niederlassung i.S. von Art. 4 der Richtlinine 95/46/EG ist vielmehr, dass die wesentlichen Entscheidungen für die Verarbeitung personenbezogener Daten zumindest im Bereich der Niederlassung von dieser Stelle festgelegt und umgesetzt werden müssen. Die Geschäftspolitik von Facebook wird jedoch ausschließlich durch die Facebook Inc. bestimmt. Geschäftspolitische Entscheidungen können von der Facebook Ireland Ltd. nicht getroffen werden. Das VG Schleswig hat diesen Umstand nicht beachtet. Bereits im Schriftsatz des ULD vom 18. Januar 2013 wurde hierzu ausgeführt, dass für eine geschäftspolitische Unterordnung der Konzernmutter (Facebook Inc.) unter die Tochter (Facebook Ireland Ltd.) keinerlei Hinweise vorhanden sind. Vielmehr spricht die Facebook Inc. auf ihrer Webseite von einer Milliarde Nutzenden im Oktober 2012 und bezieht sich hierbei nicht nur auf die USA und Kanada, sondern schließt offensichtlich alle europäischen Nutzenden mit ein. Aus den veröffentlichten ökonomischen Zahlen ergibt sich keine Differenzierung zwischen der Facebook Inc. und der Facebook Ireland Ltd. Offensichtlich behandelt die Facebook Inc. beide in der Außendarstellung als einheitliches Unternehmen, ohne die Facebook Ireland Ltd. überhaupt zu erwähnen, vgl. newsroom.fb.com/Key-Facts.
bb) Ein steuernder Einfluss der Facebook Ireland Ltd. als Niederlassung auf die Verarbeitung der hier relevanten personenbezogenen Daten wird auchnicht durch eine Auftragsdatenverarbeitung der Facebook Inc. für die Facebook Ireland Ltd. begründet. Es bestehen keine Anhaltspunkte dafür, dass die Facebook Ireland Ltd. gegenüber der Konzernmutter, der Facebook Inc., Weisungen zur Verarbeitung der personenbezogenen Daten erteilen darf und die Datenverarbeitung durch die Facebook Ireland Ltd. kontrolliert wird. Das VG Schleswig hat sich in seiner Argumentation nicht mit dem Konstrukt der Auftragsdatenverarbeitung auseinander gesetzt. Wie bereits im Schriftsatz des ULD vom 18. Januar 2013, S. 4 (Schriftsatz im Verfahren Az.: 8 B 61/12), dargelegt wurde, müsste ein Vertrag zur Auftragsdatenverarbeitung zwischen der Facebook Ireland Ltd. als Auftraggeberin und der Facebook Inc. als Auftragnehmerin vor allem konkret Folgendes darlegen: Zweck der Verarbeitung der personenbezogenen Daten, konkretisiert auf die jeweiligen Datenarten, Verbot einer Zweckänderung, konkrete technisch-organisatorische Maßnahmen der Datensicherheit in Bezug auf jede konkrete Funktionalität und Datenverarbeitung, die Inhalte sämtlicher Unterauftragsverträge, Angaben über die Kontrollen der Facebook Ireland Ltd. und der dabei anzuwendenden Mechanismen sowie konkrete Angaben über die Umsetzung der Safe-Harbor-Prinzipien. Schließlich müsste vereinbart sein, dass der Auftragsverarbeiter nur auf Weisung des für die Verarbeitung Verantwortlichen handeln darf, Art. 17 Abs. 3 der Richtlinie 95/46/EG. Für eine entsprechende Auftragsabwicklung zwischen der Facebook Ireland Ltd. und der Facebook Inc. gibt es keine Nachweise und Dokumente. Auch aus diesem Grund konnte das VG Schleswig nicht davon ausgehen, dass die Facebook Ireland Ltd. als Niederlassung der Facebook Inc. eine eigenverantwortliche Datenverarbeitung vornimmt.
Das ULD hat gegenüber Facebook Unterlagen angefordert, die eine Auftragsdatenverarbeitung zwischen der Facebook Ireland Ltd. und der Facebook Inc. nach Auffassung von Facebook belegen sollen. Facebook ist dieser Anforderung bis zum heutigen Tage nicht nachgekommen. Es ist dem ULD als Aufsichtsbehörde damit nicht möglich, etwaig vorhandene Dokumente zu prüfen. In diesem Zusammenhang ist zu erwähnen, dass Facebook bisher, auch entgegen gegebener Versprechen, keine prüffähigen Unterlagen dem ULD vorgelegt hat, was insbesondere die technische Dokumentation der Datenverarbeitung betrifft (z.B. eingesetzte Verfahren, technisch-organisatorische Sicherheitsmaßnahmen, Datenverarbeitung im Auftrag, Maßnahmen zur Erfüllung von Betroffenenrechten, Protokollierung). Im Hause des ULD fanden mehrere Gespräche mit Facebook statt, in welchen die Zusendung einer technischen Dokumentation in Aussicht gestellt wurde, eine entsprechende Zusendung aber nie erfolgte.
cc) Eine aktive Einbeziehung der Facebook Ireland Ltd. in Tätigkeiten, in deren Rahmen personenbezogene Daten verarbeitet werden, erfolgte bisher auch nicht nach den Erfahrungen des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit und der Gruppe „europe-v-facebook“. Das VG Schleswig hat die entsprechenden Ausführungen des ULD im Schriftsatz vom 18. Januar 2013 (Schriftsatz im Verfahren Az.: 8 B 61/12) nicht gewürdigt.
Bezug nehmend auf die Ausführungen des ULD im Schriftsatz vom 18. Januar 2013, S. 6, (Schriftsatz im Verfahren Az.: 8 B 61/12) wurde durch die Verfügung des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (Verfahrens der automatisierten Gesichtserkennung) vom 21. September 2012 (Anlage 3) ausgeführt, dass einseitig die Facebook Inc. ohne Kommunikation mit der Facebook Ireland Ltd. das Verfahren zur Gesichtserkennung von Facebook-Nutzern festlegte und umsetzte. Die Facebook Ireland Ltd. hatte zu keinem Zeitpunkt wesentlichen Einfluss genommen gegenüber der Facebook Inc., vgl. Anlage 3, dort S. 19). Der Hamburger Beauftragte für den Datenschutz und die Informationsfreiheit hatte zudem ermittelt, dass bis zum 28. August 2009 allein die Facebook Inc. gegenüber den Nutzern aufgetreten ist und mit diesen Nutzungsverträge abgeschlossen hat. Die datenschutzrechtliche Verantwortlichkeit der Facebook Inc. wurde auch nicht auf die Facebook Ireland Ltd. übertragen, indem die Facebook Inc. am 28. August 2009 eigenmächtig die Nutzungsbedingungen mit dem Ziel geändert hat, den Vertragspartner der Nutzer gegen die Facebook Ireland Ltd. auszutauschen und/oder indem die Facebook Inc. mit der Facebook Ireland Ltd. eine „Vereinbarung über Auftragsdatenverarbeitung“ in Bezug auf die deutschen Nutzer geschlossen hat (Verfügung des Hamburger Beauftragten für den Datenschutz und die Informationsfreiheit vom 21. September 2012, S. 12 f. – Anlage 3).
Die fehlende Einflussnahme der Facebook Ireland Ltd. auf die gesamte personenbezogene Datenverarbeitung wird zudem von der Gruppe "europe-v-facebook" in ihrer Antwort auf dem Auditbericht des irischen Datenschutzbeauftragten aus 2012 bestätigt. Bei „europe-v-facebook“ handelt es sich um eine Gruppe von Studierenden in Wien, die sich gemeinsam mit ihrem Sprecher Max Schrems im August und September 2011 an den irischen Datenschutzbeauftragten mit insgesamt 22 detaillierten Beschwerden gewandt hatten (Report of Audit vom 21.12.2011, S. 22 und Appendix 2 – Schriftsatz des ULD v. 18. Januar 2013, S. 6 - Schriftsatz im Verfahren Az.: 8 B 61/12). Mitglieder dieser Gruppe versuchen seit über einem Jahr mit begrenztem Erfolg, ihre u. a. in der Richtlinie 95/46/EG garantierten Betroffenenrechte unter Einschaltung des irischen Datenschutzbeauftragten gegenüber Facebook durchzusetzen. Am 4. Dezember 2012 legte die Gruppe "europe-v-facebook" eine Antwort auf den aktuellen Auditbericht vor, in der sie feststellt, dass den kritisierten Verstößen durch Facebook im Wesentlichen nicht abgeholfen wurde. In dem Bericht dieser Gruppe wird dargestellt, dass die Facebook Ireland Ltd. gegenüber der Gruppe immer wieder argumentiert habe, dass bestimmten datenschutzrechtlichen Forderungen nicht nachgekommen werden könne, "weil das Management von Facebook Inc. dem nie zustimmen würde"(europe-v-facebook.org, Response to „audit“, Vienna, December 4th 2012, S. 17, http://www.europe-v-facebook.org/report.pdf - Schriftsatz des ULD vom 18. Januar 2013, S. 6 - Schriftsatz im Verfahren Az.: 8 B 61/12).
