Revisionsbegründung des ULD im Gerichtsverfahren zu Fanpages
Dr. Udo Kauß | |
| RA Dr. Udo Kauß, Herrenstraße 62, 79098 Freiburg
Bundesverwaltungsgericht | Herrenstraße 62 79098 Freiburg i. B. Telefon: 0761/702093 Telefax: 0761/702059 Dr. Udo Kauß Rechtsanwalt |
In dem Verwaltungsrechtsstreit
der Wirtschaftsakademie Schleswig-Holstein GmbH
gegen
das Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)
Beigeladen: Facebook Ireland Limited Dublin, Ireland
wird für die gewährte Fristverlängerung gedankt und die Revision mit folgenden Anträgen geführt:
- Die Klage wird unter Aufhebung des Urteils des Schleswig-Holsteinischen Oberverwaltungsgerichtes vom 04.09.2014 und des Verwaltungsgerichts Schleswig vom 09.10.2013 zurückgewiesen,
- hilfsweise an einen anderen Senat des Oberverwaltungsgerichts Schleswig zurückverwiesen.
Die Begründung folgt vorgestellter Gliederung:
Zur Begründung wird ausgeführt:
Die vom Revisionskläger (künftig Beklagter) gegen die Revisionsbeklagte (künftig Klägerin) ausgesprochene und zwangsgeldbewehrte Verfügung vom 03.11.2012, die die Deaktivierung der von der Klägerin bei Facebook betriebenen Fanpage verlangt, ist in beiden vorausgehenden Instanzen für rechtswidrig befunden worden. Das OVG hat die Revision zugelassen, weil höchstrichterlich bisher nicht geklärt sei, ob Ausnahmen vom vorgeschriebenen abgestuften Verfahren des § 38 Abs. 5 BDSG möglich seien, und gegebenenfalls, in welchen Fällen ausnahmsweise vom Wortlaut des § 38 Abs. 5 BDSG abgewichen werden könne, und ob die Inanspruchnahme eines nicht im Sinne des § 3 Abs. 7 BDSG Verantwortlichen durch die Kontrollstelle als Störer datenschutzrechtlich in Betracht komme.
Die im Tenor unbeschränkt zugelassene Revision richtet sich unter Aufrechterhaltung des bisherigen Vortrages des Beklagten nicht nur gegen diese in der Urteilsbegründung ausdrücklich benannten Gründe für die Revisionszulassung, sondern erstreckt sich zulässigerweise auch auf die weiteren dem revisiblen Recht unterliegenden Streitfragen des Rechtsstreits (vgl. BAG Urteil vom 06.09.1990 – 2 AZR 165/90, NJW 1991, 1002).
1.1. Das Geschäftsmodell von Facebook
Den weitergehenden rechtlichen Erwägungen im Einzelnen wird ein Exkurs vorangestellt, damit die zu beurteilenden einzelnen Sachverhalte eine zureichende Einordnung in die datenrechtlichen Konzepte tatsächlichen Strukturen finden können, die der Datenverarbeitung der Beigeladenen bzw. ihrer US-amerikanischen Mutter bei dem kostenlosen Angebot eines sonst nur für Geld auf dem Markt zu erwerbenden Kunden/Nutzer-Kommunikationsprogramms zugrunde liegen.
Der Beigeladene bzw. seine US-amerikanische Mutter ist ein weltweit tätiges, erfolgreiches, börsennotiertes Unternehmen, das seinen Umsatz durch die Vermarktung adressatenbezogener zielgruppenorientierter Werbung generiert.
Mit Stand vom 04.09.2014 – Tag der mündlichen Verhandlung – haben knapp 5.000 Nutzer (Stand 27.10.2014: 4.912 “Gefällt-mir”-Angaben) dieser Fanpage durch Betätigen des sog. “Gefällt-mir”-Buttons zum Ausdruck gebracht, dass sie die Fanpage besucht haben.
Facebook verarbeitet die Nutzungsdaten bei Verwendung von Cookie-IDs als Pseudonyme für Zwecke der Werbung und zur Anpassung der Gestaltung von Facebook. Der Cookie “datr” ist für zwei Jahre aktiv, sodass auch dann eine namentliche Zuordnung über diesen Zeitraum möglich ist, wenn ein zunächst nicht angemeldeter Nutzer sich innerhalb der Aktivitätszeitraums des Cookies bei Facebook anmeldet. Facebook verarbeitet die gewonnenen Nutzungsdaten zu Nutzungsprofilen.
Facebook stellt für die Errichtung der Fanpage die technische Infrastruktur bereit und generiert aus den erhobenen Nutzungsdaten über die Art und den Umfang der Nutzung der Fanpage eine Nutzungsstatistik. Diese wird, soweit es sich um bei Facebook angemeldete Nutzer handelt, mit demografischen Angaben wie Alter, Geschlecht und Herkunft des jeweiligen Besuchers der Seite angereichert und als aggregierter und damit anonymer Nutzungsreport der Klägerin bereit gestellt. Durch den Betrieb der Fanpage erhält Facebook Nutzungsdaten der Fanpagebesucher, was Facebook wiederum den Verkauf von Werbung ermöglicht. Facebook stellt der Klägerin die Infrastruktur zum Aufbau der Fanpage und die Nutzungsstatistik unentgeltlich zur Verfügung.
Facebook würde nicht die Daten aus der Nutzung der Fanpage erhalten können, wenn diese nicht zuvor der Klägerin angeboten und von der Klägerin darauf hin eben als Facebook-Fanpage eingerichtet worden wäre.
Die Klägerin verwendet die von Facebook automatisch zur Verfügung gestellte Nutzungsstatistik für eigene geschäftliche, insbesondere werbliche Zwecke. Auf Basis der erhaltenen Daten ist es der Klägerin möglich, das eigene Internetangebot an die Bedürfnisse, Wünsche und Interessen der Fanpagebesucher anzupassen, eine stärkere Kundenbindung zu erzielen und Kundenakquise durchzuführen. Dies ist erklärtes Ziel und Anreiz des von Facebook den Nutzern der Fanpage, hier der Klägerin.
Facebook selbst führt in seinen “Datenverwendungsrichtlinien” aus, dass es die vom Nutzer “bereit gestellten Informationen” nutzt, “um die Effektivität von Werbeanzeigen,” die die Nutzer des Netzwerkes und andere Personen sehen, “zu messen und zu verstehen” (vgl. Schriftsatz des Klägers vom 18.12.2013. S. 3 und Verweis auf die bereits erstinstanzlichen Darlegungen im Schriftsatz vom 16.03.2012). Schließlich gibt Facebook in seinen Datenverwendungsrichtlinien gegenüber dem Nutzer an:
“Durch die Angabe deines Geburtsdatums können wir dir altersangemessene Inhalte und Werbeanzeigen anbieten.”
Eine Unterrichtung der Besucher/Nutzer der Fanpage durch die Klägerin über die weitere Datenverwendung durch Facebook findet nicht statt. Auch findet keine Unterrichtung über ein Widerspruchsrecht statt.
Damit werden von der Klägerin die Vorgaben nach § 15 Abs. 3 TMG nicht eingehalten. Auf ihrer Fanpage unterrichtet sie die Nutzer entgegen § 15 Abs. 3 Satz 2 TMG nicht über das bestehende Widerspruchsrecht. Unter Nichtbeachtung dieser Unterrichtungspflichten steuert sie mit dem Anlegen der Fanpage die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen für Zwecke der Werbung und der bedarfsgerechten Gestaltung von Telemedien nach § 15 Abs. 3 Satz 2 TMG. Weiterhin initiiert die Klägerin mit dem Anlegen der Fanpage die Zusammenführung der Nutzungsprofile mit den Daten über den Träger des Pseudonyms (§ 15 Abs. 3 Satz 3 TMG), indem sie es Facebook zur Erstellung der Nutzungsstatistik ermöglicht, die Nutzungsdaten der Fanpagebesucher mit deren Registrierungsdaten (Familienname, Vorname, Geburtsdatum, Geschlecht) zu verknüpfen. Der Beklagte sieht hierin einen Verstoß auch gegen ihre Pflicht nach § 13 Abs. 4 Satz 1 Nr. 6 TMG, sicherzustellen, dass Nutzungsprofile nach § 15 Abs. 3 TMG nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.
Für das angegriffene Urteil steht das Geschäftsmodell von Facebook, dessen sich die im inländischen Zuständigkeitsbereich ansässige Klägerin bewusst bedient und in das sich die Klägerin bewusst eingliedert, sowie die damit einhergehende personenbezogene Verarbeitung inländischer Nutzerdaten, und dessen Vereinbarkeit mit deutschem Recht außerhalb seiner rechtlichen Befassung. Dies ist nur möglich, weil das Urteil in nach Auffassung des Beklagten unzulässig verengter Sichtweise der vorliegenden Datenverarbeitungsprozesse und deren datenrechtlicher Interpretation den Blick auf weiteren rechtlichen (s. Kap. 2 ff) und tatsächlichen (s. Kap. 1.2 ff) Implikationen bei der Inanspruchnahme der Fanpage durch die Klägerin verstellt werden (vgl. hierzu Weichert, Informationstechnische Arbeitsteilung und datenschutzrechtliche Verantwortung. Plädoyer für eine Mitverantwortlichkeit bei der Verarbeitung von Nutzungsdaten, ZD 2014 (12), S. 605ff).
1.2. Tatbestand und Tatbestandsergänzung
Das angegriffene Urteil unterlässt jegliche Feststellung zu den Zielvorstellungen und zum Geschäftskonzept von Facebook, dessen Bestandteil der Betrieb der Fanpage der Klägerin ist. Nur bei Einbeziehung desselben, dessen weltweiter Größenordnung und der zentralen Rolle von Cookies für das Geschäftskonzept von Facebook kann auch eine zutreffende rechtliche Einordnung und Bewertung durch das Gericht erfolgen.
Das angegriffene Urteil hat dem die jeweiligen Begehren darstellenden Teil einen als unstreitig gedachten Teil vorausgestellt, der nur sehr unvollständig die nicht in Streit stehenden Gegebenheiten darstellt. Es heißt dort:
“Die Klägerin wendet sich gegen eine datenschutzrechtliche Anordnung des Beklagten, nach der sie ihre Facebook-Seite (Fanpage) zu deaktivieren hat.
Die Klägerin ist ein in Form einer gemeinnützigen Gesellschaft mit beschränkter Haftung betriebenes Bildungsunternehmen, das unter anderem den Weiterbildungsauftrag der drei Industrie- und Handelskammern in Schleswig-Holstein wahrnimmt. In diesem Zusammenhang unterhält sie eine sogenannte Fanpage bei der Beigeladenen.
Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern und Prominenten eingerichtet werden können. Der Betreffende muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Nutzer der Plattform können eigene Beiträge auf der Plattform posten.
Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook kostenfrei zur Verfügung gestellten Werkzeuges “Facebook-Insights” anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten Angaben über die Nutzung der Fanpage. Dazu gehören Informationen über den Nutzerzuwachs, die Demographie der Nutzer und über die Nutzung der einzelnen Funktionalitäten der Fanpage (vom Beklagten Reichweitenanalyse genannt).
Nach Anhörung der Klägerin ordnete der Beklagte mit Bescheid vom 3. November 2011 gemäß § 38 Abs. 5 S. 1 BDSG gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr bei Facebook betriebene Fanpage deaktiviert werde. Falls die Klägerin dieser Verpflichtung nicht innerhalb von 6 Wochen nach Zustellung des Bescheides nachkomme, werde gegen sie ein Zwangsgeld in Höhe von 5.000,00 € verhängt.”
1.2.1. Unvollständigkeit des Tatbestandes
Dieser tatbestandliche Teil der Urteilsausführungen ist erheblich korrektur- bzw. ergänzungsbedürftig. Auf der Grundlage dieser sachverhaltlichen Feststellungen des angegriffenen Urteils ist die dem Revisionsgericht obliegende Nachprüfung der Richtigkeit des angegriffenen Urteils nicht möglich. Auf der Nichtberücksichtigung der nachfolgend dargelegten Sachverhalte beruht das angegriffene Urteil.
1.2.2. Wahrnehmung einer öffentlich-rechtlichen Aufgabe durch die Klägerin
Der Tatbestand des angegriffenen Urteils beschränkt sich auf Benennung der Klägerin als einer gemeinnützigen GmbH, also einer Gesellschaft des privaten Rechts. Das Verhältnis der Klägerin zu den drei Industrie- und Handelskammern des Landes wird durch den von der Klägerin “unter anderem wahrgenommenen Weiterbildungsauftrag” der Industrie- und Handelskammern skizziert, in dessen Zusammenhang sie eine Fanpage bei der Beigeladenen – Facebook – unterhalte, und erschöpft sich darin .
Die gesamten weiteren Ausführungen des angegriffenen Urteils folgen der hierdurch eingeschlagenen Betrachtung des zugrundeliegenden Sachverhalts und beschränken sich hierauf: Die Klägerin unterliegt danach als GmbH dem ausschließlich dem Privatrecht. Der Hinweis auf die Wahrnehmung des Weiterbildungsauftrages der drei Industrie- und Handelskammern ist zu vernachlässigende bloße Annotation ohne jede rechtliche Bedeutung. Es wird nicht einmal hinzugesetzt, dass es sich bei den drei Industrie- und Handelskammern um Körperschaften des öffentlichen Rechts handelt. Diese im Tatbestand außer Acht gelassene Rechtstatsache prägt das gesamte angegriffene Urteil. Rechtspflichten, die sich aus der Eigenschaft einer Aufgabenwahrnehmung für eine öffentlich-rechtliche Körperschaft ergeben könnten, fallen – hier dem solchermaßen beschränkten Tatbestand folgend - vollständig aus der gerichtlichen Problemwahrnehmung heraus.
Der Hinweis auf die Beziehungen der Klägerin zu den Industrie- und Handelskammern des Landes sollte eine vertiefende Auseinandersetzung ausgelöst haben, ob und welche rechtlichen Folgerungen hieraus erwachsen könnten.
Die Klägerin ist eine von den drei Industrie- und Handelskammern des Landes in privatrechtlicher Form geführte gemeinnützige Gesellschaft mit beschränkter Haftung, deren einziger Gesellschafter die zwischengeschaltete Förderstiftung Wirtschaftsakademie Schleswig-Holstein ist. Die Förderstiftung wird wiederum alleinig von den drei Industrie- und Handelskammern zu Flensburg, Kiel und Lübeck getragen. Darüber nimmt die Klägerin, wie das Urteil im Ergebnis und insoweit zutreffend ausführt, “den Weiterbildungsauftrag der Industrie- und Handelskammern Flensburg, Kiel und Lübeck wahr”. Zu diesem Zwecke nutzen jährlich 24.000 Nutzer die Qualifizierungsangebote der Klägerin, die hierzu knapp 480 Mitarbeiter und ca. 850 freiberufliche Dozenten an 22 Standorten (Stand 2009) des Landes beschäftigt.
1.) Pressemitteilungen der WAK
- Anlage B 1 -
2.) Darstellung über die Klägerin in Studivergleich
- Anlage B 2 -
3.) Info-Broschüre “Aus- und Weiterbildung für die Zukunft”, Vorwort des
Geschäftsführers Dr. B der Klägerin und Info-Text S. 5
- Anlage B 3 -
1.2.3. Weiterbildungstätigkeit der Klägerin: private oder öffentlich-rechtliche Tätigkeit?
Am Markt der Weiterbildung, an dem die Klägerin sich marktführend beteiligt, nehmen auch rein private Firmen teil, bei denen sich die Frage nach der Rechtsnatur ihrer Tätigkeit kaum in anderer Weise beantworten lassen würde, als dass deren Tätigkeit privatrechtlicher Natur ist. Das Urteil nimmt nicht die rechtstatsächlichen Besonderheiten wahr, die die Klägerin vom privaten Rest der Anbieter am Markt der Weiterbildung unterscheidet. Es werden keine Ausführungen zu der eine rechtliche Verortung erst ermöglichenden gesellschaftsrechtlichen Anbindung und öffentlich-rechtlichen Umgebung der Klägerin gemacht. Diese wären aber veranlasst gewesen vor folgendem Hintergrund:
Die Tätigkeit der Klägerin geschieht in Erfüllung der den Industrie- und Handelskammern des Landes gemäß § 1 IHKG gesetzlich übertragenen öffentlichen Aufgaben,
“das Gesamtinteresse der ihnen zugehörigen Gewerbetreibenden ihres Bezirkes wahrzunehmen, für die Förderung der gewerblichen Wirtschaft zu wirken und dabei die wirtschaftlichen Interessen einzelner Gewerbezweige oder Betriebe abwägend und ausgleichend zu berücksichtigen”. (Abs. 1)
Hierzu können die Industrie- und Handelskammern
“Anlagen und Einrichtungen, die der Förderung der gewerblichen Wirtschaft oder einzelner Gewerbezweige dienen, begründen, unterhalten und unterstützen sowie Maßnahmen zur Förderung und Durchführung der kaufmännischen und gewerblichen Berufsbildung unter Beachtung der geltenden Rechtsvorschriften, insbesondere des Berufsbildungsgesetzes, treffen”. (Abs. 2)
Bei den Trägern der Klägerin handelt es sich demgemäss, und in § 3 IHKG festgelegt, um Körperschaften des öffentlichen Rechts, die zur Erfüllung Ihrer Aufgaben auch öffentlich-rechtliche Zusammenschlüsse bilden können (§ 10 IHKG).
Gemäß dem Auszug aus dem öffentlichen Register der wiederum öffentlich-rechtlichen Körperschaften des Landes verfolgt die zwischengeschaltete Förderstiftung Wirtschaftsakademie ausschließlich die den Handelskammern des Landes übertragenen Aufgaben und Zwecke. Hierzu heißt es in im Stiftungsregister mit Stand zum 31. Januar 2013 unter der lfd. Nummer 160:
“Förderstiftung Wirtschaftsakademie Schleswig-Holstein Kiel
Anschrift c/o IHK zu Kiel Lorentzendamm 35 24 103 Kiel
Genehmigung bzw. Anerkennung der Rechtsfähigkeit 12.03.2004
Zweck ist die Beschaffung von Mitteln für die Wirtschaftsakademie Schleswig-Holstein GmbH zur Förderung von Wissenschaft, Bildung und Erziehung, insbesondere der überbetrieblichen, beruflichen und wissenschaftlichen Bildung Jugendlicher und Erwachsener und der Jugendhilfe.”
Siehe: Stiftungsregister des Landes Schleswig-Holstein
- Anlage B 4 -
Bei der Klägerin hingegen handelt es sich um eine Körperschaft des privaten Rechts. Dass diese als gemeinnützige GmbH und Körperschaft des privaten Rechts von der von den drei Industrie – und Handelskammern Schleswig – Holsteins Kiel, Flensburg und getragenen Förderstiftung Wirtschaftsakademie Schleswig-Holstein begründet worden und getragen wird, ändert nichts an deren öffentlich-rechtlichen Qualität ihres Handels. Die Zwecke der Förderstiftung stimmen überein mit der öffentlich-rechtlichen Aufgabe der drei Industrie- und Handelskammern, zu deren Ausführung diese sich der Klägerin bedienen.
Damit sollte unzweifelhaft sein, dass die Klägerin, wenn auch über die Zwischenschaltung der Stiftung, die den Industrie- und Handelskammern per Gesetz übertragenen öffentlich-rechtlichen Aufgaben wahrnimmt, in der Form des Privatrechts.
1.2.4. Erheblichkeit des Mangels in der Darstellung des Verhältnisses von Klägerin und den Industrie- und Handelskammern des Landes
Dieser Mangel ist auch erheblich, weil durch Nichtbeachtung dieses Sachverhalts das angegriffene Urteil es von vornherein vermeidet, sich damit auseinandersetzen zu müssen, ob der Klägerin infolge deren Wahrnehmung öffentlich-rechtlicher Aufgaben der drei Industrie- und Handelskammern des Landes nicht neben den rein privatrechtlichen Verpflichtungen auch solche öffentlich-rechtlicher Art erwachsen, die von der Klägerin bindend zu beachten sind.
Die Klägerin übt eine öffentlich-rechtliche Aufgabe in der Form des privaten Rechts aus. Sie lässt auch selbst keinen Zweifel daran, dass sie eine öffentliche Aufgabe wahrnimmt, wenn sie in ihrer Informationsbroschüre “Aus- und Weiterbildung für die Zukunft” ihre Tätigkeit als “Bildung im öffentlichen Auftrag” überschreibt (siehe Anlage B 3, S. 14).
In der Rechtswissenschaft ist solche jeweils beim anderen Rechtsgebiet Anleihen aufnehmende Organisation öffentlich-rechtlichen, also staatlichen Handelns ein früher viel behandelter Topos. Danach handelt es sich auch unter Berücksichtigung der zwischengeschalteten Förderstiftung bei der Klägerin um eine sog. Eigengesellschaft. Von einer Eigengesellschaft wird dann gesprochen, wenn ein öffentlicher Aufgabenträger sämtliche Anteile an der privaten Körperschaft hält, alleiniger Eigner ist bzw. die ausschließliche Bestimmungsmacht über diese hat. Im vorliegenden Fall sind Eigentümer bzw. Inhaber der Bestimmungsmacht im Verhältnis zur Klägerin immer die Gemeinsamkeit der drei Industrie- und Handelskammern des Landes, die zur Wahrnehmung der öffentlich-rechtlichen Aufgaben sich der privaten Rechtsform bedienen.
Auch wenn über die Grundrechtsbindung der privatrechtlich handelnden öffentlichen Hand früher unterschiedliche Bewertungen je nach Tätigkeit als Hilfsgeschäft oder der Teilnahme des Staates zum Zwecke der Gewinnerzielung unterschiedliche Auffassungen bestanden haben, so bestand früher und erst recht heute uneingeschränkte Einigkeit darüber, dass bei der Wahrnehmung öffentlicher Aufgaben in privater Rechtsform eine unmittelbare Grundrechtsbindung und damit Beachtung der grundrechtlichen Grenzen gegeben ist (vgl. Dreier, Grundgesetz, Kommentar 2. Auflage 2004, RN 65ff (68), der zu Recht für alle drei Bereiche – Hilfsgeschäfte, Gewinnerzielung und Verwaltungsprivatrecht - eine umfassende Fiskalgeltung der Grundrechte darlegt). Eine “Flucht in das Privatrecht” darf in jedem Fall nicht dazu dienen, dass die öffentlich-rechtlichen Aufgabenträger sich der Bindungen entledigen, die von ihnen im Verhältnis zum Bürger zu beachten sind.
Grundrechtsbindung bedeutet die Beachtung des allgemeinen Gesetzesvorbehalts gem. Art. 2 Abs. 2 GG, die Beachtung der Grundrechte (Art. 1 Abs.3 GG) und weiter der zum Schutze der Grundrechte des Einzelnen erlassenen gesetzlichen Vorschriften, hier insbesondere der für den Bereich der öffentlichen Verwaltung hier einschlägigen Vorschriften des Bundesdatenschutzgesetzes und des Telemediengesetzes.
1.2.5. Die Klägerin ist Trägerin öffentlicher Aufgaben
Dieses Ergebnis der Grundrechtsbindung der Klägerin ergibt sich neben der verfassungsinstitutionellen Verortung aber auch schon aus dem einfachen Recht. Die Klägerin ist Einrichtung i. S. d. Berufsakademiegesetzes des Landes (Berufsakademie mit den Bereichen FB Betriebswirtschaft, Wirtschaftsinformation, Wirtschaftsingeneurwesen und der FS für Betriebswirtschaft, vgl. Anlage B 2, S. 17)” und zusätzlich auch berufsbildende Schule im Sinne des § 95 Abs. 2 Schleswig-Holsteinischen Schulgesetzes für den von ihr gleichfalls wahrgenommenen Aus- und Weiterbildungsbereich (vgl. Anlage B 2, Übersicht S. 17).
