Schleswig-Holsteinisches Verwaltungsgericht:
Urteil vom 9. Oktober 2013
Aktenzeichen: 8 A 218/11
(Schleswig-Holsteinisches VG: Urteil v. 09.10.2013, Az.: 8 A 218/11)
Der Betreiber einer Fanpage bei Facebook ist nicht verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG.
Tenor
Der Bescheid vom 10. November 2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 wird aufgehoben.
Der Beklagte trägt die Kosten des Verfahrens.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig.
Das Urteil ist wegen der Kosten vorläufig vollstreckbar.
Dem Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % der erstattungsfähigen Kosten abzuwenden, wenn nicht der Vollstreckungsgläubiger vor der Vollstreckung in gleicher Höhe Sicherheit leistet.
Die Berufung wird zugelassen.
Tatbestand
Die Klägerin wendet sich gegen eine datenschutzrechtliche Anordnung des Beklagten, ihre €Fanpage€ bei der Beigeladenen (F.) zu deaktivieren.
Die Klägerin ist ein Unternehmen mit Sitz in A-Stadt in Schleswig-Holstein.
Sie unterhält bei der Beigeladenen eine sogenannte Fanpage. Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern und Prominenten eingerichtet werden können. Der Betreffende muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Nutzer der Plattform können eigene Beiträge auf der Plattform posten. Nutzer der Fanpage, die bei Facebook registriert sind (in Folgendem: registrierter Nutzer bzw. Facebook-Mitglied) geben bei der Registrierung bei Facebook ihren Vor- und Nachnamen, das Geburtsdatum, das Geschlecht und ihre E-Mail-Adresse an.
Die technischen Abläufe beim Aufruf einer Fanpage bei Facebook durch einen Nutzer sind danach zu differenzieren, ob der Nutzer ein Nicht-Facebook-Mitglied ist oder als Facebook-Mitglied beim Besuch der Fanpage gerade als solches eingeloggt ist oder nicht.
Der Ergebnisbericht der Arbeitsgruppe des AK I €Staatsrecht und Verwaltung€ zum Datenschutz in sozialen Netzwerken vom 04. April 2012 (S. 9; Arbeitsgruppe verschiedener Bundesländer, www.datenschutzzentrum.de/internet/20120404-AGSozNetzw-AK-I-IMK.pdf ) stellt die technischen Abläufe wie folgt dar:
Tabelle 2: Fanpage
Fallgruppe | Technische Abläufe | |
1 | Nicht-Facebook-Mitglied oder Facebook-Mitglied, das gerade nicht eingeloggt ist, besucht eine Fanpage. | Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse)und Setzen/Übertragen des datr-Cookie |
2 | Eingeloggtes Facebook-Mitglied besucht eine Fanpage | Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse)und Setzen/Übertragung des datr-Cookieund Übertragung des c_user-Cookies |
Der c_user-Cookie wird von Facebook gesetzt, wenn sich das Facebook-Mitglied einloggt und enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Facebook kann dadurch das Mitglied identifizieren, den Aufruf der Website der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage personalisieren (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 8).
Der datr-Cookie, der bei jedem Aufruf der Website www.facebook.com gesetzt wird, hat eine Gültigkeit von zwei Jahren, kann aber durch entsprechende Browser-Einstellung blockiert und gelöscht werden. Er dient Facebook nach eigenen Angaben zur Identifizierung des Web-Browsers, der die Verbindung mit der Facebook-Seite aufbaut und spielt eine Schlüsselrolle beim Schutz des sozialen Netzwerkes vor €böswilligen Aktivitäten€ (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 7 ff.).
Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook kostenfrei zur Verfügung gestellten Werkzeugs €Facebook-Insights€ anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten Angaben über die Nutzung der Fanpage. Dazu gehören Informationen über den Nutzerzuwachs, die Demographie der Nutzer und über die Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 9). Für den konkreten Inhalt einer solchen Statistik (Insights) wird auf Blatt 78 ff. der Gerichtsakte verwiesen.
Mit Schreiben vom 01.11.2011 teilte der Beklagte, das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, der Klägerin mit, dass damit ein aufsichtsbehördliches Verfahren nach § 38 Bundesdatenschutzgesetz (BDSG) eingeleitet werde.
Beim Aufruf der Fanpage (damals noch unter € würden Angaben über die Nutzung der Fanpage durch Facebook-Mitglieder und -Nichtmitglieder in die USA an Facebook übermittelt. Web-Seiten-Betreiber hätten die Unterrichtungspflichten nach § 13 Abs. 1 TMG (Telemediengesetz) und die Anforderungen an die Einholung einer Einwilligung in die Datenverarbeitung nach § 13 Abs. 3 TMG einzuhalten. Dies habe bei dem von der Klägerin angebotenen Dienst, dem Betreiben der Fanpage, nicht festgestellt werden können. Die Erstellung der Nutzungsprofile (Insights) erfolge unter Verstoß gegen § 15 Abs. 3 TMG. Über die Reichweitenanalyse werde nicht informiert, eine Widerspruchsmöglichkeit existiere ebenso wenig wie eine datenschutzrechtlich wirksame Einwilligungserklärung. Die Informationen aus der Reichweitenanalyse würden mit den identifizierenden Angaben der Facebook-Mitglieder zusammengeführt. Als Betreiberin der Fanpage sei die Klägerin Diensteanbieterin iSd § 2 Nr. 1 TMG und verantwortliche Stelle nach § 3 Abs. 7 BDSG.
Mit Schreiben vom 09.11.2011 brachte die Klägerin zum Ausdruck, sie sei nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG. Weder erhebe, verarbeite oder nutze sie personenbezogene Daten selbst, noch lasse sie eine Erhebung, Verarbeitung und Nutzung in ihrem Auftrag vornehmen. Sie komme mit personenbezogenen Daten der Nutzer der Facebook-Seite (Fanpage) nicht in Berührung.
Mit Bescheid vom 10.11.2011 ordnete der Beklagte gegenüber der Klägerin gemäß § 38 Abs. 5 Satz 1 BDSG an, dafür zu sorgen, dass die von ihr betriebene €Fanpage€ unter € deaktiviert werde. Für den Fall, dass dieser Verpflichtung nicht innerhalb von sechs Wochen nach Zustellung des Bescheides nachgekommen werde, wurde ein Zwangsgeld in Höhe von 5.000 € angedroht.
