Skip to content

VG Hannover: Veröffentlichung von Fotos einer Person auf Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach KUG und DSGVO unzulässig

VG Hannover
Urteil vom 27.11.2019
10 A 820/19


Das VG Hannover hat entschieden, dass die Veröffentlichung von Fotos einer Person auf der Facebook-Fanpage des Ortsvereins einer Partei ohne Einwilligung nach den Vorhaben des KUG und der DSGVO unzulässig ist.

Aus den Entscheidungsgründen:

"Die Verwarnung ist formell rechtmäßig.

Zuständige Aufsichtsbehörde ist hier die Beklagte. Dies ergibt sich aus § 40 Abs. 1 BDSG und § 22 Satz 1 Nr. 1 NDSG. Nach § 40 Abs. 1 BDSG bestimmt das Landesrecht die Aufsichtsbehörden nach Artikel 51 DS-GVO, die im Anwendungsbereich der DS-GVO dafür zuständig sind, die Anwendung der Vorschriften über den Datenschutz bei den nichtöffentlichen Stellen zu überwachen. Nach § 22 Satz 1 Nr. 1 NDSG ist die Beklagte in diesem Sinne die in Niedersachsen zuständige Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen. Der Kläger ist als privatrechtlich organisierter Ortsverein einer politischen Partei eine solche nichtöffentliche Stelle (§ 2 Abs. 4 BDSG).

Im Übrigen richten sich die Anforderungen an das Verfahren gemäß Artikel 58 Abs. 4 DS-GVO nach dem Recht des betreffenden Mitgliedstaats – hier: § 1 Abs. 1 des Niedersächsischen Verwaltungsverfahrensgesetzes (NVwVfG) i. V. m. den Vorschriften des Verwaltungsverfahrensgesetzes (VwVfG) –, das im Einklang mit der Charta der Grundrechte der Europäischen Union und unter Berücksichtigung des Erwägungsgrundes 129 der DS-GVO anzuwenden und auszulegen ist.

Die Verwarnung leidet danach nicht an Form- oder Verfahrensfehlern.

Insbesondere ist der Bescheid der Beklagten vom 9. Januar 2019 hinsichtlich der Verwarnung hinreichend bestimmt (§ 1 Abs. 1 NVwVfG i. V. m. § 37 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „klar und eindeutig“). Denn in dem Bescheid werden das beanstandete Verhalten des Klägers, die Vorschrift, gegen die dieses Verhalten nach Auffassung der Aufsichtsbehörde verstoßen hat (Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO), und die wegen dieses Verstoßes gegen ihn erlassene Maßnahme (Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO) unzweifelhaft angegeben. Weitergehende Anforderungen sind insoweit nicht zu stellen, zumal durch eine Verwarnung nur ein Verstoß gegen eine Vorschrift über den Datenschutz festgestellt wird, ohne dass dem Adressaten ein ggf. näher zu bestimmendes Tun, Dulden oder Unterlassen aufgegeben wird.

Der Bescheid ist insoweit auch in formeller Hinsicht hinreichend begründet (§ 1 Abs. 1 NVwVfG i. V. m. § 39 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „Begründung“). Denn die wesentlichen tatsächlichen und rechtlichen Gründe, die die Beklagte zu ihrer Entscheidung bewogen haben, einschließlich Erwägungen zur Verhältnismäßigkeit der Maßnahme, werden angegeben. Ob die angegebenen Gründe die Entscheidung in rechtlicher Hinsicht tragen, ist eine Frage der materiellen Rechtsmäßigkeit des Verwaltungsakts.

Ferner ist der Kläger ausreichend angehört worden (§ 1 Abs. 1 NVwVfG i. V. m. § 28 Abs. 1 VwVfG; Erwägungsgrund 129 der DS-GVO: „das Recht einer jeden Person, gehört zu werden …“). Sein Vorbringen in dem Schreiben seiner Rechtsanwältin vom 16. Dezember 2018 ist von der Beklagten in ihrem Bescheid vom 9. Januar 2019 offensichtlich auch berücksichtigt worden, indem sie sich mit der Argumentation des Klägers zu § 23 KUG und zu seinem berechtigten Interesse im Hinblick auf seinen verfassungsrechtlichen Auftrag nach Artikel 21 Abs. 1 Satz 1 GG auseinandergesetzt hat.

Die Verwarnung ist auch materiell rechtmäßig.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DS-GVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DS-GVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DS-GVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DS-GVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DS-GVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DS-GVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offen bleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DS-GVO richtet. Denn sowohl nach den §§ 22, 23 KUG (hierzu unter a) als auch unter Berücksichtigung von Artikel 6 Abs. 1 UAbs. 1 Buchst. e und f DS-GVO (hierzu unter b) war die Veröffentlichung rechtswidrig.

a. Der Kläger beruft sich auf eine Erlaubnis zur Veröffentlichung des Fotos nach § 23 KUG i. V. m. Artikel 85 Abs. 2 DS-GVO. Dies setzt voraus, dass die §§ 22 und 23 KUG auf Grundlage des Artikels 85 DS-GVO als gegenüber Artikel 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO vorrangige Rechtsvorschriften des nationalen Rechts anzusehen sind und damit auch nach Inkrafttreten der DS-GVO noch anwendbar sind.

Die Anwendbarkeit der Vorschriften des KUG seit Inkrafttreten der DS-GVO ist umstritten. Grundsätzlich genießt die DS-GVO Anwendungsvorrang vor nationalen Regelungen, da europäisches Sekundärrecht gegenüber nationalen Regelungen Anwendungsvorrang genießt (vgl. BVerfG, Beschluss vom 15.12.2015 – 2 BvR 2735/14 –, juris Rn. 37 ff. m. w. N.; EuGH, Urteil vom 15.7.1964 – Rs. 6.64 – Costa/E.N.E.L, juris). Die §§ 22, 23 KUG können deshalb nur dann angewendet werden, wenn und soweit sie sich auf Artikel 85 DS-GVO als Öffnungsklausel stützen lassen.

Nach Artikel 85 Abs. 2 DS-GVO dürfen die Mitgliedstaaten der EU Abweichungen und Ausnahmen von Kapitel 2 der DS-GVO (und damit auch von Artikel 6) vorsehen, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen (vgl. Grages in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Artikel 85 DSGVO Rn. 3). Dies gilt jedoch nur insoweit, als es um eine Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. In diesen Fällen kann sich § 23 KUG als eine Spezifizierung von Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO qualifizieren lassen und neben der DS-GVO anwendbar sein. Ein solcher Fall ist hier aber nicht gegeben.

Der Kläger kann sich insbesondere nicht darauf berufen, dass die Verarbeitung des Fotos journalistischen Zwecken diente. Zwar ist der Begriff des Journalismus weit auszulegen (vgl. Erwägungsgrund 153 der DS-GVO). Journalismus bezeichnet die publizistische Arbeit von Journalisten bei der Presse, in Online-Medien oder im Rundfunk mit dem Ziel, Öffentlichkeit herzustellen. Der Kläger hat mit seiner Fanpage in erster Linie zum Ziel, für seine Interessen und seine Arbeit zu werben, den Erfolg der eigenen Arbeit zu veranschaulichen und sich dadurch selbst darzustellen. Bildveröffentlichungen, die der Selbstdarstellung dienen, lassen sich aber nicht mehr als eine Verarbeitung zu journalistischen Zwecken qualifizieren (vgl. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4; Lauber-Rönsberg/Hartlaub, „Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht“ in NJW 2017, S. 1057, 1061).

Ob die §§ 22, 23 KUG als Normen im Sinne von Artikel 85 Abs. 1 DS-GVO für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Artikel 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Artikel 85 Abs. 1 DSGVO einen zwingend durch die Mitgliedstaaten zu erfüllenden Regelungsauftrag enthält – so die überwiegende Auffassung – oder die §§ 22, 23 KUG insoweit fortgelten können, s. Benedikt/Kranig, „DS-GVO und KUG – ein gespanntes Verhältnis“ in ZD 2019, S. 4 m. w. N.), kann offen bleiben. Denn die Voraussetzungen der §§ 22, 23 KUG liegen nicht vor.