Die Klägerin ist durch die staatliche Genehmigung nach § 96 Satz 2 Schleswig-Holsteinisches Schulgesetz ein besonders legitimierter Schulträger. Als solcher ist die Klägerin zur Wahrung der Grundrechte in gleicher Weise wie andere staatliche Bildungseinrichtungen unterworfen. Auch für diesen Tätigkeitsbereich der Klägerin bleibt der Staat verantwortlich für die Realisierung der verfassungsrechtlich bindend vorgegebenen Bildungs- und Erziehungsvorgaben (vgl. Dittmann, in: VVDStRL 54 (1995), S. 47, S. 53) verbunden mit der Einhaltung des Gesetzesvorbehaltes in Art. 2 Abs. 2 GG und den hierzu ergangenen öffentlich-rechtlichen Vorschriften insbesondere der Datenschutzgesetze und den speziellen datenschutzrechtlichen Vorschriften der Schulgesetze. Die Trägerin der Klägerin, die Industrie- und Handelskammern, werden im Schulgesetz des Landes eigens als Träger von Landesberufsschulen mit wirtschaftlich-verwaltendem oder gewerblich-technischem Schwerpunkt erwähnt und unterliegen als solche den datenschutzrechtlichen Bestimmungen des Schulgesetzes in den § 30ff des Schulgesetzes.
Erfüllt der Staat in privatrechtlicher Rechtsform - wie hier - staatliche Aufgaben, so kann der Staat sich nicht durch Wahl des Privatrechts seiner Pflicht zur Beachtung der Grundrechte entziehen (BVerfG, NJW 1960, S. 811, S. 813). Unter diesen Gesichtspunkten ist die Klägerin insbesondere zur Beachtung des Rechts auf informationelle Selbstbestimmung in ihrem Wirkungsbereich verpflichtet. Sie hat die von ihr veranlasste Verarbeitung von Daten von mit ihr in Kontakt stehenden Bürgerinnen und Bürgern, bzw. die Möglichkeiten des Zugriffs Dritter auf diese Daten, so zu organisieren, dass dies unter Beachtung der für die öffentliche Hand geltenden Vorschriften des Datenschutzrechtes geschieht. Das sehen § 14 des Berufsakademiegesetzes und § 30ff des Schulgesetzes ausdrücklich vor. Dazu, ob dieses Schutzniveau von der Klägerin bei Einschaltung eines nach Beklagten-Auffassung datenschutzwidrigen Datenverarbeitungswerkzeugs wie einer Facebook-Fanpage bedienen darf, ist an dieser Stelle eines hier nur zu markierenden Mangels im Tatbestand nicht zu beantworten, sondern ist eine Frage des materiellen Rechts (siehe hierzu Kap.2).
1.2.6. Grundrechtsbindung – Revisibles Recht im Sinne v. § 137 Abs.1 Nr.1 VwGO
Im gesamten angegriffenen Urteil, weder im Tatbestand noch in den Entscheidungsgründen, findet sich zur Frage der Fiskalgeltung der Grundrechte im konkreten Fall und dem Verhältnis zu den Industrie-und Handelskammern und hieraus gegebenen öffentlich-rechtlichen Anbindung der Klägerin nichts. Das Oberverwaltungsgericht hätte diese Sachverhalte von Gerichts wegen beachten müssen, denn ob Grundrechte bei der Erfüllung öffentlicher Aufgaben zu beachten sind, ist ureigenster Bestandteil richterlicher Tätigkeit.
Tatsächlich hat der Beklagte das Problem der Grundrechtsbindung im Verwaltungsprivatrecht im vorliegenden Fall nicht in der üblichen Terminologie thematisiert. Der Beklagte hat aber vermittels seiner umfänglichen Darlegungen zu den Gefährdungen der Rechte der Nutzer der Fanpage deren Grundrechtsrelevanz dargestellt. Wenn, wie im vorliegenden Fall gegeben, sogar die im privaten Bereich sonst existierenden Schutzvorschriften, wie insbes. die informierte Einwilligungserfordernis, wegen der engen Auslegung des Begriffs der Auftragsdatenverarbeitung durch das OVG erst gar nicht zur Anwendung kommen, und wenn die Auswertung der hier im Lande erfolgten Nutzerzugriffe im Ausland und ohne Beachtung des deutschen Rechts erfolgt, dann hätte sich dem angegriffenen Urteil geradezu aufdrängen müssen, ob der öffentlich-rechtliche Kontext, in dem die Klägerin agiert, dieser besondere Schutz- und Sorgfaltspflichten (s. 2.1.2 ff) auferlegt bei der Inanspruchnahme von Diensten eines ausländischen Datenverarbeiters wie der Beigeladenen – oder wohl zutreffender - deren US-amerikanischer Muttergesellschaft.
Aus diesem Grund ist der Mangel jeglicher Darlegung von (Rechts-)Tatsachen, die für die Bestimmung der Rechtsqualität des Handelns der Klägerin und die sich daraus ergebenden Grundrechtsbindung der Klägerin von unmittelbarer Bedeutung sind, als eine Rechtsverletzung anzusehen, deren Außerachtlassung eine Entscheidung des Revisionsgerichts unmöglich macht (vgl. Kopp/Schenke RN 22 zu § 137 VwGO).
Vorsorglich:
Falls das Revisionsgericht in der vorstehend diskutierten Grundrechtsbindung der Klägerin eine (nur) Frage des materiellen Rechts sehen sollte, bleibt das Revisionsgericht zur Beachtung dieser der Revision unterliegenden Rechtsfrage aufgerufen und zu einer eigener Beurteilung und Entscheidung in der Sache befugt und verpflichtet.
1.3 Mangel im Tatbestand: keine Darstellung der unstreitigen technischen und kommunikativen Grundlagen für die Rechtmäßigkeitsbewertung
Als unstreitig, und nicht nur als Wiedergabe des Beklagtenvortrages, sollten auch tatsächlichen Gegebenheiten, soweit sie zwischen den Parteien nicht in Streit stehen, über die Art der von Facebook erhobenen Daten und zu welchen Zwecken die Daten von Facebook u.a. verwendet werden, in den Tatbestand des Urteils aufgenommen werden, soweit diese im Laufe des Verfahrens seitens der Klägerin und seitens des Beigeladenen mitgeteilt bzw. eingeräumt worden ist. Das dies nicht gemacht worden ist, ist mit ein Grund eine unrichtige Bewertung durch das angegriffene Urteil.
1.3.1. Mangel im Tatbestand: Fehlen jeglicher Befassung mit der Verwertung durch Facebook
Der nicht bestrittene Umfang der Nutzung, der technischen und funktionalen Leistungsfähigkeit sowie das Interesse der Beigeladenen an der Nutzererfassung bei der von der Klägerin betriebenen Fanpage wird vom angegriffenen Urteil nicht im Tatbestand behandelt und auch sonst vollständig ausgeblendet. Dies geschieht offenbar ganz bewusst, weil es “nach alledem” keiner Entscheidung hierüber bedürfe, wie das Urteil ausführt (US 31 - wobei dort Klägerin und Beigeladene auf Grund eines Schreibfehlers verwechselt werden). Das angegriffene Urteil möchte wohl den Eindruck von Unkenntnis der sachverhaltlichen Grundlagen vermeiden, wenn es hieran anschließend beiläufig als “für den Senat außer Frage” stehend feststellt, dass die gesetzten Cookies dazu dienten, “Facebook-Nutzer zu erkennen und passende Inhalte für diese bereit zu stellen sowie Informationen über Facebook-Nutzer zu sammeln”. Rechtliche Bedeutung wird diesem Sachverhalt nicht zugewiesen.
Dabei hat das angegriffene Urteil die vom Beigeladenen ebenfalls zugestandene Tatsache gänzlich unerwähnt gelassen, dass der Beigeladene “auch im Falle von Nicht-Mitgliedern deren IP-Adresse und die bei diesen hinterlegten Cookie-Informationen” erhalte (AS 494 – für die allerdings nach Meinung des Beigeladenen keine “wie auch immer geartete Schutzbedürftigkeit ersichtlich” sei, weil “diese Nutzerinformationen ohne staatlich Hilfe nicht zu erlangen” seien). Für diesen Personenkreis kann gerade nicht von einer Kenntnis der Praktiken von Facebook und erst recht nicht von einer Zustimmung zur Verwertung der Nutzerdaten durch Facebook ausgegangen werden. Mit guten Gründen wird deshalb für eine Bewertung von IP-Adressen als personenbezogene Daten gestritten (vgl. Breyer, Personenbezug von IP-Adressen. Internetnutzung und Datenschutz, ZD 2014,400ff).
1.3.2 Mangel im Tatbestand: Außerachtlassung des Fehlens jeglichen Hinweises durch die Klägerin auf Facebook-Verwertungen
Als unstreitig sollte weiter die Tatsache Eingang in den Tatbestand des Urteils gefunden haben, dass die Klägerin auch sonst an keiner Stelle ihres Unternehmens oder der IHK selbst irgendeinen Hinweis – ob schriftlich oder elektronisch auf ihrer homepage - auf die auch ihr sicher nicht zuletzt durch den Beklagten bekannt gemachten Zugriffe von Facebook und mögliche Verwertungen der dabei erlangten Nutzerdaten angebracht hat, und bis zum heutigen Tage nicht angebracht hat. Im Urteil findet dieser Sachverhalt allenfalls und gelegentlich der Darstellungen der sich gegenüberstehenden rechtlichen Bewertungen Beachtung, so dass diese Sachverhalte ihre Berücksichtigung als streitiger Parteienvortrag erhalten, und damit das Schicksal der rechtlichen Bewertung des angegriffenen Urteils teilen – sie werden als nicht gegeben bzw. als nicht relevant zurück gewiesen.
Das angegriffene Urteil hat wohl deshalb auf die Aufnahme dieser Sachverhalte in den unstreitigen Teil des Tatbestands verzichtet, weil es - wie schon zuvor mit seiner rein privatrechtlichen die öffentlich-rechtliche Seite ausschließenden Betrachtungsweise - neben der datenschutzrechtlichen Pflichtenlage der Beigeladenen keinen Anknüpfungspunkt für eine eigene Verantwortlichkeit der Klägerin für die Einhaltung der Vorschriften des BDSG und TMG (insbes. Hinweis auf Pflicht zur Einholung der Nutzereinwilligung) gesehen hat.
Unter Berücksichtigung einer besonderen Pflichtenlage bei Annahme einer von der Klägerin zu beachtenden Grundrechtsbindung kommt diesem Sachverhalt jedoch erhebliche Bedeutung zu. Nur dann kann eine Entscheidung darüber getroffen werden, welche Möglichkeiten die Klägerin selbst hat und welche Schritte sie zu ergreifen hat, um die Grundrechtsbeeinträchtigung der Nutzer ihrer Fanpage überhaupt zu vermeiden bzw. einer Rechtsbeeinträchtigung von Nutzern der eigenen Fanpage durch zureichende vorherige Information zumindest Rechnung zu tragen.
Weiter im Einzelnen:
1.3.3 Außerachtlassung von Leistungsmerkmalen der Fanpage.
Das angegriffene Urteil unterlässt es, die zugrunde liegenden und zur Bewertung anstehenden technischen Abläufe tatbestandlich in zureichendem Maße darzulegen. Es erfasst dadurch nicht im Ansatz, welche doch unstreitige Bedeutung Fanpages für das Geschäftskonzept des “sozialen Netzwerkes” Facebook haben, jenseits der Gefahren, von den Kritikern dieses Geschäftskonzepts vertreten werden. Die angegriffene Entscheidung nimmt (US 23) lediglich zu den Ausführungen der Art. 29-Datenschutzgruppe in WP 171, S. 13 Stellung, legt aber weder dar, welche Cookies verarbeitet und wie lang diese gespeichert werden, noch welche Rolle die Cookies im Geschäftskonzept von Facebook einnehmen und inwieweit auch nicht bei Facebook eingeloggte Seitenbesucher und Nichtmitglieder des Facebook-Netzwerks erfasst werden. Das angegriffene Urteil bezieht sich zwar in seinen Entscheidungsgründen immer wieder auf die sachlichen Grundlagen, aber dann in so verkürzter Form und deshalb unrichtiger Bezugnahme, wie nachfolgend Passage (US 23) zeigt:
“Eine Vergleichbarkeit mit Anbietern von Online-Inhalten, die unter anderem Platz auf ihrer Webseite vermieten, damit Werbezwecke über Cookies ihre Werbung platzieren können (s. hierzu Art. 29-Datenschutzgruppe WP 171, S. 13), ist nicht gegeben. Hierzu hat das Verwaltungsgericht bereits das Erforderliche gesagt. Der Fanpagebetreiber entscheidet nicht darüber, ob Facebook die Möglichkeit erhält, anlässlich des Besuchs einer Fanpage Cookies auf dem Computer der Nutzer zu Werbezwecken zu setzen, vielmehr befindet sich der Nutzer, wenn er die Fanpage aufruft, bereits im Netzwerk und auf einer Seite von Facebook. Ohne dass es einer Entscheidung des Fanpagebetreibers bedarf, wird Facebook die IP-Adresse der Nutzer durch das Netzwerk übermittelt und werden Cookies gesetzt, um Informationen über die Nutzer zu erhalten und mit vorhandenen Informationen zu verknüpfen, um auf diese Weise für die Nutzer die Attraktivität des Netzwerks zu steigern, vor allem aber um Werbeanzeigen und sonstige kommerzielle bzw. gesponserte Inhalte Nutzern zur Verfügung zu stellen.”
So bleibt der ”Bericht der Arbeitsgruppe zur Fortentwicklungen des Sachstandes seit dem Ergebnisbericht der Arbeitsgruppe des AK I zum Datenschutz in sozialen Netzwerken vom 04.042012 mit Stand vom 31.07.2013”, der als Anlage 1 dem Schriftsatz des Beklagten vom 18. Dezember 2013 beigefügt war (AS 398-410), völlig unerwähnt, obwohl der Revisionskläger diesen ausführlich referiert hatte (AS 381ff) . Der Beklagte hat sogar die nachfolgende Passage wörtlich zitiert (S. 5 des Berichts), wonach Facebook neben den bekannten Cookies, die dem c_user- und datr-Cookie, weitere Cookies verwendet, die eigenes weiteres Gefährdungspotential bei der Nutzung der Fanpage der Klägerin begründen:
“Im Zuge der Folgeuntersuchungen im Juli 2012 wurde darüber hinaus ein weiterer Cookie festgestellt, der beim Einloggen eines Facebook-Mitglieds auf der Seite gesetzt wird. Dieser sog. fr-Cookie hat eine Lebensdauer von 30 Tagen und enthält eine verschlüsselte Version der Nutzerkennung. Er wird nicht zu Sicherheitszwecken verwendet, sondern zur Unterstützung des Angebots relevanter Werbeanzeigen. Facebook wurde durch die irische Datenschutzaufsichtsbehörde aufgefordert, detaillierte Informationen über die Verwendung dieses Cookies und die hierfür eingeholte Einwilligung der Nutzer zu geben. Unabhängig vom Erfordernis einer Einwilligung für die Verwendung des Cookies als solchem (Art. 5 Abs. 3 der Richtlinie 2002/58/EG) erfordert der Einsatz des “fr-Cookies” als Speicherung und Nutzung personenbezogener Daten auch bei der Anwendung der Maßstäbe des deutschen Telemedienrechts eine Einwilligung der Facebook-Nutzer: Da für Facebook wegen der Möglichkeit der Zusammenführung von Nutzerprofilen und Stammdaten nicht nur ein pseudonymisiertes Nutzerprofil i. S. v. § 15 Abs. 3 TMG vorliegt, bedarf der Einsatz des Cookies einer eigenständigen datenschutzrechtlichen Rechtfertigung, zumal sein Einsatz auch nicht alleine – wie für den sog. datr-Cookie geltend gemacht wird – auf Sicherheitserfordernisse im Sinne von § 15 Abs. 1 TMG gestützt werden kann.”
Bei den vorstehend zitierten Ausführungen geht es an dieser Stelle nicht schon um rechtliche Bewertungen des zugrunde liegenden Sachverhalts, sondern um die im Fortentwicklungsbericht gemachten Ausführungen zu den nun – im Zeitpunkt des Erlasses des angegriffenen Bescheides – bestehenden sachlichen Grundlagen. Das angegriffene Urteil hat damit die im streitrelevanten Zeitpunkt bestehende Leistungsfähigkeit des Erfassungssystems von vorneherein von seiner Betrachtung ausgeschlossen und auf diese Weise einen Sachverhalt mit vergleichsweise wesentlich geringerem Gefährdungsgrad der Nutzer der Fanpage seiner Entscheidung zugrunde gelegt.
Damit hat das Gericht zugleich den Anspruch des Revisionsklägers auf rechtliches Gehör verletzt und seine ihm gesetzlich auferlegten Ermittlungspflichten nicht hinreichend beachtet.
Gleiches gilt auch für die fehlenden Darlegungen zur “Reichweitenanalyse”. So hat das angegriffene Urteil nicht hinreichend die ergänzenden technischen Ausführungen des Beklagten zur datenschutzrechtlichen Bewertung der Reichweitenanalyse durch Facebook berücksichtigt (Schriftsatz des Beklagten vom 18.12.2013 mit Verweis auf die Anlage B 3 des Schriftsatzes des Beklagten vom 16.03.2012). Darin hat der Beklagte auf weitere Cookies hingewiesen, die Facebook auf den informationstechnischen Systemen der Fanpagebesucher installiert. Nicht-authentifizierte Nutzer beispielsweise erhalten beim Aufruf der Webschnittstelle neben dem datr-Cookie den Cookie “lsd”, den Cookie “reg_fb_gate” und den Cookie “reg_fb_ref”. Bei authentifizierten Nutzern werden neben den aufgeführten Cookies folgende Cookies gesetzt: Cookie “s”, Cookie “sct”, Cookie “xs” und Cookie “c_user”. Diese Cookies dienen der Authentifizierung und sind einen Monat lang gültig. Meldet sich der Nutzer nicht aktiv ab, werden diese Cookies zumindest für einen Monat bei Aufruf der Webschnittstelle oder von Social-Plugins an Facebook übertragen.
Einige dieser Cookies mögen zwar auch für Funktionen eingesetzt werden, wie es Facebook gerne vorgibt (Identifizierung von Mitgliedern und dem Schutz des Netzwerkes vor “böswilligen Aktivitäten”). Letzteres ist eine Frage der rechtlichen Bewertung, die zwischen den Parteien und insbesondere des Beigeladenen sicher unterschiedlich ausfallen kann. Diese werden jedoch nicht singulär benutzt, sondern massenhaft gesetzt und zahlreiche dieser Cookies bleiben erheblich länger auf den Systemen des Beigeladenen gespeichert, als es für die Authentifizierung von Mitgliedern und die Funktionen und Sicherheit des Netzwerkes nötig ist. So bleibt z.B. der fr-Cookie einen Monat, der datr-Cookie sogar zwei Jahre auf den Systemen der Internetnutzer aktiv.
Diese Existenz dieser Cookies ist von der Beigeladenen auch gar nicht in Abrede gestellt worden und gehört zu den unstreitigen sachlichen Entscheidungsgrundlagen. Durch deren Nichtbeachtung hat das angegriffene Urteil seine Ermittlungspflicht und den Anspruch des Revisionsklägers auf rechtliches Gehör verletzt.
Insbesondere die langfristig gespeicherten Cookies (datr- und fr-Cookie) liefern für das lukrative Geschäftskonzept von Facebook die zentrale Infrastruktur. Solange Internetnutzer durch ihre Browsereinstellungen die Annahme von Cookies nicht verweigern oder diese löschen, bleiben die Cookies bis zu zwei Jahre auf den Computern, Smartphones oder Tablets der Besucher erhalten. Über diesen Zeitraum kann Facebook die markierten Systeme in breitem Umfang, weit über die eigene Plattform hinaus, wiedererkennen und das Verhalten der betroffenen Nutzer im Internet erfassen. Sowohl über die vielerorts integrierten “Social-Plug-Ins” als auch über direkt in Webseiten eingebundene Cookies erfasst Facebook das Surfverhalten jedes Nutzers. Ruft ein Internetnutzer etwa einen Nachrichtenartikel auf Spiegel-Online auf, wird durch das Plug-In automatisch in dessen Browser auch eine Facebook-Seite geladen, über die Facebook die Cookies des Seitenbesuchers ausliest. Dies geschieht letztlich unabhängig davon, ob der jeweilige Besucher gerade bei Facebook eingeloggt ist oder nicht. Auch ist unerheblich, ob der Internetnutzer überhaupt Mitglied bei Facebook ist. Hat er zuvor eine Fanpage aufgerufen, ist auch sein System in der Regel mit den Cookies gekennzeichnet. Auf diese Weise erhält Facebook umfangreiche Nutzungsdaten, aus denen es aussagekräftige Interessen und Persönlichkeitsprofile generiert und diese anschließend vermarktet.
Für Facebook sind Fanpagebetreiber wie die Klägerin ein wichtiger Kooperationspartner, um Cookies zu verbreiten. Die Fanpage-Angebote steigern mit ihren Inhalten die Attraktivität des Netzwerkes für dessen Mitglieder. Vor allem aber locken die dort präsentierten Inhalte Internetnutzern auf die von Facebook bereit gestellte Infrastruktur, die bislang keine Facebook-Mitglieder sind. Bekannte Sportvereine, Musiker, Schauspieler und Unternehmen verbreiten Informationen zum Teil exklusiv über die Fanpages und erzeugen damit eine hohe Sogwirkung, die es immer schwerer macht, sich dem Tracking durch Facebook zu entziehen. Zudem bewerben die Fanpagebetreiber ihre Facebook-Angebote in Anzeigen und Werbespots. Die gängigen Suchmaschinen wie z. B. von Google weisen die Fanpages der Betreiber meist als hochrangige Treffer für die Suchworte der Betreiber in ihren Ergebnislisten aus. Dass die suchenden Internetnutzer dabei auf Facebook-Seiten gelangen, erkennen sie beim Anblick der Trefferlisten nur, soweit sie aufmerksam handeln und im Umgang mit dem Internet erfahren sind.
Auch die Fanpagebetreiber profitieren von der Fanpage und setzen diese ein, obwohl sie wissen, dass dadurch Profildaten der Nutzer zu Werbezwecken erhoben werden. Die Fanpage bietet ihnen eine leistungsstarke Infrastruktur für die Vermarktung von Inhalten im Internet. Sie zeichnet sich durch umfangreiche Serverkapazitäten, eine hohe Erreichbarkeit der Seiten und ein gutes Google-Ranking aus. Mit dem Einsatz der Fanpage spart die Klägerin Kosten, die für vergleichbare herkömmliche Webhosting-Dienste entstehen würden, da sie diese Ressourcen kostenlos erhält. Auch an den im Rahmen des Netzwerkes erhobenen Nutzungsdaten partizipiert die Klägerin als Fanpagebetreiber unmittelbar.
Über die Funktion “Facebook-Insight” werden ihr diese Daten in aggregierter Form aufbereitet, sodass sie aussagekräftige Statistiken über die Besucher ihrer Fanpage erhält und so die Wirksamkeit ihres Werbeauftritts in der Öffentlichkeit messen kann. Mit dem Betrieb der Fanpage nutzt die Klägerin diese Vorteile und nimmt zugleich in Kauf, dass sie auf diese Weise weitere Besucher auf die von Facebook betriebene Infrastruktur lockt und damit einen wichtigen Beitrag dafür leistet, dass deren Surfverhalten erfasst wird. Die Klägerin wusste beim Anlegen der Fanpage, dass sie bei diesem Angebot weniger Einfluss auf die Infrastruktur ausüben kann, als bei anderen Formen des Webhostings. All dies ist bereits erst- und weitergehend zweitinstanzlich vorgetragen worden und nicht bestritten worden.
Das angegriffene Urteil hat es in dargelegter Weise unterlassen, technische Bewertungsgrundlagen und soziale, d. h. kommunikativen Sachverhalte der Nutzung der Fanpage der Klägerin – jenseits deren Bewertung - in den von ihm seiner Entscheidung zugrunde gelegten und voranzustellenden Sachverhalt aufzunehmen. Dies, obwohl die o.g. technischen und kommunikativen Sachverhalte zwischen den Beteiligten gar nicht in Streit stehen. Nur bei deren Einbeziehung in die rechtliche Bewertung kann ein sachgerechtes Urteil gefällt werden und ist es dem Revisionsgericht möglich, die Entscheidung der Instanzengerichte zu überprüfen.
Hierdurch ist zugleich das Recht des Beklagten auf Gewährung von rechtlichem Gehör verletzt worden (§ 138 Nr. 3 VwGO).