dd) Gegen eine aktive Einbeziehung der Facebook Ireland Ltd. in Tätigkeiten, in deren Rahmen personenbezogene Daten verarbeitet werden, sprechen auch die Erfahrungswerte des Justizministeriums Baden-Württemberg in seiner Stellungnahme vom 15. Februar 2013 „Rechtshilfeverkehr in strafrechtlichen Angelegenheiten mit den Vereinigten Staaten von Amerika; Zugriff deutscher Ermittlungsbehörden auf Internet- und E-Maildaten bei US-amerikanischen Providern“, S. 6 – Anlage 4. So wurde im Geschäftsbereich des Justizministeriums Baden-Württemberg bekannt, „dass sämtliche Daten des sozialen Netzwerks Facebook nur am Stammsitz des Unternehmens in den USA gespeichert werden und weder die Niederlassung der Fa. Facebook in Deutschland noch die Europazentale in Irland direkten Zugang zu diesen Daten haben.“ Die Annahme einer Niederlassung im datenschutzrechtlichen Sinne scheidet damit aus, weil die Facebook Ireland Ltd. in die Datenverarbeitung schlicht nicht einbezogen ist.
ee) Weiterhin sprechen gegen eine aktive Einbeziehung der Facebook Ireland Ltd. die Erläuterungen von Facebook in einem strafrechtlichen Verfahren wegen Beihilfe zum Wohnungseinbruchsdiebstahl eines Facebook-Nutzers vor dem AG Reutlingen (Az.: 5 Ds 43 Js 18155/10 jug; hierzu Beschluss v. 31.10.2011 in öffentlicher Hauptverhandlung, Entscheidung veröffentlicht in K&R 2012, 303 f.), in welchem auf Anforderung des AG Reutlingen von der Facebook Germany GmbH Fragen zur technischen Datenverarbeitung beantwortet wurden (Anlage 5). Demnach führt Facebook - nach unserem Kenntnisstand in Form einer eidesstattlichen Versicherung (so Mitteilung des AG Reutlingen) - vor allem aus:
„Die Server, die Nutzungsdaten enthalten, befinden sich im Besitz der Facebook Inc. und werden von dieser betrieben; sie befinde sich in den USA.“
„Der Zugriff auf in den USA gespeicherte Nutzungsdaten vom Inland aus wäre auch nach dem oft kritisierten US-Datenschutzrecht rechtswidrig.“ „In Deutschland werden diese Datensätze nicht vorgehalten. Ob die Datensätze auf Servern der Facebook Inc. in den USA vorliegen, können nur die zuständigen Mitarbeiter der FB Inc. beantworten.“ Die Angaben zeigen deutlich, dass nur die Facebook Inc. Zugang zu den personenbezogenen Daten der Nutzer hat. Vor diesem Hintergrund kann auch die Facebook Ireland Ltd. keinen steuernden Einfluss auf die Verarbeitung der hier relevanten Daten ausüben.
„Facebook ist regelmäßig im Gespräch mit Datenschutzbehörden auf der ganzen Welt. Den Kontakt zu deutschen Datenschutzbehörden pflegt die Facebook Ireland Ltd. Mit der Facebook Ireland Ltd. schließen die deutschen Nutzer ihre Verträge. Dass in Deutschland keine Daten vorgehalten werden, bedeutet übrigens nicht zwingend, dass deutsches Datenschutzrecht (und damit die Auseinandersetzung mit deutschen Datenschutzbehörden) ohne belang ist. So ist zum Beispiel die Erhebung von Daten in Deutschland über technische Mittel (bspw. Cookies) ohne Zwischenspeicherung im Inland eine grundsätzlich dem deutschen Datenschutzrecht unterfallende Maßnahme, die nicht zum Vorliegen von Daten oder zur Speicherung von Daten im Inland führt.“
Facebook selbst geht also nach einer eigenen Wertung von der Anwendbarkeit deutschen Datenschutzrechts aus. Umso erstaunlicher ist nun die vollkommen gegenteilige Darstellung im vorliegenden Verfahren.
ff) Schließlich sprechen auch die Erwägungen des Irischen Justizministeriums gegen eine aktive Einbeziehung der Facebook Ireland Ltd. als Niederlassung, mit der Folge der Anwendung irischen Datenschutzrechts. Das AG Reutlingen hat im obigen Verfahren (Az.: 5 Ds 43 Js 18155/10 jug) beim Irischen Justizministerium eine Nachfrage zur Anwendung des maßgebenden Rechts gestellt. In der Antwort hat das Irische Justizministerium mitgeteilt, dass bezüglich der Verarbeitung von Nutzerdaten irisches Recht nicht anwendbar ist (Anlage 6):
„This Division deals with requests to obtain evidence. Under Irish Law, production orders/search warrants can only be obtained for evidence located in the State. In this instance, we have been advised by Facebook that the evidence in question is stored in the US. The fact that it can be accessed in this State is of no relevance under Irish law. German law may well be different in this respect.”
b) Widersprüchliche Erwägungen zur Qualifizierung der Facebook Germany GmbH und der Facebook Ireland Ltd. als Niederlassung
Das VG Schleswig ist der Auffassung, die Anwendbarkeit deutschen materiellen Datenschutzrechts für die Anordnung in Ziffer I.2 des Bescheids vom 14. Dezember 2012 folge nicht über § 1 Abs. 5 Satz 1 BDSG i.V.m. Art. 4 Abs. 1 a) der Richtlinie 95/46/EG aufgrund der Existenz der Facebook Germany GmbH in Hamburg. Nach glaubhaftem Vortrag der Facebook Ireland Ltd. im Parallelverfahren 8 B 60/12 sei die Facebook Germany GmbH lediglich im Bereich der Anzeigenakquise und im Bereich des Marketings tätig. Eine Verarbeitung personenbezogener Daten der in Ziffer I.2 des Bescheids vom 14. Dezember 2012 genannten registrierten Nutzer von Facebook finde dort nicht statt, so dass insoweit keine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Niederlassung im Sinne von Art. 4 Abs. 1 a) der Richtlinie 95/46/EG vorliege. § 1 Abs. 5 Satz 1 BDSG sei richtlinienkonform dahingehend auszulegen, dass die Anwendbarkeit des BDSG nach dieser Vorschrift bei Vorhandensein einer Niederlassung der verantwortlichen Stelle im Inland „sich nur soweit erstreckt, wie die Verarbeitung personenbezogener Daten durch die Niederlassung in Rede steht.“ Mit der im Rahmen von Ziffer I.2 des Bescheids vom 14. Dezember 2012 relevanten Verarbeitung personenbezogener Daten habe die Facebook Germany GmbH jedoch offenbar nichts zu tun.
Die Qualifizierung der Facebook Ireland Ltd. als Niederlassung leitet das VG Schleswig im Wesentlichen von der Existenz eines Büros am Standort Dublin ab sowie mit der nach Auffassung des ULD unbegründeten Annahme, die Facebook Ireland Ltd. verarbeite personenbezogene Daten. Dabei verweist das VG Schleswig auch auf den Bericht des Irischen Datenschutzbeauftragten (Report of Audit, v. 21. Dezember 2012, dort Anhang 4, S. 213 und 215 – Anlage 7). Auf Seite 213 des Berichts wird zur Facebook Ireland Ltd. zum einen ausgeführt „It is the only office, and legal entity, within the Facebook group with control over non-North American user data.“ Ferner wird dort ausgeführt: “FB-I`s staff (around 326 Full Time Employees and 75 contractors) are responsible for the development and maintenance of the Facebook platform, the protection of Facebook users, the corporate administration of many of Facebook`s non-North American activities and the sale of advertising to customers.” Im Bericht des Irischen Datenschutzbeauftragten erfolgt keine juristische Beurteilung zur Frage der datenschutzrechtlichen Verantwortlichkeit der Facebook Ireland Ltd. nach Art. 2 d) der Richtlinie 95/46/EG. Die angenommene „Kontrollfunktion“ der Facebook Ireland Ltd. wird nicht näher erläutert. Der Irische Datenschutzbeauftragte geht nicht darauf ein, inwiefern die Facebook Ireland Ltd. allein oder gemeinsam mit der Facebook Inc. die Zwecke der Datenverarbeitung bestimmt. Weiterhin wird auch nicht ausgeführt, das die Facebook Ireland Ltd. die wesentlichen Mittel der Datenverarbeitung bestimmt, was etwa die Bestimmung über die eingesetzte Soft- und Hardware, die Festlegung von Löschfristen, die Bestimmung über Zugriffsbefugnisse und Weisungs- und Kontrollbefugnisse gegenüber der Facebook Inc. einschließen müsste, da sich bei der Facebook Inc. die Server für die Datenverarbeitung befinden. Der Irische Datenschutzbeauftragte setzt sich auch nicht mit der Frage auseinander, inwieweit es sich bei der Facebook Ireland Ltd. in Anlehnung an Erwägungsgrund 19 der Richtlinie 95/46/EG um eine Niederlassung der Facebook Inc. handelt. Es wird auch nicht im Rahmen einer juristischen Beurteilung erörtert, ob die Facebook Ireland Ltd. für die Facebook Inc. als Auftragsdatenverarbeiter tätig ist und inwieweit die Facebook Ireland Ltd. überhaupt eigene Zugriffsbefugnisse auf personenbezogene Nutzerdaten hat.