Nach § 22 KUG dürfen Bildnisse einer Person grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. Eine ausdrückliche Einwilligung liegt nicht vor. Da das KUG für das Recht am eigenen Bild keine Formerfordernisse normiert, ist zwar auch eine konkludente Einwilligung möglich (vgl. BGH, Urteil vom 11.11.2014 – VI ZR 9/14 –, juris Rn. 6). Auch eine solche liegt jedoch nicht vor. Hier hat der Kläger über die örtliche Presse zu der Veranstaltung im Sommer 2014 eingeladen. Aufgrund der Art der Veranstaltung als öffentliche Veranstaltung des Klägers, über die in der örtlichen Presse eingeladen worden ist, muss zwar damit gerechnet werden, dass Fotos erstellt werden, die in der Presse veröffentlicht werden, und man mit der Teilnahme an einer solchen Veranstaltung konkludent darin einwilligt. Keinesfalls willigt man aber mit der Teilnahme an der Veranstaltung zugleich in die Veröffentlichung von Fotos auf einer Fanpage bei Facebook ein. Eine Veröffentlichung von Bildern auf einer Fanpage einer Partei bei Facebook hat eine ganz andere Qualität als die Veröffentlichung in der Presse, zumal wenn, wie hier anzunehmen ist, keine Vereinbarung nach Artikel 26 DS-GVO zwischen Facebook und dem Betreiber der Fanpage - hier: dem Kläger - abgeschlossen wurde. Denn die Beklagte hat zutreffend darauf hingewiesen, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann. Gemäß den Nutzungsbedingungen mit Facebook werden mit dem Teilen von Inhalten, wie es der Kläger mit der Veröffentlichung des Fotos unternommen hat, weitreichende, weltweite Lizenzen an Facebook erteilt, die geteilten Inhalte zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren und öffentlich vorzuführen. In den USA, in denen die Facebook Inc. ihren Firmensitz hat, sind die Datenschutzstandards außerdem gegenüber dem europäischen Datenschutzstandard erheblich geringer.

Ohne die nach § 22 KUG erforderliche Einwilligung dürfen nach § 23 Abs. 1 KUG verbreitet werden Bildnisse aus dem Bereiche der Zeitgeschichte (Nr. 1), Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen (Nr. 2), Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (Nr. 3), und Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient (Nr. 4).

Hier liegen zwar die Voraussetzungen der Nr. 3 vor. Unter den Erlaubnistatbestand der Nr. 3 fallen Bildberichterstattungen über Menschenansammlungen verschiedenster Art wie Demonstrationen, Sportveranstaltungen, Konzerte, Karnevalsumzüge, Tagungen, Parteitage, Hochzeiten und Trauerfeiern. Voraussetzung ist, dass nicht einzelne Personen gezeigt werden, sondern ein Vorgang. Es muss sich um eine größere Anzahl von Personen handeln, so dass sich der Einzelne nicht mehr aus ihr hervorhebt (vgl. von Strobl-Albeg in Wenzel, Das Recht der Wort- und Bildberichterstattung, 6. Aufl. 2018, Kap. 8 Rn. 77). Bei der öffentlichen Veranstaltung im Sommer 2014, bei der über den Bau einer Ampelanlage gesprochen wurde, handelt es sich um eine Versammlung bzw. einen ähnlichen Vorgang in diesem Sinne. Die auf dem bei Facebook veröffentlichten Foto abgebildeten Personen waren bewusst auf der Veranstaltung des Klägers und haben somit an ihr teilgenommen. Gegenüber der abgebildeten Menge treten die einzelnen der insgesamt etwa 30 Personen auch in den Hintergrund.

Die Befugnis nach § 23 Abs. 1 KUG erstreckt sich nach § 23 Abs. 2 KUG jedoch nicht auf eine Verbreitung, durch die ein berechtigtes Interesse der abgebildeten Person verletzt wird. Der Grundsatz des § 23 KUG ist ein wichtiges Korrektiv zur Wahrung des Persönlichkeitsrechts des Abgebildeten, der auch in den gesetzlichen Ausnahmefällen des § 23 Abs. 1 Nr. 1 bis 4 KUG eine Interessenabwägung vorschreibt (vgl. hierzu Götting in Urheberrecht, Kommentar, 5. Aufl. 2017, § 23 KUG Rn. 106 ff.). Die abgebildeten Personen haben – wie oben dargelegt – ein erhebliches Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Nicht nur, dass eine Veröffentlichung von Daten auf einer Fanpage bei Facebook mit unkalkulierbaren Risiken für die betroffenen Personen verbunden ist, insbesondere keine effektive Kontrolle mehr über die Weiterverwendung der Daten ausgeübt und auch ein etwaiger Löschungsanspruch nicht mehr wirksam durchgesetzt werden kann, vielmehr wird durch das Foto auf einer Fanpage auch eine – möglicherweise nicht bestehende – Zustimmung der abgebildeten Personen zu der politischen Tätigkeit des Klägers suggeriert.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit gemäß § 23 Abs. 2 KUG unzulässig.

b. Die Veröffentlichung des Fotos war auch nicht nach Artikel 6 Abs. 1 DS-GVO gerechtfertigt. Danach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der dort im Folgenden geregelten Bedingungen erfüllt ist. Da die abgebildeten Personen – wie oben dargelegt – nicht in die Veröffentlichung des Fotos eingewilligt haben (Artikel 6 Abs. 1 Abs. 1 Buchst. a i. V. m. Artikel 4 Nr. 11 und Artikel 7 DS-GVO), kommt hier nur der Tatbestand nach Artikel 6 Abs. 1 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein „berechtigtes Interesse“ an der Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage liegt vor. Der Begriff der „berechtigten Interessen“ ist in der DS-GVO nicht definiert. Der sehr weite Begriff der „berechtigten Interessen“ erfasst jedes von der Rechtsordnung anerkannte Interesse (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 53, 54). Der Kläger hat als politische Partei ein berechtigtes Interesse daran, auch durch die öffentliche Verwendung von Fotos für seine politische Tätigkeit zu werben und damit gemäß Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken.

Die Verwendung eines Fotos, auf dem bestimmte Personen erkennbar abgebildet sind, ist aber nicht „erforderlich“. Auch der Begriff der „Erforderlichkeit“ ist in der DS-GVO nicht weiter definiert (vgl. aber Artikel 5 Abs. 1 Buchst. c DS-GVO – Grundsatz der Datenminimierung –). Unter Berücksichtigung von Erwägungsgrund 39 ist die Verarbeitung „erforderlich“, wenn kein milderes, wirtschaftlich gleich effektives Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (vgl. Plath in Plath, DSGVO/BDSG, Kommentar, 3. Aufl. 2018, Art. 6 DSGVO Rn. 17, 56). Gemessen hieran war die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen nicht „erforderlich“, da es hier nicht darauf ankommt, dass gerade die abgebildeten Personen als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt werden, sondern es dem Kläger nur darum geht, zu dokumentieren, dass das Thema, für das er sich politisch eingesetzt hat, eine größere Anzahl von Personen interessiert. In diesem Fall reicht es aus, das Foto unter Unkenntlichmachung der abgebildeten Personen, z. B. durch Verpixelung der Gesichter, zu verwenden. Die Verwendung des Fotos mit einer Abbildung individuell erkennbarer Personen hingegen ist zur Erreichung des vom Kläger angestrebten Zwecks nicht erforderlich. Mit seinem Einwand, eine Unkenntlichmachung sei ihm aufgrund fehlender finanzieller oder organisatorischer Mittel nicht möglich, hat der Kläger schon deshalb keinen Erfolg, weil eine Verpixelung mit Hilfe gängiger Bildbearbeitungssoftware ohne erheblichen Zeit- und Kostenaufwand umgesetzt werden kann.

Ungeachtet dessen überwiegt aber auch das Interesse der abgebildeten Personen das Interesse des Klägers an der Verwendung der Fotos zur Werbung für seine politischen Tätigkeiten.

Bei einer Abwägung der widerstreitenden Interessen sind die „vernünftigen Erwartungen der betroffenen Person“ und die „Absehbarkeit“ einer möglichen Datenverarbeitung der betroffenen Person zu berücksichtigen (vgl. Erwägungsgrund 47). Die abgebildeten Personen haben ein Interesse daran, dass kein Foto, auf dem sie individuell erkennbar sind, auf einer Fanpage bei Facebook veröffentlicht wird. Zwar mussten die Teilnehmer der Veranstaltung erwarten, dass unmittelbar nach der Veranstaltung im Sommer 2014, auf der erkennbar fotografiert worden ist, eine Veröffentlichung zu journalistischen Zwecken etwa in den örtlichen Tageszeitungen erfolgt. Wie oben dargelegt, fällt aber eine Veröffentlichung auf einer Fanpage, die in erster Linie der Darstellung der Partei dient, nicht darunter. Im Übrigen führt der Umstand, dass ein Presseunternehmen oder Privatpersonen Fotos anfertigen, nicht zugleich zu der Erwartung, dass andere, insbesondere der Kläger, die Fotos für eigene Zwecke veröffentlichen. Schließlich war mit einer Veröffentlichung nach vier Jahren nicht mehr zu rechnen.