Mit Beschlüssen vom 21.11.2012 und 25.03.2013 hat das Verwaltungsgericht die irische Niederlassung Facebook Ireland Ltd. des US-amerikanischen Unternehmens Facebook Inc. gem. § 65 Abs. 1 VwGO beigeladen. Dies war auf den entsprechenden Antrag der Beigeladenen mit Schriftsatz vom 10.09.2012 (AS167f) geschehen.
Im Gegensatz zur notwendigen Beiladung besteht kein Rechtsanspruch auf eine Beiladung und steht eine einfache Beiladung im Ermessen des Gerichts. An einer ermessensfehlerfreien Entscheidung des Verwaltungsgerichts fehlt es hier.
Der Beklagte hat mit Schriftsatz vom 24.09.2012 (AS 171) einer Beiladung des Beigeladenen widersprochen und für den Fall einer Beiladung ausgeführt, dass dann nicht der Beigeladene, sondern allenfalls die Facebook Inc. beizuladen wäre. Diese würde nach dem Kenntnisstand des Beklagten die Leitlinien der Geschäftspolitik sowie die Zwecke und Mittel der Datenverarbeitung in Kooperation mit der Facebook Ltd. bestimmen. Damit trete die Facebook Inc. als für die Datenverarbeitung verantwortliche Stelle in Erscheinung, während die Facebook Ltd. für europäische Nutzer insbesondere nur als Beschwerdestelle für europäische Nutzer auftrete.
Im Rahmen der vom Gericht zu treffenden Ermessensentscheidung ist es nicht notwendig gewesen, die in anderen Rechtsstreiten und auch im vorliegenden Rechtsstreit virulente Frage zu klären, welches Recht anzuwenden sei. Man mag auch darüber streiten, ob Facebook Ltd. nur Niederlassung, oder darüber hinaus auch verantwortliche Stelle sei oder eben nicht: Feststehen sollte jedoch die Tatsache, dass Facebook Ltd. niemals gegen die Interessen von Facebook Inc. als gleichsam Konzernmutter, bei der alle relevanten Mittel konzentriert sind, handeln wird bzw. handeln kann.
Bei solcher Sachlage ist es nicht vertretbar, eine für die Interessenwahrnehmung von Facebook untergeordnete Stelle wie Facebook Ltd. beizuladen, während die eigentlich bestimmende und führende Stelle Facebook Inc. ist. Diese hätte von Amtswegen, ohne dass es auf einen Antrag der Facebook Inc. selbst ankommen brauchte, beigeladen werden können. Im vorliegenden Fall hätte das Verwaltungsgericht in Ausübung des ihm obliegenden Auswahlermessen unter mehreren in Frage kommenden Stellen, Facebook Inc. und Facebook Ltd., Facebook Inc. beiladen können und müssen, wenn es denn schon eine Beiladung von Facebook für sinnvoll hält, und hätte das Oberverwaltungsgericht für seinen Verfahrensgang die erstinstanzliche Beiladungsentscheidung entsprechend korrigieren können und müssen.
Aus diesen Gründen sollte die ausgesprochene Beiladung zumindest für das Revisionsverfahren
aufgehoben
werden.
2.1. Materiell-rechtliche Revisionsrügen
2.1.1 Grundrechtsbindung der Klägerin
Die Darlegungen im vorigen Kapitel sollten belegt haben, dass die Klägerin auch in der für sie eingerichteten privatrechtlichen Form Aufgaben der öffentlichen Hand wahrnimmt. Die drei Industrie- und Handelskammern des Landes betreiben gemeinsam die öffentlich-rechtliche Förderstiftung Wirtschaftsakademie Schleswig-Holstein, die wiederum einzige Gesellschafterin der Klägerin ist. Würden die Industrie- und Handelskammern selbst ohne Zwischenschaltung von Förderstiftung und Klägerin die von dieser wahrgenommenen Aufgaben ausführen, dann gäbe es von vorneherein keinen Zweifel daran, dass die drei Industrie- und Handelskammern als Körperschaften des öffentlichen Rechts im Verhältnis zu den Bürgerinnen und Bürgern des Landes die Prinzipien des Rechtsstaats und die Grundrechte zu beachten hätten, darin eingeschlossen den allgemeinen Gesetzesvorbehalt gemäß Art. 2 Abs. 2 GG. Aber auch bei Zwischenschaltung von Förderstiftung und Klägerin können sich die drei Industrie- und Handelskammern sich nicht aus diesem grundrechtlichen Pflichtenkorsett lösen. Art. 1 Abs. 3 GG gilt für diese, und gilt auch, wenn diese sich dabei der Privatrechtsform bedienen (vgl. Dreyer aa0).
In Streit steht hier die von der Klägerin behauptete Berechtigung, sie dürfe eine Dritte, die Beigeladene, einschalten bei ihrer elektronischen Kommunikation von und mit den Bürgerinnen und Bürgern, die sich an die Klägerin bzw. der von dieser eingerichteten Plattform, der Fanpage, zum Zwecke der Information und Kommunikation im Bereich der beruflichen Weiterbildung wenden; dies im Wissen er Klägerin, dass die Beigeladene – oder ihre US-amerikanische Muttergesellschaft – über die Bereitstellung der Fanpage Nutzerdaten erhebt für deren eigene insbesondere eigene Werbezwecke oder wiederum Verwertung durch Dritte verkauft.
Den drei Körperschaften des öffentlichen Rechts wäre solch eine Erfassung Verwertung von Nutzerdaten zu anderen als den eigenen öffentlich-rechtlichen Zwecken bei Inanspruchnahme einer eigenverantwortlich erstellten und betriebenen Fanpage nicht erlaubt. Dann kann es diesen auch nicht durch privatrechtliche Zwischenschaltungen erlaubt sein, solches zu tun. Denn die Erfassung und Verarbeitung von Nutzerdaten bedarf durch die Industrie- und Handelskammern bedarf entweder einer gesetzlichen Ermächtigung (§§ 13ff LDSG S-H) oder aber einer rechtswirksamen Einwilligung der Betroffenen (§11 LDSG S-H). Wenn diese Erfassung und Verarbeitung der Nutzerdaten durch Facebook von vorneherein außerhalb der eigenen gesetzlichen Aufgabenbestimmung liegt, und außerhalb des Geschäftszwecks der Klägerin erfolgt – Zulassung der Erfassung und Verwertung von Nutzerdaten durch Facebook wie im vorliegenden Fall -, dann liegt auch keine nach § 3 Abs. 2 LDSG zulässige Datenverarbeitung vor.
Insoweit erweist sich das Handeln der Klägerin als die sprichwörtliche Flucht der Industrie- und Handelskammern in das Privatrecht. Die Inanspruchnahme von damit verbundenen Vorteilen darf nicht dazu dienen, den Grundrechtsschutz von Bürgerin und Bürger zu herabzusetzen oder gar insoweit in Fortfall gelangen zu lassen.
Eine öffentlich-rechtliche Befugnis zur Erhebung und Verwertung von Nutzerdaten hat die Klägerin und ihre öffentlich-rechtlichen Trägerinnen nicht. Eine solche Befugnis ergibt sich auch nicht aus den § 28ff BDSG. Es fehlt sowohl an dem eigenem Zweck der Nutzerdaten-Ausbeutung und an der geforderten Einwilligung der Nutzer der Fanpage hierzu.
Die Verwertung über die statische Auswertung der Nutzerdaten über “Facebook-Insight” ist eine unter vielen möglichen werblichen Verwendungen allein im Herrschaftsbereich von Facebook. Facebook Insight ist hier nur zusätzlicher Anreiz, damit sich die Klägerin zur Inanspruchnahme des Angebots von Facebook, eine Fanpage benutzen zu könnten, entschließt. Der eigentliche Zweck der Nutzer-Erfassung durch Facebook ist deren kommerzielle Dritt-Verwertung, die von der Klägerin mangels geltend gemachtem oder erfolglosem Einfluss in Kauf genommen werden.
Auf Grund dieses Sachverhalts hat der Bayerische Landesbeauftragte für den Datenschutz für die seiner Kontrollzuständigkeit unterliegenden bayerischen öffentlichen Stellen die Frage, ob “die Einrichtung bzw. Nutzung einer Fanpage bei Facebook (oder in einem vergleichbaren sozialen Netzwerk) durch bayerische öffentliche Stellen datenschutzkonform ist”, mit einem eindeutigen “Derzeit: Nein” beantwortet (vgl. Der Bayerische Landesdatenschutzbeauftragte für den Datenschutz informiert zum Thema Soziale Netzwerke. Fanpages bayerischer öffentlicher Stellen in sozialen Netzwerken zum Zwecke der Öffentlichkeitsarbeit. S. 5, Stand 28.03.2013).
Der Bayerische Landesdatenschutzbeauftragte hat seine Auffassung nicht nur am Rande mit der Vorbildfunktion der öffentlichen Verwaltung, solchen von Facebook ausgesandten Verlockungen zu widerstehen, begründet, sondern im Einzelnen nachgewiesen, dass eine unmittelbare Mitverantwortlichkeit der Fanpages verwendenden bayerischen Stellen im Hinblick auf das TMK, was die Informationspflichten und Nutzungsdaten betrifft, vorliegt, und hiergegen verstoßende Datenverarbeitung durch Facebook den bayerischen öffentlichen Stellen unmittelbar zurechenbar sind (Der Bayer. Landesdatenschutzbeauftragte aaO S. 5-10). Der Bayerische Landesdatenschutzbeauftragte bestätigt dabei die Auffassung des Beklagten, dass Fanpage-Betreiber auch “verantwortliche Stelle” nach dem BDSG bzw. der Europ. Datenschutzrichtlinie seien (S. 11-13). Es wird mit der ausdrücklichen Empfehlung geschlossen, “grundsätzlich keine entsprechende Fanpage einzurichten oder zu nutzen”, wobei sich die bayerische Kontrollbehörde die Aussprache ausdrücklicher Beanstandungen vorbehält (S. 23).
Der die Auffassung des Beklagten bestätigenden Auffassung durch die bayerische Kontrollinstanz folgen im Übrigen auch die Kontrollinstanzen Rheinland-Pfalz, Hessen und die vielfachen in anderen Bundesländern hierzu erlassenen “Leitfäden” etc. für den Umfang öffentlicher Stellen mit sozialen Netzwerken (vgl. Arbeitsgruppe AK I zum Datenschutz in Sozialen Netzwerken, Bericht zu Fortentwicklungen seit dem 04.04.2012, Stand 30.01.2013, S. 23f).
Hätte das OVG die besondere öffentlich rechtliche Pflichtenlage auf Grund der bestehenden Grundrechtsbindungen berücksichtigt, dann hätte das angegriffene Urteil allein schon deshalb dazu gekommen müssen, gegen die Klägerin in Berücksichtigung dieser Pflichtenlage ein Verbot des Betriebes der Fanpage von Facebook auszusprechen.
2.1.2 Minimum: Informationspflichten – nicht erfüllt
Nirgends auf der Homepage der Klägerin oder der Fanpage selbst findet sich ein Hinweis auf die der Klägerin bekannten mit der Nutzung der Fanpage verbundenen Datenzugriffe von Facebook. Dies gilt von vorneherein für das Beschreiten der Fanpage durch Nutzer, die bisher noch nicht bei Facebook angemeldet sind (vgl. oben 1.4.1). Dies gilt in gleicher Weise auch für Nutzer, die sich erst über die Fanpage und dort gegebener Möglichkeit, sich sogleich bei Facebook anzumelden.
Dort, wie bei der weiteren Gruppe der Nutzer, die bereits zuvor bei Facebook angemeldet waren, fehlt jeder Hinweis, dass die Tatsache der Nutzung der Fanpage gerade der Klägerin zur Erfassung von Nutzungsdaten bei der Beigeladenen und führt.
Es fehlt jeglicher Hinweis darauf, dass, wenn dies nicht gewollt ist, man von der weiteren Nutzung der Fanpage Abstand nehmen solle.
Durch diesen Sachverhalt führt die Klägerin in ganz erheblichem Umfang Nutzer über eine von diesen sonst nicht zu befürchtenden Datenverarbeitung in die Irre, ganz zu schweigen davon, dass die Nutzerdaten ohne jede Möglichkeit der weiteren Einflussnahme durch die Kl. und deutsche Stellen im Übrigen erhoben und ins Ausland transferiert werden.
Solche Informationspflichten erwachsen vorgelagert und jenseits der positivrechtlichen Vorschriften aus der allgemeinen öffentlich-rechtlichen Fürsorgepflicht der Klägerin und deren Trägerinnen, potentielle und tatsächliche LeistungsbezieherInnen der Kl. vor solchem Zugriff zu schützen. Es ist eine ganz allgemein der öffentliche Hand, aber auch privaten Institutionen auferlegte Pflicht, Bürger oder resp. Kunden, und seien sie zunächst auch nur Interessierte, beim Betreten des eigenen Tätigkeitsbereich, der Behörde, des Betriebes, zu versichern, dass ihre Rechtspositionen bei und durch diesen Kontakt nicht gefährdet werden. Dies ist beim räumlichen Betreten einer Behörde, einer Firma selbstverständlich als selbstverständlich wahrzunehmende Verkehrssicherungspflicht. Dies muss auch dann gelten, wenn man durch Aufruf einer Fanpage in den informationsrechtlichen Herrschaftsbereich eines Dritten eintritt. Man darf als Besucher einer Fanpage davon ausgehen, und dass der Betreiber einer Fanpage dafür Sorge getragen hat, dass er hierdurch nicht Datenzugriffen Dritter ausgesetzt wird. Diese Datenzugriffe erfolgen im vorliegenden Falle nicht etwa heimlich und führen etwa erst bei deren Bekanntwerden zu einer Verhaltensänderung des Fanpagebetreibers. Diese Datenzugriffe sind im vorliegenden Falle öffentlich bekannt und erfolgen hier sogar im positiven Wissen der Klägerin.
Das angegriffene Urteil hat einen solchen Pflichtenkreis nicht einmal in seine Erwägungen einbezogen. Es hat vielmehr den gesamten datenrechtlichen und datenschutzrechtlichen Problembereich durch eine unzulässig enge Wortlautinterpretation des Begriffes der “verarbeitenden Stelle”, ohne Berücksichtigung der tatsächlich bestehenden Verantwortlichkeiten auszuklammern gesucht und damit die verfügte Maßnahme der Deaktivierung der Fanpage der Kl. frei von jedem öffentlich-rechtlichen Pflichtenzusammenhang gestellt.
Das angegriffene Urteil begegnet jedoch auch jenseits des öffentlich-rechtlichen Pflichtenkreises ganz erheblichen Bedenken, wie nachfolgend darzulegen ist.
2.1.3 Keine wirksame Einwilligung nach dem BDSG
Unter 1.3.2 ist dargelegt worden, dass weder die Klägerin, und auch nicht die Beigeladene, den Besuchern der Fanpage irgendwelche Informationen darüber geben, dass deren Nutzerdaten zu durch Facebook erstellten Analysen für die Klägerin Verwendung finden und darüber hinaus durch Facebook für deren werbliche Zwecke abgegriffen werden. Dass Facebook hierbei gegen geltendes Datenschutzrecht verstößt, ist Gegenstand späterer Behandlung (s. 2.6.2.1). Dem vorgelagert verstößt die Klägerin gegen ihre eigenen Verpflichtungen als Fanpage-Betreiberin nach dem BDSG.
Im vorigen Abschnitt ist dargelegt worden, dass sich bei der Klägerin nirgends ein auch nur aufklärender Hinweis auf die Erfassung und weitere Verwertung von Nutzerdaten zu eigenen Zwecken der Klägerin und fremden Zwecken (von Facebook) findet. Wenn Facebook der – unrichtigen (s. 2.6.2.1) – Auffassung ist, dass es hierfür keiner “informierten Einwilligung” im Sinne der Datenschutzrichtlinie bedürfe, dann sollte dies nicht zur Entlastung der Klägerin gereichen können. Denn die Klägerin hat bei ihrem Fanpage-Betrieb insoweit sogar noch weniger Informationen geliefert als Facebook seinen Mitgliedern zugänglich macht.
Wenn Facebook dieser Verpflichtung auf eine wirksame Einwilligung nicht genügt, dann ist die Klägerin – jenseits der weiter unten gemachten Erörterungen zur datenschutzrechtlichen Verantwortlichkeit auch der Klägerin – als Seitenbetreiberin auf Grund ihrer Beteiligung an diesem von ihr in Gang gesetzten Prozess zur Information und zur Einholung einer wirksamen Einwilligung verpflichtet.
Das Landgericht Berlin hat für den vergleichbaren Fall einer Verlinkung mit einer Spiele-App die Auffassung des Kammergerichts vom 24. Januar 2014 bestätigt (Entscheidung vom 28.10.2014 - 16 0 60/13, US 9) und die Weiterleitung der Nutzerdaten durch die Beigeladene als Verstoß gegen § 4 Abs.1 BDSG gewertet, weil eine “informierte Entscheidung” im Sinne der Datenschutzrichtlinie nicht vorgelegen habe. Nach diesen Grundsätzen verstößt die Klägerin - auch jenseits ihres zusätzlichen öffentlich-rechtlichen Pflichtenkorsetts – gegen die ihr obliegenden Verpflichtungen.
2.1.4 Die Klägerin ist datenschutzrechtlich verantwortliche Stelle
Das angegriffene Urteil verneint die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG, Art. 2 lit. d) der Richtlinie 95/46/EG. Dies ist fehlerhaft.
2.1.4.1 Eine Aufspaltung des Datenverarbeitungsprozesses ist nicht statthaft
Das angegriffene Urteil (US 21 und 22) stellt in seiner Begründung pauschal darauf ab, ob die Klägerin personenbezogene Daten selbst erhebt und verarbeitet und zieht daraus fälschlicherweise den Schluss, allein Facebook sei verantwortliche Stelle. Bei der Fanpage handele es sich um eine “Facebook-Seite”. Dass die Klägerin auch für die präsentierten Inhalte auf der Fanpage datenschutzrechtlich verantwortlich ist – was in der Vorinstanz noch außer Streit war - und dass eine Teilung der datenschutzrechtlichen Verantwortlichkeit einerseits für die Inhaltsdaten und andererseits der Nutzungsdaten nicht statthaft ist, zieht das angegriffene Urteil nicht im Ansatz in Erwägung:
“Des Weiteren ist die Anordnung rechtswidrig, weil die Klägerin keine verantwortliche Stelle im Hinblick auf die von Facebook erhobenen Daten infolge des Betriebs ihrer Fanpage im Sinne des § 3 Abs. 7 BDSG bzw. im Sinne von Art. 2d) der RL 95/46/EG ist und eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle ergehen kann. Die Klägerin ist Diensteanbieterin im Sinne des § 2 Nr. 1 TMG, weil sie als Betreiberin einer Fanpage ein Telemedium zur Nutzung bereithält. Der Diensteanbieter ist jedoch nach dem Wortlaut der Regelungen der §§ 11 ff. TMG lediglich für die eigene Erhebung und Verwendung personenbezogener Daten verantwortlich. Nach § 12 Abs. 3 TMG findet § 3 Abs. 7 BDSG Anwendung, weil das TMG nicht anderes bestimmt. Davon geht auch der Beklagte aus. Gemäß § 3 Abs. 7 1. Alt. BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt. Die Klägerin erhebt und verarbeitet keine personenbezogenen Daten der Besucher der Fanpage für sich selbst. Der Beklagte stützt seine Anordnung auch allein auf die Erhebung und Verarbeitung von Daten durch Facebook. Die Klägerin übermittelt auch keine Daten an Facebook. Übermitteln ist gemäß § 3 Abs. 4 Satz 2 Nr. 3 BDSG die Bekanntgabe gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. Facebook ist kein Dritter in diesem Sinne. Die Fanpage ist eine Facebook-Seite. Es ist die Beigeladene, die bei Aufruf einer Fanpage über ihr Netzwerk unmittelbar die IP-Adresse des Nutzers erhält und auf dem Computer des Nutzers Cookies hinterlegt. Anhand der Cookies kann die Beigeladene ihre Nutzer erkennen und die Aktivität auf der Fanpage mit den sonstigen Informationen verknüpfen, die sie über den jeweiligen Nutzer hat. Schon allein deshalb, weil die Klägerin selbst keine Daten von Nutzern erhebt, ist sie keine verantwortliche Stelle im Sinne des § 3 Abs. 7 1. Alt. BDSG.”
Die Klägerin ist Diensteanbieterin gemäß § 2 Nr. 1 TMG, da ein Telemedium zur Nutzung bereitgehalten wird. Das OVG zieht aus § 12 Abs. 3 TMG, der auf das BDSG verweist, den Schluss, dass gemäß § 3 Abs. 7 BDSG eine Verantwortlichkeit nur für die eigene Erhebung und Verwendung personenbezogener Daten bestehe. Eine derartige Beschränkung hatte der TMG-Gesetzgeber offensichtlich nicht im Blick, als er den rechtlich verantwortlichen Diensteanbieter definiert als jede Person, die auch “fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt”.
Genau das tut die Klägerin. Die Klägerin publiziert unter der Seite www.facebook.com/wirtschaftsakademie nicht nur ihre Inhalte, sondern vermittelt zugleich den Zugang zu Facebook.
Dem Schutz informationeller Selbstbestimmung dient u. a. die Impressumspflicht nach § 5 TMG, die dem Nutzenden erkennbar macht, wer für das Telemedienangebot verantwortlich ist. Diese Impressumspflicht trifft auch den Betreiber einer Facebook-Fanpage (LG Aschaffenburg, Urteil vom 19.8.2011 - 2 HK O 54/11) und damit auch die Klägerin. Die Nutzenden sollen sich nach dem Willen des Gesetzgebers darauf verlassen können, dass dieser auch die Verantwortung für die durch die Nutzung ausgelöste Datenverarbeitung übernimmt.
Für die Fanpage ist die Klägerin Diensteanbieterin nach § 2 Nr. 1 TMG (vgl. LG Aschaffenburg, Urteil vom 19.08.2011, 2 HK O 54/11; LG Regensburg, Urteil vom 31.01.2013, 1 HK O 1884/12) und somit verpflichtet, die Vorschriften des TMG einzuhalten. Hierzu zählen die Anforderungen an die Informationspflichten (§§ 5 f. TMG), die Verantwortlichkeit für die auf den Fanpage eingestellten und/oder bereit gehaltenen Inhalte (§§ 7 ff. TMG) sowie die Einhaltung der datenschutzrechtlichen Anforderungen (§§ 11 ff. TMG). Von Bedeutung ist hier § 15 Abs. 3 Satz 1 TMG, wonach der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. Gemäß § 15 Abs. 3 Satz 2 TMG hat der Diensteanbieter den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Nach § 15 Abs. 3 Satz 3 TMG dürfen Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Ruft man das Impressum auf, erscheint als Urheberin die Klägerin:
“Impressum
Dienstanbieter dieser Seiten ist die
Wirtschaftsakademie Schleswig-Holstein GmbH (Gesellschaft mit beschränkter Haftung)
Hans-Detlev-Prien-Str. 10
24106 Kiel
vertreten durch den Geschäftsführer Dr. Detlef Reeker. Inhaltlich verantwortlicher gemäß § 55 Abs. 2 RStV ist Dr. Detlef Reeker, Hans-Detlev-Prien-Straße 10, 24106 Kiel.”
siehe: Ausdruck homepage - Impressum der Klägerin
- Anlage B 4 -
Die gegenteilige Ansicht des angegriffenen Urteils sollte bereits auf Grund dieses Sachverhalts keinen Bestand haben.
Dies gilt auch für die vom angegriffenen Urteil schlicht übersehene Vorschrift des § 15 Abs. 3 TMG und díe deshalb vom angegriffenen Urteil gezogenen unrichtigen Schlüsse, die den Anbietern von Telediensten eine datenschutzrechtliche Verantwortung für die in diesem Zusammenhang erstellten Nutzungsprofile zuweist. Mit der Einrichtung einer Fanpage ist untrennbar die Erstellung von Nutzungsprofilen verbunden, die tief in das Persönlichkeitsrecht der Nutzenden eingreifen können.