Es wird zudem nicht ausgeführt, dass die Facebook Ireland Ltd. gegenüber der Facebook Inc. die Geschäftspolitik festlegt und umsetzt. Konkrete Angaben dazu, ob die Facebook Ireland Ltd. überhaupt aktiv in Tätigkeiten einbezogen wird, in deren Rahmen personenbezogene Daten verarbeitet werden, fehlen. Eine Prüfung der Kriterien für die Qualifizierung als Niederlassung nach Maßgabe der Stellungnahme der Art.-29 Datenschutzgruppe (Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 15 – Anlage 1) wurde von der Irischen Datenschutzbehörde nicht vorgenommen. Eine solche Prüfung wurde von der Irischen Datenschutzbehörde auch nicht behauptet.
Damit bestanden für das VG Schleswig keine konkreten Anhaltspunkte für die Annahme einer datenschutzrechtlichen Kontrolltätigkeit der Facebook Ireland Ltd., für eine aktive Einbeziehung der Facebook Ireland Ltd. in konkrete Datenverarbeitungsprozesse sowie für eine Funktion der Facebook Ireland Ltd., gegenüber dem Mutterkonzern über die Zwecke und Mittel der Datenverarbeitung, mithin über die Geschäftspolitik des Facebook-Konzerns zu bestimmen. Gleichwohl verneint das VG Schleswig für die Facebook Germany GmbH, dass aus datenschutzrechtlicher Sicht eine Niederlassung vorliegt, da die Facebook Germany GmbH nur im Bereich des Marketing und der Anzeigenakquise tätig sei. Auf Seite 215 des Anhangs (Report of Audit, v. 21. Dezember 2012, dort Anhang 4, S. 213 und 215– Anlage 7) wird dazu ausgeführt: „These offices have no role in the development or maintenance of the platform or the control of user data. Their functions are limited to the sale of advertising, local PR and, in limited cases, addressing queries from local app developers. In the context of carrying out these duties, these offices may process a limited amount of user data relating to the pages of advertisers and prospective advertisers pursuant to processing agreements entered into with FB-I.” Auch bezüglich der Tätigkeit der Facebook Germany GmbH nimmt die irische Datenschutzbehörde keine juristische Prüfung vor, inwieweit es sich bei diesem Unternehmen um eine Niederlassung im Sinne von Erwägungsgrund 19 der Richtlinie 95/46/EG handelt. Es fehlen konkrete Ausführungen zur Frage, ob die Facebook Germany GmbH, wie andere Facebook-Unternehmen in Europa, als aus datenschutzrechtlicher Sicht für die Datenverarbeitung Verantwortliche im Sinne von Art. 2 d) der Richtlinie 95/46/EG operieren oder ob diese als Auftragsdatenverarbeiter nach Art. 17 der Richtlinie 95/46/EG tätig sind.
Erwähnt wurden nur einige Verträge der Facebook Ireland Ltd. mit (z.B.) der Facebook Germany GmbH, deren Inhalt dem ULD unbekannt ist, von der irischen Datenschutzbehörde offensichtlich nicht näher geprüft und daher auch nicht weiter beurteilt wurde. Die irische Datenschutzbehörde trifft auch keine Aussagen zum Verhältnis der Facebook Germany GmbH zur Facebook Inc. Es steht damit nicht fest, welche Rolle der Facebook Germany GmbH bei der Bestimmung über die Zwecke und Mittel der Datenverarbeitung zukommt und inwieweit die Facebook Germany von der Facebook Inc. aktiv in die Verarbeitung personenbezogener Daten einbezogen wurde oder wird.
Vor diesem Hintergrund liegt nach Auffassung des ULD eine unzutreffende Beurteilung des VG Schleswig vor, soweit es Facebook Ireland Ltd. als Niederlassung der Facebook Inc., die Facebook Germany GmbH hingegen nicht als Niederlassung der Facebook Inc. ansieht. Weder für die Facebook Ireland Ltd. noch für die Facebook Germany GmbH konnte auf Basis der vorhandenen Informationen eine Beurteilung vorgenommen werden, ob es sich um eine Niederlassung im Sinne von Erwägungsgrund 19 der Richtlinie 95/46/EG handelt.
c) Nichtberücksichtigung der Datenverarbeitung durch die Firma Akamai
Das VG Schleswig hat auch die Ausführungen zur Datenverarbeitung durch die Firma Akamai mit Sitz in Bayern fehlerhaft gewertet. Das Gericht stellt fest, dass es sich bei der Firma Akamai und deren in Deutschland ansässigen Tochtergesellschaft Akamai Technologies GmbH in Unterföhring nicht um Niederlassungen der Facebook Inc. handle. Dabei verweist das VG Schleswig bezüglich dieser Einschätzung auf die „oben genannten Gründe“. Es wird schon nicht deutlich, welche Gründe gemeint sind. Der Irische Datenschutzbeauftragte hat keine juristische Beurteilung zur Firma Akamai vorgenommen. Das Verhältnis zwischen der Facebook Inc. und der Firma Akamai war auch nicht Gegenstand des irischen Audits.
Bereits im Schriftsatz des ULD vom 18. Januar 2013 - Schriftsatz im Verfahren Az.: 8 B 61/12) wurde darauf hingewiesen, dass die Facebook Inc. für die Diensteerbringung sog. Content Delivery Networks (CDN) nutzt und hierfür die Dienste der Firma Akamai in Anspruch nimmt. Sitz der Unternehmenszentrale ist Cambridge/MA in den USA (Akamai Corporate Headquarter, 8 Cambridge Center, Cambridge, MA 02142, USA). Akamai bietet ein globales Netzwerk, das eine Verteilung von Inhalten in möglichst hoher netztopologischer Nähe zum Nutzer ermöglicht, um die Ladezeiten von Internet-Inhalten gering zu halten. Das für Deutschland verantwortliche Tochterunternehmen ist die Akamai Technologies GmbH in Bayern. Akamai betreibt eigene Rechenzentren, nutzt aber zur Inhaltsverteilung auch solche anderer Anbieter, etwa des Internetproviders TNG in Kiel, Schleswig-Holstein.
Nach den bisher vorhandenen Informationen besteht eine Unterauftragskette von der Facebook Inc. über Akamai/USA, Akamai/Deutschland bis zu weiteren deutschen Providern wie z. B. TNG in Kiel. Bei der Verarbeitung kommt es im Rahmen dieser Auftragsverhältnisse zunächst zu einer Übermittlung an die Facebook Inc. und dann wieder von Akamai/USA nach Deutschland. Über die tatsächliche Datenverarbeitung in diesen Auftragsverhältnissen und zu den diesen zugrundeliegenden Rechtsverhältnissen hat Facebook gegenüber dem ULD trotz entsprechender Aufforderung bisher keine Angaben gemacht. Hierzu hatte das ULD auf seine „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ vom 19. August 2011, S. 16 f. (Anlage 2 zum Schriftsatz vom 18.01.2013 - Schriftsatz im Verfahren Az.: 8 B 61/12) hingewiesen.
Unabhängig von der Beurteilung, ob es sich bei der Firma Akamai in Bayern um eine Niederlassung der Facebook Inc. handelt oder nicht, hat sich das Gericht nicht mit der Frage auseinander gesetzt, ob die Firma Akamai als Auftrags- bzw. Unterauftragsdatenverarbeiter für die Facebook Inc. tätig ist. Wenn weder für die Facebook Ireland Ltd. noch für die Facebook Germany GmbH angenommen werden konnte, dass es sich um Niederlassungen im Sinne von Erwägungsgrund 19 der Richtlinie 95/46/EG handelt, so musste näher geprüft werden, ob nach Art. 4 Abs. 1 c) der Richtlinie 95/46/EG durch die Facebook Inc. zwecks Verarbeitung personenbezogener Daten auf Mittel im Inland zurückgegriffen wurde.
d) Nichtberücksichtigung einer Direkterhebung von personenbezogenen Daten durch die Facebook Inc.
Das VG hat eine Prüfung der Voraussetzungen nach Art. 4 Abs. 1 c) der Richtlinie 95/46/EG auch insoweit fehlerhaft unterlassen, da unter Anwendung von Art. 4 Abs. 1 a) der Richtlinie 95/46/EG die Facebook Ireland Ltd. fälschlicherweise als Niederlassung qualifiziert wurde.