Die Anordnung wurde damit begründet, Nutzungsdaten nach § 15 TMG (u. a. IP-Adresse, Cookie-IDs, z. B. aus dem Cookie €datr€, Familien- und Vorname, Geburtsdatum) von Nutzern, welche die Fanpage der Klägerin aufriefen, würden nach § 15 Abs. 3 Satz 1 TMG für Zwecke der Werbung von Facebook erhoben, ohne dass die Klägerin als die nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle Benutzer gemäß § 13 Abs. 1 TMG über eine Widerspruchsmöglichkeit unterrichte. Eine technische Möglichkeit zur Beachtung eines Widerspruches bestehe derzeit nicht, da Facebook hierfür keine technische Möglichkeit bereitstelle. Bereits deshalb liege ein Verstoß gegen § 15 Abs. 3 Satz 1 und 2 TMG vor. Die Klägerin veranlasse durch das Bereitstellen einer Fanpage, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Fanpagenutzer erstelle. Dadurch bestimme die Klägerin gemeinsam mit Facebook den Zweck und die wesentlichen Mittel der Datenverarbeitung, wodurch sie eine datenschutzrechtliche Verantwortung trage. Da die Klägerin keine technische Möglichkeit zur Errichtung eines Widerspruchsmechanismus habe, gleichwohl aber eine datenschutzrechtliche Verantwortung bestehe, sei die Anordnung erfolgt, die Fanpage zu deaktivieren.
Unter dem 17.11.2011 legte die Klägerin Widerspruch gegen den Bescheid vom 10.11.2011 ein.
Zur Begründung nahm sie Bezug auf die Stellungnahme vom 09.11.2011. Sie vertiefte ihr Vorbringen, personenbezogene Daten würden lediglich von Facebook erhoben und sie selbst sei daher keine verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG.
Der Widerspruch der Klägerin wurde mit Widerspruchsbescheid vom 25.11.2011 zurückgewiesen. Als Betreiberin der Fanpage bei Facebook sei die Klägerin Diensteanbieterin nach § 2 Nr. 1 TMG. Sie sei neben Facebook auch die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Durch das Einrichten der Fanpage leiste die Klägerin einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten. Es sei in diesem Zusammenhang unerheblich, dass die Klägerin nicht von allen Nutzerdaten Kenntnis erhalte. Im Datenschutzrecht werde vielmehr unabhängig vom Wissen über die Daten darauf abgestellt, wer objektiv über die Daten bestimmen könne, wer die Entscheidungsgewalt über den Zweck und die Mittel der Datenverarbeitung habe. Eine objektive Entscheidungsgewalt über den Zweck der Datenverarbeitung bestehe gerade deshalb, weil die Klägerin mit der Einrichtung der Fanpage und der dadurch initiierten Nutzung durch Fanpagebesucher die Zuführung der personenbezogenen Nutzerdaten und damit die Erstellung der Nutzungsprofile für die Zwecke der Werbung und der bedarfsgerechten Gestaltung von Telemedien steuere. Die Klägerin erhalte auf Basis der von ihr gezielt ermöglichten Erhebung von personenbezogenen Nutzerdaten von Facebook eine Nutzungsstatistik zur Verwendung für eigene geschäftliche Zwecke. Grundlage dieser Nutzungsstatistik seien personenbezogene Nutzerdaten der Fanpagebesucher, die Statistik könne ohne diese Daten nicht erstellt werden. Es sei nicht von Bedeutung, dass der Klägerin von Facebook ein Datenverarbeitungsergebnis nur in Form einer nicht personenbezogenen Nutzungsstatistik bereitgestellt werde und in welcher Form diese hiervon Gebrauch mache. Ein eigenes Erheben, Verarbeiten oder Nutzen von Daten durch eine verantwortliche Stelle werde vom Datenschutzrecht nicht gefordert. Wie der Gesetzgeber in § 11 Abs. 1 Satz 1 BDSG deutlich mache, könnten personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, wobei der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich bleibe. Es sei dabei möglich, dass sich die verantwortliche Stelle keine personenbezogenen, sondern anonymisierte Datenverarbeitungsergebnisse bereitstellen lasse, um diese für eigene geschäftliche Zwecke zu nutzen. Nichts anderes könne im Verhältnis zweier verantwortlicher Stellen zueinander gelten, wenn die personenbezogenen Daten nur durch eine verantwortliche Stelle erhoben und/oder gespeichert würden, die andere verantwortliche Stelle jedoch diese Erhebung und Speicherung aktiv und gezielt initiiere sowie unterstütze, die Zwecke der Datenverarbeitung dadurch mitbestimme und sich von der anderen verantwortlichen Stelle ein anonymisiertes Verarbeitungsergebnis bereitstellen lasse. Mit Errichtung der Fanpage entscheide die Klägerin nicht nur über den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Nutzungsdaten, sondern es werde auch über das wesentliche Mittel der Datenverarbeitung entschieden. Ohne den Betrieb der Fanpage seien die konkreten Datenverarbeitungsprozesse nicht möglich.
Der Widerspruchsbescheid vom 25.11.2011 wurde dem Prozessbevollmächtigten der Klägerin am 25.11.2011 per Fax übersandt und am 30.11.2011 per Post zugestellt.
Die Klägerin hat am 27.12.2011 (Tag nach dem zweiten Weihnachtsfeiertag) Klage erhoben.
Die Klägerin trägt vor, ihre Fanpage bei Facebook betreibe sie nunmehr unter der neuen Adresse www.facebook.com/mobilcomdebitel.
Die Anordnung gemäß § 38 Abs. 5 Satz 1 BDSG zur Deaktivierung der Fanpage sei rechtswidrig und verletze sie in ihren Rechten. Ein Verstoß gegen datenschutzrechtliche Vorschriften, den sie zu verantworten habe, liege nicht vor. Es könne dahinstehen, ob die Fanpage einen Telemediendienst darstelle und sie, die Klägerin, Anbieterin desselben sei, denn jedenfalls sei der Diensteanbieter nur für die eigene Datenverarbeitung verantwortlich, nicht für eine solche durch Dritte. Dies ergebe sich aus dem Wortlaut des § 12 Abs. 1 und 2 TMG. Die Hinweispflicht auf ein Widerspruchsrecht gemäß § 15 Abs. 3 Satz 2 TMG iVm § 13 Abs. 1 TMG beziehe sich nur auf die eigene Datenverarbeitung des Diensteanbieters.