Die Konsequenz aus dieser sich rechtlich aufdrängenden Eigenschaft der Klägerin als einer Diensteanbieterin i.S.d. TMG und daher auch verantwortlichen Stelle i.S.v. § 3 Abs. 7 1. Alt. BDSG vermeidet das angegriffene Urteils nur durch eine unzulässig verengte Sichtweise auf die zugrundeliegenden Prozesse der Datenverarbeitung. Dies geschieht durch die Annahme, die im Rahmen der Nutzung einer Fanpage ablaufenden Datenverarbeitungsprozesse aufteilen zu können in drei unabhängige Teile: (a) Bereitstellung der Inhalte durch den Fanpagebetreiber, (b) Verarbeitung der Nutzungsdaten durch Facebook, (c) Übermittlung der anonymisierten Auswertungen der Nutzungsdaten von Facebook an den Fanpagebetreiber (“Insights”), und, vom OVG völlig außer Acht gelassen, die in der sonstigen Verwertung der Nutzerdaten durch Weitergabe an Dritte, wie sie vom Beklagten vorgetragen worden war (vgl. Berufungsbegründung vom 18.12.2013, S. 2ff).
Tatsächlich umfasst die über die Einwilligung in die Nutzungsbedingungen zwischen Facebook und der Klägerin zustande gekommene vertragliche Vereinbarung jeweils zwingend die vorgenannten drei bzw. vier Prozesse. Vertraglich sind zumindest die Prozesse (a) und (b) nicht voneinander zu trennen, da die Gegenleistung für die Bereitstellung einer ansonsten teuer zu erwerbenden Infrastruktur zur Präsentation der Fanpageinhalte durch Facebook in der Möglichkeit liegt, die Nutzungsdaten der Nutzenden wiederum ohne weiteres Entgelt erheben und weiterverarbeiten zu können. Ohne die bei der Kommunikation über die Fanpage offenbarten Inhalte würden die Nutzenden keine Nutzungsdaten hinterlassen, die Facebook zur Profilbildung und Werbeeinblendung verwendet. “Insights”, also die Auslieferung von Statistiken, ist eine Draufgabe von Facebook, die aber selbst wieder vertraglich davon abhängt, dass Nutzungsdaten generiert werden. Der Vertrag zwischen Facebook und den Fanpagebetreibern ist von Facebook genau vorgegeben: Der Betreiber muss sich gegenüber Facebook mit Namen und Erreichbarkeitsdaten (E-Mail-Adresse) als juristische oder natürliche Person (Geburtsdatum, Geschlecht) eindeutig identifizieren (vgl. Nutzungsbedingungen der Beigeladenen unter Nr. 4, vorgetragen in der Berufungsbegründung vom 18.12.2013, S. 17,, siehe auch Kap. 2.4. und 2.7.2.1).
Dieser übereinstimmenden und einheitlichen Vertragslage entspricht eine einheitliche technische Datenverarbeitung: Jede Nutzung eines Inhaltsangebots im Internet hat den Anfall von Nutzungsdaten zur Folge. Ohne eine Verarbeitung von Nutzungsdaten könnten keine Inhalte bereitgestellt werden. Nicht nur die Verarbeitung der Nutzungsdaten, sondern auch die Inhaltsbereitstellung erfolgt technisch ausschließlich bei Facebook. Es sollte außer Streit stehen, dass der Fanpagebetreiber für die Inhaltsdatenverarbeitung verantwortlich ist, Facebook hingegen für die gesamte Nutzungsdatenverarbeitung. Bedingt nun das eine rechtlich, technisch und denklogisch das andere, so können diese beiden Prozesse nicht rechtlich aufgeteilt werden und hat der Inhaltsdatenverarbeiter die rechtliche Mitverantwortung nach Außen für die Tätigkeiten des Anderen mit zu übernehmen, unabhängig von den sonstigen die Arbeitsteilung und Nutzung regelnden ggf. auch stillschweigenden Absprachen zwischen Klägerin und Facebook. Es handelt sich dann um eine Verarbeitung “gemeinsam mit anderen”.
Es ist wohl nicht ausgeschlossen, dass bzgl. einzelner Verarbeitungen von Inhalts- und von Nutzungsdaten unterschiedliche bzw. sich überlappende Verantwortlichkeiten auf einer Plattform bestehen. Aber auch Facebook kann für einzelne Inhalte auf Fanpages in gleicher Weise verantwortlich gemacht werden, so wie Google für die Anzeige von Suchergebnissen verantwortlich ist (EuGH, Urteil vom 13.5.2014, C-131/12, AfP 2014, 245, NVwZ 2014, 858 f ).
Dies gilt, obwohl es Facebook auf die konkreten Inhalte einer Fanpage nicht ankommt und den Betreibern bzgl. deren Inhalte weitgehend freie Hand lässt. Hinsichtlich der Nutzungsdaten lässt Facebook derzeit den Fanpagebetreibern keinen Spielraum, so dass sie bei Annahme des Angebots des Betriebs der Fanpage die gesamte Datenverarbeitung durch Facebook akzeptieren und insofern auch die Verantwortung übernehmen müssen, oder, wenn dies nicht gewollt ist bzw. nicht zugelassen werden soll, auf dieses Angebot verzichtet werden muss. Diese Entscheidung liegt ausschließlich in der Hand der Klägerin.
Das angegriffene Urteil (US 23) gesteht zu, dass in der Stellungnahme 2/2010 der Artikel-29-Arbeitsgruppe zur Werbung beim Behavioural Targeting vom 22.6.2010 dem Anbieter von Online-Inhalten auch eine “gewisse Verantwortung” für die Verkehrsdaten zugemessen wird. Es führt aber nicht aus, worin diese genau besteht. Es wird nur postuliert, dass der Fall bei Fanpages anders liege. Tatsächlich hat aber ein Webseitenbetreiber bei der Onlinewerbung ebenso wenig “direkten Kontakt zu dem Nutzer … und dessen personenbezogene Daten” wie der Betreiber einer Fanpage. Der Unterschied besteht lediglich darin, dass er sich im Fall einer selbstadministrierten Webseite entscheidet, einem Anbieter das Setzen von Cookies zu erlauben, etwa zum Auslösen des sog. “Gefällt-Mir-Buttons” von Facebook, während er im Fall der fremdadministrierten Webseite sich dafür entscheidet, die viel umfassendere Infrastruktur z. B. von Facebook zu nutzen, die das Setzen von Cookies mit einschließt. Gemeinsam ist in beiden Fällen der Zweck, “Informationen über die Nutzer zu erhalten und mit vorhandenen Informationen zu verknüpfen, um auf diese Weise für die Nutzer die Attraktivität des Netzwerkes zu steigern, vor allem aber, um Werbeanzeigen und sonstige kommerzielle bzw. gesponserte Inhalte Nutzern zur Verfügung zu stellen. In beiden Fälle ist der Zweck identisch, und sollten sich die zugrungeliegenden Sachverhalte auch hinsichtlich der Verantwortlichkeit nicht unterschiedlich beurteilen lassen können.
Der EuGH hat in seinem Urteil vom 13.5.2014, C-131/12 (AfP 2014, 249, Rdn. 54 ff.) klargestellt, dass bei der Beurteilung von personenbezogener Datenverarbeitung keine formelle, sondern eine ökonomische Sichtweise geboten ist: Für den EuGH ist die Existenz einer nationalen Niederlassung, die Werbeakquise durchführt, ausreichend, um die Anwendung nationalen Datenschutzrechtes zur Beurteilung von Suchanzeigen einer globalen Suchmaschine zu rechtfertigen. Ohne die Werbeakquise ist die Bereitstellung eines Dienstes zur Bearbeitung der Suchanfragen nicht denkbar. Die Werbeeinnahmen finanzieren und ermöglichen erst den Dienst zur Beantwortung von Suchanfragen. Die Tätigkeiten sind wirtschaftlich aufeinander bezogen und bei der datenschutzrechtlichen Bewertung “untrennbar miteinander verbunden” (RN 56), und deshalb als einheitlicher Vorgang zu behandeln, wie der EuGH zu Recht ausführt.
Gegen eine (Mit-)Verantwortlichkeit für wesentlich von anderen Stellen verursachte Datenschutzverstöße könnte vorgetragen werden, dass die Klägerin keine positive Kenntnis von dem Verstoß haben kann, da ihr die konkrete Datenverarbeitung von Facebook im Detail unbekannt ist. Tatsächlich stellt das Datenschutzrecht nicht auf das Wissen und Wollen der verantwortlichen Stelle ab. (vgl. im Hinblick auf Suchmaschinenergebnisse EuGH, Urteil vom 13.5.2014 – C-131/12, EuGH AfP 2014, 248, Rdn. 34).
Die datenschutzrechtliche Verantwortlichkeit wird objektiv festgestellt und hängt nicht von subjektiven, von den Absichten getragenen Umständen ab, wie dies für die darüber hinausgehende strafrechtliche Verantwortlichkeit der Fall ist. Es wäre es eine Überforderung von Unternehmen und Seitenbetreibern, die damit verbundenen komplexen technischen und rechtlichen Fragen, wie sie bei der Internetdatenverarbeitung regelmäßig auftreten, selbst zu beantworten. Sie müssen ihren Serviceanbietern vertrauen. Sie müssen aber auch eine Vertrauensbasis haben und können sich auf diese nur verlassen, wenn sie sich unter Aufbietung gebotener Anstrengung davon überzeugt konnten, dass das zu schenkende Vertrauen eine reale Grundlage hat und damit tatsächlich gerechtfertigt ist.
Übertragen auf Facebook:
Würde die angegriffene Rechtsprechung des OVG Schleswig Bestand haben, würden Fanpagebetreiber davon entbunden sein, irgendwelche Anforderungen an Facebook oder sonstige Dienstleister zu stellen bei der Verarbeitung der Daten ihrer Nutzer. Aus dieser Pflicht wird die Klägerin auch nicht dadurch entlassen, dass sie sich eines freilich mächtigen ”Gehilfen” bedient. Es gehört nicht nur nach Auffassung des Beklagten zu einem Mindestmaß an Verantwortung, sich plausibel und nachvollziehbar begründen zu lassen, dass die im eigenen Lande geltenden gesetzlichen Regelungen von den in Anspruch genommenen Dienstleistern beachtet werden, und dass die in Anspruch genommenen Dienstleister nichts tun, was der Klägerin selbst verboten wäre.
Dass bei Facebook vielfältige Datenschutzverstöße stattfinden, das gehört – etwas polemisch gesprochen - zur datenschutzrechtlichen Allgemeinbildung. Dies allein schließt schon ein Vertrauen-Dürfen auf die Datenverarbeitungen der Beigeladenen aus. Dass die Klägerin beim Betrieb einer eigenverantwortlich hergestellten und betriebenen Fanpage die streitbefangenen Datenverarbeitungen selbst gar nicht vornehmen dürfte, ist auch für das angegriffene Urteil nicht zweifelhaft. Das angegriffene Urteil rät bei dieser Situation dem Beklagten nichts anderes, als dass er sich im vorliegenden Fall direkt an die Beigeladene in Ireland wenden möge (US 30). Nicht nur rechtlich naheliegender wäre es gewesen, die Klägerin aufzufordern, sich von der deutschem Recht widersprechenden kollateralen DV-Praxis der Beigeladenen zu verabschieden und dieser nicht durch Beibehaltung der Zusammenarbeit tausendfachen Vorschub zu leisten.
Der einzige legitimatorische Rettungsanker für Facebook ist bis heute der Verweis auf zwei Audits der irischen Datenschutzbehörde, die übereinstimmend von hierzu berufenen deutschen Stellen und Stimmen als nicht zureichende Bewertungen qualifiziert werden und deshalb die problematischen Datenverarbeitungen durch Facebook zu meiden empfehlen (vgl. Arbeitsgruppe AK I, Datenschutz in Sozialen Netzwerken, Stand 31.07.2013 aaO). Es ist der deutschen Wirtschaft ein höheres Maß von Verantwortung abzuverlangen, als derartige Verweise unhinterfragt zu akzeptieren. Zumindest die Einhaltung der eigenen gesetzlichen Standards ist zu verlangen. Verletzt ein von einem inländischen Portalbetreiber eingeschalteter Dienstleister inländisches Recht, dann kann ein Fanpagebetreiber, der wegen Datenschutzverstößen eines Portalbetreibers zur Rechenschaft gezogen wird, im Hinblick auf den mit diesem bestehenden Vertrag Haftungs- oder Nachbesserungsansprüche gegenüber Facebook geltend machen. Tut er das nicht, wie offenbar die Klägerin, dann liegt eine bewusst arbeitsteilige zu beiderseitigem Gewinn ins Werk gesetzte Verletzung von nationalem, hier deutschen Recht, vor.
2.1.5 Auswirkungen der Auffassung des OVG Schleswig
Von den angegriffenen Entscheidungen wurde bei der Auslegung des Begriffs der Verantwortlichkeit nicht berücksichtigt, dass dieser einheitlich sowohl im öffentlichen wie im nicht-öffentlichen Bereich verwendet wird. Während im nicht-öffentlichen Bereich dem Recht auf informationelle Selbstbestimmung Grundrechte des Datenverarbeiters entgegen gehalten werden können (Art. 5, 12, 14 GG), gilt dies für den öffentlichen Bereich nicht. Die Grundrechtskonflikte im nicht-öffentlichen Bereich können jedoch nicht auf der terminologischen Ebene gelöst werden, sondern nur im Rahmen der materiell-rechtlichen Interessenabwägung, so wie dies in den §§ 27 ff. BDSG angelegt ist.
Schon allein wegen des begriffsbestimmenden öffentlichen Bereichs muss eine weite Auslegung erfolgen: Im öffentlichen Bereich gäbe es nämlich kein rechtliches Korrektiv, wenn Hoheitsträger Fanpages nutzen. Nicht nur, aber insbesondere in sensiblen Bereichen, etwa bei Schulen, wo insbesondere auch Kinder angesprochen werden, bei der Polizei, wo fahndungsrelevante Daten ausgetauscht werden und jeweils Kommunikations- und Nutzungsdaten bei Facebook entstehen, oder Krankenkassen, deren Mitgliederdaten unter das Sozialgeheimnis fallen, müssen öffentlichen Stellen angesichts ihrer grundrechtlichen Verpflichtung von einer Nutzung von Facebook absehen. Folgte man der Auslegung des VG Schleswig und des OVG Schleswig, so könnten sich nicht nur private, sondern auch öffentliche, einer besonderen Grundrechtsbindung unterliegenden Stellen ihrer datenschutzrechtlichen Verantwortung entziehen, indem sie Internetseiten nicht eigenverantwortlich betreiben, sondern deren Betrieb auf Dritte übertragen, die dann vermeintlich ausschließlich verantwortlich wären und faktisch nicht oder nur sehr schwer zur Verantwortung gezogen werden könnten. Betroffen wäre die Allgemeinheit, darunter oft Minderjährige und Bürger, die aus welcher Bedürfnis- oder Notlage heraus sich an eine öffentliche Stelle wenden (müssen), außer sie würden auf die entsprechende elektronische Nutzung verzichten.
Die von den beiden Instanzgerichten vertretene Ansicht führt zu erheblichen Schutzlücken. Sollte der datenschutzrechtlichen Verantwortlichkeit bereits entgegenstehen, dass die verantwortliche Stelle keinen technischen Einfluss auf die Verarbeitungsprozesse ihres Infrastruktur-Anbieters hat, müssten Dienstanbieter einzig ihre eigene Anwendung kontrollieren. Was der von ihnen eingesetzte Infrastrukturanbieter dagegen mit den Daten ihrer Nutzer macht, müsste sie selbst dann nicht stören, wenn sie dessen rechtwidrige Handlungen kennen. Dies widerspricht auch der Wertung der §§ 7 ff. TMG zur Verantwortlichkeit von Inhalten. So besteht auch danach eine Sperr- bzw. Löschpflicht, sobald eine Kenntnis von der Rechtswidrigkeit von Inhalten vorliegt (vgl. u. a. § 10 TMG).
Für die hier vertretene Auslegung des Begriffs der Verantwortlichkeit unter Einbeziehung von Fanpagebetreibern spricht zudem die eventuell parallel bestehende strafrechtliche Verantwortlichkeit als Mittäter. Die unzulässige Datenverarbeitung unter Bereicherungsabsicht ist gemäß § 44 Abs. 1 BDSG eine Straftat. Die Sanktionsvorschriften der §§ 43, 44 BDSG knüpfen nicht am Begriff der “verantwortlichen Stelle” an. Die Adressaten des Strafrechts müssen nicht mit einer verantwortlichen Stelle identisch sein (Holländer, in: Wolff/Brink, Datenschutzrecht, 2013, § 44, Rn. 6). Es ist unbestritten, dass strafrechtlich relevante Datenschutzverstöße in Mittäterschaft gemäß § 25 Abs. 2 StGB begangen werden können.
Das vorliegende gemeinsame Vorgehen beim Betrieb einer Facebook-Fanpage erfüllt die strafrechtlichen Voraussetzungen der Mittäterschaft: Es erfolgt ein Zusammenwirken, wobei beide Teile Kenntnis von den unmittelbar nur von einem Teil begangenen Rechtsverstößen haben, oder diese Kenntnis im vorliegenden Fall spätestens seit Anhörung durch den Beklagten haben.
Der Fanpagebetreiber leistet einen kausalen Beitrag dazu, dass Facebook die Daten der Fanpagebesuchenden unter Verletzung des Datenschutzrechtes verarbeiten kann; dem Fanpagebetreiber kommt es darauf an, dass Facebook die Daten wie bekannt verarbeitet, weil ihm sonst der Fanpagebetrieb nicht oder nicht unentgeltlich nicht zur Verfügung gestellt würde.
Es liegt auch der bei der strafrechtliche Sichtweise für die Annahme einer Mittäterschaft notwendige gemeinsame Entschluss, vor, die bei solchen Dauerdelikten wie der hier vorliegenden dauernden Datenverarbeitung spätestens in dem Zeitpunkt vorliegen, in dem auch der andere Handelnde, die Klägerin, Kenntnis erlangt hat von den von ihr mitveranlassten und dann auch notwendigerweise mitgewollten Nutzungen der Beigeladenen, auch wenn diese für die Klägerin nur notwendiges Durchgangsstadium zur kostenfreien Erlangung von Gegenleistungen von der Beigeladenen sind. Diese Gemeinsamkeit ist die längste Zeit gegeben und hält an (vgl. grundsätzlich hierzu Schönke-Schröder, StGB RN 71ff zu § 25).
Das Strafrecht ist die ultima ratio des Rechtes. Wenn sogar eine strafrechtliche Verantwortlichkeit vorliegt, dann liegt erst recht eine datenrechtliche Verantwortlichkeit vor, sei es im privaten oder im öffentlichen Bereich.
2.1.6 Zwecke und Mittel der Datenverarbeitung nach Art. 2 d) RL 95/46/EG
Das OVG Schleswig verneint eine Mit-Verantwortlichkeit der Klägerin (US 22f), weil die Klägerin nicht über die Zwecke und Mittel der Datenverarbeitung entscheide bzw. auch nur mit entscheidet. Es unterstellt irrigerweise, der Zweck des Betreibens der Fanpage liege für die Klägerin nur darin, mit Interessierten zu kommunizieren. Auf die Erstellung der Nutzungsstatistik durch Facebook habe die Klägerin keinen Einfluss. Das OVG Schleswig verneint damit jeglichen Verursachungsbeitrag der Klägerin und kommt so zum Ausschluss der datenschutzrechtlichen Verantwortlichkeit:
“Aus Art. 2 d) der RL 95/46/EG folgt nichts anderes. Danach ist “für die Verarbeitung Verantwortlicher” jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Datenschutzrechtliche Verantwortlichkeit und Datenverarbeitung stehen danach ebenfalls in einem untrennbaren Zusammenhang. Die Klägerin trifft keine Entscheidung bezüglich der Verarbeitung von personenbezogenen Nutzerdaten durch Facebook. Insbesondere entscheidet sie nicht gemeinsam über die Zwecke und Mittel der Verarbeitung. “Zweck” ist “das erwartete Ergebnis, das beabsichtigt ist oder die geplante Aktion leitet” (Art. 29-Datenschutzgruppe – WP 169, S. 16). Der Zweck der Erhebung und der Verarbeitung von personenbezogenen Nutzerdaten durch Facebook ist, die Wirtschaftlichkeit des Unternehmens Facebook zu steigern. Darauf weist auch der Beklagte hin, wenn er betont, dass die von Facebook gesetzten Cookies eine zentrale Rolle für das Geschäftskonzept von Facebook spielen. Im Rahmen der sogenannten “Insights-Funktion” erhalten Fanpagebetreiber (ungefragt) anonymisierte und aggregierte Informationen über Nutzeraktivitäten auf ihrer Fanpage. Facebook verfolgt damit den weiteren Zweck, dass die Fanpagebetreiber ihre Page möglichst attraktiv gestalten, um auf diese Weise – mit den Worten des Beklagten – weitere Nutzer auf die von Facebook betriebene Infrastruktur zu locken. Auch die Fanpagebetreiber sind sicherlich daran interessiert, dass ihre Seiten für Nutzer attraktiv sind. Deshalb dürfte auch für die Klägerin ein Feedback von Facebook über Nutzeraktivitäten nicht unwillkommen sein. Der Zweck des Betreibens einer Fanpage ist für sie aber nicht der Erhalt dieser Informationen, sondern mit Interessierten zu kommunizieren. Die Zwecke sind zu unterscheiden. Der Fanpagebetreiber entscheidet nicht über den Zweck, das heißt das “Warum” der Verarbeitung von personenbezogenen Daten zusammen mit Facebook, vielmehr bestimmt Facebook diesen Zweck allein. Der Fanpagebetreiber nutzt womöglich die im Rahmen der Insights-Funktion erhaltenen, anonymisierten Informationen, um allgemein besser mit Nutzen “ins Gespräch” zu kommen. Er nutzt aber keine personenbezogenen Daten im Sinne von § 3 Abs. 5 BDSG, sondern gegebenenfalls Statistiken, die ihm Facebook aus eigenen Zwecken ungefragt zur Verfügung stellt. Erst recht entscheidet der Fanpagebetreiber nicht über die Mittel zur Erreichung dieses Zwecks. “Mittel” bezeichnet die Art und Weise, wie ein Ergebnis oder Ziel erreicht wird” (Art. 29-Datenschutzgruppe, a.a.O.). Über das “Wie” entscheidet Facebook ebenfalls allein. Die Fanpagebetreiber haben darauf keinen Einfluss. Der Fanpagebetreiber entscheidet nur “ob” er eine Fanpage errichtet und betreibt. Das macht ihn aber nicht zum “für die Verarbeitung Verantwortlichen”. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, kann nicht als für die Verarbeitung Verantwortliche angesehen werden (Art. 29-Datenschutzgruppe – WP 169, S. 15).”
Zutreffend nimmt das OVG Schleswig zwar an, dass § 3 Abs. 7 BDSG im Lichte von Art. 2 d) RL 95/46/EG ausgelegt werden muss. Nach dieser Vorschrift ist für die Verarbeitung Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Bei der Anwendung der Vorschrift verkennt das OVG Schleswig, dass die Klägerin als Fanpagebetreiberin sowohl über Zweck als auch über die Mittel der Erhebung und Verarbeitung der Nutzungsdaten tatsächlich entscheidet. Das Gericht legt einen zu engen Maßstab an, wenn es die Verantwortung der Klägerin verneint, weil diese mit ihrem operativen Instrumentarium in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen Daten komme.
Die Klägerin entscheidet jedenfalls eigenständig und zugleich gemeinsam mit Facebook über den Zweck der Verarbeitung der von den Nutzern ihrer Fanpage erzeugten Nutzungsdaten, indem sie ihre Fanpage angelegt hat und betreibt (Spindler, Persönlichkeitsschutz im Internet – Anforderungen und Grenzen einer Regulierung, Gutachten F zum 69. Deutschen Juristentag, 2012, F 81 f.; zu “Social Plug-Ins” so auch Ernst, Social Plugins: Der “Like-Button” als datenschutzrechtliches Problem, NJOZ 2010, 1917, 1918).
Die Klägerin weiß nämlich, dass Facebook Nutzungsdaten mit Hilfe von Cookies über die Besucher der Fanpages erhebt, um Nutzerstatistiken zu erstellen. Diese Verarbeitungsvorgänge erfolgen nicht nur im beiläufigen Interesse der Klägerin sondern auch auf Wunsch der Klägerin, da sie über die Funktion “Facebook Insights” umfangreiche Informationen über die Besucher ihrer Fanpage erhält, mit denen sie den Erfolg ihres Webauftrittes beurteilt. Diese Funktion ist integraler Bestandteil der von der Klägerin eingerichteten Fanpage und unterscheidet die Fanpage der Klägerin von anderen Webhosting-Angeboten. Dem entsprechen die bestätigenden Ausführungen der Klägerin in ihrem Schriftsatz vom 19. Januar 2012 (S. 2). Demnach betreibe die Klägerin die Fanpage
“insbesondere zu werblichen Zwecken für die eigenen Angebote, wie beispielsweise zur Ankündigung von aktuellen Veranstaltungen”
und nutze die Fanpage in diesem Zusammenhang für Werbezwecke und zur bedarfsgerechten Gestaltung der angebotenen Telemedien.