Bereits im Schriftsatz des ULD vom 18. Januar 2013 - Schriftsatz im Verfahren Az.: 8 B 61/12 wurde dargelegt, dass für ein automatisiertes Mittel vorliegend der PC des Nutzers ausreichend ist, mit welchem dieser die von der Facebook Inc. zur Verfügung gestellten Dienste in Anspruch nimmt (vgl. Dammann, in: Simitis, Kommentar zum BDSG, 7. Aufl., 2011, § 1 Rn. 217). Im Wege der Registrierung durch den Nutzer unterwww.facebook.com erhebt die Facebook Inc. die eingegebenen Registrierungsdaten (Name, Vorname, Geburtsdatum, E-Mail-Adresse). Ferner platziert die Facebook Inc. bei jedem Seitenaufruf auf den Rechnern der Nutzer Cookies, wie etwa den Cookie „datr“. Durch das Setzen der Cookies und das anschließende Lesen werden zwar keine aktiven Programme auf diesen Rechnern installiert, wohl aber Daten gespeichert, damit die Programme der Facebook Inc. bei nachfolgenden Aufrufen des gleichen Nutzers darauf zurückgreifen können und so eine Identifizierung möglich wird (vgl. Dammann, in: Simitis, Kommentar zum BDSG, 7. Aufl., 2011, § 1 Rn. 227). Auf diese Weise verwendet die Facebook Inc. automatisierte Mittel, um personenbezogene Daten zu verarbeiten. Folglich findet für die Facebook Inc. deutsches Datenschutzrecht Anwendung.
Zum gleichen Ergebnis gelangt man unter Anwendung von § 1 Abs. 5 Satz 2 BDSG. Demnach findet das BDSG Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der EU oder in einem Vertragsstaat des EWR belege ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Die Facebook Inc. erhebt, wie ausgeführt, die personenbezogenen Registrierungs- und Nutzungsdaten (z.B. unter Verwendung von Cookies) im Inland.
Schließlich geht Facebook, wie bereits oben ausgeführt (A. a) ee)), selbst davon aus, dass „die Erhebung von Daten in Deutschland über technische Mittel (bspw. Cookies) ohne Zwischenspeicherung im Inland eine grundsätzlich dem deutschen Datenschutzrecht unterfallende Maßnahme“ darstellt, „die nicht zum Vorliegen von Daten oder zur Speicherung von Daten im Inland führt“ (vgl. Anlage 5).
e) Das VG Schleswig führt in seinem Beschluss vom 14. Februar 2013 aus, dass „die Kompetenzen des Antragsgegners als Kontrollstelle im Sinne von Art. 28 RL 95/46/EG bzw. Aufsichtsbehörde gemäß § 38 Abs. 1 Satz 1 BDSG betreffend die Einhaltung des irischen Datenschutzrechts von vorliegender Entscheidung nicht betroffen“ sei. Selbst wenn man der unzutreffenden Auffassung des VG Schleswig folgen würde, so wären auch bei der Anwendung irischen Datenschutzrechts die Regelungen der Richtlinien 95/46/EG und 2002/58/EG zu beachten.
Der Grundsatz der Datensparsamkeit hat über den Anwendungsbereich der Richtlinie 95/46/EG hinaus Bedeutung. Nach Erwägungsgrund 9 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation sollen die Mitgliedstaaten bei der Einführung und Weiterentwicklung von neuen Technologien zusammenarbeiten und als Ziele insbesondere die Beschränkung der Verarbeitung personenbezogener Daten auf das erforderliche Mindestmaß und die Verwendung anonymer oder pseudonymer Daten berücksichtigen. Die Ziele, möglichst anonyme oder pseudonyme Daten zu verarbeiten und beim Design der Technik und bei den Verarbeitungsprozessen im Vorwege Lösungen zu entwickeln, um auf einen Personenbezug weitestgehend zu verzichten, entsprechen also gerade dem Anliegen des europäischen Richtliniengebers. Solche Lösungen sind Gegenstand der Vollharmonisierung des Datenschutzes auf europäischer Ebene. Sie konkretisieren verbindlich die europarechtlich geltenden Grundrechte, insbesondere die Grundrechte auf Datenschutz (Art. 8 GRCh) und das Recht auf freie Meinungsäußerung (Art. 11 Abs. 1 GRCh), dazu siehe unten unter B.
f) Ergänzend ist noch darauf hinzuweisen, dass sich das ULD unter Schilderung der Maßnahmen der Facebook Ireland Ltd. zur Sperrung von Nutzerkonten und der Aufforderung an die Nutzer zur Eingabe von Echtdaten mit Schreiben vom 24. Oktober 2012 an die irische Datenschutzaufsichtsbehörde gewandt, zur Anwendung deutschen Datenschutzrechts vorgetragen und um Mitteilung gebeten hat, wenn die irische Datenschutzbehörde ihre Zuständigkeit für begründet sieht (Anlage 8). Die irische Datenschutzbehörde hat dem ULD daraufhin keine Antwort mit dem Hinweis übersandt, das sie zuständig sei.
B. Rechtmäßigkeit der Grundanordnung
Das VG Schleswig hat infolge der unzutreffenden Annahme, deutsches Datenschutzrecht finde keine Anwendung, keine weitere Prüfung der Anordnung im Übrigen vorgenommen.
Bereits im angefochtenen Bescheid vom 14. Dezember 2012 wurde ausgeführt, dass die in Ziffer I angeordneten Maßnahmen geeignet, erforderlich und verhältnismäßig sind. Speziell die Anordnung der Kontenentsperrung unter Ziffer I.2 ist geeignet, weil hierdurch eine rechtswidrige Zugangsschranke für den Zugriff auf Nutzerdaten beseitigt wird. Hierdurch werden auch die Anforderungen nach § 13 Abs. 6 TMG gewahrt, wonach ein pseudonymer Zugang zu Telemedien angeboten werden muss, soweit dies technisch möglich und zumutbar ist. § 13 Abs. 6 TMG ist neben § 3a BDSG Ausdruck des Gebots der Datensparsamkeit und Datenvermeidung (BT-Drs. 13/7385, S. 23). Wie bereits im Schriftsatz des ULD vom 18. Januar 2013 dargelegt, hat das Gebot der Datensparsamkeit und der Datenvermeidung auch eine europarechtliche Dimension: Der Grundsatz der Datensparsamkeit hat über den Anwendungsbereich der Richtlinie 95/46/EG hinaus Bedeutung. Nach Erwägungsgrund 9 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation sollen die Mitgliedstaaten bei der Einführung und Weiterentwicklung von neuen Technologien zusammenarbeiten und als Ziele insbesondere die Beschränkung der Verarbeitung personenbezogener Daten auf das erforderliche Mindestmaß und die Verwendung anonymer oder pseudonymer Daten berücksichtigen. Die Ziele, möglichst anonyme oder pseudonyme Daten zu verarbeiten und beim Design der Technik und bei den Verarbeitungsprozessen im Vorwege Lösungen zu entwickeln, um auf einen Personenbezug weitestgehend zu verzichten, entsprechen also gerade dem Anliegen des europäischen Richtliniengebers. Solche Lösungen sind Gegenstand der Vollharmonisierung des Datenschutzes auf europäischer Ebene.
Die Anordnung der Kontenentsperrung ist auch erforderlich, da im Rahmen der rechtlich zulässigen Anordnungen kein milderes Mittel ersichtlich ist, welches einen gleichwertigen Schutz bewirken könnte.
Die angeordnete Kontenentsperrung ist angemessen. Sie greift nur insoweit in die Rechte des Adressaten der Anordnung ein, wie dies für das angestrebte Ziel unerlässlich ist. Bezug genommen wird auf die Ausführungen im Bescheid vom 14. Dezember 2012.
Facebook Inc. hat in seiner Stellungnahme vom 18. Oktober 2012 (Verfahren Az.: 8 B 61/12) jegliche datenschutzrechtliche Verantwortlichkeit von sich gewiesen, die Anwendbarkeit der Vorschriften des Telemediengesetzes (TMG) verneint und im Übrigen auf die Facebook Ireland Ltd. verwiesen. Die Facebook Ireland Ltd. hat in ihrem Schreiben vom 6. Dezember 2012 (Anlage 9) zwar nur für das unter dem Aktenzeichen LD4-61.41/12.004 parallel laufende Verfahren Stellung genommen. Allerdings werden dort allgemeine Erwägungen getroffen, die den gesamten Facebook-Konzern einschließen, so dass diese Ausführungen vor allem in die Prüfung der Angemessenheit einfließen.
a) Eingriff in das Recht auf informationelle Selbstbestimmung der Nutzer
Facebook sieht demnach seine „Kultur der wahren Identität“ in Gefahr. Das Unternehmen sei bemüht, die sozialen Normen der realen Welt in einer Online-Umgebung abzubilden, indem besondere Betonung auf die menschlichen Qualitäten von Kommunikation und gemeinsamer Nutzung gelegt werde. Beklagt wird die Einstellung von „Troll-Beiträgen“. Damit seien Personen gemeint, die „in Online-Communities wie z.B. in Online-Diskussionsforen, Chat-Räumen oder Blogs aufrührerische, irrelevante oder nicht zum Thema gehörende Beiträge schreiben und damit in erster Linie das Ziel verfolgen, andere Nutzer zu einer emotionalen Antwort zu bewegen oder die normale themenbezogene Diskussion auf sonstige Weise zu stören.“
Den Nutzern von Facebook steht nach Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG ein Recht auf Wahrung ihres allgemeinen Persönlichkeitsrechts zu, aus welchem ein Recht auf informationelle Selbstbestimmung resultiert. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (BVerfGE 65, 1, 43). Das Bundesverfassungsgericht hat ausgeführt, dass derjenige in seiner Freiheit wesentlich gehemmt werden kann, aus eigener Selbstbestimmung zu planen und zu entscheiden, der nicht mit Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist (BVerfGE 65, 1, 43).