Die Veröffentlichung des Fotos war entgegen der Ansicht des Klägers auch nicht nach Artikel 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO gerechtfertigt.

Der Kläger kann sich nicht unmittelbar auf Artikel 6 Abs. 1 Abs. 1 Buchst. e DS-GVO berufen. Dies folgt schon daraus, dass diese Regelung selbst keine Rechtsgrundlage für eine Datenverarbeitung bildet, sondern, wie sich aus Artikel 6 Abs. 3 Satz 1 DS-GVO ergibt, auf die Umsetzung durch eine gesonderte Rechtsgrundlage im Unionsrecht oder im Recht eines Mitgliedstaates angewiesen ist. Als eine solche Rechtsgrundlage könnte hier nur § 3 BDSG oder § 3 Satz 1 NDSG in Betracht kommen. Im ersten Fall müsste der Kläger eine öffentliche Stelle des Bundes im Sinne des § 2 Abs. 1, ggf. i. V. m. Abs. 4 Satz 2 BDSG, im zweiten Fall eine öffentliche Stelle des Landes im Sinne von § 2 Abs. 2, ggf. i. V. m. Abs. 4 Satz 2 BDSG (zur Zuordnung vgl. Eßer in Auernhammer, DSGVO/BDSG, Kommentar, 6. Aufl. 2018, § 2 BDSG Rn. 24) bzw. eine öffentliche Stelle im Sinne des § 1 Abs. 1 NDSG sein. Auch dies ist nicht der Fall. Eine öffentliche Stelle im Sinne des § 2 Abs. 1 und 2 BDSG, § 1 Abs. 1 Satz 1 Nr. 1 NDSG ist der Kläger schon deshalb nicht, weil er als Ortsverein einer politischen Partei keine „öffentlich-rechtlich organisierte Einrichtung“ im Sinne dieser Vorschriften ist. Politische Parteien nehmen zwar eine öffentliche Aufgabe wahr (§ 1 Abs. 1 Satz 2 des Parteiengesetzes), sind jedoch weder funktional noch organisatorisch Teil des Staates (BVerfG, Beschluss vom 6.12.2013 – 2 BvQ 55/13 –, juris Rn. 6 m. w. N.), sondern dem gesellschaftlichen Bereich angehörende Vereinigungen von Bürgern (§ 2 des Parteiengesetzes). Der Kläger ist auch nicht als Beliehener eine öffentliche Stelle nach § 2 Abs. 4 Satz 2 BDSG oder § 1 Abs. 1 Satz 1 Nr. 2 und Satz 2 NDSG. Denn dafür müsste ihm eine „Aufgabe der öffentlichen Verwaltung“ übertragen worden sein. Um eine solche Aufgabe handelt es sich bei der öffentlichen Aufgabe einer politischen Partei nach § 1 Abs. 1 Satz 2 des Parteiengesetzes aber nicht (dazu, dass politische Parteien keine öffentliche Gewalt ausüben, vgl. auch BVerfG, a. a. O., Rn. 5 m. w. N.). Schließlich liegen auch die Voraussetzungen des § 1 Abs. 1 Satz 3 NDSG nicht vor, weil der Kläger eben keine Aufgaben der öffentlichen Verwaltung wahrnimmt und an ihm auch keine juristischen Personen des öffentlichen Rechts beteiligt sind, wie es die Vorschrift voraussetzt. Politische Parteien sind mithin nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 Satz 1 BDSG (so auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - Datenschutzkonferenz - vom 5.9.2018, dort unter 5.) und können sich daher für ihre Datenverarbeitung nicht auf die für öffentliche Stellen geltenden Rechtsgrundlagen nach Artikel 6 Abs. 3 Satz 1 DS-GVO berufen.

Die Veröffentlichung des Fotos auf der Fanpage bei Facebook war somit weder gemäß § 23 Abs. 2 KUG noch nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e und f DS-GVO gerechtfertigt, so dass die Tatbestandsvoraussetzungen des Art. 58 Abs. 2 DS-GVO vorliegen.

Das ihr nach Art. 58 Abs. 2 DS-GVO zustehende Ermessen (vgl. hierzu Martini/Wenzel: „Gelbe Karte von der Aufsichtsbehörde: die Verwarnung als datenschutzrechtliches Sanktionenhybrid“ in PinG 2017, S. 92, 96) hat die Beklagte rechtsfehlerfrei ausgeübt. Insbesondere ist die Verwarnung geeignet und erforderlich, um gegenüber dem Kläger das datenschutzrechtswidrige Verhalten verbindlich festzustellen. In dem nach Eingriffsintensität abgestuften Instrumentarium des Artikels 58 DS-GVO sind Warnungen und Verwarnungen die mildesten Mittel, da sie sich auf die Feststellung des Datenschutzverstoßes beschränken."


Den Volltext der Entscheidung finden Sie hier:

VG Ansbach: Kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen - keine Anspruchsgrundlage in DSGVO

VG Ansbach
Urteil vom 08.08.2019
AN 14 K 19.00272

Auch das VG Ansbach hat entschieden, dass kein individueller Anspruch auf Einschreiten der Datenschutzbehörde und Einleitung bestimmter Maßnahmen besteht. Die DSGVO enthält keine entsprechende Anspruchsgrundlage.

Aus den Entscheidungsgründen:

"1.2. Die Klage ist als Leistungsklage statthaft. Der Kläger hat einen sehr umfassenden Klageantrag gestellt, und zwar im Schriftsatz vom 9. Februar 2019, ergänzt um sein Begehren im Schriftsatz vom 18. Februar 2019. Letztlich geht es ihm dabei um die Reichweite der inhaltlichen Befassung der Aufsichtsbehörde mit seiner Beschwerde sowie um aufsichtliches Einschreiten des staltung er ins Ermessen des Beklagten unter Beachtung der Rechtsauffassung des Gerichtes stellt.

Der Erwägungsgrund 143 zur DS-GVO besagt, dass ein Verfahren gegen eine Aufsichtsbehörde „im Einklang mit dem Verfahrensrecht“ des Mitgliedstaats durchzuführen ist. Die unionsrechtlichen Grundlagen haben zu den Sondervorgaben des § 20 BDSG (Bundesdatenschutzgesetz) geführt, der aber zunächst auf die allgemeinen Vorschriften der VwGO verweist, § 20 Abs. 2 BDSG.

Beim streitgegenständlichen Schreiben des Beklagten vom 21. Januar 2019 handelt es sich um eine vom Verwaltungsgericht gemäß Art. 78 DS-GVO überprüfbare Maßnahme mit Außenwirkung, jedoch nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG mit Regelungscharakter, so dass nicht die Anfechtungsklage, sondern die allgemeine Leistungsklage statthaft ist. Der Antrag des Klägers in der Klageschrift ist dahingehend auszulegen, § 88 VwGO.

Ein Verwaltungsakt im Sinne von Art. 35 BayVwVfG setzt eine einseitige Maßnahme eines Hoheitsträgers auf dem Gebiet des öffentlichen Rechts für einen konkreten Einzelfall voraus, die Regelungswirkung mit Außenwirkung entfaltet. Vorliegend fehlt es am Regelungscharakter der Abschlussmitteilung vom 21. Januar 2019.

Das Schreiben des Beklagten vom 21. Januar 2019 ist auch kein sog. feststellender Verwaltungsakt, also ein Bescheid mit der verbindlichen Feststellung eines Rechtsverhältnisses oder sich daraus ergebender Rechte und Pflichten, die mit Rechtsbeständigkeit festgestellt werden sollen (vgl. BayVGH, B.v. 21.3.2002 - 24 ZB 01.592 -, juris). Hier sollte dem Kläger eine Rechtsauskunft erteilt werden, es sollten aber nicht mit verbindlicher Feststellung i.S. des Art. 35 BayVwVfG strittige Rechte oder Pflichten geregelt werden.