Die angegriffene Entscheidung setzt sich in der vorzitierten Passage zwar umfänglich mit dem Papier der für die Auslegung der Richtlinie maßgeblichen Art. 29 Datenschutzgruppe auseinander und bezieht sich auf die sich der Problematik der Verantwortlichkeit annähernden Erwägungen der Art. 29 Datenschutzgruppe (S. 15, 16). Sie lässt hierbei jedoch gerade das auf die Erwägungen folgende Ergebnis der Art. 29 Datenschutzgruppe außer Acht. Diese kommt zu dem Ergebnis:
“Daher gilt, dass die Entscheidung über die Zwecke der Verarbeitung stets eine Einstufung als für die Verarbeitung Verantwortlicher bedingt…”.
(Art. 29 Datenschutzgruppe, WP 169, S. 17)
Folgt man der Auffassung der Art. 29 Datenschutzgruppe nicht, dass bereits diese (gleichsam Huckepack-)Entscheidung über die Zwecke der Verarbeitung stets eine Einstufung als für die Verarbeitung Verantwortlichem bedingt, dann gelangt man auch über die Beteiligung an der Entscheidung über die Mittel der Datenverarbeitung zu einer Verantwortlichkeit im Sinne der Richtlinie und der Art. 29 Datenschutzgruppe.
Dem steht nicht entgegen, wie aber das OVG Schleswig meint, dass die Klägerin nicht unmittelbar auf die erhobenen Nutzungsdaten und die technischen Abläufe zugreifen kann. Die für die einheitliche Anwendung der Richtlinie in den Mitgliedsstaaten berufene Art. 29 Datenschutzgruppe (Art. 30 Abs. 1 a) RL 95/46/EG) hat hierzu nämlich ausgeführt, dass die Entscheidung über die “Mittel” nicht die technischen Abläufe beinhalten müsse, sondern einzig das “Wie” der Datenverarbeitung. Während der Verantwortliche die technischen Details an einen Auftragsdatenverarbeiter delegieren könne, trage die Verantwortung derjenige, der die “wesentlichen Elemente” der Datenverarbeitung festlegt In den Worten der Art. 29 Datenschutzgruppe und Zu-Ende-Führung des vorigen Zitats:
…wohingegen die Entscheidung über die Mittel nur dann die Verantwortlichkeit für die Verarbeitung impliziert, wenn über wesentliche Aspekte der Mittel entschieden wird”.
(Art. 29 Datenschutzgruppe, WP 169, S. 17).
Diese Anforderungen erfüllt die Klägerin, da sie bewusst die Fanpage mit der gesamten damit verbundenen Datenverarbeitung einschließlich der “Insights”-Funktion einsetzt. Die Fanpagebetreiber leisten durch das Einstellen von Inhalten einen wesentlichen Beitrag für die Erhebung und Verarbeitung der Nutzungsdaten. Sie versorgen die Facebook-Infrastruktur mit Inhalten, füllen damit die Infrastruktur mit Leben und ziehen so die Betroffenen auf die Seiten von Facebook. Diese Tätigkeit der Fanpagebetreiber spielt eine Schlüsselrolle im Gesamtkonzept der Fanpage und damit auch der Nutzungsdatenverarbeitung. Insoweit besteht ein Abhängigkeitsverhältnis zwischen Facebook und der Klägerin sowie den anderen Fanpagebetreibern.
Im Gegensatz zum OVG Schleswig schafft die Art. 29 Datenschutzgruppe mit ihrer Auslegung von Art. 2 d) RL 95/46/EG den nötigen Freiraum, um den besonderen Bedürfnissen von arbeitsteiligen Datenverarbeitungsprozessen allgemein und auch speziell bei der Auftragsdatenverarbeitung gerecht zu werden (zu den Interessen bei der Auftragsdatenverarbeitung Kramer/Herrmann, Auftragsdatenverarbeitung, CR 2003, 938, 939). Wer hier konkrete technische Vorgaben der auslagernden – aber verantwortlichen – Stelle für die vom Auftragsdatenverarbeiter ausgeführten Vorgänge fordert, nimmt datenverarbeitenden Stellen die Möglichkeit, Daten durch externe Anbieter verarbeiten zu lassen, um Vorgänge effizienter und kostensparender zu gestalten (vgl. Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97, 101).
Dem Betroffenen mag zwar bewusst sein, dass er sich auf einer Facebook-Seite befindet. Aufgesucht hat er die Seite aber allein, um die Inhalte zu konsumieren, die der Fanpagebetreiber dort eingestellt hat. Welche technischen und rechtlichen Einflussmöglichkeiten der Inhalte-Anbieter auf die von ihm eingesetzte Infrastruktur hat, kann der Besucher in Zeiten des weltweiten vernetzten Rechnens aber weder erkennen, noch möchte er dies. Vielmehr vertraut er darauf, dass er seine Rechte gegenüber dem Anbieter der Inhalte durchsetzen kann, da dieser es in der Hand hat, vertrauenswürdige Dienstleister für die von ihm benötigte Infrastruktur zu wählen.
Dieser Linie folgend hat die Art. 29 Datenschutzgruppe auch die Anbieter von Online-Inhalten zusammen mit den Betreibern von Werbenetzen als gemeinsame Verantwortliche für die Verarbeitung von Nutzungsdaten von Besuchern ihrer Webseiten mittels Cookie eingestuft. Als Anknüpfungspunkt für die dazu erforderliche Entscheidung über die Mittel der Datenverarbeitung hat die Art. 29 Datenschutzgruppe angesehen, dass die Anbieter der Inhalte ihre Webseiten so konfiguriert haben, dass die Werbeanzeigen automatisch eingeblendet und die Besucher so auf die Webseiten der Betreiber der Werbenetze umgeleitet wurden (Art. 29 Datenschutzgruppe, WP 171, S. 13 ff.). Das OVG Schleswig nimmt irrtümlich an, dass dieser erste erforderliche Schritt zur Ermöglichung der Verarbeitungsvorgänge durch den Werbedienstleister im vorliegenden Fall fehle. Diese Einschätzung geht fehl, da die Klägerin bewusst die Infrastruktur von Facebook gewählt hat, um ihre Inhalte im Netz zu präsentieren und um sich zu vermarkten. Ebenso wie bei der Einbindung von Tracking-Tools, ermöglicht sie auf diese Weise, dass ein externer Anbieter die Daten ihrer Webseitenbesucher zu Werbezwecken mittels Cookies erfasst.
Dem Transparenzgedanken hat der Gesetzgeber auch an anderer Stelle im Medienrecht Rechnung getragen. Es entspricht dem Zweck der Impressumspflicht aus § 5 TMG, dass datenschutzrechtlich verantwortlich ist, wer aus Sicht des Nutzers für den Betrieb der Webseite als verantwortliche Stelle erscheint. Mit der Pflicht zur Angabe von Identität und Anschrift des Dienstanbieters soll diese Vorschrift die Rechtsverfolgung gewährleisten (BT-Drs. 13/7385, S. 21). § 5 TMG zielt auch darauf ab, dass der Nutzer gegenüber dem Anbieter seinen datenschutzrechtlichen Auskunftsanspruch nach § 13 Abs. 7 TMG, § 34 Abs. 1 BDSG geltend machen kann (vgl. Micklitz, in: Spindler/Schuster, Recht der elektronischen Medien, 2008, § 5 TMG, Rn. 4; Woitke, NJW 2003, S. 871, Das “Wie” der Anbieterkennzeichnung nach § 6 TDG; Bizer/Trosch, DuD 1999, S. 621). Hier auf die für den Nutzer verborgenden technischen Abläufe abzustellen widerspräche dem.
Anders als das OVG Schleswig verliert die Art. 29 Datenschutzgruppe mit ihrem Verständnis vor allem aber nicht den Zweck der Verantwortlichkeit aus den Augen. Art. 2 d) RL 95/46/EG soll für den Betroffenen und die Aufsichtsbehörden transparent festlegen, wer als Normadressat dafür einstehen muss, dass die Datenschutzregeln eingehalten werden (Art. 29 Datenschutzgruppe, WP 169, S. 6; Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97, 100). Für die Betroffenen und die Behörden muss erkennbar sein, wer verantwortlich ist, da die Betroffenen andernfalls nicht ihre durch Art. 8 Abs. 2 Charta der Grundrechte der Europäischen Union (Eu-GrCh) und Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgten Rechte effektiv durchsetzen und die Aufsichtsbehörden nicht die Einhaltung der Regeln überwachen könnten (Zum Konkurrenzverhältnis der europäischen und nationalen Grundrechte beim Schutz personenbezogener Daten: Masing, Herausforderungen des Datenschutzes, NJW 2012, 2305 ff.).
Zu dieser Auslegung zwingt das Gebot effektiven Grundrechtsschutzes, aus dem eine staatliche Schutzpflicht folgt, die auch für das Recht auf informationelle Selbstbestimmung besteht (Rupp, Die grundrechtliche Schutzpflicht des Staates für das Recht auf informationelle Selbstbestimmung im Pressesektor, 2013, S. 106 ff.; Hoffmann-Riem, AöR 123 (1998), S. 524). Sie gebietet den zuständigen staatlichen Stellen, die rechtlichen Voraussetzungen eines wirkungsvollen informationellen Selbstschutzes bereitzustellen (Ständige Rechtsprechung, siehe nur BVerfG NJW 2013, 3086, Rdn. 21 – Datenschutz im privaten Versicherungsrecht; MMR 2007, 93 – Schweigepflichtentbindung). Diese Schutzpflicht gewinnt gerade bei den immer arbeitsteiliger werdenden Verarbeitungsprozessen im Internet stark an Bedeutung. Sie gewährleistet, dass der Bürger auch angesichts neuer Gefährdungen seine Grundrechte effektiv durchsetzen kann. Für den Grundrechtsschutz im digitalen Umfeld ist diese Schutzpflicht mittlerweile elementar, da der Gesetzgeber auf den dort stattfindenden rasanten Fortschritt nur verzögert reagieren kann.
Diese Schutzpflichten zu realisieren durch Organisation der rechtlichen Schutzmechanismen ist Aufgabe von Gesetzgebung, und nachgeordnet Verwaltung und Rechtspflege. Der Gesetzgeber ist dieser Schutzpflicht nachgekommen durch die Schaffung hier insbesondere des TMG und BDSG. Und es wäre auf Grund des öffentlich-rechtlichen Kontextes zwischen Klägerin und den Industrie- und Handelskammern des Landes bereits deren ureigenste Pflicht, die grundrechtlichen Anforderungen zu entsprechen, und keineswegs solchen Grundrechtsverletzungen sogar noch Vorschub zu leisten.
Die Argumentation des OVG konterkariert die bereits bestehenden und doppelten Rechtspflichten. Die Argumentation folgt aus einer rechtlichen Segmentierung von arbeitsteiligen und sich gegenseitig zu Nutzen stehenden Datenverarbeitungsprozessen, die als Produkte auf dem Markt erhältlich sind. Diese Segmentierung findet keine Entsprechung in den tatsächlichen Verhältnissen. Der Zweck der zugrundeliegenden Rechtsnormen ist es gerade, diese Vielschichtigkeit der Beteiligungen abzubilden und steuerbar zu machen. Daraus folgt, dass ein und derselbe Datenverarbeitungsprozess, einmal in der insoweit jede Steuerung eines Fanpages-Betreibers ausschließenden Zwecksetzung durch Facebook, und zugleich – vermittelt durch eine gerade darauf abzielende Angebotsstruktur von Facebook gegenüber dem Fanpagebetreiber – als gewünschter und gewollter Zweck auch des Fanpagebetreibers rechtlich selbständig als solcher anerkannt werden sollte. M.a.W.: Wer einen Prozess in Gang durch bewusste Einschaltung eines Anderen gleichsam als Medium für die Realisierung der eigenen Ziele, ist - jenseits aller Souveränität des Anderen im Übrigen -, (auch) Verantwortlicher. Es kann und muss für den identischen Prozess eine der datenverarbeitenden Realität entsprechende mehrfache Verantwortlichkeit geben können (hierzu näher unten 2.4).
Das sieht das OVG offenbar nicht so. Es sieht sich an der Annahme einer doppelten bzw. parallelen oder geschichteten, aber immer doch, Verantwortlichkeit ohne jede Not gehindert. Damit tragen die Strategien von großen Playern der Beigeladenen und ihrer US-amerikanischen Muttergesellschaft zur inter-nationalen datenrechtlichen Entantwortung Früchte. Dem ist gegenzusteuern durch Besinnung auf die grundrechtlichen Vorgaben bei der Auslegung von § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG.
2.3 Verantwortung durch technisch-organisatorische Verpflichtungen
Eine datenschutzrechtliche Verantwortlichkeit der Klägerin ergibt sich auch aus der Verpflichtung heraus, dass diese als Diensteanbieterin nach § 2 Nr. 1 TMG zur Gewährleistung technisch-organisatorischer Sicherheitsmaßnahmen Nutzerdaten wie etwa die IP-Adressen erheben und verarbeiten muss. Diese Verpflichtung ergibt sich aus § 12 Abs. 3 TMG i. V. m. § 9 BDSG i. V. m. der Anlage zum BDSG. Gemäß § 12 Abs. 3 TMG gelten die allgemeinen Anforderungen an die Erfüllung technisch-organisatorischer Vorkehrungen nach dem BDSG auch für Anbieter von Telemedien. Weitere vergleichbare Anforderungen ergeben sich nach § 13 Abs. 4 TMG i. V. m. § 3a BDSG und § 9 BDSG i. V. m. der Anlage zum BDSG (Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 2. Auflage, 2011, § 13 TMG, Rdn. 9). Für den Bereich der Telekommunikation und den aus § 100 Abs. 1 TKG resultierenden Verpflichtungen für Anbieter von Telekommunikation wurde vom BGH entschieden, dass eine siebentägige Speicherung von IP-Adressen statthaft ist (BGH, Urteil vom 13.1.2011, III ZR 146/10). Demnach ist die Erhebung und Verwendung personenbezogener Nutzungsdaten erforderlich, um abstrakte Gefahren für die Funktionstüchtigkeit des Telekommunikationsnetzes entgegenzuwirken. Eine vorübergehende Speicherung der IP-Adressen ist nach § 96 Abs. 1 Satz 2 TKG i.V.m. § 97 Abs. 1 Satz 1, Abs. 2 Nr. 1 ZKG und § 100 Abs. 1 TKG zulässig und vor dem Hintergrund der Sicherstellung technisch-organisatorischer Vorkehrungen auch geboten.
Allerdings wird die Verpflichtung zur Speicherung der IP-Adressen und auch der Cookie-Informationen durch § 13 Abs. 4 Satz 1 Nr. 2 TMG eingeschränkt: Die Klägerin hat demnach durch technisch-organisatorische Maßnahmen zu gewährleisten, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht werden. Diese Verpflichtung hat die Klägerin als Diensteanbieterin nicht eingehalten. Im Gegenteil: Sie initiiert durch den Betrieb der Fanpage unter www.facebook.com und in Kenntnis der klaren Werbeabsichten von Facebook die Speicherung der personenbezogenen Nutzerdaten von Seitenbesuchern bei Facebook und deren Weiterverarbeitung zu Werbezwecke. Die Klägerin verletzt damit eklatant ihre technisch-organisatorischen Pflichten, eine Verletzung, die nach Maßgabe von § 16 Abs. 2 Nr. 2 TMG bußgeldbewehrt ist.
Eine besondere Verpflichtung ergibt sich für die Klägerin auch aus § 13 Abs. 4 Satz 1 Nr. 4 TMG. Der Diensteanbieter hat demnach durch technisch-organisatorische Vorkehrungen sicherzustellen, dass die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden. Mit dieser Verpflichtung zu informationeller Trennung soll verhindert werden, dass durch die Zusammenführung von Daten Nutzungsprofile erstellt werden (Müller-Broich, Telemediengesetz, 1. Auflage, 2012, § 13 Rdn. 7). Schließlich muss der Diensteanbieter nach § 13 Abs. 4 Satz 1 Nr. 5 TMG gewährleisten, dass Daten nach § 15 Abs. 2 TMG (Nutzungsdaten) nur für Abrechnungszwecke zusammengeführt werden können und dass Nutzungsprofile nach § 15 Abs. 3 TMG nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können (§ 13 Abs. 4 Satz 1 Nr. 6 TMG).
Die Vorgaben nach § 13 Abs. 4 Satz 1 Nrn. 5 und 6 TMG wurden auf Anregung der EG-Kommission im Hinblick auf die Umsetzung von Art. 17 der Richtlinie 95/46/EG in das TMG aufgenommen (Moos, in: Taeger/Gabel, BDSG, § 13 TMG, Rn. 37). Die Klägerin verfolgt keine Abrechnungszwecke, sondern allenfalls den Zweck der Werbung und den Zweck der bedarfsgerechten Gestaltung von Telemedien, d. h. sie gestalten ihren Internetauftritt auf der in Streit stehenden Fanpage auf Basis der Ergebnisse aus der anonymisierten Nutzungsstatistik (“Insights”). Gleichwohl steuert die Klägerin eine Verbindung der Nutzungsdaten (IP-Adresse, Cookie-Informationen) mit den Anmeldedaten der Nutzer (Vorname, Familienname, Geburtsdatum, Geschlecht) durch Facebook. Damit verletzt die Klägerin die aus § 13 Abs. 4 Satz 1 Nrn. 5 und 6 TMG normierten Anforderungen zur Gewährleistung technisch-organisatorischen Datenschutzes.
Es sei nur der guten Ordnung halber bemerkt, dass die Klägerin durch die von ihr initiierte Zusammenführung der Nutzungsdaten für abrechnungsfremde Zwecke (§ 13 Abs. 4 Satz 1 Nr. 5 TMG) zudem eine Ordnungswidrigkeit nach § 16 Abs. 2 Nr. 3 TMG verwirklicht.
2.4 Gemeinsame Verantwortlichkeit mit der Facebook Ireland Ltd.
Das OVG Schleswig verkennt (US 23) das Vorliegen einer gemeinsamen Verantwortlichkeit der Klägerin und Facebook:
“Entscheidend für die Frage, ob mehrere Stellen gemeinsam für die Datenverarbeitung Verantwortliche sind, ist die Kontrolle und die Einflussnahmemöglichkeit auf die Datenverarbeitung. Diese fehlt dem Fanpagebetreiber vollständig. Er schafft zwar mit der Einrichtung und dem Betreiben einer Fanpage die unerlässliche Voraussetzung dafür, dass Facebook personenbezogene Daten über diese Page von Besuchern erheben kann, “ob”, “warum” und “wie” die Datenverarbeitung erfolgt, entscheidet dagegen Facebook allein.”
Legt man für die Feststellung der Verantwortlichkeit die Definition von Art. 2 lit. d) der Richtlinie 95/46/EG zugrunde, so muss die Stelle “über die Zwecke und Mittel” der Datenverarbeitung entscheiden. Das OVG Schleswig stellt in Abrede, dass eine gemeinsame Entscheidung über Zweck und Mittel erfolgt – zu Unrecht: Es geht nicht nur darum, dass das, was der eine bietet, dem anderen “nicht unwillkommen” ist, wie es das OVG Schleswig ausführt. Der Beitrag des Einen wäre ohne den Beitrag des Anderen nicht denkbar. In der zwischen der Klägerin und Facebook kongruent abgeschlossenen Vereinbarung verfolgen sie mit einem gemeinsamen Verfahren gemeinsame Zwe>
Auch hinsichtlich der Mittel haben sich die Beiden verständigt, wenn das im Vertrag auch nicht ausdrücklich bezeichnet wird. Das OVG Schleswig meint, über das “Wie” der Datenverarbeitung entscheide Facebook allein, ein Beitrag zum “Ob” mache die Klägerin nicht zum “für die Verarbeitung Verantwortlichen”. Tatsächlich kann eine Stelle von der Einrichtung einer Fanpage Abstand nehmen und mit einer selbst administrierten Webseite für sich werben. In dem Vertrag mit Facebook stimmt diese zumindest konkludent zu, dass Facebook Nutzungsdaten erhebt und auswertet und z. B. als “Insights”-Auswertung an sie zurückspielt. Zweifellos ist bezüglich der Bestimmungsmacht Facebook die starke Seite. Es scheint vielleicht im Augenblick wenig realistisch, und ist rechtlich ohne weiteres denkbar, dass Fanpagebetreiber von Facebook fordern, eine Änderung bei der Verarbeitung der Nutzungsdaten vorzunehmen, und dass sie drohen, anderenfalls die Kooperation aufzukündigen. In dem Augenblick, in dem die (Mit-)Verantwortlichkeit von deutschen Fanpagebetreibern auch gerichtlich bestätigt ist, ist diese Situation Realität.
Dem OVG Schleswig kann insofern zugestimmt werden, dass Grundvoraussetzung für eine datenschutzrechtliche Verantwortlichkeit ist, dass eine Stelle tatsächlichen und/oder rechtlichen Einfluss in Bezug auf die Verarbeitung personenbezogener Daten hat. Voraussetzung kann aber nicht sein, dass ein Weisungsrecht besteht. Derartige hierarchische Strukturen sind der Internet-Datenverarbeitung fremd. Die klassische Vorgehensweise ist die arbeitsteilige Datenverarbeitung unter Verfolgung einer Win-Win-Beziehung. Tatsächlich profitieren beide auf Kosten der informationellen Selbstbestimmung der Nutzenden, die auch eine Rechtsbeziehung zu beiden Beteiligten haben bzw. haben können.
Für die Beurteilung einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit der Klägerin und von Facebook von Bedeutung ist die Entscheidung des EuGH vom 13.5.2014, C-131/12, in welcher zur datenschutzrechtlichen Verantwortlichkeit von Suchmaschinenbetreibern Stellung bezogen wird. Demnach ist Art. 2 b) und d) der Richtlinie 95/46/EG dahin auszulegen, dass die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, sofern die Informationen personenbezogene Daten enthalten, als “Verarbeitung personenbezogener Daten” im Sinne von Art. 2 b) der Richtlinie 95/46/EG einzustufen und dass der Betreiber dieser Suchmaschinen als für diese Verarbeitung “Verantwortlicher” im Sinne von Art. 2 d) der Richtlinie 95/46/EG anzusehen ist. Der EuGH führt in diesem Zusammenhang aus (AfP 2014, 248 = BeckRS 2014, 80862, Rdn. 38-40):
“Durch die Tätigkeit einer Suchmaschine können die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten somit erheblich beeinträchtigt werden, und zwar zusätzlich zur Tätigkeit der Herausgeber von Websites; als derjenige, der über die Zwecke und Mittel dieser Tätigkeit entscheidet, hat der Suchmaschinenbetreiber daher in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen, dass die Tätigkeit den Anforderungen der Richtlinie 95/46 entspricht, damit die darin vorgesehenen Garantien ihre volle Wirksamkeit entfalten können und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Rechts auf Achtung ihres Privatlebens, tatsächlich verwirklicht werden kann.
Schließlich ist festzustellen, dass der Umstand, dass die Herausgeber von Websites die Möglichkeit haben, den Suchmaschinenbetreibern u. a. mit Hilfe von Ausschlussprotokollen wie “robot.txt” oder Codes wie “noindex” oder “noarchive” zu signalisieren, dass eine bestimmte auf ihrer Website veröffentlichte Information ganz oder teilweise von den automatischen Indexen der Suchmaschinen ausgeschlossen werden soll, nicht bedeutet, dass das Fehlen eines solchen Hinweises seitens der Herausgeber von Websites den Suchmaschinenbetreiber von seiner Verantwortung für die von ihm im Rahmen der Tätigkeit der Suchmaschinen vorgenommene Verarbeitung personenbezogener Daten befreite.