Dem Recht auf informationelle Selbstbestimmung steht das Recht des Facebook-Konzerns gegenüber, sich wirtschaftlich zu betätigen. Aus verfassungsrechtlicher Sicht muss ein verhältnismäßiger Ausgleich der widerstreitenden Interessen ermittelt werden. Dabei ist von Bedeutung, dass die Facebook Inc. nicht etwa die Erfüllung karitativer Zwecke anstrebt und im Rahmen einer weltweiten „Mission“ (so im Schreiben vom 6. Dezember 2012, S. 6 – Anlage 9) lediglich die Kommunikation unter den Menschen verbessern möchte. Facebook Inc. ist ein US-börsennotiertes Unternehmen, welches mit Gewinnerzielungsabsicht tätig wird und sein Geschäftsmodell über diverse Werbungs- und Marketingmaßnahmen betreibt. Daten zu Nutzeraktivitäten werden detailliert ausgewertet und für diese Werbe- und Marketingzwecke verarbeitet und genutzt. Nach den Ausführungen in den Datenverwendungsrichtlinien unter www.facebook.com (letzte Aktualisierung: 08.06.2012) stellt Facebook seinen Geschäftspartnern Tools bereit, um anhand bestimmter Nutzerinformationen (z.B. Standort, Demographie, Vorlieben, Schlüsselwörter, Alter) gezielt Werbung zu schalten. Facebook nutzt insbesondere Informationen wie z.B. die Registrierungsdaten der Nutzer (Vorname, Nachname, Geburtsdatum, Geschlecht, E-Mail), Cookies und IP-Adressen, um Werbeanzeigen bereitzustellen. Insbesondere über den realen Namen eröffnen sich den Unternehmen Möglichkeiten der Verknüpfung von Angaben aus der analogen Welt mit Daten in der Internetumgebung. Der wettbewerbsrechtlichen Betätigungsfreiheit stehen die Rechte der einzelnen Nutzer entgegen, gerade nicht identifiziert zu werden und dass eine Erstellung von Nutzerprofilen für Werbe- und Marketingzwecke unterbleibt.
b) Eingriff in die Freiheit der Meinungsäußerung der Nutzer
Ein weiteres Recht der Nutzer ist die Ausübung der verfassungsrechtlich gewährleisteten Meinungsäußerungsfreiheit. Vom Schutzbereich der Meinungsfreiheit umfasst sind zum einen Meinungen, das heißt durch das Element der Stellungnahme und des Dafürhaltens geprägte Äußerungen. Sie fallen stets in den Schutzbereich von Art. 5 Abs. 1 Satz 1 GG, ohne dass es dabei darauf ankäme, ob sie sich als wahr oder unwahr erweisen, ob sie begründet oder grundlos, emotional oder rational sind oder ob sie als wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt werden (BVerfGE 90, 241, 247; 124, 300, 320). Sie verlieren diesen Schutz auch dann nicht, wenn sie scharf und überzogen geäußert werden (BVerfGE 61, 1, 7 f.; 90, 241, 247; 93, 266, 289). Wer damit rechnen muss, als „Troll“ identifiziert zu werden, und dessen Meinungskundgabe somit über Facebook gesteuert, zugelassen oder erlaubt wird, wird an der Ausübung seiner Meinungsäußerungsfreiheit massiv gehindert. Es stellt einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, wenn die Meinungskundgabe stets von einer Registrierung mit Echtdaten abhängig gemacht wird. Die wirtschaftliche Betätigungsfreiheit von Facebook muss hier zurücktreten. Dies ist von § 13 Abs. 6 TMG gedeckt. Facebook hat nicht die Befugnis, von Art. 5 Abs. 1 Satz 1 GG geschützte Äußerungen zu unterbinden, soweit diese „aufrührerische, irrelevante oder nicht zum Thema gehörenden Beiträge“ enthalten.
Die Meinungsäußerungsfreiheit der Nutzer wird durch Art. 11 Abs. 1 der Grundrechtecharta geschützt. Hiernach hat jede Person das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben. § 13 Abs. 6 TMG bildet insofern eine europarechtliche Konkretisierung der Gewährleistung, ohne Zwang eine bestimmte Meinung äußern zu können. Der Äußernde muss seine Meinung unter Verwendung eines Pseudonyms tätigen können, ohne fürchten zu müssen, von der Antragstellerin als Person mit „irrelevanten“ Beiträgen von der Kommunikation ausgeschlossen zu werden. Diese grundrechtliche Gewährleitung muss zwischen der Antragstellerin und den Nutzern im Wege der mittelbaren Drittwirkung von Grundrechten beachtet werden.
Die wettbewerbliche Betätigungsfreiheit von Facebook muss hier zurücktreten. Nach Art. 16 der Grundrechtscharta wird die unternehmerische Freiheit nach dem Gemeinschaftsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt. Nach Art. 52 Abs. 1 Satz 2 der Grundrechtecharta dürfen unter Wahrung des Grundsatzes der Verhältnismäßigkeit Einschränkungen nur dann vorgenommen werden, wenn sie notwendig sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Die Meinungsäußerungsfreiheit der Nutzer sowie das ihnen zustehende allgemeine Persönlichkeitsrecht verdienen gegenüber der wettbewerblichen Betätigungsfreiheit der Antragstellerin Vorrang. Gerade kritische Meinungsäußerungen können von den Nutzern nur dann unter den angelegten Accounts verbreitet werden, wenn diese sicher sein können, dass keine Zensur durch die Antragstellerin erfolgt. Dabei muss die Freiheit bestehen, Meinungsäußerungen unter Nutzung eines Pseudonyms in die Kommunikation mit anderen Nutzern einzubringen. Nutzer müssen dabei die Möglichkeit erhalten, gegenüber anderen Nutzern per Pseudonym aufzutreten. Missstände müssen dann offen diskutiert werden können, ohne dass die Nutzer mit Nachteilen rechnen müssen (OLG Hamm, Beschluss vom 03.08.2011, I 3 U 196/10).
Facebook hat kein Recht, in diese Kommunikation aktiv einzugreifen, indem sie Kontensperrungen vornimmt und Äußerungen unter Pseudonym unmöglich macht. Weiterhin hat Facebook nicht die Befugnis, eine Kommunikation der Nutzer von vornherein ohne Ausnahme unter Offenbarung ihrer Identität zu fordern. Die Ermöglichung einer Kommunikation unter Pseudonym entspricht auch den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen. Dabei ist die Meinungsfreiheit nicht auf die Äußerung von Meinungen beschränkt, sondern schließt nach Art. 10 Abs. 1 Satz 2 der EMRK und Art. 11 Abs. 1 Satz 1 der Grundrechtecharta im Sinne einer Kommunikationsfreiheit ausdrücklich die Freiheit zum Empfang und zur Mitteilung von Nachrichten oder Ideen ein. Dieses Recht wird durch eine Kontensperrung massiv behindert. Der EGMR betont in ständiger Rechtsprechung, dass die Freiheit der Meinungsäußerung nicht nur für Informationen oder Ideen gilt, die Zustimmung erfahren oder die als harmlos oder unerheblich betrachtet werden, sondern auch für sämtliche Informationen und Ideen, die den Staat oder einen Bereich der Bevölkerung beleidigen, aus der Fassung bringen oder stören (EuGH, Schlussantrag des Generalanwalts v. 08.05.2008, Rechtssache C-73/07).