Zwar kommt es dafür, ob ein behördliches Schreiben eine verbindliche Regelung durch Verwaltungsakt enthält, auf eine Auslegung nach den im öffentlichen Recht entsprechend anwendbaren Normen der §§ 133, 157 BGB an. Maßgeblich ist also nicht der innere Wille der Behörde, sondern der erklärte Wille, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte, wobei Unklarheiten zu Lasten der Verwaltung gehen. Hier hat der Beklagte lediglich Auskunft darüber gegeben, dass er das Verhalten der Kreissparkasse für Rechtens erachtet und keinen Anlass für ein datenschutzaufsichtliches Einschreiten erkennt, aber nicht zu erkennen gegeben, dass in einer rechtlich ungewissen Situation die Sach- und Rechtslage in diesem Einzelfall durch eine verbindliche Feststellung mit Bindungswirkung als bestehend oder nicht bestehend festgestellt, konkretisiert bzw. individualisiert wird (s. OVG NRW, B.v. 29.9.2016 - 14 B 1056/16 -, juris).

Mangels eines Verwaltungsaktes ist die Rechtsbehelfsbelehrung:des Beklagten im Schreiben vom 21. Januar 2019 unrichtig. Es ist zwar korrekt und durch Art. 77 Abs. 2 DS-GVO sogar geboten, den Kläger auf seine Möglichkeit der Einlegung eines Rechtsmittels hinzuweisen. Die in der Rechtsbehelfsbelehrung:enthaltene Monatsfrist würde aber einen Verwaltungsakt voraussetzen, der nicht vorliegt. Der Antrag des Klägers indes ist nicht auf einen bestimmten Verwaltungsakt des Beklagten, sondern auf ein allgemein aufsichtliches Einschreiten gerichtet (auch im Hilfsantrag), kennzeichnend für eine Leistungsklage. Hätte der Kläger eine ganz konkrete Maßnahme im Sinne eines Verwaltungsaktes vom Beklagten verlangt, hätte er also seine Beschwerde gemäß Art. 77 DS-GVO in diesem Sinne an die Aufsichtsbehörde gerichtet, und hätte der Beklagte diese so gestaltete Beschwerde abgelehnt, wäre die Verpflichtungsklage in Form der Versagungsgegenklage in Frage gekommen. Dann wäre die Ablehnung der Beschwerde als ein Verwaltungsakt zu qualifizieren, der den Erlass eines Verwaltungsaktes ablehnen würde.

Für den Fall, dass es sich bei einer Abschlussmitteilung einer Aufsichtsbehörde nach der DSGVO - wie hier - um keinen Verwaltungsakt handelt, ist die Leistungsklage nach Art. 78 DSGVO statthaft. Das Klagerecht aus Art. 78 Abs. 1 DS-GVO erfasst damit umfassend auch die Ablehnung oder Zurückweisung einer Beschwerde nach Art. 77 DS-GVO (vgl. 143. Erwägungsgrund zur DS-GVO zur Ablehnung oder Abweisung von Beschwerden). Wird eine Maßnahme von der Aufsichtsbehörde erbeten, die ein schlichtes Verwaltungshandeln zum Gegenstand hat, ist die allgemeine Leistungsklage die statthafte Klageart, so dass umfassender Rechtsschutz besteht. Zulässige Streitgegenstände können sämtliche rechtsverbindliche Maßnahmen einer Aufsichtsbehörde sein. Unter rechtsverbindlich i.d.S. sind nicht nur Verwaltungsakte zu verstehen, sondern sämtliche Handlungen, die Außenwirkung besitzen, also Auswirkungen auf die Rechte des Betroffenen oder des Verantwortlichen i.S.d. DS-GVO haben können. Solche Auswirkungen sind auf allen Ebenen eines Verwaltungsverfahrens denkbar.

Die Rechtsansicht des Verwaltungsgerichts Berlin vom 28. Januar 2019 (AZ. VG 1 L 1.19), das bei Beschwerden nach der DS-GVO von Petitionen ausgeht, geht dabei zu weit. Ein eine Petition beantwortendes Schreiben wäre jedenfalls kein Verwaltungsakt im Sinne von § 42 VwGO (BVerwG, B.v. 1.9.1976 - VII B 101.75 -, juris; unstreitig, keine unmittelbare rechtliche Außenwirkung, sondern nur die tatsächliche Erfüllung der Verpflichtung aus Art. 17 GG; kein Gebot der Möglichkeit einer Anfechtungsklage aus Art. 19 Abs. 4 Satz 1 GG). Nach der DS-GVO indes hat der Bürger nicht nur einen Anspruch auf Verbescheidung, sondern ggf. einen Anspruch auf Einschreiten der Aufsichtsbehörde (bei Ermessenreduzierung auf Null, sonst Anspruch auf fehlerfreie Ermessensausübung), die aufgrund Art. 58 DS-GVO umfassende Eingriffskompetenzen hat (i.d.R. im Gegensatz zum Petitionsadressaten). Das Schreiben des Beklagten vom 21. Januar 2019 ist nicht lediglich die Beantwortung einer Petition.

1.3. Es besteht für den Kläger eine Klagebefugnis aus Art. 78 Abs. 1 DS-GVO gegen die Zurückweisung der Beschwerde des Klägers nach Art. 77 DS-GVO. Der Kläger ist ebenso klagebefugt im Sinne des § 42 Abs. 2 VwGO, denn § 42 Abs. 2 VwGO ist für die Klagebefugnis nach herrschender Ansicht analog auf die Leistungsklage anzuwenden, da die Rechtsweggarantie des Art. 19 Abs. 4 GG dann greift, wenn ein Bürger durch die öffentliche Gewalt in seinen subjektiven Rechten verletzt ist. Es ist aber fragwürdig, ob neben Art. 78 DS-GVO (Unionsrecht mit Anwendungsvorrang) § 42 VwGO insoweit überhaupt noch anwendbar ist, da die Betroffenheit in subjektivöffentlichen Rechtspositionen eine namentlich deutsche Zulässigkeitsvoraussetzung für eine Klage darstellt. Da im Hinblick auf Maßnahmen des Art. 58 DS-GVO der Kläger aber auch im Hinblick auf § 42 VwGO möglicherweise in seinen Rechten tangiert sein könnte, wären auch die Voraussetzungen des § 42 VwGO erfüllt, so dass der Kläger jedenfalls klagebefugt ist.

1.4. Aufgrund des Vorliegens einer Leistungsklage war im gegebenen Verfahren keine Klagefrist zu wahren. Die auf eine Monatsfrist hinweisende Rechtsbehelfsbelehrung:in der Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist insofern unrichtig.

1.5. Gemäß § 20 Abs. 5 Satz 1 BDSG sind die Beteiligten eines Verfahrens nach § 20 Abs. 1 Satz 1 BDSG die natürliche Person als Kläger sowie die Aufsichtsbehörde als Beklagter. Der Kläger ist Beteiligter gemäß § 20 Abs. 5 Satz 1 Nr. 1 BDSG. Beklagter ist das Bayerische Landesamt … … Zwar wäre gemäß § 78 Abs. 1 Nr. 1 VwGO die Klage gegen den Rechtsträger des Landesamtes zu richten, hier also gegen den Freistaat Bayern. Vorrangig vor § 78 VwGO ist aber § 20 Abs. 5 Satz 1 Nr. 2 BDSG als lex specialis, wonach die Aufsichtsbehörde direkt als Beklagte beteiligt ist. Mithin liegt eine unionsrechtlich durch die Selbstständigkeit der Aufsichtsbehörde bedingte abweichende bundesrechtliche Spezialregelung vor (so auch Mundil, in BeckOK, Datenschutzrecht, Wolff/Brink, 28. Edition, 1.5.2018, Rn. 5 zu § 20 BDSG, Lapp, in Gola/Heckmann, BDSG, Kommentar, 13. Auflage 2019, Rn 12 zu § 20 BDSG, Bergt in Kühling/Buchner, DS-GVO, BDSG, 2. Auflage 2018, Rn 10 zu § 20 BDSG, a. A. wohl nur Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Auflage 2018, Rn. 10 zu § 20 BDSG, ohne Begründung hierfür). Die hier zum Ausdruck kommende unionsrechtlich vorgegebene Selbstständigkeit der Aufsichtsbehörde würde im Übrigen, falls es sich beim Schreiben vom 21. Januar 2019 um einen Verwaltungsakt gehandelt hätte, dazu führen, dass gem. § 20 Abs. 6 BDSG kein Vorverfahren stattfindet.