Dies ändert nämlich nichts daran, dass der Suchmaschinenbetreiber über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Selbst wenn die genannte Möglichkeit der Herausgeber von Websites bedeuten sollte, dass sie gemeinsam mit dem Suchmaschinenbetreiber über die Mittel der Verarbeitung personenbezogener Daten entscheiden, nimmt dies dem Suchmaschinenbetreiber nichts von seiner Verantwortung, da Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, dass die Entscheidung über die Mittel “allein oder gemeinsam mit anderen” erfolgen kann.”
Der EuGH zieht in der erwähnten Entscheidung deutlich in Erwägung, dass der Suchmaschinenbetreiber und der jeweilige Webseitenbetreiber gemeinsam über die Mittel der Datenverarbeitung entscheiden. Dabei ist zu berücksichtigen, dass zwischen dem Suchmaschinenbetreiber und dem Webseitenbetreiber nicht einmal eine Nutzungsvereinbarung oder eine andere vertragliche Abrede besteht. Regelmäßig signalisieren die Webseitenbetreiber (z. B. mittels Ausschlussprotokollen wie “robot.txt” oder Codes wie “noindex” oder “noarchive”) dem Suchmaschinenbetreiber kaum, welche veröffentlichten Inhalte von den automatischen Indexen der Suchmaschinen ausgeschlossen sein sollen.
Gleichwohl geht der EuGH von einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit von Suchmaschinenbetreiber und Webseitenbetreiber aus, was zeigt, dass an die Annahme einer gemeinsamen Verantwortlichkeit keine hohen Anforderungen gestellt werden dürfen. Allein die technische Option, durch Ausschlussprotokolle oder Codes eine Indexierung durch den Suchmaschinenbetreiber zu verhindern, kann zur Annahme einer datenschutzrechtlichen Verantwortlichkeit von Suchmaschinenbetreiber und Webseitenbetreiber führen, da diese gemeinsam über die verwendeten Mittel entscheiden.
Führt bereits dieses Zusammenwirken zwischen Suchmaschinenbetreiber und Webseitenbetreiber zur Annahme einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit, so trifft dies für die dargelegte Kooperation zwischen Facebook und der Klägerin erst recht zu.
Zwischen Facebook und der Klägerin besteht eine vertragliche Vereinbarung zum Betrieb einer Fanpage. Mittels der Fanpage wird es Facebook gezielt ermöglicht, die mehrfach erwähnten Nutzungsinformationen von den Nutzern bzw. Besuchern der Fanpage zu erheben, für Werbezwecke zu verarbeiten und zu nutzen. Diese Nutzung durch die Beigeladene ist conditio sine qua non für die Möglichkeit der Klägerin, über die kostenlose Fanpage mit ihren eigenen Nutzern in Kommunikation zu treten und von Facebook Insights zu profitieren. Die Klägerin erhält auf Basis der Vereinbarung mit Facebook eine anonymisierte Nutzungsstatistik, deren Erstellung erst durch die Erhebung der personenbezogenen Nutzungsinformationen über die Fanpage möglich wurde. Mit dem Anlegen oder Außerbetriebsetzen/Löschen der Fanpage steuert die Klägerin die Erhebung der personenbezogenen Daten der Nutzer durch Facebook.
Die Verzahnung der Tätigkeiten zwischen der Klägerin und Facebook ist deutlich stärker ausgeprägt als im Verhältnis zwischen Suchmaschinenbetreiber und Webseitenbetreiber. Facebook stellt potentiellen Fanpagebetreibern eine technische Infrastruktur zum Betrieb von Fanpages bereit und möchte die Fanpagebetreiber vertraglich an sich binden. Die Klägerin ermöglicht mit dem Anlegen der Fanpage die Realisierung des Geschäftskonzepts und profitiert von den Analyseergebnissen aus dem Dienst Facebook Insights.
Eine derart enge Bindung zwischen Suchmaschinenbetreiber und Webseitenbetreiber ist nicht erkennbar. Vor allem bietet der Suchmaschinenbetreiber dem Webseitenbetreiber keine Infrastruktur zum Anlegen eigener Webseiten, gekoppelt mit der Abrede, dass eine Indexierung vorgenommen wird. Der Webseitenbetreiber erlangt auch keine vertraglich vereinbarten Vorteile aus einem Dienst, der mit Facebook Insights vergleichbar ist. Gleichwohl sieht der EuGH eine gemeinsame Verantwortlichkeit des Suchmaschinenbetreibers und des Webseitenbetreibers als gegeben an.
Weiterhin stellt der EuGH in seiner Entscheidung klar, dass die datenschutzrechtliche Verantwortlichkeit keine Kontrolle über die personenbezogenen Daten voraussetzt (AfP 2014, 248 = BeckRS 2014, 80862, Rdn. 34):
“Im Übrigen ließe es sich nicht nur nicht mit dem klaren Wortlaut, sondern auch nicht mit dem Ziel der genannten Bestimmung, durch eine weite Bestimmung des Begriffs des “Verantwortlichen” einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, vereinbaren, den Suchmaschinenbetreiber deshalb von diesem Begriff auszunehmen, weil die auf den Internetseiten Dritter veröffentlichten personenbezogenen Daten nicht seiner Kontrolle unterliegen.”
Der Suchmaschinenbetreiber erhebt in diesem Zusammenhang personenbezogene Daten unabhängig davon, ob eine besondere Verfügungsmacht hierzu besteht (anders noch OLG Hamburg, Beschluss vom 13.11.2009, 7 W 125/09). Unrichtig wäre es auch, für die datenschutzrechtliche Verantwortlichkeit der Klägerin eine besondere Verfügungsbefugnis zu verlangen.
Ein Erheben ist erfolgt, sobald die Stelle eine eigene Verfügung über die Daten begründet hat. Dazu genügt es, wenn eine für die erhebende Stelle handelnde Person Datenträger in Besitz oder Daten zur Kenntnis genommen hat. Eine Vollmacht ist dafür nicht erforderlich (Dammann, in: Simitis, BDSG, 8. Auflage 2014, § 3 Rn. 107). Es reicht aus, wenn Facebook zur Erfüllung der Kooperation mit der Klägerin bzw. zur Bereitstellung der aus personenbezogenen Daten generierten Nutzungsstatistik personenbezogene Daten erhebt. Dieses Handeln einer anderen Stelle kann im Wege der Auftragsdatenverarbeitung oder durch eine andere verantwortliche Stelle im Rahmen einer Vereinbarung erfolgen.
Es liegt zugleich eine Eigenerhebung der verantwortlichen Stelle vor, wenn die Erhebung durch eine andere verantwortliche Stelle im Rahmen einer Vereinbarung erfolgt. Diese liegt hier vor, da die Klägerin mit Facebook eine Vereinbarung über den Betrieb einer Fanpage nebst Erhebung von Nutzungsdaten getroffen hat, auch wenn diese Vereinbarung nicht in einem von beiden Seiten unterzeichneten schriftlichen Vertragswerk fixiert worden ist. Die Bereitstellung von anonymisierten Nutzungsdaten durch Facebook ist ebenfalls klarer Vertragsbestandteil. Beides ergibt sich aus den “Nutzungsbedingungen für Facebook-Seiten” (https://www.facebook.com/page.guidelines.php) und den ebenso geltenden Richtlinien für die Facebook-Plattform, sowie den FAQs von Facebook (http://facebook.com/help/336893449723054/), worauf schon Karg in seiner Anmerkung zu Entscheidung des Verwaltungsgerichts Schleswig hingewiesen hat (Karg, ZD 2014, 54,56).
Weiterhin sind für den Begriff des Erhebens der Anlass der Datenbeschaffung, ihr Zweck und die beabsichtigte oder tatsächliche Verwendung der erhaltenen Informationen irrelevant. Insbesondere braucht nicht die Absicht zu bestehen, die Informationen personenbezogen zu verwenden (so ausdrücklich Dammann, in: Simitis, BDSG, 8. Auflage 2014, § 3 Rdn. 105 mit Verweis auf Bergmann/Möhrle/Herb, BDSG, § 3 Rn. 64). Die Klägerin hat sich in diesem Zusammenhang deutlich dafür entschieden, die personenbezogenen Daten nur in Form einer anonymisierten Nutzungsstatistik zu verwenden.
2.5 Hilfsweise: Die Facebook Ireland Ltd. agiert als Auftragsdatenverarbeiterin
Das OVG Schleswig hat das Vorliegen einer Auftragsdatenverarbeitung durch Facebook für den Fanpagebetreiber i. S. v. § 11 Abs. 1 S. 1 BDSG bzw. Art. 2 lit. e) der Richtlinie 95/46/EG verneint mit dem Argument, es liege kein Auftrag der Klägerin an Facebook vor. Weiterhin scheide eine Auftragsdatenverarbeitung durch Facebook aus, weil die Klägerin keinen Einfluss auf die Datenverarbeitung nehmen könne und führt hierzu aus (US 24ff):
“Die Klägerin ist auch nicht datenverarbeitende Stelle, weil sie Daten durch andere (Facebook) in ihrem Auftrag verarbeiten lässt (§ 3 Abs. 7 2. Alt. BDSG).
Die Klägerin hat die Beigeladene nicht mit der Erhebung von personenbezogenen Daten der Besucher ihrer Fanpage im Sinne des § 3 Abs. 7 2. Alt. BDSG beauftragt. Eine Auftragsdatenverarbeitung ohne Auftrag gibt es nicht. Die Auftragsdatenverarbeitung ist dadurch gekennzeichnet, dass der Auftraggeber die von ihm gewünschte Datenverarbeitung nicht selbst durchführt, sondern dies einem anderen (dem Auftragnehmer) überlässt. § 3 Abs. 7 2. Alt. BDSG stellt klar, dass die Verantwortlichkeit einer Person oder Stelle nicht davon abhängt, ob er die Daten selbst verarbeitet oder sich eines Auftragsverarbeiters bedient. Er bleibt verantwortliche Stelle. Dieses Prinzip liegt auch den speziellen Regelungen des § 11 Abs. 1 BDSG für die Datenverarbeitung im Auftrag zugrunde (Dammann a.a.O., § 3 Rn. 227). Der Auftraggeber, der den Zweck der Datenverarbeitung bestimmt, dem Auftragnehmer aber die Datenverarbeitung überlässt, wird gemäß § 11 Abs. 1 BDSG nicht aus der Verantwortung entlassen, obwohl er selbst (womöglich) gar nicht in den Besitz der Daten gelangt und auch nicht die physische Herrschaft über den Verarbeitungsprozess besitzt, weil er als Auftraggeber die Datenverarbeitung steuert und dem Auftragnehmer Weisungen erteilen kann und muss, mithin Herr der Daten auch bei Auslagerung der Datenverarbeitung bleibt. Dies bedeutet allerdings nicht, dass der Auftragsverarbeiter nicht auch verantwortliche Stelle ist, seine Verantwortung ist eingeschränkt und nicht ausgeschlossen (Dammann, a.a.O., Rn. 228). Der Inhalt des nach § 11 Abs. 2 Satz 2 BDSG schriftlich zu erteilenden Auftrags ist Ausgangspunkt für die Abgrenzung der Verantwortlichkeiten. Durch die Schriftform soll erreicht werden, dass der Auftraggeber auch tatsächlich Weisungen erteilt und der Auftragnehmer nachweisen kann, dass er weisungsgemäß verfahren ist (Gola/Schomerus, a.a.O., § 11 Rn 17). Enthält der Vertrag klare Regelungen in Bezug auf den für die Verarbeitung verantwortlichen und weisungsberechtigten Auftraggeber und gibt es keinen Grund zu bezweifeln, dass diese die Realität korrekt wiederspiegeln, ist die datenschutzrechtliche Verantwortlichkeit danach zu beurteilen. Wird der Vertrag nicht gelebt, weil der Auftragnehmer tatsächlich entscheidet, wie personenbezogene Daten verarbeitet werden, und kann der Auftraggeber keine Kontrolle ausüben, liegt faktisch ungeachtet des Auftrags keine Auftragsdatenverarbeitung vor; vielmehr ist dann der Auftragnehmer die maßgeblich verantwortliche Stelle, selbst wenn der Vertrag die Einstufung des (angeblichen) Auftragnehmers als für die Verarbeitung Verantwortlichen ausdrücklich beschließt (s. hierzu Art. 29-Datenschutzgruppe WP 169 A. 14). Dies bedeutet für den vorliegenden Fall, dass selbst dann, wenn man die Klägerin, obwohl kein schriftlicher Auftrag vorliegt, allein deshalb als Auftraggeber ansehen wollte, weil sie mit der Einrichtung und dem Betrieb einer Fanpage in die Lage versetzt, personenbezogene Daten der Nutzer zu verarbeiten, dies wegen des ihr fehlenden Einflusses auf die Datenverarbeitung und der tatsächlich bestehenden alleinigen Herrschaft von Facebook über die Daten als verantwortliche Stelle ausscheidet. Aus diesem Grund hat der Beklagte in den Verfahren 4 MB 11/13 (a.a.O.) nicht einmal die Beigeladene als verantwortliche Stelle angesehen, obwohl die Beigeladene mit ihrer Konzernmutter, Facebook Inc. Mit Sitz in den USA, vertraglich vereinbart hat, dass sie für die Verarbeitung von Daten von Facebook-Nutzern außerhalb Nordamerikas verantwortlich ist, weil die rein rechtliche Zuweisung der Verantwortung an eine Stelle ohne entsprechende tatsächliche Übertragung der Einflussmöglichkeiten nicht ausreiche. Im vorliegenden Verfahren macht der Beklagte ebenfalls geltend, dass Facebook Inc. (USA) personenbezogene Daten in Deutschland verarbeite, und beruft sich auf die Entscheidung des Kammergerichts Berlin vom 24. Januar 2014 (a.a.O.). Danach soll eine eigene effektive und tatsächliche Datenverarbeitung durch die Beigeladene nicht erkennbar sein und eine Auftragsverarbeitung durch eine Muttergesellschaft für eine 100%ige Tochtergesellschaft nicht in Betracht kommen, weil die Konzernmutter Entscheidungsprozesse faktisch jeder Zeit an sich ziehen könne. Wenn danach selbst die Beigeladene keine verantwortliche Stelle mangels hinreichenden Einflusses auf die Datenverarbeitung ist, ist schlechterdings nicht nachvollziehbar, weshalb die Klägerin, die weder Nutzerdaten erhebt noch irgendeinen Einfluss auf die Datenverarbeitung durch Facebook hat, verantwortliche Stelle sein könnte.”
Der Umstand, dass ein Auftragnehmer die konkrete Datenverarbeitung vollständig dominiert, hatte bisher nicht dazu geführt, dass die rechtliche Annahme eines Auftragsverhältnisses nach § 11 BDSG negiert wurde. Bei den meisten Auftragsverhältnissen im Internet hat der Auftraggeber faktisch keine Möglichkeit, den systemseitig festgelegten Umgang mit den Daten direkt zu beeinflussen. Dies gilt beispielsweise für das Cloud Computing oder für Update-Services. Einzelweisungen sind nicht möglich. Oft werden sogar nicht einmal Wahloptionen angeboten. Der Auftrag basiert einzig auf der Entscheidung des Cloud- oder Software-Nutzenden, ein Angebot anzunehmen oder dies zu lassen. Das Auseinanderfallen der Praxis vom Idealbild des Einzelanweisungen erteilenden Auftraggebers hat bisher nicht zu einer Korrektur des normativen Ansatzes geführt. Dies ließe sich im Interesse des Grundrechtsschutzes etwa dadurch erreichen, dass an die Stelle der Weisungsabhängigkeit andere Verfahren zur Sicherung der Betroffenenrechte treten, z. B. Zertifizierungsverfahren. Es geht aber nicht an, den Auftraggeber von sämtlichen datenschutzrechtlichen Verpflichtungen freizustellen, so wie dies das VG Schleswig und das OVG Schleswig tun.
Das angegriffene Urteil setzt fälschlich den Fakt einer Auftragserteilung mit den Privilegierungsvoraussetzungen der Auftragsdatenverarbeitung gleich. Dass Fanpagebetreiber einen Auftrag zur Bereitstellung der technischen Infrastruktur und der damit verbundenen Services erteilen und dass es sich hierbei um ein Vertragsverhältnis handelt, sollte nicht ernsthaft bestritten werden können. Dass das für eine zulässige Auftragsdatenverarbeitung konstituierende Weisungsverhältnis von Facebook nicht akzeptiert wird, ist ebenso unbestreitbar. Dies hat aber nicht zur Folge, dass der Fanpagebetreiber keine Datenverarbeitung in Auftrag gegeben hat, sondern nur, dass die Auftragsabwicklung unzulässig ist. Liegen die materiell-rechtlichen Voraussetzungen für eine Auftragsdatenverarbeitung nicht vor oder geraten sei hinterher in Fortfall, so schließt dies keineswegs aus, dass der Auftraggeber weiterhin verantwortliche Stelle ist. Eine andere Sichtweise hätte die absurde Konsequenz, dass ein Auftraggeber in einem mit § 11 BDSG zu vereinbarenden Auftragsverhältnis verantwortliche Stelle ist, seine Verantwortlichkeit aber verlöre, wenn unter Verletzung von § 11 BDSG bei der Verarbeitung Mängel auftreten. Der Bußgeldtatbestand des § 43 Abs. S. 1 Nr. 2b BDSG, der fehlerhafte Auftragsdatenverarbeitungsverträge der Verantwortlichkeit des Auftraggebers zuschlägt und diesen nicht entlastet, bestätigt diese Bewertung.
2.6 Hilfsweise: Die Klägerin ist Zweckveranlasserin
Sollte das Gericht wider Erwartung die Verantwortlichkeit der Klägerin für die Nutzungsdatenvorgänge ablehnen, müssen die aufgezeigten Schutzdefizite jedenfalls durch die Anwendung der Grundsätze der Störerhaftung geschlossen werden. Das Gebot eines effektiven Grundrechtsschutzes verlangt, dass Betroffene und Aufsichtsbehörden Möglichkeiten haben, um gegen diejenigen Inhalte-Anbieter vorzugehenden, die für ihre Dienste wissentlich datenschutzrechtswidrige Infrastrukturbetreiber einsetzen.
Das OVG Schleswig hat den dazu nötigen Rückgriff auf die allgemeinen Zurechnungsnormen aus dem Polizei- und Ordnungsrecht fälschlicherweise verneint (OVG Schleswig, Urteil vom 04.09.2014, 4 LB 20/13, S. 26 ff.) und damit die ihm aus Art. 8 Eu-GrCh beziehungsweise Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG obliegende staatliche Schutzpflicht für das Recht auf informationelle Selbstbestimmung (BVerfG, NJW 2013, 3086, Rdn. 21 – Datenschutz im privaten Versicherungsrecht; BVerfG, MMR 2007, 93 – Schweigepflichtentbindung) verletzt.
2.6.1 Keine abschließende Regelung durch die Richtlinie 95/46/EG
Das angegriffene Urteil hat eine Haftung der Klägerin nach den Grundsätzen der Haftung für Dritte, insbesondere einer Störerhaftung im Sinne des Gefahrenabwehrrechts verneint, weil sich eine solche nicht aus der Richtlinie 95/46/EG herleiten lasse (US 29). Es beruft sich hierzu zu Unrecht auf Piltz (2014). Piltz hat 2014 wie auch schon früher die Anwendbarkeit der Störerhaftung im Datenschutzrecht bejaht (vgl. Piltz, Der Like-Button von Facebook, CR 2011, 657, 662 f., wie auch schon Spindler, Datenschutz- und Persönlichkeitsrechte im Internet – der Rahmen für Forschungsaufgaben und Reformbedarf, GRUR 2013, 996, 1003. Dagegen allerdings: Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541, 3543). Die vom Urteil zitierte Stelle in den Ausführungen von Piltz (2014) belegt nur aufs Neue das grundsätzliche Missverständnis des OVG in der Bewertung arbeitsteilig vorgetragener Prozesse der Datenverarbeitung, Natürlich liegt im zu beurteilenden Prozess der Datenverarbeitung ein Mehrfaches an kausalen Beiträgen der Klägerin vor, ohne die die zu verzeichnenden “Erfolge” nicht eintreten könnten.
Nichts anderes folgt aus den bereits zitierten Entscheidungen des EuGH in den Rechtssachen C-468/10 und C-469/10, da diese den Harmonisierungsgrad der Richtlinie für die in Kapitel II der Richtlinie geregelten Erlaubnisgründe betreffen (EuGH, Urteil vom 24.11.2011, verb. Rs. C-468/10 und C-469/10, Tz. 24 ff. – ASNEF/FECEMD). Daraus kann aber nicht ohne Weiteres auf den vollharmonisierenden oder gar abschließenden Charakter der Richtlinie im Ganzen geschlossen werden. Schließlich muss für jeden Regelungsbereich einer Richtlinie ermittelt werden, welchen Umsetzungsraum deren Wortlaut, Zweck und System den Mitgliedsstaaten belässt (EuGH, Urteil vom 25.4.2004, Rs. C-183/00, Rdn. 25).
Gemessen an diesen Grundsätzen erkennt das OVG Schleswig zwar zutreffend, dass die Richtlinie den Begriff des “für die Verarbeitung Verantwortlichen” vollharmonisierend regelt. Weder der Wortlaut, noch der Zweck und das System der Richtlinie fordern aber, dass die Richtlinie auch abschließend festlegt, wer bei Datenschutzverstößen in Anspruch genommen werden kann.
Mit dem Konzept der Verantwortlichkeit hat der europäische Gesetzgeber nämlich einzig – und insoweit abschließend – vorgegeben, wer die aus dem Datenschutzrecht folgenden Pflichten erfüllen muss. Im Gegensatz dazu sieht die Störerhaftung keine positiven Handlungspflichten vor. Sie liefert einzig negative Unterlassungsansprüche gegen denjenigen, der durch kausale Beiträge Rechtsverletzungen fördert, die andere begehen. Da der Störer gerade kein Beteiligter der (Datenschutz-)Verstöße ist, fällt die Störerhaftung also nicht in den Anwendungsbereich der Richtlinie.
Zudem ist die Störerhaftung Teil der allgemeinen nationalen Haftungsgrundsätze, die von den europäischen Regeln unberührt bleiben. Insoweit würde es dem europäischen Gesetzgeber im Übrigen an der erforderlichen Kompetenz fehlen. Dieser Sicht folgt auch die Art. 29 Datenschutzgruppe. In ihrer zentralen Stellungnahme zur datenschutzrechtlichen Verantwortlichkeit stellt die Gruppe fest, dass die Richtlinie nicht ausschließe, dass
“nationale Rechtsvorschriften eine Haftung nicht nur für den für die Verarbeitung Verantwortlichen vorsehen, sondern auch für jede andere Person, die gegen das Datenschutzrecht verstößt”.
(WP 169, S. 20, Fn 15).
Auch der Zweck der Richtlinie zwingt dazu, dass neben der datenschutzrechtlichen Verantwortlichkeit Raum für die allgemeinen Grundsätze der Störerhaftung bleibt. Art. 1 Abs. 1 RL 95/46/EG verpflichtet nämlich die Mitgliedstaaten, den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Diese Zweckbestimmung wird weiter ausgefüllt durch die primärrechtlichen Vorgaben aus Art. 8 EU-GrCh, in dessen Licht die Richtlinie ausgelegt werden muss (Art. 51 Abs. 1 EU-GrCh).
Wie bereits gezeigt, führen die vom angegriffenen Urteil vertretenen Anforderungen an die Verantwortlichkeit zu Schutzlücken, die die Richtlinie insoweit leer laufen lassen. Nach den Maßstäben des angegriffenen Urteils könnten Betroffene und Aufsichtsbehörden die Anbieter von Inhalten selbst dann nicht datenschutzrechtlich auf Unterlassung in Anspruch nehmen, wenn diese bewusst für ihre Internetdienste Infrastrukturbetreiber einsetzen, die datenschutzrechtswidrig handeln. Gerade in Zeiten des Cloud-Computings und den immer arbeitsteiliger werdenden Verarbeitungsstrukturen im digitalen Raum würde diese Sicht eine Gefährdungslage schaffen, die das Grundrecht auf Schutz personenbezogener Daten im Kern bedroht.