Die datenschutzrechtliche Verantwortlichkeit des Diensteanbieters richte sich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Die verantwortliche Stelle sei in § 3 Abs. 7 BDSG dahin definiert, dass dies die Stelle sei, die personenbezogene Daten für sich selbst erhebe, verarbeite oder nutze oder dies durch andere im Auftrag vornehmen lasse. Bei der Auslegung von § 3 Abs. 7 BDSG sei Art. 2 d) RL 95/46/EG (Datenschutzrichtlinie) ergänzend heranzuziehen, wonach verantwortlich nur sei, wer über die Zwecke und Mittel der Datenverarbeitung entscheide. Dabei komme es allein auf die Verfügungsmacht über die Daten an. In Zusammenhang mit dem Betreiben der Fanpage erhebe die Klägerin weder personenbezogene Daten für sich selbst, noch geschehe dies durch Beauftragung eines anderen und ein Drittes gebe es nicht. Für ein Erheben von Daten sei Voraussetzung, dass die Klägerin selbst Kenntnis der Daten erhielte oder objektive Verfügungsgewalt über diese begründen würde. Das sei jedoch nicht der Fall. Die Klägerin habe weder Kenntnis noch Verfügungsgewalt betreffend die Daten. Die Daten der Nutzer der Fanpage kämen in keinem Zeitpunkt mit der technischen Infrastruktur der Klägerin in Berührung, sie würden unmittelbar von Facebook erhoben und durch Facebook verarbeitet.
Es liege auch keine Auftragsdatenverarbeitung gemäß § 3 Abs. 7 BDSG iVm § 11 BDSG vor. Typisches Merkmal der Auftragsdatenverarbeitung sei der Umstand, dass sich der Auftraggeber die Entscheidungsbefugnis vorbehalte und dem Dritten keinerlei inhaltlicher Bewertungs- und Ermessungsspielraum gestattet sei. Die Klägerin habe keinerlei Einfluss auf die Verarbeitung der Daten durch Facebook, es bestehe hinsichtlich der Daten keinerlei Entscheidungsspielraum der Klägerin. Facebook erhebe und verarbeite die Daten für eigene Geschäftszwecke und nicht als Auftragnehmerin der Klägerin. Allein die Tatsache, dass die Klägerin eine Fanpage bei Facebook unterhalte und Inhalte auf dem Server von Facebook hinterlege, genüge nicht für die Annahme einer verantwortlichen Stelle. Die Entscheidung über die Errichtung einer Fanpage sei keine über die Art, den Umfang und den Zweck der Datenverarbeitung durch Facebook. Die Klägerin entscheide nicht, auch nicht gemeinsam mit Facebook, wie mit den Daten der Nutzer umgegangen werde.
Es bestehe auch keine Mischform zwischen eigener und Auftragsdatenverarbeitung. § 3 Abs. 7 BDSG sehe nur die eigene Datenerhebung/-verarbeitung/-nutzung oder Auftragsdatenerhebung/-verarbeitung/-nutzung vor, jedoch keine Mischform.
Die Klägerin ist im Übrigen der Ansicht, dass durch Facebook eine ausreichende Unterrichtung über die Erhebung und Verwendung personenbezogener Daten gemäß § 13 Abs. 1 Satz 1 TMG erfolge. Die insoweit zuständige irische Datenschutzbehörde habe keine datenschutzrechtlichen Beanstandungen erhoben (Report of Audit, 21.12.2011, Seite 51 ff., www.dataprotection.ie).
Die Klägerin ist ferner der Ansicht, dass selbst wenn ein Verstoß gegen Datenschutzbestimmungen vorliege, die angegriffene Verfügung wegen Ermessensfehler aufzuheben sei.
Die Klägerin beantragt,
den Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 aufzuheben.
Der Beklagte beantragt,
die Klage abzuweisen.
Der Beklagte trägt vor: Die streitgegenständliche Anordnung beziehe sich nunmehr auf die neue Fanpage der Klägerin (www.facebook.com/mobilcomdebitel).
Die Klägerin sei Diensteanbieterin gemäß § 2 Satz 1 Nr. 1 TMG, so dass sie die Pflichten des Diensteanbieters gemäß § 13 Abs. 1 Satz 1 TMG und § 15 Abs. 3 Satz 2 TMG träfen.
Aus § 12 Abs. 1 und 2 TMG sei nicht ableitbar, dass der Diensteanbieter nicht für die Datenverarbeitung einer anderen Stelle verantwortlich sein könne. Vorliegend ergebe sich die Verantwortlichkeit für die Datenverarbeitung durch Facebook aus § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG, wonach für die Verarbeitung Verantwortlicher sei, wer €allein oder gemeinsam mit anderen€ über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Die Klägerin entscheide in diesem Sinne gemeinsam mit Facebook über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Durch das Anlegen der Fanpage unternehme die Klägerin den entscheidenden Schritt dafür, dass u. a. die IP-Adresse des Nutzers an Facebook geleitet werde. Die Fanpage stelle damit ein wesentliches Mittel zur Datenverarbeitung dar. Die Klägerin leiste einen willentlichen und adäquat kausalen Beitrag zu den datenschutzrechtlichen Verstößen durch Facebook. Die Beklagte verweist auf das Urteil des LG B-Stadt vom 06.03.2012 (- 16 O 551/10 -, juris), das in dem Fall, dass im Rahmen des Registrierungsprozesses bei Facebook Einladungs- und Erinnerungsmails an Personen aus der Kontaktliste des sich registrierenden Nutzers versendet werden, ausgeführt hat, die Versendung der Mails beruhe nicht allein auf dem Entschluss eines Dritten, also der einladenden Nutzer. Vielmehr handelten diese und Facebook als Mittäter gemäß § 830 Abs. 1 Satz 1 BGB, da sie bewusst und gewollt bei der Versendung der E-Mail zusammenwirkten: Die Nutzer stellten die erforderlichen Adressdaten, während Facebook die Erstellung der Mails und deren Versand übernehme. Der Beklagte ist der Auffassung, dass dieselben Grundsätze im Verhältnis zwischen dem Fanpage-Betreiber und Facebook zur Anwendung gelangen müssten.