Facebook führt im Schreiben vom 6. Dezember 2012 aus, die Nutzer „wollen und erwarten, dass ihre Verbindungen auf Facebook authentisch sind.“ Schließlich würde die pseudonyme Nutzung von Facebook die „Integrität des Umfelds für alle Nutzer destabilisieren und das Vertrauen untergraben, das für den Austausch auf Facebook erforderlich ist.“ Es mag sein, dass bestimmte Nutzer im Rahmen der Registrierung unterwww.facebook.com ihre Echtdaten eingeben und sich wünschen, dass dies auch andere Personen tun. Jeder Nutzer muss nach Maßgabe von § 13 Abs. 6 TMG aber die Wahlmöglichkeit haben, anstelle der Eingabe der Echtdaten mit einem Pseudonym zu arbeiten. Gerade hierin besteht der Schutz des allgemeinen Persönlichkeitsrechts solcher Nutzer, die ihre Identität nicht preisgeben wollen. Es ist zu beachten, dass der Facebook-Konzern mit seinen Diensteangeboten eine Monopolstellung einnimmt und gerade die Kommunikation unter Minderjährigen in vielen Bereichen (Schule, Freizeit) nur noch über das Facebook-Portal abgewickelt wird. Eine Wahrung der Privatsphäre ist nicht mehr möglich, wenn Teilnahmezwänge entstehen und dies mit der ausnahmslosen Preisgabe der Echtdaten verbunden ist.
c) Maßnahmen gegen Missbrauch auch möglich, wenn Konten mit pseudonymen Angaben geführt werden
Weiterhin schildert Facebook im Schreiben vom 6. Dezember 2012, dass das „Erfordernis der wahren Identität untrennbar mit der Nutzersicherheit auf der Facebook-Plattform verbunden und wesentlicher Bestandteil der implementierten Sicherheitsmaßnahmen“ sei. Datenschutz, Sicherheit und Integrität der Facebook-Plattform wären ohne derartige Maßnahmen wesentlich beeinträchtigt. Schließlich wird behauptet, dass die große Mehrheit der von Facebook deaktivierten Konten mit „Spamming, Verbreitung von Malware, Täuschung von Nutzern zur Offenlegung von Finanzdaten, ’Trolling’, Cybermobbing, Verbreitung von Hassreden, Austausch von Kinderpornographie und Mogeleien bei Spielen“ im Zusammenhang gestanden hätten.
Es wird bereits nicht deutlich, welche implementierten Sicherheitsmaßnahmen durch die Ermöglichung einer Anmeldung per Pseudonym beeinträchtigt würden. Maßnahmen der Datensicherheit nach § 9 BDSG i.V.m. der Anlage zum BDSG (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie die Wahrung des Trennungsgebots und der Einsatz von Verschlüsselungstechnik nach dem Stand der Technik) können auch bei der Verwendung von Pseudonymen durchgeführt werden. Die behaupteten Gründe, weswegen in der Vielzahl der Fälle eine Kontensperrung erfolgt sein soll, widersprechen den Ausführungen gegenüber den Nutzern, nachdem bei diesen die Konten gesperrt wurden: „Facebook ist eine Gemeinschaft, in der Menschen mithilfe ihrer wahren Identitäten miteinander in Verbindung treten und Inhalte teilen können. Wir können Dir erst dann helfen, wenn Du Deinen richtigen, vollständigen Namen unten eingegeben hast.“ Diese Botschaft wurde an sämtliche Nutzer gerichtet, welche nicht oder nicht vollständig ihre Echtdaten bei der Registrierung angegeben haben.
Technische Maßnahmen zur künftigen Unterbindung von z.B. urheber- oder strafrechtlichen Verhaltensweisen von Nutzern wären für Diensteanbieter, die hiervon Kenntnis erhalten, zudem auch dann möglich, wenn der mutmaßliche Täter unter Pseudonym agiert. Hierzu müssen nicht die Echtdaten vorliegen. Weiterhin erfolgen, wie bereits ausgeführt, Kontensperrungen auch dann, wenn die nicht unter den Echtdaten kommunizierenden Nutzer von Facebook als „Troll“ qualifiziert werden, was deren Meinungsäußerungsfreiheit eklatant beeinträchtigt.
d) Keine Alternative zur Äußerung der Meinung unter Pseudonym
Im Schriftsatz vom 20. Dezember 2012, Seite 5, hat Facebook noch unter Verweis auf die dort beigefügte Anlage 4 ausgeführt, dass „es für Facebook eine unangemessene Auflage darstelle, wenn Facebook seine Forderung, dass Nutzer auf Facebook ihren richtigen Namen angeben müssen, ändern, und somit eine anonyme/oder pseudonyme Nutzung des Service zulassen müsste.“ Facebook habe „durchgängig eine Kultur der wahren Identität gepflegt, seit der Service als Netzwerk für die Verbindung unter Studenten der Havard-Universität begann.“ Versteckte Identitäten seien, „auch wenn sie in bestimmten Fällen abgemessen sein mögen, nicht mit Facebooks Ziel vereinbar, Menschen einen offeneren Austausch und offenere Kommunikation zu ermöglichen.“ Ihre Position möchte Facebook noch mit den Ausführungen in ihren Nutzungsbedingungen unter http://de-de.facebook.com/legal/terms („Letzte Überarbeitung: 11.12.2012“): Abschnitt 4, „Registrierung und Sicherheit der Konten“ untermauern:
„Facebook-Nutzer geben ihre wahren Namen und Daten an und wir benötigen deine Hilfe, damit dies so bleibt.“
An keiner Stelle der unter http://de-de.facebook.com bereit gestellten Informationen wird die Möglichkeit einer Nutzung der angebotenen Dienste über ein Pseudonym erläutert. Es gehörte nach den eigenen Angaben Facebook nie zu deren Geschäftskonzept, für Nutzer einen weiteren (pseudonymen) Kommunikationsweg zu eröffnen. Gleichwohl argumentiert Facebook nun entgegen seiner Klardatenpolitik und führt in ihrem Schriftsatz vom 7. Februar 2013 auf den Seiten 2 f. aus , dass registrierten Nutzern über die Funktion „Seiten“ die Möglichkeit eröffnet würde, eine „sog. Seite“ zu eröffnen, auf welcher ohne Nutzername agiert werden könne, wenn der Nutzer unter der „Info-Rubrik“ keine Angaben zu seiner Person abgelegt habe. Unabhängig von dieser widersprüchlichen Darstellung Facebook besteht ein Problem gerade darin, dass sich der Nutzer vor der Eröffnung einer solchen Seite zunächst unter http://de-de.facebook.com mit Vorname, Nachname, Handynummer, Geburtstag und Geschlecht registrieren muss. Das Anlegen einer solchen Seite ohne Registrierung mit Echtdaten ist nicht möglich. Ferner wird der Nutzer durch die erwähnten Nutzungsbedingungen geradezu dazu angehalten, die „wahren Namen und Daten“ anzugeben. Ein weiterer Kommunikationskanal wird also gerade nicht eröffnet.
Weiterhin hält das ULD nach derzeitigem Stand einen aus Datenschutzsicht rechtmäßigen Betrieb der bezeichneten „Seiten“, d.h. sog. Facebook-Fanpages, nicht für möglich (Verfahren vor dem VG Schleswig, Az.: 8 A 14/12, 8 A 37/12, 8 A 218/11), da Facebook ohne Einwilligung und Widerspruchsmöglichkeit der Nutzer deren Nutzungsdaten mit den Registrierungsdaten verknüpft und für Werbezwecke und zur bedarfsgerechten Gestaltung von Telemedien verarbeitet.
Vor diesem Hintergrund besteht entgegen der Darstellung von Facebook für die Nutzer keine Möglichkeit, die Meinung ohne Nennung des Klarnamens zu äußern. Nach den Ausführungen von Facebook im Schriftsatz vom 20. Dezember 2012, (dort Anlage 4, Seite 6) gehört es zu ihren Zielsetzungen, eine „Kultur der wahren Identität“ zu pflegen, wonach die Angabe echter Namen und Personen und die Verknüpfung mit ihren Nachrichten und Handlungen auf Facebook die Verantwortung und Verantwortlichkeit der Nutzer fördern solle. Diese Zielsetzung widerspricht der grundsätzlichen Erwägung des BGH, dass eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, nicht mit Art. 5 Abs. 1 GG vereinbar ist (BGH, Urteil v. 23.06.2009 – VI ZR 196/08, BGH MMR 2009, 608, 612).
Weiterhin zieht Facebook aus der genannten gerichtlichen Entscheidung falsche Schlüsse. Zunächst hat das ULD an keiner Stelle behauptet, dass dem „Recht auf anonyme Meinungsäußerung im Internet absoluter Vorrang eingeräumt“ werden müsse (Schriftsatz von Facebook vom 07.02.2013, S. 23). Der BGH hat zwar, soweit hat dies Facebook korrekt vorgetragen, die Zulässigkeit von Lehrerbewertungen anhand einer Abwägung zwischen dem Recht auf informationelle Selbstbestimmung und dem Recht auf Kommunikationsfreiheit beurteilt. Eine Kernaussage besteht darin, dass anonym abgegebene Bewertungen von der Kommunikationsfreiheit geschützt werden. Diese Erörterung betrifft den Zugang zu einem Dienst und die Berücksichtigung von Meinungskundgaben ohne Angabe der Identität. Davon zu trennen ist die Frage, ob die (anonym) abgegebene Meinung ihrem Inhalt nach mit dem Recht auf informationelle Selbstbestimmung der Lehrer kollidiert und welchem Recht der Vorrang gebührt. Der BGH bestätigt nicht, dass „Namen als Daten nur eine begrenzte Wertigkeit zukommt“ (Schriftsatz von Facebook vom 07.02.2013, S. 23). Maßgebend ist vielmehr, dass Facebook mit der Klardatenpolitik, die sich auch in den „Nutzungsbedingungen“ unterhttp://de-de.facebook.com/legal/terms manifestiert, Meinungskundgaben unter Pseudonym unterbindet, indem eine Registrierung nur bei Eingabe von Echtdaten akzeptiert wird. Der Nutzer hat dabei keine Wahlmöglichkeit. Eine völlig andere Frage wäre dann, inwieweit eine einzelne abgegebene Meinung mit dem Recht auf informationelle Selbstbestimmung eines anderen Nutzers der Facebook-Plattform kollidiert.