1.6. Im vorliegenden Fall hat das Gericht von einer Beiladung der Kreissparkasse … … … abgesehen. § 20 Abs. 5 BDSG bestimmt, dass natürliche oder juristische Personen Kläger oder Antragsteller (§ 20 Abs. 5 Satz 1 Nummer 1 BDSG) sind und die Aufsichtsbehörden Beklagte oder Antraggegner (§ 20 Abs. 5 Satz 1 Nummer 2 BDSG). In § 20 Abs. 5 Satz 2 BDSG ist aber festgelegt, dass § 63 Nummer 3 und 4 VwGO nicht tangiert wird, was zur Folge hat, dass Beiladungen möglich sind. Zwar ist der Zweck einer Beiladung der der Prozessökonomie und Rechtseinheitlichkeit, wobei hier durch die Schaffung verwaltungsrechtlicher Rechtsbehelfe in den Art. 78 DS-GVO und gleichzeitig der Möglichkeit, gegen den Verantwortlichen selbst gerichtlich vorzugehen, die Existenz sich widersprechender gerichtlicher Entscheidungen für denselben Sachverhalt vom Normgeber in Kauf genommen wird. Der Prozess des Betroffenen gegen die Aufsichtsbehörde, der Prozess ggf. des Verantwortlichen (hier wäre das die Kreissparkasse … … …) gegen die Aufsichtsbehörde sowie der Prozess des Betroffenen gegen den Verantwortlichen haben unterschiedliche Streitgegenstände, da zum Beispiel der Klageantrag gegen die Aufsichtsbehörde aufgrund des weiten Entschließungs- und Auswahlermessens der Aufsichtsbehörde normalerweise nur auf ein aufsichtliches Einschreiten - wie hier - gerichtet ist, wohingegen regelmäßig ein Anfechtungsantrag im Prozess des Verantwortlichen gegen eine Anordnung der Aufsichtsbehörde eine ganz konkrete Maßnahme betrifft.

Es liegt hier kein Fall der notwendigen Beiladung im Sinne des § 65 Abs. 2 VwGO vor, da der für eine notwendige Beiladung erforderliche unmittelbare Eingriff in die Rechtsposition der Kreissparkasse … … … nicht schon durch eine gerichtliche Verpflichtung des Beklagten zum aufsichtlichen Einschreiten gegeben wäre, sondern erst durch dieses Einschreiten selbst, also die Umsetzung durch die Aufsichtsbehörde, die Kreissparkasse … … … unmittelbar betroffen wäre. Die Kreissparkasse … … … ist deshalb an dem streitigen Rechtsverhältnis zwischen dem Kläger und dem Beklagten nicht derart beteiligt, dass die Entscheidung darüber auch ihr gegenüber nur einheitlich ergehen kann, wie § 65 Abs. 2 VwGO es fordert. Vergleichbar ist dies etwa mit der Verpflichtungsklage eines Bauherrn gegen die Bauaufsichtsbehörde auf Einschreiten gegen den Nachbarn, wo gefestigter Rechtsprechung zufolge der Nachbar nicht notwendig beizuladen ist, auch falls er bereits gegen das Bauvorhaben im Verwaltungsverfahren Einwendungen erhoben haben sollte (vgl. statt vieler BVerwG, B.v. 20.5.1992 - 1 B 22.92 -, NVwZ-RR 1993, 18).

Die tatbestandlichen Voraussetzungen einer einfachen Beiladung im Sinne des § 65 Abs. 1 VwGO sind allerdings gegeben, da hier rechtliche Interessen der Kreissparkasse … … … tangiert werden können, und sich die Entscheidung in dieser Verwaltungsstreitsache auf die rechtlichen Interessen der Kreissparkasse auswirken kann. Das Gericht sah von einer Beiladung, die im Ermessen des Gerichts steht, ab, da zum einen beide Beteiligte (Kläger und Beklagter) in der mündlichen Verhandlung eine Beiladung der Kreissparkasse … … … abgelehnt haben, da das Gericht die mögliche Verletzung von Rechten der Kreissparkasse ohnehin von Amts wegen zu prüfen hatte und prüfte, und vor allen Dingen, weil das Gericht in keinem Stadium des Verfahrens davon auszugehen hatte, dass der Beklagte zu einer Maßnahme i.S.d. Art. 58 DS-GVO gegen die Kreissparkasse … … … zu verurteilen ist.

1.7. Die Zuständigkeit des Verwaltungsgerichts Ansbach ergibt sich sachlich aus § 45 VwGO und örtlich aus § 20 Abs. 3 BDSG als Sondervorschrift zu § 52 VwGO. Gemäß § 20 Abs. 3 BDSG (vgl. auch Art. 78 Abs. 3 DS-GVO) ist für Verfahren nach § 20 Abs. 1 Satz 1 BDSG - wie hier - das Verwaltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat, mithin das Verwaltungsgericht Ansbach.

2. Die zulässige Klage ist unbegründet, da der Kläger weder einen Anspruch gegen den Beklagten auf weitere Befassung und Überprüfung seiner Beschwerde nach Art. 78 Abs. 2 DS-GVO i.V.m. Art. 57 DS-GVO hat noch einen Anspruch auf aufsichtliches Einschreiten des Beklagten gegenüber der Kreissparkasse … … … gemäß Art. 58 DS-GVO.

2.1. Der Aufgabenbereich des Art. 57 DS-GVO ist eröffnet. Der Beklagte hat gemäß Art. 78 Abs. 2 DS-GVO in Verbindung mit Art. 57 Abs. 1 Buchst. f DS-GVO die Beschwerde des Klägers in angemessenem Umfang geprüft und dem Kläger rechtzeitig Bescheid gegeben. Ein darüber hinaus gehender Anspruch des Klägers ist nicht ersichtlich.

Mit dem Bayerischen Landesamt … hat die zuständige Datenschutzaufsichtsbehörde gehandelt. Der Anwendungsbereich der DS-GVO war eröffnet. Die Kreissparkasse … … … war sog. Verantwortlicher im Rahmen der Verarbeitung und Speicherung personenbezogener Daten des Klägers (Art. 4 Nr. 2 DS-GVO) im Rahmen einer seit dem Jahre 1985 währenden Geschäftsbeziehung. Es handelt sich durchweg auch um personenbezogene Daten des Klägers, Art. 4 Nr. 1 DS-GVO. In diese Datenverarbeitung und -speicherung hatte der Kläger eingewilligt, Art. 6 Abs. 1 Satz 1 DS-GVO (vgl. Art. 7 und Art. 4 Nr. 11 DSGVO). Die Einwilligung war freiwillig.

Art. 57 Absatz 1 Buchst. a und f DS-GVO, wonach der Beklagte die Anwendung dieser Verordnung überwachen und durchsetzen muss sowie sich mit Beschwerden einer betroffenen Person befassen muss, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten muss, wurde vom Beklagten nach Überzeugung des Gerichts beachtet. Zwar können sich aus Art. 57 DS-GVO allein, einer reinen Aufgabennorm, keine subjektivöffentlichen Rechte des Betroffenen ergeben. Art. 57 Abs. 1 Buchst f DS-GVO ist ausschließlich an die Aufsichtsbehörde gerichtet und schafft per se keine subjektivöffentlichen Rechte der Betroffenen. Die Untersuchungspflicht des Art. 57 Abs. 1 Buchst. f DS-GVO ist aber im Gesamtzusammenhang der DS-GVO von hohem Gewicht. Art. 57 Abs. 1 Buchst. f DS-GVO enthält dezidierte Vorgaben zum Verfahren und dessen Umfang, die über Art. 78 Abs. 2 DSGVO zu einem Rechtsanspruch des Betroffenen führen können (so wohl auch Kühling/Buchner/Boehm, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 12: „dem Bestehen eines Rechtsanspruchs ähnlich“, „weil die Vorschrift im Zusammenhang mit Art. 78 Abs. 2“ zu sehen ist), demzufolge jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn die nach den Art. 55 f. DS-GVO zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Art. 77 DS-GVO erhobenen Beschwerde in Kenntnis gesetzt hat. Gemäß Art. 57 Abs. 1 Buchst. f DS-GVO hat der Beklagte den Kläger innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung mit Schreiben vom 21. Januar 2019 unterrichtet, und zwar unter Beachtung von Art. 78 Abs. 2 DS-GVO, wonach der Beschwerdeführer spätestens innerhalb von drei Monaten über den Sachstand informiert werden muss.