Die Beigeladene beantragt,
den Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 aufzuheben.
Die Beigeladene teilt die Rechtsauffassung der Klägerin.
Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 sei bereits deshalb rechtswidrig, weil er durch die in der Anordnung ausdrücklich genannte Ermächtigungsgrundlage des § 38 Abs. 5 Satz 1 BDSG nicht gedeckt sei. § 38 Abs. 5 Satz 1 BDSG ermächtige zu Maßnahmen, die auf eine Veränderung eines Datenverarbeitungsvorganges bzw. auf Beseitigung von Mängeln innerhalb eines Datenverarbeitungsvorganges gerichtet seien. Die Untersagung eines Datenverarbeitungsvorganges oder gar die vollständige Beseitigung einer mit einem Datenverarbeitungsvorgang im Zusammenhang stehenden Infrastruktur könne gemäß § 38 Abs. 5 Satz 1 BDSG nicht angeordnet werden. Die streitige Anordnung komme in ihrer Wirkung jedoch einer vollständigen Untersagung gleich, so dass sie nicht auf § 38 Abs. 5 Satz 1 BDSG gestützt werden könne.
§ 38 Abs. 5 Satz 1 und 2 BDSG regelten die behördlichen Eingriffsbefugnisse im Bereich des Datenschutzes als gestuftes Verfahren. Erst bei Fruchtlosigkeit von Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG könne zu Maßnahmen nach § 38 Abs. 5 Satz 2 BDSG (Untersagungsanordnungen) gegriffen werden. Dieses abgestufte Verfahren habe der Beklagte nicht eingehalten. Ohnehin sei ein Austausch der Ermächtigungsgrundlage (§ 38 Abs. 5 Satz 2 BDSG statt § 38 Abs. 5 Satz 1 BDSG) unzulässig.
Zwar wäre nur sie, die Beigeladene, in der Lage, den Datenverarbeitungsvorgang zu modifizieren und insoweit sei die Klägerin nicht die richtige Adressatin für eine Anordnung nach § 38 Abs. 5 Satz 1 BDSG. Die Tatsache, dass der Beklagte die streitige Anordnung an eine völlig ungeeignete Stelle richte, könne ihn jedoch nicht von der Notwendigkeit befreien, das in § 38 Abs. 5 Satz 2 BDSG vorgesehene zweistufige Verfahren einzuhalten.
Die streitige Anordnung sei auch deshalb rechtswidrig, weil die Klägerin im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei.
Adressat der Verpflichtungen in §§ 13, 15 TMG sei die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG. Fanpage-Betreiber seien keine datenschutzrechtlich verantwortliche Stelle, da sie nicht über Zwecke und Mittel der Datenverarbeitung (mit-)entscheiden würden.
Die Datenverarbeitung für die Insights-Funktion laufe unbeeinflusst von den Betreibern einer Fanpage ab. Diese hätten keine Entscheidungsbefugnis in Bezug auf die Zwecke und Mittel der Datenverarbeitung. Die Möglichkeit, eine Fanpage zu eröffnen, die Tatsache, dass dort Nutzeraktivitäten nachverfolgt werden, die Art der Verarbeitung dieser Daten und sogar, dass und wie diese aufbereitet und den Fanpage-Betreibern zur Verfügung gestellt würden, habe sie - die Beigeladene - bereits unabhängig vom einzelnen Fanpage-Betreiber entschieden und in ihrer Infrastruktur angelegt. Der Entscheidungsspielraum der Fanpage-Betreiber beschränke sich einzig und allein auf die Frage, ob sie eine Fanpage anlegten oder nicht. Diese Entscheidung, eine Fanpage anzulegen, sei allein nicht als Entscheidung über die €Zwecke und Mittel der Verarbeitung von personenbezogenen Daten€ anzusehen. Im Sinne des Art. 2 d) RL 95/46/EG genüge gerade nicht jede Entscheidung, die entfernt ursächlich für das Ergebnis einer Datenverarbeitung sein könne. Vielmehr müsse die Entscheidungsbefugnis die Möglichkeit einräumen, die Datenverarbeitung selbst zu kontrollieren. Wer keinen Einfluss auf die Entscheidung habe, warum und wie personenbezogene Daten verarbeitet würden, könne nicht als verantwortliche Stelle angesehen werden. Durch die Entscheidung, eine Fanpage anzulegen, blieben das €Wie€ und €Warum€ der Datenverarbeitung durch sie - die Beigeladene - unbeeinflusst. Es werde lediglich ein weiteres Analyseobjekt geschaffen, das sie zur Förderung der eigenen Geschäftstätigkeit routinemäßig in die Insights-Funktion aufnehme und auswerte, wie jede andere Fanpage auch. Dieser Befund werde dadurch unterstrichen, dass die Klägerin selbst zu keinem Zeitpunkt eine wie auch immer geartete Verfügungsgewalt über personenbezogene Daten oder die Mittel der Datenverarbeitung erhalte. Die Mittel der Datenverarbeitung lägen vollständig bei ihr - der Beigeladenen-. Zu keinem Zeitpunkt des Verarbeitungsprozesses bekomme die Klägerin Zugang zu diesen Mitteln oder zu den Daten der Nutzer. Die Klägerin habe keinerlei Einfluss darauf, welche Daten verarbeitet würden, welche Analysen durchgeführt würden oder wie die Ergebnisse aufbereitet würden. Die Analyseergebnisse, die sie schließlich enthalte, enthielten keine personenbezogenen Daten mehr.