Die Maßnahme der Aufforderung zur Entsperrung der Konten registrierter Nutzer, welche bei der Registrierung nicht oder nicht vollständig ihre Echtdaten angegeben haben, greift verhältnismäßig in das Facebook zustehende Recht auf gewerbliche Betätigung ein, indem nur diejenigen Nutzerkonten erfasst werden, die allein wegen der Nutzung von Pseudonymen gesperrt wurden. Getroffene technische Maßnahmen von Facebook Inc. im Falle, dass Facebook Inc. Kenntnis von einem Nutzerverhalten erlangt, welches gegen Rechtsvorschriften verstößt (z.B. straf-, urheber- oder wettbewerbsrechtliche Bestimmungen), bleiben von dieser Verfügung unberührt.
C. Rechtmäßigkeit der Anordnung der sofortigen Vollziehung
Infolge der unzutreffenden Annahme des VG Schleswig, es finde deutsches Datenschutzrecht keine Anwendung, hat das Gericht auch eine Prüfung der Rechtmäßigkeit der Anordnung der sofortigen Vollziehung nicht ordnungsgemäß vorgenommen.
a) Allgemeine Persönlichkeitsrechte der Nutzer
Die sofortige Vollziehung der Anordnung unter Ziffer I. Nr. 2 des Bescheids vom 14. Dezember 2012 war anzuordnen, weil dies zum Schutze des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der betroffenen registrierten Personen erforderlich ist. Durch die Sperrung der Konten registrierter Nutzer können diese nicht mehr auf die von ihnen eingegebenen und verwalteten Informationen zugreifen und mit anderen Nutzern kommunizieren. Die Nutzer werden gezwungen, zwecks Entsperrung ihrer Konten ihre Ausweiskopien zu übersenden. Die Erhebung sämtlicher aufgedruckter Daten auf einem Personalausweis ist für Facebook jedoch nicht erforderlich. Zu den aufgedruckten Angaben gehören z.B. auch das Lichtbild, die sechsstellige Zugangsnummer zur Nutzung des elektronischen Identitätsnachweises (§ 18 des Personalausweisgesetzes) sowie die Seriennummer, welche zur Registrierung bei dem kostenfreien Internetdienst der Antragstellerin unter www.facebook.com nicht notwendig sind.
Die Facebook Inc. steht für die Erhebung der Ausweisdaten keine Rechtsgrundlage zu. Gemäß Art. 7 a) der Richtlinie 95/46/EG darf die Verarbeitung personenbezogener Daten erfolgen, wenn die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat. Diesen Grundsatz hat der deutsche Gesetzgeber in § 4a Abs. 1 BDSG konkretisiert. Die Einwilligung ist demnach wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Diese Wahlfreiheit besteht dann nicht, wenn die Datenverarbeitung erzwungen wird, indem hiervon eine Kontenentsperrung abhängig gemacht wird. Gemäß Art. 7 b) der Richtlinie 95/46/EG ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen. Facebook Inc. erfüllt gegenüber den Nutzern keine Vertragspflichten, für welche die Erhebung der Ausweisdaten zwingend erforderlich wäre. Die Internetdienste können auch ohne zwingende Kenntnis des Lichtbilds, der Zugangsnummer und der Seriennummer in Anspruch genommen werden. Facebook Inc. benötigt diese Daten nicht, um eine vertragliche Haupt- oder Nebenpflicht zu erfüllen. Auch für die anderen Daten die im Rahmen der Registrierung verlangt werden und mit den Angaben auf dem Personalausweis identisch sind (Name, Vorname, Geburtsdatum, Geschlecht), besteht für die Facebook Inc. nach Maßgabe von Art. 7 b) der Richtlinie 95/46/EG kein zwingendes Bedürfnis.
Auch nach Art. 7 f) der Richtlinie 95/46/EG ist eine Datenverarbeitung durch die Facebook Inc. nicht zulässig. Nach Art. 7 f), 1. Fall der Richtlinie 95/46/EG darf eine Verarbeitung personenbezogener Daten erfolgen, wenn die Verarbeitung erforderlich ist zur Verwirklichung eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die nach Art. 1 Abs. 1 der Richtlinie 95/46/EG geschützt sind, überwiegen. Selbst wenn der Facebook Inc. mit der Verfolgung der „Klarnamenpolitik“ und der „Kultur der wahren Identität“ überhaupt ein berechtigtes Interesse an der Verarbeitung personenbezogener Nutzerdaten zustehen würde, so überwiegt in jedem Fall das Interesse derjenigen Nutzer am Ausschluss einer solchen Verarbeitung, welche sich nach der von diesen getroffenen Wahl nicht mit ihren Echtdaten registrieren wollen. Es muss den Nutzern die Möglichkeit verbleiben, sich mit einem Pseudonym zu registrieren, da den Nutzern bei dem ihnen zustehenden Recht auf informationelle Selbstbestimmung die freie Entscheidung verbleiben muss, wie und mit welchen personenbezogenen Daten sie im Internetportal der Facebook Inc. in Erscheinung treten.
Es mag Nutzer geben, welche bewusst die Eingabe von Echtdaten beim Registrierungsprozess favorisieren. Zum Schutz der Persönlichkeitsrechte derjenigen Nutzer, die von einer Preisgabe ihrer Echtdaten Abstand nehmen möchten, besteht eine besondere Dringlichkeit für ein sofortiges Handeln. Diese haben in ihren Konten privaten Schriftverkehr, private Meldungen und Bilder eingestellt, die infolge der Kontensperrung von den Nutzern nicht mehr ansteuerbar sind. Viele Nutzer sind in Ausübung ihres Rechts auf informationelle Selbstbestimmung nicht bereit, dem Druck der Facebook Inc. auf Zusendung ihrer Ausweiskopien zwecks Entsperrung ihrer Konten nachzugeben. Es besteht damit ein überwiegendes öffentliches Interesse daran, dass die Konten, welche ausschließlich und allein wegen des Grundes der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung vorübergehend gesperrt wurden, zu entsperren. Das Ansinnen der Facebook Inc. einer einschränkungslosen Durchsetzung ihrer „Klarnamenpolitik“ muss dahinter zurücktreten.
b) Berufsausübungsfreiheit der Nutzer
Eine besondere Dringlichkeit besteht weiterhin, da zahlreiche Nutzer ihre Facebook-Konten auch für geschäftliche Zwecke nutzen und diese somit an ihrer Berufsausübung gehindert sind. Dies greift in deren Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG ein.
Ein Eingriff in Art. 12 Abs. 1 GG auf Seiten der Nutzer kann nicht mit Verweis auf die in § 5 Abs. 1 TMG normierte Pflicht zur Erfüllung allgemeiner Informationspflichten verneint werden. Die Antragstellerin fordert im Rahmen des Registrierungsprozesses (ohne Wahlmöglichkeit) von den Nutzern die Eingabe von deren Namen, Vornamen, Geburtsdatum, Geschlecht und E-Mail-Adresse/oder Handynummer. Dieser Datensatz geht zum Einen über die in § 5 Abs. 1 TMG aufgeführten Angaben hinaus. Zum anderen berücksichtigt Facebook nicht, dass sie mit ihrer pauschalen Kontensperrung auch Kapital- und Personengesellschaften erfasst, deren Seiten nicht durch den Vertretungsberechtigten im Sinne von § 5 Abs. 1 Nr. 2 TMG angelegt wurden. Nach § 5 Abs. 1 Nr. 1 und Nr. 2 TMG haben Diensteanbieter für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien u.a. den Namen, den Vertretungsberechtigten und Angaben zur schnellen elektronischen Kontaktaufnahme und zur Ermöglichung der unmittelbaren Kommunikation leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten. Bei Personen- und Kapitalgesellschaften ist nach den §§ 17 ff. HGB die Firma, einschließlich des vollständigen Rechtszusatzes, zu nennen. Die Angabe einer Telefonnummer ist zwar als sinnvoll anerkannt, aber nicht zwingend, da die unmittelbare Kommunikationsmöglichkeit im Sinne von § 5 Abs. 1 Nr. 2 TMG auch über ein elektronisches Kontaktformular bewerkstelligt werden kann (EuGH, Urteil vom 16.10.2008, C-298/07, Heckmann, Internetrecht, 2. Auflage, 2009, S. 54). Zudem wird nicht die Angabe einer Handynummer bzw. Mobiltelefonnummer verlangt. Der Vertretungsberechtigte muss mit derjenigen Person, welche für die Personen- oder Kapitalgesellschaft eine Registrierung vornimmt, nicht identisch sein. Nicht selten übernimmt ein Mitarbeiter aus der EDV-Abteilung, z.B. der Administrator die Registrierung. Bezüglich der Ermöglichung einer schnellen Kontaktaufnahme reicht die Angabe einer E-Mail-Adresse, die zudem nicht direkt verlinkt sein muss (Heckmann, a.a.O., S. 55). Dabei kann bei der Registrierung auch eine andere persönliche E-Mail-Adresse genannt worden sein. Diese E-Mail-Adresse muss nicht mit der im Impressum genannten allgemeinen E-Mail-Adresse des Unternehmens identisch sein. Geburtsdatum und Geschlecht werden in § 5 Abs. 1 TMG nicht einmal erwähnt.