Die Unterscheidung der DS-GVO von Aufgabennorm, Art. 57 DS-GVO, und Befugnisnorm, Art. 58 DS-GVO, ähnelt der Aufteilung im Sicherheits- und Polizeirecht. Im Bereich der DS-GVO besteht aber eine Besonderheit: Art. 57 DS-GVO, der ohnehin nicht abschließend Aufgaben normiert (vgl. Art. 57 Abs. 1 Buchst. v) ist in seiner Umfassendheit zum Beispiel nicht vergleichbar mit Art. 2 Bayerisches Polizeiaufgabengesetz (BayPAG), weil er bei der Aufgabenzuweisung dezidiert auf eine „Angemessenheit“ abstellt. Die Behandlung von individuellen Beschwerden wie hier ist unionsrechtlich restriktiv geregelt (vgl. auch Erwägungsgrund 141 Satz 2 zur DSGVO). Zwar ist es eine der vorrangigsten Aufgaben des Beklagten, Beschwerden von Betroffenen nach Art. 77 DS-GVO zu bearbeiten, zumal für die Aufsichtsbehörden (ähnlich wie für die Polizei) Hinweise und Beschwerden von Bürgern zur Erfüllung ihrer Aufgaben unverzichtbar sind. Allerdings nimmt Art. 57 Abs. 1 Buchst. f DS-GVO unzweifelhaft mit der Formulierung „in angemessenem Umfang“ auf die Ressourcen und Möglichkeiten der Aufsichtsbehörden Rücksicht. Die Angemessenheit der Untersuchung richtet sich auch nach der Schwere des Eingriffs in Rechte des Betroffenen.

2.2. Der Kläger hat keinen Anspruch auf behördliches Einschreiten nach Art. 58 DS-GVO. Ein solches scheidet bereits deshalb aus, weil sich nach Befassung und Prüfung im Rahmen des Art. 57 DS-GVO keine Anhaltspunkte ergeben haben, die ein Einschreiten nach Art. 58 DS-GVO nahelegten. Ein Datenschutzrechtsverstoß des Verantwortlichen hat sich nicht aufgedrängt. Die Abschlussmitteilung des Beklagten vom 21. Januar 2019 ist damit inhaltlich nicht zu beanstanden.

Art. 58 DS-GVO regelt das Verhältnis Aufsichtsbehörde zu Datenverantwortlichem. Ein Anspruch auf aufsichtliches Einschreiten des Betroffenen ist ähnlich wie im Sicherheits- und Polizeirecht (vgl. BVerwGE 11, 95, 97) grundsätzlich anzuerkennen, jedoch nur im Falle einer (möglichen) Verletzung von eigenen Rechten sowie (kumulativ) einer Reduktion des Ermessens auf Null, so dass mithin allenfalls regelmäßig nur ein subjektivöffentliches Recht auf fehlerfreie Ermessensausübung besteht.

Neben dem Auswahlermessen besteht für den Beklagten auch hinsichtlich des Entschlusses zum Tätigwerden ein Entschließungsermessen (vgl. das Wort „gestattet“ in Art. 58 Abs. 1 und 2 DS-GVO). Zwar sieht Art. 58 Abs. 2 DS-GVO ein Bündel verschiedener, zum Teil weitreichender Maßnahmen vor, das dem Beklagten zu Gebote steht. Die Aufsichtsbehörde entscheidet dann, ob sie beispielsweise von dem Verantwortlichen gemäß Art. 58 Abs. 1 Buchst. a eine Stellungnahme einfordert, eine Kontrolle vor Ort gemäß Art. 58 Abs. 1 Buchst. f vornimmt, oder wie hier über den Sachverhalt bereits aufgrund der vom Kläger vorgelegten Informationen und Abschriften entscheidet. Der Kläger hat grundsätzlich einen Anspruch auf Wahrung des Transparenzgebotes des Art. 12 DS-GVO, auf Auskunft gemäß Art. 15 DS-GVO, darauf, dass gemäß Art. 5 Abs. 1 Buchst. a DS-GVO seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden.

Der Kläger hätte im Übrigen selbst bei Vorliegen eines festgestellten oder wahrscheinlichen Verstoßes gegen die DS-GVO indes nur einen Anspruch auf fehlerfreie Ermessensausübung hinsichtlich einer Maßnahme des Beklagten nach Art. 58 DS-GVO, aber keinen Anspruch auf bestimmte aufsichtsrechtliche Maßnahmen gegen die Kreissparkasse (so auch Gola/Nguyen, DS-GVO, 2. Aufl. 2018, Art. 57 Rn. 10 m.w.N.; außer im Fall der Ermessensreduzierung auf Null), wobei dann im Rahmen des Art. 58 DS-GVO die Aufsichtsbehörde wie erwähnt ein weites Entschließungs- und Auswahlermessen hat und Art. 58 Abs. 2 DS-GVO mit den unterschiedlich gestuften Maßnahmen dem Grundsatz der Verhältnismäßigkeit gerecht wird (vgl. Art. 58 Abs. 2 Buchst. a, b, d als mildere Maßnahmen im Vergleich zu Art. 58 Abs. 2 Buchst. f DS-GVO, so Ingold JuS 2018, 1214, 1217).

Eine Ermessensreduktion auf Null kommt nur in Betracht, wenn ein Datenschutzrechtsverstoß naheliegt bzw. sich aufdrängen muss, d.h. es müssen Tatsachen vorliegen, die einen Verstoß gegen datenschutzrechtliche Vorschriften als wahrscheinlich erscheinen lassen und wenn dieser Verstoß von einer Schwere ist, die ein Einschreiten der Aufsichtsbehörde als erforderlich erscheinen lässt. Vor dem Hintergrund dieses Maßstabes ist hier von keinem Anspruch auf Einschreiten nach Art. 58 DS-GVO auszugehen: Die Einwände des Klägers gegen die Vorgehensweise des Beklagten in den Schriftsätzen sowie in der mündlichen Verhandlung greifen in der Sache nicht durch. Die Kreissparkasse … … … hat ausführlich auf die Anfragen des Klägers reagiert, alle erdenklichen Auskünfte erteilt und ebenso ihre Bereitschaft zu weiteren Auskünften zugesagt. Daher ist es nicht so, dass der Kläger, wie behauptet, seine Daten nicht vollständig erhält. Auf seine Bitte um eine Vervollständigung der Auskunft vom 30. Juli 2017 hat die Kreissparkasse … … … ihm mit Schreiben vom 2. Oktober 2018 wunschgemäß weitere Angaben gemacht, wobei die Auskunft vom 30. Juli 2018 bereits den gesetzlichen Anforderungen genügte. Es ist nicht erkennbar, worin hier ein Verstoß gegen das Transparenzgebot des Art. 12 DS-GVO vorliegen sollte. Die Vorgehensweise und Praxis der Kreissparkasse … … … entsprechen dem Erwägungsgrund 39 zur DS-GVO, da die Verarbeitung personenbezogener Daten des Klägers rechtmäßig und nach Treu und Glauben erfolgte sowie die Auskunft an den Kläger gemäß Art. 15 DS-GVO korrekt war. Gemäß Art. 5 Abs. 1 Buchst. a DS-GVO sind seine personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet worden. Die falsche Berufsbezeichnung des Klägers wurde seitens der Kreissparkasse in Anwendung von Art. 5 Abs. 1 Buchst. d DS-GVO sofort berichtigt. Die Abspeicherung des abgelaufenen Passes des Klägers von 1988, der bei Begründung des Vertragsverhältnisses 1985 die gültige, vom Kläger vorgelegte, Legitimation war, ist insbesondere kein Verstoß gegen Art. 15 Abs. 1 Buchst. d DS-GVO, sondern gerechtfertigt durch Art. 17 Abs. 1 Buchst. a DS-GVO, da die Kreissparkasse … … … zum Zugang des Klägers auf seine Daten dessen Legitimationsgrundlage verfügbar haben muss(te). Nichts anderes ergibt sich aus dem Erwägungsgrund 39 zur DS-GVO. Es ist auch nicht notwendig, dass die Kreissparkasse … … … durch ihre eigenen Bediensteten Kenntnisse von der Verarbeitung von elektronischen Kundenunterschriften hat. Es ist üblich und datenschutzrechtlich sowohl korrekt als auch unbedenklich, wenn sich Unternehmen weiterer Dienstleistungen Dritter bedienen, solange sie datenschutzrechtlich - wie hier - die Datensicherheit gewährleisten können; zumindest bestehen für eine gegenteilige Annahme keinerlei Anhaltspunkte."


Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


SG Frankfurt (Oder): Betroffener hat mangels Anspruchsgrundlage in DSGVO gegen Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahme bei Verstoß gegen DSGVO

SG Frankfurt (Oder)
Gerichtsbescheid vom 08.05.2019
S 49 SF 8/19


Das SG Frankfurt (Oder) hat entschieden, dass ein Betroffener mangels Anspruchsgrundlage in der DSGVO gegen die zuständige Datenschutzbehörde keinen Anspruch auf Vornahme bestimmter Maßnahmen bei einem Verstoß gegen die Vorgaben der DSGVO hat. Art. 77 DSGVO sieht lediglich ein Beschwerderecht vor.