Das durch den Beklagten mit der Terminologie €gemeinsame Zwecksetzung€ suggerierte Zusammenwirkung zwischen der Klägerin und ihr - der Beigeladenen - existiere nicht. Eine gemeinsame Zwecksetzung, wenn es sie denn tatsächlich gäbe, sei für eine gemeinsame Verantwortlichkeit ohnehin nicht ausreichend. Gemäß Art. 2 d) RL 95/46/EG sei nämlich die Entscheidung über €Zwecke und Mittel€ der Verarbeitung entscheidend, nicht über €Zwecke oder Mittel€. Die gemeinsame Zwecksetzung sei danach zwar eine notwendige, aber keine hinreichende Bedingung für das Vorliegen einer gemeinsamen Verantwortlichkeit. Auf die Mittel der Datenverarbeitung, insbesondere die im Netzwerk der Beigeladenen implementierte Insights-Funktion, habe die Klägerin aber keinen Einfluss.
Auch der vom Beklagten angestellte Vergleich zwischen dem Betreiben einer Fanpage bei Facebook mit dem Nutzer eines Werbenetzwerkes bzw. der Inanspruchnahme von Angeboten von Online-Inhalten, die Platz auf ihren Websites an Werbenetzbetreiber vermieten (sogenanntes €Behavioural Targeting€) überzeuge nicht. Die Situation des Betreibers einer Fanpage im Netzwerk von Facebook sei nicht mit dem Betrieb einer Website im Internet vergleichbar. Eine Fanpage entstehe gerade nicht im Internet, sondern im (Parallel-)Netzwerk der Beigeladenen. Ein Fanpage-Betreiber habe daher keine mit dem Betreiber einer Website vergleichbaren Gestaltungs- oder Entscheidungsmöglichkeiten, sondern sei gezwungen, sich an die Spielregeln der Beigeladenen zu halten. Die tatsächlichen Umstände seien somit völlig andere.
Soweit Art. 2 d) RL 95/46/EG die Möglichkeit einer gemeinsamen datenschutzrechtlichen Verantwortung vorsehe, setze diese selbstverständlich voraus, dass jeder gemeinsam Verantwortliche selbst in Bezug auf die Datenverarbeitung oder zumindest Teilaspekte davon die Voraussetzung von Art. 2 d) RL 95/46/EG erfülle.
Eine Gesamtverantwortung qua Zurechnung sehe Art. 2 d) RL 95/46/EG grundsätzlich nicht vor.
Es liege auch keine Auftragsdatenverarbeitung und keine einer Auftragsdatenverarbeitung vergleichbare Situation vor. Sie verarbeite keine personenbezogenen Daten im Auftrag der Klägerin. Soweit im Rahmen der Auftragsdatenverarbeitung ausnahmsweise ein fehlender Kontakt mit personenbezogenen Daten die Verantwortlichkeit des Auftraggebers nicht beeinträchtige, basiere dies darauf, dass der Auftraggeber über sein Weisungsrecht dennoch in der Lage sei, alle relevanten Entscheidungen zu treffen und die Datenverarbeitung zu kontrollieren. Ein solches Auftragsverhältnis mit einem Weisungsrecht und der Möglichkeit der Kontrolle über die Datenverarbeitung existiere im Verhältnis zwischen der Klägerin und ihr nicht. Die Klägerin bestimme nicht die Zwecke der Datenverarbeitung, sondern profitiere lediglich vom Ergebnis einer eigenständig initiierten Datenverarbeitung durch sie - die Beigeladene.
Auch die vom Beklagten konstruierte allgemeine Verantwortlichkeit vergleichbar einer €Störerhaftung€ könne die fehlende datenschutzrechtliche Verantwortung der Klägerin nicht ersetzen. Die Figur einer Verantwortlichkeit für Störungszustände sei dem Datenschutzrecht fremd. Der dem deutschen Polizei- und Ordnungsrecht entliehene Begriff der Störerhaftung finde keine Entsprechung in den europarechtlichen Harmonisierungsvorschriften für den Datenschutz. Vielmehr enthalte Art. 2 d) RL 95/46/EG eine eigene explizite Regelung der datenschutzrechtlichen Verantwortlichkeit. Danach sei allein derjenige Verantwortlicher im datenschutzrechtlichen Sinne, der eine Datenverarbeitung steuernd in den Händen halte, in dem er maßgeblich €über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide€. Eine Verantwortlichkeit für €Störungszustände€ oder für eine Datenverarbeitung, für die allein ein Dritter verantwortlich ist, sei nicht vorgesehen.
Diese Definition der Verantwortlichkeit sei bei der Umsetzung der Datenschutzrichtlinie in nationales Recht nicht erweitert worden. Vielmehr sei § 3 Abs. 7 BDSG in Anlehnung an die Terminologie des Art. 2 d) RL 95/46/EG formuliert worden. Eine national-autonome Erweiterung auf €Nichtverantwortliche€ im Sinne der RL 95/46/EG sei also nicht beabsichtigt gewesen und wäre darüber hinaus europarechtlich unzulässig. Die Beigeladene nimmt insoweit auf ein Urteil des EuGH vom 24.11.2011 (C-468/10 und C-469/10) Bezug.
Die Beigeladene ist im Übrigen der Auffassung, dass ihre Datenverarbeitung dem allein maßgeblichen irischen materiellen Datenschutzrecht entspreche. Im Übrigen sei die streitige Anordnung auch ermessensfehlerhaft.
Für das weitere Vorbringen der Beteiligten sowie die Einzelheiten des Sachverhaltes wird auf die Schriftsätze der Beteiligten sowie auf den Verwaltungsvorgang, der dem Gericht vorgelegen hat, Bezug genommen.
Gründe
Die Klage ist zulässig und begründet.
Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 ist rechtswidrig und verletzt die Klägerin in ihren Rechten gemäß Art. 14 Abs. 1 GG (Eigentumsrecht, Recht am eingerichteten und ausgeübten Gewerbebetrieb) bzw. Art. 12 Abs. 1 Satz 2 GG (Freiheit der Berufsausübung), so dass er aufzuheben war (§ 113 VwGO).
Zunächst ist festzustellen, dass keine Hauptsacheerledigung dadurch eingetreten ist, dass sich die Adresse der Fanpage der Klägerin nach Erlass des Bescheides vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 von € - wie in den Bescheiden benannt - zu € geändert hat.
Der Bescheid vom 10.11.2011 in der Fassung des Widerspruchsbescheides vom 25.11.2011 ist dahin auszulegen, dass die Anordnung zur Deaktivierung sich auf die jeweils von der Klägerin bei Facebook betriebene Fanpage, unabhängig von der Adressierung, bezieht.