Vor diesem Hintergrund betrachtet verwundert es nicht, dass auch der BGH in seiner Entscheidung zur datenschutzrechtlichen Zulässigkeit von Lehrerbewertungen im Internet die Grundsätze der Störerhaftung angewandt hat, ohne auch nur die vom Verwaltungsgericht aufgeworfene Frage anzusprechen (BGH, NJW 2009, 2888 ff. – Spickmich). Den gegen den Portalbetreiber gerichteten Unterlassungsanspruch versagte das Gericht zwar, weil die Richter die Verarbeitungsvorgänge als gerechtfertigt einstuften (§ 29 BDSG). Unabhängig davon führten sie aber aus, dass die Betreiberin des Bewertungsportals als verantwortliche Mitstörerin in Betracht komme, weil sie mögliche Beeinträchtigungen Dritter zumindest mittelbar zu verantworten habe (BGH NJW 2009, 2888, 2890).
Auch das BDSG gibt den für die Auslegung nötigen Raum, damit die Aufsichtsbehörden Anordnungen gegen den Störer treffen können. Aus dem Wortlaut von § 38 Abs. 5 BDSG folgt gerade nicht, dass die Behörde die Anordnung ausschließlich gegenüber verantwortlichen Stellen aussprechen dürfen. Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Behörde nach § 38 Abs. 5 BDSG vielmehr Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. § 38 Abs. 5 BDSG benennt ausdrücklich keinen bestimmten Adressaten. Aus dem Gesetzeszusammenhang ergibt sich zwar, dass Adressat der Maßnahmen die verantwortliche Stelle sein kann und oft auch sein wird. Allein § 11 Abs. 4 Nr. 2 BDSG zeigt aber, dass die Maßnahmen nicht allein an den Verantwortlichen, sondern auch an andere Stellen gerichtet werden können, wie etwa Auftragsdatenverarbeiter.
2.6.2 Inanspruchnahme der Klägerin als Zweckveranlasserin
Der Beklagte hat zutreffend die Klägerin mit Bescheid vom 3. November 2011 als Zweckveranlasserin in Anspruch genommen.
Die Rechtsfigur des Zweckveranlassers ist als besondere Form des Handlungsstörers anerkannt und wird von der Rechtsprechung in zahlreichen Bereichen des besonderen Verwaltungsrechts nutzbar gemacht (Im Überblick Schoch, in: Schmidt-Aßmann/Schoch (Hrsg.), Verwaltungsrecht Besonderer Teil, 14. Aufl. 2008, 2. Kap. 138), so beispielweise im Polizei- und Ordnungsrecht, dem Sonn- und Feiertagsrecht, im Gaststättenrecht oder im Umweltrecht (Vgl. etwa OVG Schleswig, Urteil vom 31.1.2002 – 4 L 107/01, juris-Tz. 43; VG Minden, NVwZ 1988, 638, 639; OVG Hamburg, NVwZ 1991, 180, 183; OVG Saarland, NVwZ 1993, 201; VGH Mannheim, NVwZ-RR 1995, 663; NdsOVG, NVwZ 1997, 622). Dahinter steht der allgemeine Rechtsgrundsatz, dass eine ordnungsbehördliche Heranziehung derjenigen Personen möglich sein muss, die durch ihre neutralen Handlungen Dritte dazu veranlassen, die öffentliche Sicherheit beziehungsweise Ordnung zu gefährden oder gar zu stören.
Entgegen den Ausführungen des angegriffenen Urteils (US 30) finden die §§ 173 ff. LVwG-SH und damit auch die Figur des Zweckveranlassers als Unterfall des Verhaltensverantwortlichen auch im Datenschutzrecht Anwendung.
Gemäß § 173 Abs. 1 LVwG führen Polizei- und Ordnungsbehörden wie der Beklagte zwar die Aufgabe der Gefahrenabwehr nach den besonderen Regelungen ihres jeweiligen Ordnungsrechts durch. Soweit diese aber fehlen oder eine abschließende Regelung nicht enthalten, gelten die allgemeinen Regeln des Gefahrenabwehrrechts aus den §§ 174 bis 227 LVwG-SH, § 173 Abs. 2 LVwG-SH. Das ist hier der Fall, da Landes- und Bundesdatenschutzgesetz einzig die positiven Handlungspflichten der verantwortlichen Stelle regeln, nicht aber die Inanspruchnahme weiterer Stellen als Störer. Das BDSG enthält insoweit auch keine abschließende Regelung. Dies zeigt bereits der offene Wortlaut von § 38 Abs. 5, der gerade keinen Adressaten der Anordnung nennt und damit Raum für die Inanspruchnahme weiterer Stellen neben dem datenschutzrechtlich Verantwortlichen lässt.
Gegen eine abschließende Regelung des BDSG spricht zudem, dass ohne die Störerhaftung das Recht auf informationelle Selbstbestimmung der Betroffenen nicht hinreichend geschützt werden könnte. Hinsichtlich der deshalb greifenden staatlichen Schutzpflicht gelten die Einzelheiten, die bereits zum Verhältnis von datenschutzrechtlicher Verantwortlichkeit im Sinne der Datenschutzrichtlinie zur Störerhaftung gezeigt worden sind und auf die verwiesen wird.
Die Klägerin erfüllt mit ihrem Verhalten die Voraussetzungen für die Inanspruchnahme als Zweckveranlasserin. Eine Zweckveranlassung besteht, wenn nach einer wertenden Betrachtung, zwischen der Gefahr und dem Verhalten desjenigen, der hierfür zwar nicht die letzte Ursache gesetzt, aber einen kausalen Beitrag geleistet hat, ein derartiger Wirkungs- und Verantwortungszusammenhang besteht, dass eine Zurechnung gerechtfertigt erscheint. Handlung und Erfolg müssen eine natürliche Einheit bilden (OVG Schleswig, Urteil vom 31.1.2002 – 4 L 107/01, juris-Tz. 43; VG Schleswig, NVwZ 2000, 464, 465).
Diese Voraussetzungen liegen hier vor, da Facebook datenschutzrechtswidrig Nutzungsdaten verarbeitet (2.7.2.1) und die Klägerin mit dem Betrieb der Fanpage einen Beitrag leistet, der mit der Störung eine natürliche Handlungseinheit bildet (2.7.2.2).
2.6.2.1 Datenschutzrechtswidrige Verarbeitung durch Facebook
Das angegriffene Urteil hat es dahingestellt sein lassen, ob die Klägerin bzw. ihre Konzernmutter personenbezogene Daten verarbeitet und ob die Datenverarbeitung gegen deutsches Recht bzw. irisches Datenschutzrecht verstößt, obwohl es durchaus zugesteht, dass zumindest bei eingeloggten Facebook-Mitgliedern personenbezogene Daten von der Beigeladenen verarbeitet werden (US 31).
Es hat ganz außer Acht gelassen, wie es um die Daten von Besuchern der Fanpage steht, die sich nicht bei Facebook angemeldet haben und bei den allein die Tatsache des bloßen Besuchs durch Aufrufen der Fanpage zu einer Registrierung durch die Beigeladene führt (vgl. Kap. 1.3.1).
Diese Versäumnisse sind wohl nur dadurch erklärbar, dass durch das völlige Ausblenden dessen, was den Kern der datenrechtlichen und datenschutzrechtlichen Kritik an Facebook ausmacht, das angegriffene Urteil sich ebenso vollständig der Notwendigkeit einer Einbeziehung des dadurch gegebenen Gefährdungspotentials für die betroffenen Bürgerinnen und Bürger und deren Grundrechte in seine Entscheidungsfindung hat enthalten können. Dadurch ist wohl auch der Blick des angegriffenen Urteils auf das vom Beklagten dargelegte rechtliche Schutz-Instrumentarium verstellt worden.
Facebook verstößt gegen deutsches Recht:
Mit dem Dienst Facebook-Insights verstößt Facebook gegen geltendes Datenschutzrecht. Dabei kann dahinstehen, ob die Handlungen des Netzwerkbetreibers nach § 1 Abs. 5 Satz 2 BDSG dem deutschen oder gemäß § 1 Abs. 5 Satz 1 BDSG dem irischen Datenschutzrecht unterliegen (Für die Anwendung des irischen Rechts: OVG Schleswig, NJW 2013, 1977 ff., in einem Verfahren des Eilrechtsschutzes), da die Nutzungsdatenerhebung zu Werbezwecken sowohl gegen deutsches (§ 15 Abs. 3 Satz 2 TMG), als auch gegen irisches Datenschutzrecht verstößt.
Für Facebook gilt deutsches Datenschutzrecht, insbesondere das TMG. Dieser Schluss folgt aus den Wertungen, die der EuGH im Urteil vom 13.5.2014, C-131/12, aufgestellt hat. Die Facebook Inc. muss deutsches Datenschutzrecht, insbesondere die Regelungen des TMG, beachten, denn Facebook Inc. betreibt in Deutschland mit der Facebook Germany GmbH, Großer Burstah 50-52, 20457 Hamburg, eine Niederlassung im Sinne von Art. 4 Abs. 1 a) der Richtlinie 95/46/EG. Die Facebook Germany GmbH wurde 2009 in Hamburg eröffnet, “um die Zusammenarbeit von Marken und Unternehmen mit Kunden oder Fans auf Facebook zu verbessern” (Quelle: www.firmendb.de/firmen/6781166.php). Ähnliche Feststellungen hat die irische Datenschutzaufsichtsbehörde für Facebook getroffen (Facebook Ireland Ltd., Report of Audit vom 21. Dezember 2011, S. 28):
“Inside Sales Operations also handle the management of advertising accounts with associated interaction with local offices (Facebook France, Facebook Germany, etc.) and is responsible for bringing new business to Facebook through generating new sales leads.”
Die Facebook Germany GmbH unterstützt durch Werbe- und Marketingmaßnahmen die Nutzung der Facebook-Dienste. Diese Tätigkeit ist ausreichend, um die Facebook Germany GmbH als Niederlassung nach Art. 4 Abs. 1 a) der Richtlinie 95/46/EG zu qualifizieren. Es ist hierfür nicht notwendig, dass die Facebook Germany GmbH selbst personenbezogene Daten verarbeitet. Art. 4 Abs. 1 a) der Richtlinie 95/46/EG verlangt nicht, dass die Verarbeitung personenbezogener Daten “von” der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie “im Rahmen der Tätigkeiten” der Niederlassung ausgeführt wird (EuGH, Urteil vom 13.5.2014, C-131/12, AfP 2014, 248 = BeckRS 2014, 80862, Rdn. 34). Zur Tätigkeit einer spanischen Niederlassung der Google Inc. hat der EuGH ausgeführt (AfP 2014, 249 = BeckRS 2014, 80862, Rdn. 55):
“Im Hinblick auf dieses Ziel der Richtlinie 95/46 und den Wortlaut ihres Art. 4 Abs. 1 Buchst. a ist davon auszugehen, dass die Verarbeitung personenbezogener Daten, die für den Dienst einer Suchmaschine wie Google Search erfolgt, die von einem Unternehmen betrieben wird, das seinen Sitz in einem Drittstaat hat, jedoch in einem Mitgliedstaat über eine Niederlassung verfügt, “im Rahmen der Tätigkeiten” dieser Niederlassung ausgeführt wird, wenn diese die Aufgabe hat, in dem Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine, mit denen die Dienstleistung der Suchmaschine rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen.”
Sollte dieser Wertung nicht gefolgt werden, ist deutsches Datenschutzrecht jedenfalls anwendbar, weil die amerikanische Facebook-Konzernmutter in Deutschland personenbezogenen Daten verarbeitet und die Anwendung deutschen Datenschutzrechts nicht gemäß § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG durch irisches Datenschutzrecht ausgeschlossen wird. So entschied das Kammergericht Berlin mit Urteil vom 24.1.2014 (5 U 42/12):
“Vorliegend ist deutsches Datenschutzrecht anzuwenden […] Die für den hier maßgeblichen Internetauftritt in Deutschland verwendeten Server und Anlagen werden im Ausgangspunkt von der Muttergesellschaft der Beklagten in den USA - also außerhalb des EWR - vorgehalten. Ebenso werden die über den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet. […] Das somit - im Ausgangspunkt - anwendbare deutsche Datenschutzrecht wird nicht gemäß § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG durch irisches Datenschutzrecht ausgeschlossen. […]Dass die Beklagte eine "feste Einrichtung" ist, steht außer Frage. ~s fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt. Insoweit ist § 1 Abs. 5 BDSG richtlinienkonform dahin auszulegen, dass diese Datenverarbeitungsvorgänge von der Beklagten auch "effektiv und tatsächlich" ausgeübt wird. […]Unabhängig davon ist deutsches Datenschutzrecht vorliegend auch vertragsrechtlich aufgrund einer Rechtswahl der Vertragsparteien (Beklagte und Nutzer) maßgeblich.”
Der Entscheidung des Kammergerichts ist die Beigeladene nicht mehr entgegen getreten, und zwar auch nicht hinsichtlich der tatsächlichen Umstände, auf die das Kammergericht seine Ausführungen zur Anwendbarkeit des deutschen Datenschutzrechts gestützt hatte, wie das Landgericht Berlin in seiner die Auffassung des Kammergerichts bestätigenden Entscheidung vom 28.10.2014 (AZ: 16 0 60/13, US 9) mitgeteilt hat. In dieser Entscheidung hat das Landgericht die Weitergabe von über Aufruf eines App-Zentrums erlangte Daten an Spielebetreiber durch die Beigeladene als Verstoß gegen § 4 Abs.1 BDSG gewertet, weil eine “informierte Entscheidung” im Sinne der Datenschutzrichtlinie nicht vorgelegen hat. Im Verhältnis der Nutzer der Fanpage der Klägerin und Facebook liegt eine vergleichbare Situation vor. Auch im vorliegenden Fall ist die Erlangung der Nutzerdaten durch die Beigeladene, ob die Nutzer schon angemeldete Facebook-Besucher waren oder nicht, mangels einer entsprechenden Zustimmung rechtswidrig.
Zusätzlich zu den Verstößen gegen das deutsche TMG und BDSG verstößt Facebook – gleichsam zur Abrundung seines datenschutzproblematischen Profils - durch die unkontrollierte und intransparente Weitergabe von personenbezogenen Daten an nationale Geheimdienste in den USA und Großbritannien gegen geltendes Datenschutzrecht. In diesem Zusammenhang hat der irische High Court in seiner Entscheidung vom 18.6.2014 im Verfahren Maximilian Schrems gegen den Irischen Datenschutzbeauftragten (abrufbar unter http://www.europe-v-facebook.org/hcj.pdf) ausgeführt, dass die dank Edward Snowden bekannt gewordenen massenhaften Datenabfragen bei Facebook die Datenschutzrechte der Nutzer verletzten. Diese Verstöße sind dabei derart eklatant, dass der irische High Court dem EuGH die Frage zur Entscheidung vorgelegt hat, ob vor dem Hintergrund dieser Erkenntnisse die Safe Harbor Entscheidung der Europäischen Kommission (Amtsblatt der EG vom 28. Mai 2000, 2000/520/EG) Bestand haben kann:
”76. Third, the evidence suggests that personal data of data subjects is routinely accessed on a mass and undifferentiated basis by the US security authorities …” (ebenso Rn. 13.).
In Rdn. 45 stellt das Gericht klar, dass für einen Betroffenen die Datenweitergabe an die USA grundrechtsrelevant ist:
”… he is nonetheless certainly entitled to object to a state of affairs where his data are transferred to a jurisdiction which, to all intents and purposes, appears to provide only a limited protection against any inference with that private data by US security authorities.”
Das irische Gericht weist darauf hin, dass die erfolgende Massenüberwachung angesichts der Rechtsprechung des EuGH zur Vorratsdatenspeicherung (Urteil vom 8.4.2014, C-293/12 und C-594/12, DVBl 2014, 708 = DuD 2014, 488) sowohl gegen europäische Grundrechte (Art. 7, 8 Europäische Grundrechte-Charta, (Rdn. 58 ff.) wie auch gegen die irische Verfassung verstößt.
”78. Fifth, the chief constitutional protections are those relating to personal privacy and the inviolability of the dwelling. The general protection for privacy, person and security which is embraced by the “inviolability” of the dwelling in Art40.5 of the Constitution would be entirely compromised by the mass and undifferentiated surveillance by State authorities of conversation and communications which take place within the home.”
Damit ist in jeder Hinsicht eindeutig, dass die derzeitigen Datenverarbeitungen bei Facebook gegen geltendes Datenschutzrecht in Deutschland und Europa verstoßen. Die derzeitige Praxis der Profilbildung sowie die Cookie-Nutzung sind wegen Verstoßes gegen das TMG rechtswidrig. Die tiefgreifende Ausforschung durch die US-amerikanischen Geheimdienste ist daneben ein evidenter Verstoß gegen Grundprinzipien der informationellen Selbstbestimmung.
Folgt das Gericht den obigen Wertungen zur Anwendbarkeit deutschen Datenschutzrechts nicht, so ergeben sich die Rechtsverletzungen gleichwohl aus dem irischen Recht.
Für das irische Recht folgt dies aus dem Data Protection Act 1988 (Number 25 of 1988) i. V. m. den Anpassungen aus dem Jahre 2003, dem Data Protection (Amendment) Act 2003 (Number 6 of 2003). Dessen Section 2A (1) sieht eine mit dem Erlaubnisvorbehalt aus § 4 Abs. 1 BDSG vergleichbare Regelung vor:
”Processing of personal data.
2A. (1) Personal data shall not be processed by a data controller unless section 2 of this Act (as amended by the Act of 2003) is complied with by the data controller and at least one of the following conditions is met:”
Für den Dienst “Facebook-Insights” erhebt, verarbeitet und nutzt Facebook mittels Cookies Daten der Besucher von Facebook-Fanpages für Marketing- und Werbezwecke, ohne dass die nach Sec. 2A (1) Data Protection (Amendment) Act 2003 erforderliche Erlaubnis vorliegt.
(1) Als Erlaubnisnorm scheidet für die Datenverarbeitungsprozesse von “Facebook-Insights” insbesondere die Einwilligung der Betroffenen aus. Diese sieht das irische Datenschutzrecht zwar in Sec. 2A (1) (a) Data Protection (Amendment) Act 2003 vor:
”(a) the data subject has given his or her consent to the processing or, if the data subject, by reason of his or her physical or mental incapacity or age, is or is likely to be unable to appreciate the nature and effect of such consent, it is given by a parent or guardian or a grandparent, uncle, aunt, brother or sister of the data subject and the giving of such consent is not prohibited by law,”
Sec. 2A (1) (a) Data Protection (Amendment) Act 2003 rechtfertigt indes nicht die Verarbeitungsprozesse für “Facebook-Insights”, da deren Voraussetzungen nicht erfüllt sind:
Auch die näheren Wirksamkeitsvoraussetzungen der Einwilligung nach Sec. 2A (1) (a) Data Protection (Amendment) Act 2003 folgen aus den europäischen Vorgaben. Nach Art. 5 RL 95/46/EG können die Mitgliedsstaaten zwar näher die Voraussetzungen bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Dabei müssen die Mitgliedsstaaten aber “nach Maßgabe” der in Kapitel II der Richtlinie geregelten Voraussetzungen handeln. Daher dürfen sie weder eigene Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie einführen, noch zusätzliche Bedingungen stellen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden (EuGH, Urteil vom 24.11.2011, verb. Rs. C-468/10 und C-469/10, Rdn. 32 – ASNEF/FECEMD). Selbst im Bereich der Erlaubnisgründe lässt die Richtlinie den Mitgliedsstaaten daher nur einen bescheidenen Umsetzungsspielraum (Jotzo, Der Schutz personenbezogener Daten in der Cloud, Baden-Baden 2013, S. 36).
Gemäß der allgemeinen Begriffsbestimmung in Art. 2 h) RL 95/46/EG setzt die Einwilligung des Betroffenen voraus, dass dieser “in Kenntnis der Sachlage” im konkreten Fall die Datenverarbeitung akzeptiert. Damit der Betroffene eine solche Einwilligung abgeben kann, muss der Verantwortliche ihn insbesondere über die in Art. 10 RL 95/46/EG genannten Punkte informieren (Art. 29 Datenschutzgruppe, WP 187, S. 23). Hierzu zählen insbesondere die Identität der verantwortlichen Stelle (Art. 10 a) RL 95/46/EG) und die Zweckbestimmung der Verarbeitung (Art. 10 a) RL 95/46/EG). Diese Information sollen den betroffenen Personen die Gelegenheit bieten zu prüfen, ob die erbetenen Daten den genannten Zwecken entsprechen und rechtmäßig erhoben werden können (Dammann/Simitis, Kommentar zur EG-Datenschutzrichtlinie, 1997, Art. 10, Erl. 8 und Art. 2, Erl. 24). Informiert der Verantwortliche den Betroffenen unrichtig oder unvollständig, ist die Einwilligung unwirksam (Dammann/Simitis, aaO, Art. 2, Rz. 24).
Facebook erfüllt diese Anforderungen aus Art. 2 h) i. V. m. Art. 10 RL 95/46/EG nicht.
Das gilt in jedem Falle auch für diejenigen Besucher von Facebook-Fanpages, die keine Mitglieder des Netzwerkes sind. Beim Aufruf der Seite erhalten sie keine Informationen darüber, dass Cookies gesetzt werden und dass mit deren Hilfe Daten zu Werbezwecken über die Besucher erhoben werden.
Anders als Facebook meint (Schriftsatz vom 31.5.2013, S. 9 -13) willigen aber auch die Besucher von Fanpages, die zugleich Facebook-Mitglieder sind, nicht wirksam mit der Registrierung in die Datenverwendung für “Facebook-Insights” ein. Facebook trägt hierzu vor, dass Nutzer über die Datenverwendungsrichtlinien umfassend darüber informiert würden, welche Daten im Rahmen der Nutzung des Facebook-Netzwerks erhoben und wie und wozu diese Daten verwendet werden. Dieser Darstellung kann nicht gefolgt werden (Welche hohen Anforderungen die Richtlinie an die Einwilligung zum Behavioral Advertising bei Sozialen Netzwerken stellt, zeigt die Art. 29 Datenschutzgruppe, WP 187, S. 22).
In den “Datenverwendungsrichtlinien” und den “Nutzungsbedingungen” von Facebook (Anlagen Bg 5, 6 und 7 im Schriftsatz von Facebook vom 31.5.2013) wird der Dienst “Facebook Insights” weder erwähnt, noch beschrieben. Die Ausführungen in den Datenverwendungsrichtlinien sind allgemein und unbestimmt gehalten. Der Nutzer erhält im Rahmen des Registrierungsprozesses keine deutlichen Informationen dazu, ob, wie und auf welche Weise seine Registrierungsdaten (Familienname, Vorname, Geburtsdatum, Geschlecht, E-Mail-Adresse/Mobiltelefonnummer) mit den Nutzungsdaten (z. B. IP- und Cookie-Informationen) verknüpft und weiterverarbeitet werden. Dies ist gerade vor dem Hintergrund zu sehen, dass viele Minderjährige das Facebook-Portal nutzen und zu deren Schutz eine transparente Aufklärung stattfinden müsste.
Die Datenverwendungsrichtlinien sind nicht verständlich formuliert und räumen Facebook scheinbar umfassende “Verarbeitungsrechte” ein, ohne dass der Nutzer den Umfang der Verarbeitung erfassen kann. Solche pauschalen Einwilligungen widersprechen aber der von Art. 6 Abs. 1 a) RL 95/46/EG geforderten Datenverarbeitung nach “Treu und Glauben” (siehe auch Art. 8 Abs. 2 Satz 1 EU-GrCh), wonach der Betroffene in der Lage sein muss, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden (Erwägungsgrund 38 RL 95/46/EG). Vor diesem Hintergrund betrachtet, ist eine solche pauschale Einwilligung unwirksam, da sie nicht für den konkreten Fall im Sinne von Art. 2 h) RL 95/46/EG erfolgt (Art. 29 Datenschutzgruppe, WP 187, S. 20).
Facebook thematisiert die Einwilligung der Seitenbesucher nicht weiter, sondern unterstellt die Abgabe der Einwilligung im Registrierungsprozess unter www.facebook.com (Vgl. zum Folgenden Buchner, in: Alexander/Bornkamm/Buchner/Fritzsche/Lettl, in: Festschrift für Helmut Köhler, 2014, Verlag C.H. Beck, S. 53 f.). Dort findet sich folgende Formulierung: “Indem du auf Registrieren klickst, erklärst du dich mit unseren Nutzungsbedingungen einverstanden und bestätigst unsere Datenverwendungsrichtlinien einschließlich unserer Bestimmungen zur Verwendung von Cookies gelesen zu haben.” Die Nutzungsbedingungen umfassen 11 DIN A-4 Seiten, die Datenverwendungsrichtlinien umfassen 13 DIN A-4 Seiten. Dabei besteht für den Nutzer keine Möglichkeit, die Tragweite und Bedeutung einer etwaigen Entscheidung für die Datenverarbeitung durch Facebook abschätzen zu können. Es fehlt an der Informiertheit und Bestimmtheit der verwendeten Klauseln.