Aus den Entscheidungsgründen:

"Die Kammer durfte ohne mündliche Verhandlung durch Gerichtsbescheid gemäß § 105 SGG entscheiden, weil die Sache keine besonderen Schwierigkeiten tatsächlicher oder rechtlicher Art aufweist und der Sachverhalt geklärt ist. Die Beteiligten hatten Gelegenheit, sich zu dieser Entscheidungsform zu äußern.

Die Klage ist bereits unzulässig, denn für das Begehren der Kläger fehlt es ungeachtet der Frage, ob hierfür das Sozialgericht funktional zuständig ist, an jedweder Anspruchsgrundlage.

Weder aus den Vorschriften des Sozialrechts (§§ 25, 83 SGB X) noch insbesondere aus der Datenschutz-Grundverordnung ist ein individueller Anspruch eines Bürgers gegen den Beklagten auf die Vornahme einer bestimmten Maßnahme herleitbar.

Zwar besteht aus Art 78 Absatz 2 DSGVO ein Klagerecht dem Grunde nach. Im Falle einer Beschwerde bei dem Beklagten nach § 77 DSGVO ist der Klagegrund indes beschränkt darauf, dass der Beklagte länger als drei Monate untätig geblieben sei mit der Mitteilung über das Ergebnis der Beschwerde. Dies ist hier jedoch weder Klagegegenstand, noch liegt oder lag eine dahingehende Untätigkeit vor.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn diese der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen die DSGVO verstößt. Der Beklagte ist aufgrund dieser Vorschrift alleine verpflichtet, sich mit einer Beschwerde zu befassen, soweit sie nicht offensichtlich unbegründet oder exzessiv ist und den Gegenstand der Beschwerde zu untersuchen und den Beschwerdeführer über den Fortgang und das Ergebnis der Untersuchung zu unterrichten. Eine weitergehende Verpflichtung besteht grundsätzlich nicht. In der Rechtsprechung wird daher das Beschwerderecht nach Art 77 DSGVO als Petitionsrecht verstanden, vgl. Beschluss des VG Berlin vom 28.01.2019, Az: VG 1 L 1.19.

Diesem Anspruch ist der Beklagte vollumfänglich nachgekommen. Eine Verurteilung zu einer aufsichtsrechtlichen Maßnahme gegen das Jobcenter kann das Gericht den Beklagten nicht verurteilen. Dies ist aus der DSGVO nicht herleitbar.

Auf das weitere Vorbringen der Kläger kommt es daher nicht an.

Die Kostenentscheidung beruht auf § 193 SGG.

Der Streitwert für das Verfahren - da es sich nicht um ein privilegiertes Verfahren handelt, § 197a SGG - wird auf 5.000,00 € festgesetzt."


Den Volltext der Entscheidung finden Sie hier:



BfDI und Berliner Datenschutzbeauftragte: Personenbezogenes Webtracking nur mit Einwilligung - Cookie-Banner die lediglich auf Einsatz von Google Analytics und Co. hinweisen genügen nicht

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Berliner Beauftragte für Datenschutz und Informationsfreiheit haben nochmals ihre Ansicht bekräftigt, dass personenbezogenes Webtracking nur mit ausdrücklicher Einwilligung zulässig ist und es nicht genügt, wenn in einem Cookie-Banner auf den Einsatz hingewiesen wird.

Die Pressemitteilung des BfDI:

Personenbezogenes Webtracking nur mit Einwilligung

Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben.


Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Datenschutzbeauftragte: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar

Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt Google Analytics, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont.

Bereits im Frühjahr haben die Datenschutz-Aufsichtsbehörden die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht und im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Webseiten-Besucherinnen und -Besuchern zulässig ist. Trotzdem erhält die Berliner Datenschutzbeauftragte weiterhin eine Vielzahl von Beschwerden über Websites, die die Orientierungshilfe missachten.

Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürfen danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden kann es demgegenüber, wenn eine Webseiten-Betreiberin eine Reichweitenerfassung durchführt und dafür die Zahl der Besucherinnen und Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter darf allerdings die Daten nicht zu eigenen Zwecken verwenden, wie es sich mittlerweile der Anbieter von Google Analytics vorbehält.

Maja Smoltczyk:
„Viele Webseiten-Betreiber berufen sich bei der Einbindung von Google Analytics auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die Google Analytics einsetzen. Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.

Webseiten-Betreiber in Berlin sollten ihre Webseite umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der konkreten Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 20192 ausdrücklich bestätigt.“

Was eine wirksame Einwilligung ist, wird in Artikel 4 Nummer 11 der DatenschutzGrundverordnung (DSGVO) definiert. Danach ist eine „‘Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO sind Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher nicht als Einwilligung anzusehen.

Maja Smoltczyk:
„Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

OVG Saarloius: Datenschutzverstoß durch Speicherung allgemein zugänglicher Daten wenn diese für unerlaubte Telefonwerbung genutzt werden sollen

OVG Saarlouis
Beschluß vom 10.09.2019
2 A 174/18


Das OVG Saarloius hat entschieden, dass ein Datenschutzverstoß vorliegt, wenn allgemein zugängliche Daten gespeichert werden und die Daten für unerlaubte Telefonwerbung genutzt werden sollen. Die Normen der DSGVO wandte das Gericht nicht an, da die streitgegenständliche behördlichen Verfügung vor Inkrafttreten der DSGVO erging.

Aus den Entscheidungsgründen:

Zu Recht hat das Verwaltungsgericht angenommen, dass die auf § 38 Abs. 5 Satz 2 BDSG i.V.m. § 35 Abs. 2 Nr. 1 BDSG in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 25.2.2015 (BGBl. I S. 162), gestützte Anordnung des Beklagten vom 10.1.2017 rechtmäßig ist, weil die Geschäftspraxis der Klägerin, zwecks telefonischer Werbeansprachen die aus allgemein zugänglichen Verzeichnissen erhobenen Praxisdaten zu speichern und zu nutzen, im Falle inhabergeführter Einzelzahnarztpraxen gegen das Bundesdatenschutzgesetz verstößt.

Die Klägerin kann sich zur Begründung der von ihr behaupteten ernstlichen Zweifeln an der Richtigkeit der erstinstanzlichen Entscheidung nicht mit Erfolg darauf berufen, dass die Entscheidung des Verwaltungsgerichts auf der Basis des Bundesdatenschutzgesetzes (a.F.) der Rechtslage mit Blick auf die am 25.5.2018 – wenige Wochen nach der mündlichen Verhandlung – in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) nicht gerecht werde und das Gericht daher eine „nutzlose Entscheidung“ getroffen habe. Die Klägerin beruft sich – im Wesentlichen unter Wiederholung des erstinstanzlichen Vorbringens – darauf, dass sich die Erfahrungswerte der bisherigen Praxis nur begrenzt auf die Regelungen in der DS-GVO übertragen ließen. Durch die DS-GVO sei es zu einer spürbaren Akzentverschiebung im Vergleich zur alten Rechtslage nach dem BDSG gekommen. Die Interessenabwägung in Artikel 6 Abs. 1f DS-GVO erfolge nach einem anderen Maßstab, da nun auf andere Leitlinien zurückgegriffen werden werde. Das Interesse des Verantwortlichen an der Durchführung von Direktwerbung werde durch den Normgeber als „berechtigtes Interesse“ anerkannt, anders als es bei Anwendbarkeit des BDSG gewesen sei. Im Erwägungsgrund 47 zu Artikel 6 DS-GVO sei explizit das Interesse des Verantwortlichen an der Durchführung einer „Direktwerbung“ genannt. Damit sei klar, dass die werbliche Datennutzung als besonders wichtiger Anwendungsfall eines berechtigten Interesses anzusehen sei.