Die an die Klägerin gerichtete Anordnung, ihre Fanpage bei Facebook zu deaktivieren, ist rechtswidrig.
In der streitigen Anordnung nach § 38 Abs. 5 Satz 1 BDSG geht es nicht um die datenschutzrechtliche Verantwortlichkeit der Klägerin für Inhalte der Fanpage und auch nicht um die Frage einer datenschutzrechtlichen Verantwortlichkeit einer von Facebook unabhängigen eigenen Datenerhebung und Datenverarbeitung betreffend die Nutzer ihrer Fanpage. In Rede steht die datenschutzrechtliche Verantwortlichkeit als Diensteanbieter von Telemedien gemäß § 13 Abs. 1 TMG und § 15 Abs. 3 Satz 2 TMG durch das Betreiben einer Fanpage bei Facebook als solches.
Insoweit ist eine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook zu verneinen.
Da bereits aus diesem Grunde die Anordnung der Deaktivierung der Fanpage rechtswidrig ist, bedarf es keiner Entscheidung zum Verhältnis der Eingriffsermächtigungen des § 38 Abs. 5 Satz 1 und Satz 2 BDSG zueinander (offengelassen, ob ein abgestuftes Verfahren vorgesehen ist: OVG Schleswig, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris; Annahme eines abgestuften Verfahrens: Gola u. a., BDSG, München 2010, Rnr. 26 zu § 38 BDSG und Schaffland/ Wiltfang, BDSG, 2005, Rnr. 26 zu § 38 BDSG).
Für die oben beschriebene Erhebung, Verwendung und Verarbeitung personenbezogener Daten durch Facebook ist die Klägerin nicht (mit-) verantwortlich.
Zwar dürfte sie als Betreiberin einer Fanpage als Diensteanbieter iSd § 2 Satz 1 Nr. 1 TMG anzusehen sein, wonach Diensteanbieter jede natürliche oder juristische Person ist, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (zur Qualifizierung von Fanpages als Telemedien: Ergebnisbericht der Arbeitsgruppe des AK I €Staatsrecht und Verwaltung€ zum Datenschutz in sozialen Netzwerken vom 04. April 2012, Seite 9; Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur Facebook-Kampagne des ULD, S. 12, www.datenschutzzentrum.de; Inhaber eines geschäftlich genutzten Facebook-Accounts als Diensteanbieter von Telemedien: LG Aschaffenburg, Urteil vom 19.08.2011 - 2 HKO 54/11, 2 HKO 54/11 -, juris; offengelassen durch: OLG Düsseldorf, Beschluss vom 10.05.2012 - I-20 W 20/12 -, juris), jedoch fehlt der Klägerin die datenschutzrechtliche (Mit-)Verantwortlichkeit für die durch den Besuch einer Fanpage ausgelöste Erhebung, Verwendung und Verarbeitung personenbezogener Daten (im Folgenden zusammenfassend: Datenverarbeitung) durch die Beigeladene.
Die Beteiligten gehen zutreffend übereinstimmend davon aus, dass mit dem Begriff €Diensteanbieter€ im Sinne des Telemediengesetzes hinsichtlich der Verarbeitung personenbezogener Daten keine spezialgesetzliche Verantwortlichkeit abweichend von dem Begriff der verantwortlichen Stelle gemäß § 3 Abs. 7 BDSG bzw. Verantwortlicher im Sinne von Art. 2 d) der RL 95/46/EG (Datenschutzrichtlinie) geregelt wurde.
Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (€Richtlinie über den elektronischen Geschäftsverkehr€, E-Commerce-Richtlinie - ECRL -), die der Gesetzgeber mit dem Telemediengesetz (TMG) umsetzen wollte (vgl. Spindler u. a., Recht der elektronischen Medien, München 2008, Rdnr. 8 zu § 1 TMG) regelt in Art. 1 Abs. 5 b) ausdrücklich, dass diese Richtlinie keine Anwendung findet auf Fragen betreffend die Dienste der Informationsgesellschaft, die von der RL 95/46/EG und RL 97/66/EG erfasst werden. Der Erwägungsgrund Nr. 14 zur ECRL-Richtlinie besagt ausdrücklich, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogender Daten ausschließlich Gegenstand der Richtlinie 95/46/EG und der Richtlinie 97/66/EG ist, die uneingeschränkt auf die Dienste der Informationsgesellschaft anwendbar seien.
Dementsprechend richtet sich die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten ausschließlich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG.
Da das Telemediengesetz keine von den vorgenannten Vorschriften abweichende Verantwortlichkeit bei der Verarbeitung personenbezogener Daten schafft, bedarf es an dieser Stelle keiner Entscheidung, ob eine davon abweichende national-gesetzliche Definition der Verantwortlichkeit überhaupt zulässig wäre (in Frage käme hier die entsprechende Anwendung der Grundsätze, die der EuGH mit seinem Urteil vom 24.11.2011 -, C-468/10 und C-469/10, curia.europa.eu/juris, zur Unzulässigkeit der Abweichung von in Art. 7 RL 95/46/EG abschließend geregelten Datenverarbeitungsgrundsätzen aufgestellt hat).
Eine (Mit-)Verantwortlichkeit der Klägerin für die Verarbeitung personenbezogener Daten der Nutzer der Fanpage besteht nicht.
Die Klägerin ist nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG.
Danach ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt.
Da das Bundesdatenschutzgesetz die RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) umsetzt, ist die Regelung in § 3 Abs. 7 BDSG im Lichte dieser Richtlinie auszulegen. Nach Art. 2 d) RL 95/46/EG ist €für die Verarbeitung Verantwortlicher€ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im Hinblick auf die mit der Nutzung einer Fanpage ausgelöste Verarbeitung personenbezogener Daten kann weder von einer eigenen Datenverarbeitung durch die Klägerin noch davon gesprochen werden, dass diese die betreffende Datenverarbeitung durch die Beigeladene aufgrund eines Auftrages vornehmen lasse.