Der einzelne Mitarbeiter des Unternehmens, der unter Verwendung von pseudonymen Angaben eine oder mehrere Registrierungen unter http://de-de.facebook.com vorgenommen hat, muss jedoch ebenfalls die Wahl haben, ob seine Echtdaten bekannt gegeben werden oder nicht.
Personen- und Kapitalgesellschaften werden massiv in ihrer Berufsausübungsfreiheit beschränkt, wenn die z.B. durch Mitarbeiter oder durch vertretungsberechtigte angelegten Konten gesperrt werden, da pseudonyme Angaben verwendet wurden. Die „Klarnamenpolitik“ der Antragstellerin wird durch die pseudonyme Nutzung der Kapital- und Personengesellschaften nur marginal berührt, zumal andere Nutzer über das Impressum auf der Facebook-Seite erfahren würden, mit wem sie kommunizieren. Diejenige Person, welche die Seite letztlich angelegt hat, z.B. ein Mitarbeiter des Unternehmens, tritt dabei nahezu völlig in den Hintergrund. Mitarbeiter, welche die Registrierung unter Verwendung pseudonymer Angaben vorgenommen haben, werden mit der Sperrung der Konten ebenfalls in ihrer Berufsausübung massiv gehindert, indem eine Verwaltung von dienstlichen Informationen, die unter den Seiten der Konten abgelegt sind, nicht mehr möglich ist.
Ein von Facebook behaupteter existenzvernichtender Eingriff (Schriftsatz von Facebook vom 07.02.2013, S. 22) wäre mit der technischen Einrichtung der Wahlmöglichkeit, im Rahmen der Registrierung unter http://de-de.facebook.com pseudonyme Angaben zu verwenden, nicht verbunden. Bereits zum Zeitpunkt der Anordnung haben zahlreiche Nutzer pseudonyme Konten verwendet. Wirtschaftliche Interessen, z.B. in der Form, dass Werbung bereitgestellt wird, kann Facebook, soweit aus datenschutz- und wettbewerbsrechtlicher Sicht zulässig, auch gegenüber solchen Nutzern schalten, welche sich unter Pseudonym angemeldet haben. Dies war vor der Kampagne von Facebook zur Kontensperrung ohne weiteres möglich. Es müsste mit der Einräumung der Wahlmöglichkeit, ein Pseudonym zu nutzen, auch kein „völlig neues Netzwerk“ geschaffen werden.
Der Verweis von Facebook darauf, bei Einrichtung der Wahlmöglichkeit zur Nutzung eines Pseudonyms einer Haftung wegen Verstoßes gegen Jugendschutzvorschriften ausgesetzt zu sein, geht fehl. Facebook verwirft zum einen die moderne Identifikationstechnik des neuen elektronischen Personalausweises mit Nutzung eines dienste- und kartenspezifischen Kennzeichens, d.h. dem Angebot der Nutzung einer Pseudonymfunktion (§ 18 Abs. 3 Satz 2 Nr. 8 des Personalausweisgesetzes). Zum anderen hält sie nicht im Ansatz eine funktionstüchtige Altersverifikation zum Schutz Minderjähriger bereit. Vielmehr sollen die Minderjährigen selbst noch ihre Echtdaten bei der Registrierung eingeben, welche dann für Werbezwecke rechtswidrig genutzt werden. Zum anderen akzeptiert Facebook sehenden Auges, dass mit ihrem Registrierungsprozess eine sichere Alterskontrolle ausgeschlossen ist. Im Jahre 2010 nutzten bereits 25% der 6-7-Jährigen Social Networks und von den 9-10-Jährigen bereits 33% täglich (Bräutigam, Das Nutzungsverhältnis bei sozialen Netzwerken, NJW 2012, 635). Facebook ist als Betreiberin eines solches sozialen Netzwerks nicht imstande, den Persönlichkeitsschutz von Personen zu gewährleisten, die das 13. Lebensjahr noch nicht vollendet haben. Damit unterschreitet Facebook sogar die Schutzschwelle, die sie sich selbst in ihren Nutzungsbedingungen auferlegt hat: „Nutzungsbedingungen“ unterhttp://de-de.facebook.com/legal/terms , letzte Überarbeitung am 11.12.2012, Abschnitt 4 „Registrierung und Sicherheit der Konten“: „Du wirst Facebook nicht verwenden, wenn Du unter 13 Jahre alt bist.“
Es besteht ein öffentliches Interesse am sofortigen Vollzug einer Kontenentsperrung, da Firmeninhaber und die bei diesen tätigen Mitarbeiter nicht mehr auf die in den Konten eingestellten dienstlichen Informationen zugreifen können, soweit für den Firmenauftritt bei Facebook bei der Registrierung pseudonyme Angaben verwendet wurden und allein deswegen eine Sperrung des Kontos erfolgte. Das öffentliche Interesse an der Kontenentsperrung hat Vorrang vor dem Recht der Facebook Inc. auf unternehmerische Betätigung. Es ist der Facebook Inc. auch technisch möglich und zumutbar, den Nutzern in Schleswig-Holstein eine Wahlmöglichkeit zur Registrierung per Pseudonym einzurichten. Der neue elektronische Personalausweis verfügt etwa über die Funktion der sog. Wohnortverifikation, mit welcher sich Nutzergruppen in bestimmten räumlichen Gebieten identifizieren lassen (Datenschutzrechtliche Leitlinien für die Erteilung von Berechtigungen nach § 21 Abs. 2 PAuswG aus Sicht der Ad-hoc-Arbeitsgruppe nPA der Datenschutzbeauftragten des Bundes und der Länder, S. 6, Anlage 10).
D. Rechtmäßigkeit der Zwangsgeldandrohung
Infolge der unzutreffenden Annahme des VG Schleswig, deutsches Datenschutzrecht finde keine Anwendung, wurde auch Ziffer III des Bescheids vom 14. Dezember 2012 nicht ordnungsgemäß gewürdigt. Wie bereits im genannten Bescheid vom 14.12.2012 der Antragstellerin ausgeführt, scheiden andere Zwangsmittel aus, da sie nicht geeignet sind, den mit der Anordnung angestrebten Erfolg zu bewirken. Die Höhe des angedrohten Zwangsgeldes ist auch verhältnismäßig. Die Kontensperrung betrifft sämtliche natürlichen Personen, die in Schleswig-Holstein Telemedien unterwww.facebook.com nutzen möchten und die bei der Registrierung keine Echtdaten angegeben haben. Die fehlenden Hinweise bezüglich der Wahlmöglichkeit, eine Registrierung unter Pseudonym vorzunehmen, und letztlich auch die fehlende Bereitstellung dieser Möglichkeit führen bei den betroffenen Nutzern zu erheblichen Beeinträchtigungen von deren Persönlichkeitsrechten, da diese nicht selbstbestimmt über die Verarbeitung ihrer personenbezogenen Daten entscheiden können.
Das angedrohte Zwangsgeld ist geeignet, den Adressaten der Anordnung dazu anzuhalten, die angeordnete Kontenentsperrung, die Ermöglichung einer Registrierung unter Pseudonym und die Unterrichtung über die Wahlmöglichkeit fristgerecht vorzunehmen. In Anbetracht der bestehenden sowie der unmittelbar bevorstehenden Gefährdung des Rechts auf informationelle Selbstbestimmung von weiteren Nutzern in Schleswig-Holstein, die für die Zukunft eine Registrierung unter www.facebook.de beabsichtigen, und im Hinblick auf die registrierten Nutzer in Schleswig-Holstein, deren Konten von der Facebook Inc. infolge Nichtangabe/nicht vollständiger Angabe der Echtdaten gesperrt wurden, ist die Höhe des Zwangsgeldes auch erforderlich und angemessen.
E. Anregung zur Vorlage beim EuGH
Abschließend möchten wir dazu anregen, zumindest für das Hauptsacheverfahren in vorliegender Angelegenheit Fragen zur Auslegung des Begriffs der „Niederlassung“ in Art. 4 Abs. 1 a) der Richtlinie 95/46/EG dem EuGH zur Vorabentscheidung vorzulegen. Es handelt sich um einen klärungsbedürftigen Punkt, der für die Beantwortung der Frage zum anwendbaren Recht im vorliegenden Verfahren von hoher Bedeutung ist.