Diese allgemeinen Ausführungen der Klägerin beinhalten keine ausreichenden Gründe, die eine Berufungszulassung nach § 124 Abs. 2 Nr. 1 VwGO rechtfertigen. Das Verwaltungsgericht hat bei der rechtlichen Beurteilung der Anordnung des Beklagten vom 10.1.2017 in seinem Urteil vom 9.3.2018 zutreffend das bis zum 24.5.2018 geltende Bundesdatenschutzrecht für maßgeblich gehalten. Die von der Klägerin reklamierte Beurteilung der angefochtenen Verfügung des Beklagten vom 10.1.2017 am Maßstab der Rechtslage aufgrund der ab 25.5.2018 maßgeblichen Datenschutz-Grundverordnung kam nicht in Betracht. Maßgeblicher Zeitpunkt für die gerichtliche Beurteilung der auf § 38 Abs. 5 Satz 2 BDSG a.F. beruhenden Anordnung des Beklagten ist, da gegen diese Entscheidungen kein Widerspruchsverfahren stattfindet (vgl. § 28a SDSG i. d. Fassung der Bekanntmachung vom 28.1.2008; Amtsbl. S. 293), der Zeitpunkt des Erlasses der streitgegenständlichen Verfügung des Beklagten. Das Bundesverwaltungsgericht(Urteil vom 27.3.2019 - 6 C 2/18 - (Videoüberwachungen zu privaten Zwecken); NVwZ 2019, 1126 - 1132; zitiert nach juris) hat entschieden, dass die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 Satz 1 BDSG a.F. nach der Rechtslage zu beurteilen ist, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt und nachträgliche Rechtsänderungen nicht zu berücksichtigen sind. Das Bundesverwaltungsgericht hat weiter ausgeführt, diese Bestimmung eröffne der Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht einen Ermessensspielraum für das daran anknüpfende Vorgehen. Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung beziehe sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergebe. Für eine Ermessensentscheidung sei kennzeichnend, dass die Behörde zwischen mehreren rechtlich zulässigen, weil von der Bandbreite des Ermessensspielraums gedeckten Handlungsalternativen wählen könne. Die Verwaltungsgerichte prüften diese Auswahlentscheidungen nur eingeschränkt nach Maßgabe des § 114 Satz 1 VwGO nach. Insbesondere seien sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließe es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen habe einbeziehen können, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorgelegen hätten(BVerwG, Urteile vom 20.5.1980 - 1 C 82.76 - BVerwGE 60, 133 <136> und vom 6.4.1989 - 1 C 70.86 - BVerwGE 81, 356 <358>; BFH, Urteil vom 26.3.1991 - VII R 66/90 - BFHE 164, 7 <9>)). Vielmehr habe sich die Ermessensausübung zur Bestimmung der dem Verantwortlichen als Beseitigungsmaßnahme aufzuerlegenden Handlungs- oder Unterlassungspflichten an der Art des datenschutzrechtlichen Verstoßes zu orientieren. Ungeachtet des Umstands, dass sich die im konkreten vom Bundesverwaltungsgericht entschiedenen Fall der dortigen Klägerin aufgegebenen Handlungsgebote ständig aktualisierten, weil damit die Verpflichtung einhergehe, den neu geschaffenen Zustand auf Dauer beizubehalten, seien derartige Maßnahmen gemäß § 38 Abs. 5 Satz 1 BDSG a.F. nach demjenigen Recht zu beurteilen, das zum Zeitpunkt der letzten Behördenentscheidung gegolten habe. Es hätte deutlicher Hinweise in der Datenschutz-Grundverordnung für die Annahme bedurft, dass der Normgeber der Europäischen Union nicht nur ein einheitliches unionsrechtliches Datenschutzrecht für die Zukunft geschaffen, sondern darüber hinaus bestimmt habe, dass datenschutzrechtliche Entscheidungen, die die Aufsichtsbehörden noch nach dem nationalen Datenschutzrecht getroffen hätten, rückwirkend an den anderen Strukturen der Datenschutz-Grundverordnung zu messen seien. Derartige Hinweise enthielten weder der Text der Datenschutz-Grundverordnung noch die Erwägungsgründe. Vielmehr bestimme Art. 96 DS-GVO die Fortgeltung der vor dem 24.5.2016 geschlossenen Übereinkünfte der Mitgliedstaaten mit Drittstaaten und internationalen Organisationen über die Übermittlung personenbezogener Daten.

Diese vom Bundesverwaltungsgericht dargelegten Grundsätze beanspruchen auch im vorliegenden Fall Geltung, denn sowohl Anordnungen nach § 38 Abs. 5 Satz 1 BDSG als auch Anordnungen nach § 38 Abs. 5 Satz 2 BDSG, wonach bei schwerwiegenden Verstößen oder Mängeln die Erhebung, Verarbeitung oder Nutzung oder der Einsatz einzelner Verfahren untersagt werden kann, wenn die Verstöße oder Mängel nicht in angemessener Zeit beseitigt werden, stehen gleichermaßen im Ermessen der zuständigen Aufsichtsbehörde. Dass in Bezug auf die von dem Beklagten herangezogenen Ermächtigungsgrundlage des § 38 Abs. 5 Satz 2 BDSG ausnahmsweise ein anderer rechtlicher Beurteilungszeitpunkt als bei der Vorschrift des § 38 Abs. 5 Satz 1 BDSG zugrunde zu legen wäre, erschließt sich dem Senat nicht. Die Rechtmäßigkeit der Anordnung des Beklagten ist demzufolge vom Verwaltungsgericht zutreffend nach Maßgabe des damals geltenden Bundesdatenschutzrechtes beurteilt worden. Der Einwand der Klägerin, die Entscheidung des erstinstanzlichen Gerichts könne wegen inzwischen geänderter Rechtslage keinen Bestand haben, verfängt daher nicht. Das Zulassungsvorbringen der Klägerin beschränkt sich im Weiteren auf die Subsumtion des Sachverhaltes unter Artikel 6 Abs. 1f DS-GVO und der danach zu treffenden Abwägungsentscheidung. Diese auf die Rechtslage bei Anwendung der DS-GVO bezogenen Ausführungen sind indessen nicht geeignet, die Entscheidung des Verwaltungsgerichts in Frage zu stellen, weil – was sich bereits aus dem Vorhergesagten ergibt – die Datenschutz-Grundverordnung nicht für die Beurteilung der Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße gilt, die die Behörden vor deren Geltungsbeginn auf der Grundlage des nationalen Rechts getroffen haben, und sie daher auf die Anordnung des Beklagten keine Anwendung findet. Ob die Werbeanrufe der Klägerin mit der Datenschutz-Grundverordnung im Einklang stehen, war daher vom Verwaltungsgericht im Rahmen der Anfechtungsklage nicht zu klären. Die Beantwortung dieser Frage setzt vielmehr zunächst eine eigenständige Prüfung seitens des Beklagten nach Maßgabe der §§ 49 ff. SVwVfG voraus, ob er die Anordnung für die Zukunft aufrechterhält(vgl. BVerwG, Urteil vom 27.3. 2019 - 6 C 2.18 - und Beschluss vom 9.7.2019 - 6 B 2/18 -; juris). Ernstliche Zweifel an der Richtigkeit der erstinstanzlichen Entscheidung bestehen nach Maßgabe des Zulassungsvorbringens demzufolge insoweit nicht.



Den Volltext der Entscheidung finden Sie hier:

BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflich

BVerwG
Urteil vom 11.09.2019
6 C 15.18


Das BVerwG hat entschieden, dass Datenschutzbehörden grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen können. Es besteht keine Verpflichtung primär gegen Facebook vorzugehen. Das BVerwG hat die Sache allerdings an die Vorinstanz zurückverwiesen, dass Datenverarbeitungsvorgänge erneut prüfen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 - BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 - C-210/16 - entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Urteil vom 11. September 2019 - BVerwG 6 C 15.18 -

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -

VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -


Siehe auch zum Thema EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich


Datenschutzkonferenz: Datenschutzkonforme Facebook-Fanpage nach wie vor nicht möglich - Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit veröffentlicht.

Nach wie vor kommen die Datenschützer zu dem Ergebnis, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich ist.


Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.


Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



OVG Münster: Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig soweit private Daten für Öffentlichkeit einsehbar

OVG Münster
Urteil vom 19.10.2017
16 A 770/17


Das OVG Münster hat entschieden, dass das Fahrerberwertungsportal fahrerbewertung.de datenschutzrechtlich unzulässig ist, soweit private Daten für Öffentlichkeit einsehbar sind. Insofern geht das Recht auf informationelle Selbstbestimmung der betroffenen Personen vor.

Die Pressemitteilung des OVG Münster:

Fahrerbewertungsportal muss geändert werden

Das Internetportal "www.fahrerbewertung.de" ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht ent­schieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.

Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteil­nehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Regist­rierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abge­gebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.

Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen ge­genüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhal­ten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichti­gen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbe­sondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Gel­tung der Anordnungen erreicht werden.

Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Da­gegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesver­waltungsgericht entscheidet.

Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)