Der Nutzer einer Fanpage der Klägerin bei Facebook ruft unmittelbar eine Facebook-Seite auf, so dass personenbezogene Daten ausschließlich vom Nutzer direkt zu Facebook gelangen. Insoweit unterscheidet sich die Konstellation bei Fanpages von dem Fall, dass Anbieter von Online-Inhalten ihre Internetseite so konfigurieren, dass ein Besucher dieser Seite automatisch zur Webseite des Betreibers eines Werbenetzwerkes umgeleitet wird, womit der Anbieter von Online-Inhalten die Übermittlung der IP-Adresse auslöst und hierfür den ersten erforderlichen Schritt zur Ermöglichung der folgenden Datenverarbeitung, die der Betreiber des Werbenetzwerkes ausübt, macht, wofür die Art.-29-Datenschutzgruppe der EU in der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting vom 22.06.2010, Seite 14 (www.ec.europa.eu/justice), eine gewisse Verantwortung für die Datenverarbeitung auch dem Anbieter von Online-Inhalten zusprechen möchte.
In der vorliegend zur Beurteilung anstehenden Konstellation der Nutzung einer Fanpage kommt die Klägerin mit ihrem operativen Instrumentarium demgegenüber in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen personenbezogenen Daten (wobei offenbleiben kann, ob und ggf. unter welchen Voraussetzungen eine IP-Adresse ein personenbezogenes Datum ist: vgl. hierzu Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur €Facebook-Kampagne€ des ULD, Seite 4, Schleswig-Holsteinischer Landtag Umdruck 17/2988, www.landtag.ltsh.de/infothek/wahl17/umdrucke/2900/umdruck-17-2988.pdf ; ders., a. a.O. S. 7 ff., zur Frage, ob die von Facebook gesetzten Cookies personenbezogene Daten sind).
Dieser fehlende Kontakt der Klägerin zu personenbezogenen Daten der Nutzer der Fanpage schlösse ihre datenschutzrechtliche Verantwortlichkeit gemäß § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG nicht aus, wenn ein Fall der Auftragsdatenverarbeitung der Beigeladenen für die Klägerin iSd § 11 Abs. 1 Satz 1 BDSG vorläge. Dies ist jedoch nicht der Fall.
§ 11 Abs. 1 Satz 1 BDSG bestimmt, dass in dem Falle, dass personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich ist. Art. 2 e) RL 95/46/EG bestimmt, dass €Auftragsverarbeiter€ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Die Beigeladene ist jedoch hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der Nutzer der Fanpage keine Auftragnehmerin der Klägerin.
Ein Auftragsverhältnis zwischen der Klägerin und der Beigeladenen besteht insoweit nicht. Es ist nicht feststellbar, dass insoweit in irgendeiner Weise eine vertragliche Beziehung zwischen der Klägerin und der Beigeladenen besteht. Die vertragliche Beziehung ist auf das Zurverfügungstellen der Fanpage durch die Beigeladene an die Klägerin entsprechend den Nutzungsbedingungen der Beigeladenen beschränkt.
Die Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch die Beigeladene ist nicht Gegenstand dieser Vereinbarung.
Soweit die Beigeladene der Klägerin den kostenlosen Dienst €Insights€ zur Verfügung stellt, handelt es sich lediglich um eine unabhängig von einem Auftrag ausgeführte statistische Auswertung der Nutzung der Fanpage mit dem Ergebnis von anonymisiertem Statistikmaterial (insoweit ebenfalls die Annahme einer Auftragsdatenverarbeitung durch Facebook ablehnend: Wissenschaftlicher Dienst des Deutschen Bundestages, Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook-Fanpages und Social-Plugins, 07.10.2011, S. 9, www.datenschutzzentrum.de/facebook/material/-WissDienst-BT-Facebook-UL; ebenso: Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, 24.11.2011, S. 17 f., a.a.O.). Das für die Annahme eines Auftragsverhältnisses wesentliche Element eines vertraglichen Weisungsrechtes fehlt im Vertragsverhältnis zwischen der Klägerin und der Beigeladenen. Die Klägerin ist nicht €Herrin der Daten€ (vgl. zu diesem Begriff für den Auftraggeber einer Auftragsdatenverarbeitung: Gola u. a., BDSG, München 2010, Rnr. 50 zu § 3 BDSG).
Damit kann die Klägerin nicht als datenschutzrechtlich Verantwortliche für eine Auftragsdatenverarbeitung durch die Beigeladene iSd § 11 Abs. 1 Satz 1 BDSG bzw. Art. 2 e) RL 95/46/EG angesehen werden.
Die Klägerin ist auch nicht unter dem Gesichtspunkt verantwortliche Stelle gemäß § 3 Abs. 7 1. Alt. BDSG und Art. 2 d) RL 95/46/EG, dass sie €gemeinsam mit anderen€ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden würde.
Die Regelung in § 3 Abs. 7 1. Alt. BDSG ist im Lichte von Art. 2 d) RL 95/46/EG auszulegen, der den für die Verarbeitung Verantwortlichen als jede Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Klägerin entscheidet entgegen der Auffassung des Beklagten mit dem Bereitstellen einer Fanpage bei der Beigeladenen jedoch nicht mit der Beigeladenen zusammen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
Vorliegend bedarf es keiner Entscheidung, ob für die Annahme einer datenschutzrechtlichen Verantwortlichkeit gemäß Art. 2 d) RL 95/46/EG aufgrund des Wortlautes €über die Zwecke und Mittel der Verarbeitung € entscheidet€ die (allein oder gemeinsam mit anderen getroffene) Entscheidung sowohl über die Zwecke als auch über die Mittel vorausgesetzt wird (vgl. demgegenüber Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen €Für die Verarbeitung Verantwortlicher€ und €Auftragsverarbeitung€ vom 16.02.2010 - WP 169 -, Seite 17, wonach es möglich erscheine, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheide). Denn vorliegend fehlt es sowohl hinsichtlich der Zwecke als auch der Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage der Klägerin an einer für diese allein oder gemeinsam mit der Beigeladenen bestehenden Entscheidungsgewalt.