Der Dienst “Facebook-Insights” verstößt zudem gegen Art. 5 Abs. 3 Satz 1 RL 2002/58/EG in der durch Art. 2 Ziffer 5 RL 2009/135/EG geänderten Fassung (umgesetzt in Irland durch Sec. 5. (3) der European Communities Regulations 2011). Demnach darf die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet werden, wenn der betreffende Teilnehmer oder Nutzer “auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.” Wie ausgeführt, erhält der Nutzer keine klaren und umfassenden Informationen über den Einsatz des “datr-Cookie”, des “fr-Cookie” und sämtlicher anderer Cookies, insbesondere nicht zum Zweck der Verarbeitung (zu den Anforderungen: Art. 29 Datenschutzgruppe, WP 208, S. 3 ff.). Bereits hieran scheitert eine Einwilligung in das Setzen der Cookies, die die Voraussetzungen aus Art. 2 h) RL 95/46/EG erfüllt.
(2) Für die Datenverarbeitung im Rahmen von “Insights” kann sich Facebook auch auf keine der gesetzlichen Erlaubnisgründe des irischen Datenschutzrechts berufen.
Auch die Voraussetzungen von Sec. 2A (1) (b) (i) Data Protection (Amendment) Act 2003 liegen nicht vor. Dieser bestimmt, dass die Datenverarbeitung zulässig ist, wenn dies für die Erfüllung eines Vertrags erforderlich ist:
”Processing of personal data.
2A. (1) Personal data shall not be processed by a data controller unless section 2 of this Act (as amended by the Act of 2003) is complied with by the data controller and at least one of the following conditions is met:
(b) the processing is necessary
(i) for the performance of a contract to which the data subject is a party,”
Mit dieser Norm setzt das irische Recht Art. 7 b) 1. Fall RL 95/46/EG um. Auch nach dieser Vorschrift ist zentrale Voraussetzung, dass die Verarbeitung personenbezogener Daten für den Verantwortlichen “erforderlich” ist, um einen Vertrag mit dem Betroffenen zu erfüllen.
Sec. 2A (1) (b) (i) Data Protection (Amendment) Act 2003 i.V.m. Art. 7 b) 1. Fall RL 95/46/EG scheidet als Erlaubnisgrund aus, da die Datenverarbeitungsprozesse im Rahmen von Facebook-Insights nicht für Facebook erforderlich sind, um eine vertraglich geschuldete Leistung gegenüber den Betroffenen zu erbringen.
Für diejenigen Besucher der Fanpages, die keine Facebook-Mitglieder sind, scheidet dieser Erlaubnisgrund aus, weil Facebook mit ihnen keine vertragliche Beziehung unterhält.
Zwischen Facebook-Mitgliedern und Facebook dagegen mag zwar ein vertragsähnliches Nutzungsverhältnis bestehen. Die Mitglieder verwenden das Portal aber primär, um sich mit anderen Nutzern auszutauschen. Um die dazu nötigen Funktionen bereit zu stellen, ist es aber nicht erforderlich, Registrierungs- (Familienname, Vorname, Geburtsdatum, Geschlecht, E-Mail-Adresse/Mobiltelefonnummer) und Nutzungsdaten der Fanpage (z. B. IP- und Cookie-Informationen) im Rahmen von Facebook “Insights” auszuwerten und damit zu verarbeiten. Diese Daten nutzt Facebook vielmehr außerhalb der Nutzungsverhältnisse und gibt sie unter anderem als Statistiken per “Insights” an die Fanpagebetreiber weiter. Um die Kommunikationsfunktionen den Mitgliedern bereit zu stellen, ist es nicht erforderlich, dass Facebook zahlreiche Cookies auf den informationstechnischen Systemen der Nutzer setzt, die mehrere Jahre aktiv sind. Der datr-Cookie etwa bleibt zwei Jahre auf den Geräten gespeichert und liefert solange Facebook Informationen. Mit Sicherheitsbedürfnissen kann diese lange Speicherdauer jedenfalls nicht gerechtfertigt werden, da Authentifizierungstoken auch bei deutlich kürzeren Speicherzeiten gleichermaßen die Bedienbarkeit des Netzwerkes und die Sicherheitsbedürfnisse des Anbieters sichern würden (Vgl. dazu Art. 29 Datenschutzgruppe, WP 194, S. 7).
(3) Auch auf Sec. 2A (1) (d) kann Facebook die Datenverarbeitung für “Insights” nicht stützen. Nach dieser Vorschrift darf der Verantwortliche Daten verarbeiten, soweit dies zur Wahrnehmung berechtigten Interessen des Verantwortlichen oder eines Datenempfänger erforderlich ist und die Rechte Dritter dem nicht entgegenstehen:
”Processing of personal data.
2A. (1) Personal data shall not be processed by a data controller unless section 2 of this Act (as amended by the Act of 2003) is complied with by the data controller and at least one of the following conditions is met:
(d) the processing is necessary for the purposes of the legitimate interests pursued by the data controller or by a third party or parties to whom the data are disclosed, except where the processing is unwarranted in any particular case by reason of prejudice to the fundamental rights and freedoms or legitimate interests of the data subject.”
Dem entspricht Art. 7 f) RL 95/46/EG. Als Erlaubnisgrund scheidet Sec. 2A (1) (d) Data Protection (Amendment) Act 2003 in Verbindung mit Art. 7 f) RL 95/46/EG aus, da kein berechtigtes Interesse auf Seiten von Facebook erkennbar ist, dass gegenüber den Grundrechten der Betroffenen überwiegt. Dem wirtschaftlichen Interesse Facebooks stehen schwere Eingriffe in das Recht Schutz der personenbezogenen Daten gegenüber (Art. 8 EU-GrCh). Der von Facebook vorgenommene Eingriff erfolgt auch nicht im Rahmen der von Art. 8 Abs. 2 Satz 1 EU-GrCh vorgesehenen Grenzen, da die Verarbeitung jedenfalls nicht nach “Treu und Glauben” erfolgt (vgl. Erwägungsgrund 38 RL 95/46/EG). Die Betroffenen erhalten nämlich keine Informationen darüber, dass sowohl ihre Registrierungsdaten (soweit bei Facebook-Mitgliedern vorhanden), als auch die mit den Cookies gewonnenen Nutzungsdaten für Werbezwecke im Rahmen von Facebook “Insights” verarbeitet werden. In diesem intransparenten Umfeld sind die Betroffenen vielmehr nicht in der Lage zu erfahren, welche Daten über sie erhoben und zu welchen Zwecken diese verarbeitet werden.
2.6.2.2 Objektive Vorhersehbarkeit der Datenschutzverstöße
Dass der Betrieb der Fanpage durch die Klägerin zu den aufgezeigten Datenschutzverstößen führt, ist objektiv vorhersehbar.
Dies ist nicht nur die Ansicht allein des Beklagten und könnte im Falle einer Zurückverweisung des Rechtsstreits durch gerichtliche Einholung eines Sachverständigengutachtens zu dessen Überzeugung gebracht werden.
Das Verhalten der Klägerin und die von Facebook vorgenommene datenschutzrechtswidrige Verarbeitung der Nutzungsdaten bilden eine natürliche Handlungseinheit, weil diese Störung typische Folge der Handlungen der Klägerin ist.
Indem die Klägerin durch die von ihr eingestellten Inhalte Nutzer auf ihre Fanpage zieht, wird deren Verhalten im Rahmen von Facebook datenschutzrechtswidrig erfasst. Zudem werden in aller Regel auf den Systemen der Nutzer Cookies gesetzt, sodass typischerweise deren Surfverhalten im Internet auch über die Plattform hinaus getrackt wird.
Wer den obigen Ausführungen zur Verantwortlichkeit nicht folgt, mag den Betrieb der Fanpage zwar als neutrale Handlung ansehen. Für jeden unbeteiligten Dritten ist aber augenscheinlich, dass dieser Beitrag letztlich dazu führt, dass das Verhalten der Nutzer der Fanpage durch Facebook erfasst und diese Daten zur Profilbildung in datenschutzrechtswidriger Weise verwendet werden. Facebook betreibt diese Infrastruktur bekanntlich, um zielgruppenorientierte Werbung zu vermarkten. Das ist der Kern des von Facebook betriebenen Geschäftskonzepts. In diesem Geschäftskonzept nehmen die Fanpagebetreiber eine zentrale Rolle ein, da sie das Netzwerk mit Inhalten füllen. Deshalb besteht zwischen Facebook und den Fanpagebetreibern ein Kooperationsverhältnis. Dieses Kooperationsverhältnis bildet eine natürliche Einheit, die es rechtfertigt, die Nutzungsdatenverarbeitung auch der Klägerin zuzurechnen.
Darüber hinaus hat die Klägerin den aufgezeigten Störungszustand auch subjektiv bezweckt. Sie hat als Kooperationspartnerin von Facebook das Errichten der Fanpage mit dem Ziel verbunden, aus den rechtswidrig erhobenen Nutzerdaten eine für eigene Werbezwecke wertvolle anonymisierte Nutzerstatistik zu erhalten. Ein Verschulden ist hierfür nicht erforderlich (Volkmann, Der Störer im Internet, Schriftenreihe Information und Recht, Band 54, 2005, S. 206). In diesem Zusammenhang hat sie auch ihre Prüfpflichten verletzt, zumal bereits vor der streitgegenständlichen Anordnung der Beklagte vom 3.11.2011 mit Pressemitteilung der Beklagte vom 19.8.2011 und mit Schreiben der Beklagte vom 5.10.2011 die Klägerin über die datenschutzrechtliche Beurteilung des Betriebs einer Facebook-Fanpage informiert wurde und diese einen Weiterbetrieb der Fanpage gleichwohl vornahm.
Die Klägerin hat zudem die Möglichkeit, die rechtswidrige Verarbeitung personenbezogener Nutzerdaten durch Facebook zu verhindern, indem sie die Fanpage nicht weiterbetreibt. Sie hat lediglich vorgetragen, dass ihr der Betrieb der Fanpage wichtig sei, da sie andernfalls im Vergleich zu konkurrierenden Bildungsträgern Wettbewerbsnachteile zu befürchten habe (Schriftsatz der Klägerin vom 19.1.2012, S. 2 f). Die Klägerin trägt aber nicht konkret vor, welche messbaren wirtschaftlichen Vorteile ihr der Betrieb der Fanpage bringt.
Schwerwiegende Beeinträchtigungen der aus den Art. 16 und 17 EU-GrCh folgenden Rechte hat sie nicht dargelegt. Hingegen werden die Rechte der Nutzer aus Art. 8 Abs. 1 EU-GrCh eklatant verletzt, da sie sich gegen eine Verarbeitung ihrer personenbezogenen Daten für Werbezwecke nicht zur Wehr setzen können. Von den Nutzern werden bezüglich der Datenverarbeitung keine rechtswirksamen Einwilligungen eingeholt und es bestehen keine Möglichkeiten einer entsprechenden Datenverarbeitung zu widersprechen. (Vermeintliche) Wettbewerbsnachteile können auch keine Rechtfertigung für einen Rechtsbruch sein.
2.7 Rechtsgrundlage der Anordnung ist § 38 Abs. 5 BDSG
Das OVG Schleswig geht auf den Seiten 19 – 21 seines Urteils fälschlich davon aus, dass die streitgegenständliche Anordnung des Beklagten vom 3.11.2011 bezüglich der Deaktivierung der Fanpage nicht von § 38 Abs. 5 BDSG getragen wird.
Gemäß § 38 Abs. 5 Satz 1 BDSG kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des BDSG und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technisch-organisatorischer Mängel anordnen. Der Beklagte hat gegenüber der Klägerin mit Schreiben vom 3.11.2011 angeordnet, dass diese dafür zu sorgen hat, dass die von ihr betriebene Internetseite unter www.facebook.com/wirtschaftsakademie deaktiviert wird. Die vorgehaltenen Telemedien auf dieser Internetseite könnten von der Klägerin auch im Rahmen eines anderen Internetauftritts, außerhalb von www.facebook.com verwendet werden.
Mit der Deaktivierung kann die Klägerin den Zugriff auf die von ihr betriebene Fanpage in der Weise beschränken, dass die Seite nicht mehr von beliebigen Internetnutzern angesteuert werden kann. Eine unternehmensinterne, rein administrative Nutzung durch Einzelpersonen und die Pflege der Fanpage wären weiterhin möglich. Für den Fall, dass Facebook für die Zukunft nun doch im Rahmen der Anlegung der Fanpage die Möglichkeit für Nutzer einräumt, in die Datenverarbeitung ordnungsgemäß einzuwilligen, die Einwilligungen für die Zukunft widerruflich sind und die Nutzer auch einer Datenverarbeitung zur Erstellung von Nutzungsprofilen widersprechen können, wäre die deaktivierte Fanpage wieder zulässigerweise aktivierbar. Die auf der Fanpage von der Klägerin eingestellten Inhalte soll diese nach einer Deaktivierung der Fanpage weiter nutzen dürfen. So wäre es etwa denkbar, dass die Inhalte nach der Deaktivierung im Rahmen anderer Dienste verwendet werden, wie z.B. in einem gesonderten Webauftritt der Klägerin.
Das OVG Schleswig nimmt gleichwohl an, dass es sich bei der streitgegenständlichen Anordnung nicht um eine Untersagungsverfügung nach § 38 Abs. 5 Satz 1 BDSG, sondern um eine nach Satz 2 dieser Vorschrift handelt. Danach kann die Aufsichtsbehörde bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Das angegriffene Urteil verweist dabei auf mögliche Ausnahmen von dem in § 38 Abs. 5 Satz 1 und 2 BDSG geregelten abgestuften Verfahren (US 20). Voraussetzung wäre, dass ein Datenverarbeitungsverfahren nicht nur unter einzelnen Gesichtspunkten mangelhaft, sondern – etwa wegen Fehlens einer Rechtsgrundlage – in seiner Gesamtheit unzulässig ist und dieser Mangel nur durch die Einstellung des Verarbeitungsverfahrens beseitigt werden kann (Gola/Schomerus, BDSG, 11. Auflage, § 38 Rdn. 26) bzw. die Unmöglichkeit der Fehlerbeseitigung feststeht (Petri, in: Simitis, BDSG, 8. Auflage, § 38 Rdn. 73).
Das angegriffene Urteil macht eine Abweichung von der weiteren und selbstverständlichen Voraussetzung abhängig, wonach Ausnahmen dann zulässig wären, wenn die Einhaltung des abgestuften Verfahrens sinn- und zwecklos erscheint. Es kommt aber dann dazu, dass dieser Sachverhalt nicht vorliege, weil Facebook den bestehenden Mangel bzw. den datenschutzrechtlichen Verstoß selbst beseitigen könne. Eine Abweichung vom abgestuften Verfahren sei daher nicht zulässig. Es sei auch effektiver, gegen Facebook selbst vorzugehen, da Facebook die infolge des Betriebs der Fanpage bestehenden datenschutzrechtlichen Verstöße unterbinden könne.
Einer solchen Annahme könnte überhaupt nur gefolgt werden, wenn der Beklagte eine rechtliche Zuständigkeit und entsprechende Kompetenz gegenüber Facebook Ltd. hätte. Das ist nicht der Fall: Art. 28 Abs. 6 Satz 1 der Richtlinie 95/46/EG bestimmt, dass jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Art. 28 Abs. 3 der Richtlinie 95/46/EG übertragenen Befugnisse zuständig ist, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.
Es sollte aber unzulässig sein, die allgemeine Möglichkeit anderer Stellen, also hier der irischen Kontrollstelle, zu Kontrollmaßnahmen gegenüber Facebook als Einwand gegenüber der Zulässigkeit von Kontrollmaßnahmen gegen über einem inländischen und seiner Kontrollzuständigkeit unterliegendem Datenverarbeiter zu erheben, durch die Facebook nur in der tatsächlichen Folge dieser Maßnahmen betroffen sein würde.
Wenn der Beklagte schon gar keine Möglichkeit der direkten Einwirkung auf Facebook hat, und die Klägerin nach eigenem Vortrag und dies bestätigendem Vortrag der Beigeladenen keine Möglichkeit der Einwirkung auf das Zugriffsverhalten von Facebook hat, dann machte die Einhaltung des gestuften Verfahrens keinen Sinn.
Entscheidend sollte auch sein, dass die Klägerin zu keinem Zeitpunkt gegenüber dem Beklagte signalisiert hat, die datenschutzwidrige Verarbeitung im Wege des Betriebs der Fanpage abzustellen und den vom Beklagten verlangten rechtmäßigen zunächst Zustand herzustellen, und sei es auch nur bis zu einer gerichtlichen Klärung.
Deutlich wurde vielmehr eine vollständige Verweigerungshaltung. Die Klägerin war nicht bereit, sich dafür einzusetzen, dass die Seitennutzer über ein Widerspruchsrecht nach Maßgabe von §§ 13 Abs. 1, 15 Abs. 3 Satz 1 und 2 TMG unterrichtet werden. Ferner zeigte sie von Anfang an auch keine Bereitschaft dafür Sorge zu tragen – etwa durch Kontaktaufnahme mit Facebook – den Seitenbesuchern eine entsprechende Möglichkeit zum Widerspruch zu verschaffen. Vielmehr wies sie jegliche Verantwortung von sich, so dass selbst bei Einhaltung eines Verfahrens, wie es das angegriffene Urteil allein für ordnungsgemäß gehalten hat, eine Änderung des Verhaltens der Klägerin nicht zu erlangen gewesen wäre. Der Klägerin sollte es aber verwehrt sein, sich im Prozess auf Rechtspositionen zu berufen zu dürfen, aus deren Einhaltung sie erklärtermaßen keine Konsequenz bzw. eine Verhaltensänderung folgen lassen würde. Dies berührt den Bereich der Rechtsmißbräuchlichkeit.
Unter diesen Bedingungen war für den Beklagten die Einhaltung eines zweistufigen Verfahrens von vornherein zwecklos.
Entgegen der Auffassung OVG zielt die angeordnete Deaktivierung der Fanpage auch nicht auf die “Beseitigung einer Infrastruktur” (US 19). Die Klägerin wie auch Facebook haben in diesem Zusammenhang mehrfach auf eine Entscheidung des VG Oldenburg (Urteil vom 13.03.2013, Az.: 1 A 3850/12) verwiesen, in welcher eine angeordnete Beseitigung einer Videokamera Gegenstand der Entscheidung war. Dort wird ausgeführt, dass die Untersagung als Verbot ein Verhalten betrifft, nämlich die Nutzung, nicht jedoch die Beseitigung von Hardware. Die Deaktivierung der Fanpage zielt jedoch gerade nicht auf die Beseitigung von Hardware ab. Vielmehr soll die Internetseite der Klägerin, die nur über die Registrierung bei Facebook beschritten werden kann, für einen vorübergehenden Zeitraum für beliebige Internetnutzer nicht ansteuerbar sein, solange dort kein rechtmäßiger Umgang mit Nutzungsdaten erfolgt. Mit dem Abbau einer Videokamera ist dies nicht vergleichbar.
Es ist im Übrigen den Klägerin nicht verwehrt, selbst eine Fanpage zu generieren, wenn sich die Beigeladene nicht zu einer datenschutzkonformen Gestaltung des Zugriffs auf Nutzerdaten bereit erklären will.
Sollte der Senat zu der Auffassung gelangen, dass es sich bei der angeordneten Deaktivierung der Fanpage um eine Untersagung nach § 38 Abs. 5 Satz 2 BDSG handelt, so würden auch die vom OVG aufgestellten Anforderungen erfüllt sein, die an die Entbehrlichkeit der Einhaltung eines zweistufigen Verfahrens nach § 38 Abs. 5 Satz 1 und 2 BDSG gestellt wurden.
Der Betrieb der Fanpage im Zusammenhang mit der gezielten Erhebung, Verarbeitung und Nutzung von Nutzerdaten der Seitenbesucher erfolgt derzeit ohne Rechtsgrundlage. Die Seitenbesucher werden wie oben dargestellt nicht auf ein bestehendes Widerspruchsrecht hingewiesen (§ 15 Abs. 3 Satz 2 TMG), darüber hinaus besteht keine Widerspruchsmöglichkeit. Weiterhin erfolgt entgegen § 15 Abs. 3 Satz 3 TMG eine Verknüpfung von Daten aus den Nutzungsprofilen mit den Trägern von Pseudonymen, indem die Nutzungsdaten und Anmeldedaten zur Erstellung der Nutzungsstatistik zusammengeführt werden. Das Verfahren Facebook “Insights” ist daher in seiner Gesamtheit unzulässig.
Die Einhaltung eines zweistufigen Verfahrens wäre auch vor diesem Hintergrund auch sinn- und zwecklos:
Da Facebook in den vor dem 3.11.2011 stattgefundenen Gesprächen mit der Beklagte, im Rahmen der Anhörungen im Schleswig-Holsteinischen Landtag und im Bundestag sowie im Gespräch mit dem Bundesinnenminister keine Lösungen zur Einrichtung eines datenschutzkonformen Betriebs von Fanpages angeboten hat, besteht für die Klägerin selbst bei etwaigen Widersprüchen von Fanpagebesuchern gegen die Erstellung von Nutzungsprofilen keine Möglichkeit, eine Nutzungsdatenverarbeitung durch Facebook für die Zukunft auszuschließen.
Die Fanpage kann unter www.facebook.com/wirtschaftsakademie derzeit nicht gesetzeskonform betrieben werden. Als einziges Mittel zur Beseitigung des Verstoßes gegen § 15 Abs. 3 TMG kommt daher nur die Deaktivierung der Fanpage in Betracht.
3. Vorabentscheidungsverfahren nach Art. 267 AEUV
Abschließend bleibt festzuhalten, dass nach Auffassung des Beklagten die Antworten auf zwei Fragen über den Ausgang dieses Verfahrens entscheiden werden. Zum einen hängt der Ausgang des Rechtsstreits von den Voraussetzungen der Verantwortlichkeit nach § 3 Abs. 7 BDSG und zum anderen von dem vermeintlich abschließenden Charakter des Datenschutzrechts gegenüber den allgemeinen Haftungsregeln ab.
Die Antworten auf beide Fragen werden durch die zwingenden Vorgaben aus der Richtlinie 95/46/EG determiniert. Sollte das erkennende Gericht nicht der von dem Beklagten vertretenen Auslegung des europäischen Rechts folgen, wird angesichts der Bedeutung der Rechtsfragen und dem Charakter dieses Verfahrens als eines Musterverfahrens angeregt, das Verfahren auszusetzen und nachfolgende Fragen zur Vorabentscheidung gemäß Art. 267 AEUV dem Europäischen Gerichtshof wie folgt vorzulegen:
1. Ist Art. 2 lit. d) der Richtlinie 95/46/EG dahingehend auszulegen, dass im Falle eines Netzwerks, das Stellen die Möglichkeit bietet, innerhalb des Netzwerks eine Internetseite anzulegen und zu betreiben, und bei dem diese Stellen von dem Netzwerk dadurch profitieren, dass ihnen die für die Inhaltsdarstellung nötige Datenverarbeitung zur Verfügung gestellt wird und aggregierte Nutzungsdatenauswertungen geliefert werden, die Entscheidung dieser Stellen zur Anlage einer Internetseite in diesem Netzwerk genügt, um sie zum datenschutzrechtlich für die Verarbeitung Verantwortlichen bzw. Mit-Verantwortlichen zu qualifizieren?
2. Falls die erste Frage verneint werden sollte:
Steht die Richtlinie 95/46/EG einer Regelung im nationalen Recht entgegen, durch die nicht nur der für die Verarbeitung Verantwortliche auf Unterlassung seiner Handlungen in Anspruch genommen werden kann, sondern auch weitere Personen oder Institutionen, die in Kenntnis des dadurch ermöglichten Datenschutzverstoßes einen kausalen Beitrag zu diesem Datenschutzverstoß leisten, den eine andere Person oder Institution begeht?
Um Beachtung wird gebeten.
Rechtsanwalt
Anlagen: wie im Text erwähnt