Die Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten werden ausschließlich von der Beigeladenen bestimmt. Die Entscheidung der Klägerin beschränkt sich auf die Annahme eines für sie unabänderlichen Angebotes, die Fanpage einzurichten und mit Inhalten zu füllen oder nicht. Durch die Annahme dieses Angebotes und die Einrichtung einer Fanpage bestimmt die Klägerin nicht Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage. Allein die Entscheidung über die Eröffnung einer Fanpage führt daher nicht zur Begründung einer datenschutzrechtlichen Verantwortlichkeit der Klägerin (vgl. Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme zur Facebook-Kampagne des ULD vom 24.11.2011, Seite 18; a.A. Polenz, Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207, 211).
Die datenschutzrechtliche Verantwortlichkeit in Bezug auf die Verarbeitung personenbezogener Daten richtet sich ausschließlich nach der abschließenden Regelung in § 3 Abs. 7 BDSG, der im Lichte des Art. 2 d) RL 95/46/EG auszulegen ist.
Grundvoraussetzung für die nach diesen Vorschriften sich ergebende datenschutzrechtliche Verantwortlichkeit ist der tatsächliche und/oder rechtliche Einfluss der Stelle in Bezug auf die Verarbeitung personenbezogener Daten, die bei einer eigenen Datenverarbeitung oder einer gemeinsamen mit einem anderen durchgeführten arbeitsteiligen Datenverarbeitung und bei einer Auftragsdatenverarbeitung aufgrund des Weisungsrechtes des Auftraggebers hinsichtlich der Datenverarbeitung gegeben ist. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung betreffend die Verarbeitung personenbezogener Daten hat, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden (Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 vom 16.02.2010 - WP 169 -, Seite 15).
Mangels eines tatsächlichen oder rechtlichen Einflusses auf die Verarbeitung personenbezogener Daten der Nutzer der Fanpage ist die Klägerin keine für die Verarbeitung personenbezogener Daten verantwortliche Stelle.
Mit § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG ist eine abschließende Regelung betreffend die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten gegeben. Diese Regelung der Verantwortlichkeit kann nicht durch den Rückgriff auf Zurechnungsnormen des Privatrechtes oder des allgemeinen Polizei- und Ordnungsrechtes ausgeweitet werden.
Als Schuldner eines deliktischen Schadensersatzanspruches kommt im gewerblichen Rechtsschutz- und Wettbewerbsrecht ebenso wie im bürgerlichen Recht der Täter, Mittäter (§ 830 Abs. 1 Satz 1 BGB) oder Teilnehmer (§ 830 Abs. 2 BGB) der unerlaubten Handlung sowie daneben derjenige in Betracht, dem das Verhalten des Handelnden zuzurechnen ist (vgl. BGH, Urteil vom 18.10.2001 - 1 ZR 22/99 -, juris). Darüber hinaus eröffnet die Störerhaftung die Möglichkeit, auch denjenigen in Anspruch zu nehmen, der - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Gutes oder zu einer verbotenen Handlung beigetragen hat (BGH, aaO; BGH, Urteil vom 15.08.2013 - I ZR 80/12 -, juris, Prüfpflicht eines Speicherplatzproviders). Diese Störerhaftung, die ihre Grundlage nicht im Deliktsrecht, sondern in der Regelung über die Besitz- und die Eigentumsstörung in § 862 und § 1004 BGB hat, vermittelt dagegen nur Abwehransprüche.
Diese speziell auf das Zivilrecht ausgerichteten Zurechnungsnormen können vorliegend nicht zur Anwendung gebracht werden, da die datenschutzrechtliche Verantwortlichkeit abschließend in § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG geregelt ist.
Aus dem gleichen Grunde scheidet auch ein Rückgriff auf die Grundsätze der Störerhaftung (§ 218 LVwG SH Verhaltensstörer, § 219 LVwG SH Zustandsstörer) und die Grundsätze über die Inanspruchnahme von Nichtstörern (vgl. § 220 LVwG SH) aus (vgl. aber zur Inanspruchnahme eines Domain-Registrars als Nichtstörer durch Ordnungsverfügung nach dem Glückspielstaatsvertrag: OVG Nordrhein-Westfalen, Beschluss vom 26.01.2010 - 13 B 760/09 -, juris; vgl. für eine Sperrungsanordnung gegen den Access-Provider aufgrund des Glücksspielstaatsvertrages mit Rückgriff auf den Störerbegriff des allgemeinen Polizei- und Ordnungsrechts: VG Düsseldorf, Urteil vom 29.11.2011 - 27 K 5887/10 -, juris; vgl. auch VG Köln, Urteil vom 15.12.2011 - 6 K 5404/10 -, juris; vgl. zu einer Sperrverfügung nach dem Medienstaatsvertrag gegen Nichtverantwortliche aufgrund spezialrechtlicher Regelung: VG Düsseldorf, Beschluss vom 19.12.2002 - 15 L 4148/02 -, juris).
Genauso wie Art. 7 der RL 95/46/EG eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und daher die Einführung von schärferen oder liberaleren Grundsätzen durch nationales Recht ausgeschlossen ist (vgl. EuGH, Urteil vom 24.11.2011 - C-468/10 und C-469/10, aaO) ist auch die Regelung der datenschutzrechtlichen Verantwortlichkeit in Art. 2 d) RL 95/46/EG erschöpfend und abschließend geregelt, so dass keine Begründung der datenschutzrechtlichen Verantwortlichkeit über die entsprechende Anwendung der Grundsätze des allgemeinen Polizei- und Ordnungsrechtes insbesondere auch betreffend die Verantwortlichkeit von Nichtstörern im Bereich des materiellen Datenschutzrechtes zulässig ist.
Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig, da diese sich durch einen eigenen Sachantrag am Kostenrisiko des Prozesses beteiligt hat (§ 154 Abs. 3 VwGO iVm § 162 Abs. 3 VwGO).
Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO iVm §§ 708 Nr. 11, 711 ZPO.
Die Berufung ist gemäß § 124 a Abs. 1 Satz 1 VwGO iVm § 124 Abs. 2 Nr. 3 VwGO wegen der grundsätzlichen Bedeutung der Rechtssache zugelassen worden.
Schleswig-Holsteinisches VG:
Urteil v. 09.10.2013
Az: 8 A 218/11
Link zum Urteil:
https://www.admody.com/urteilsdatenbank/1b230602c185/Schleswig-Holsteinisches-VG_Urteil_vom_9-Oktober-2013_Az_8-A-218-11