Skip to content

BfDI: Bundesbeauftragter für Datenschutz hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt

Der Bundesbeauftragter für Datenschutz (BfDI) hat dem Bundespresseamt den Betrieb der Facebook Fanpage der Bundesregierung untersagt.

Die Pressemitteilung des BfDI:
BfDI untersagt Betrieb der Fanpage der Bundesregierung
Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.


OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH

OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13


Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.

Den Volltext der Entscheidung finden Sie hier:1

Aus den Entscheidungsgründen:

B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.

I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.

Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).

Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.

1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.

Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).

§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.

[...]

3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).

a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.

Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.

Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).

Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).

bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:

(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.

(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).

Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).

Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.

(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.

Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.

Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.




LG Frankfurt: Vereinsvorstand muss Administratorenrechte an Facebook-Seite an Verein herausgeben auch wenn diese unter Nutzung eines privaten Accounts erstellt wurde

LG Frankfurt
Urteil vom 24.07.2020
2-15 S 187/19


Das LG Frankfurt hat entschieden, dass das Vorstandsmitglied eines Vereins, welches für den Verein eine Facebook-Seite erstellt hat, nach § 27 Abs. 3 S. 1 i.V.m. § 667 BGB die Administratorenrechte an der Facebook-Seite an den Verein herausgeben muss, auch wenn die Facebook-Seite unter Nutzung des privaten Accounts eingerichtet wurde.

Aus den Entscheidungsgründen:

Dem Kläger stand, wie das Amtsgericht zu Recht und mit überzeugender Begründung angenommen hat, ein Anspruch gegen die Beklagte auf Herausgabe der Facebook-Seite zu, und zwar in der Weise wie beantragt, d.h. durch Übertragung der Administrationsrechte auf den von dem Kläger bezeichneten Mitglied seines Vorstands.

aa) Zu Recht hat das Amtsgericht diesen Anspruch auf § 27 Abs. 3 S. 1 i.V.m. § 667 BGB gestützt. Danach hat das Vorstandsmitglied eines Vereins wie ein Beauftragter dasjenige herauszugeben, was es zur Ausführung seines Amtes erhält oder daraus erlangt (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102). Die Herausgabepflicht erstreckt sich auf jeden erlangten Vorteil, einschließlich solcher Gegenstände, die der Beauftragte selbst hervorgebracht, d.h. angefertigt oder erworben hat (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 17).

Auch Online-Konten, beispielsweise ein Facebook-Account, zählen dazu, wenn sie in Ausübung des Amtes geschaffen worden sind (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 m.w.N.). Hiervon abzugrenzen sind privat genutzte, aber mit Bezügen zu dem Auftraggeber angelegte Facebook-Konten, die von der Herausgabepflicht dann ausgenommen sind, wenn sie einen substanziellen privaten Anteil aufweisen (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 21 unter Verweis auf AG Brandenburg, NZA-RR 2018, 364).

In Anwendung dieser Grundsätze sind Administrationsrechte an einer Facebook-Seite jedenfalls dann von der Herausgabepflicht umfasst, wenn ein Vorstandsmitglied, wenn auch systembedingt unter Nutzung eines privaten Accounts, im Auftrag des Vereins für diesen einen Facebook-Auftritt geschaffen hat.

bb) Um einen solchen Fall handelt es sich hier.

Dies ist in tatsächlicher Hinsicht freilich streitig. Das Amtsgericht hat aber zu Recht das wechselseitige Parteivorbringen, die vorgelegten Unterlagen und die Angaben der Beklagten im Rahmen ihrer persönlichen Anhörung in der Gesamtschau in diesem Sinne ausgewertet.

(1) Die genannten Angaben der Beklagten sprechen am stärksten für diese Wertung. Sie hat in der mündlichen Verhandlung vor dem Amtsgericht Folgendes erklärt: „Ich habe für den Verein die Facebook-Seite errichtet und habe meine Vorstandskollegen in der Sitzung darüber informiert. Da diese keine Ahnung von Facebook haben, haben sie mir vertraut und haben dem sozusagen zugestimmt“ (Sitzungsniederschrift vom 28.10.2019, S. 2; Bl. 455 R d.A.). Aus diesen Worten spricht das Verständnis, eine Tätigkeit in der Eigenschaft als Vorstandsmitglied ausgeübt zu haben. Inwieweit die Beklagte durch einen förmlichen Beschluss hiermit im engeren Sinne beauftragt wurde, ist nicht entscheidend. Denn § 27 Abs. 3 S. 1 verweist zwar auf das Auftragsrecht, setzt für Herausgabeansprüche aus § 667 BGB aber nicht voraus, dass das einzelne Vorstandsmitglied i.S.v. § 662 BGB beauftragt wurde, sondern allein, dass es aus der Ausübung seines Amtes etwas erlangt hat (vgl. BeckOGK/Segna, 01.07.2020, § 27 BGB Rn. 102).

Mit diesen Angaben hat die Beklagte eine zentrale Behauptung der Klägerseite wirksam zugestanden. Dass diese Behauptung in Widerspruch zu dem schriftsätzlichen Vorbringen steht, ist unschädlich, denn die Partei kann auch im Anwaltsprozess Tatsachen zugestehen, die ihr Anwalt vorher bestritten hatte (Zöller/Althammer, ZPO, 33. Aufl. 2020, § 85 Rn. 9).

(2) Dass die Facebook-Seite, zunächst von der Beklagten allein gepflegt, eine Seite des Vereins sein sollte und es nach ihrem Verständnis auch war, wird zusätzlich daran anschaulich, dass sämtliche Posts in der Wir-Form gehalten sind und vielfach auf diese oder andere Weise ausdrücklich auf Veranstaltungen des Vereins oder auf den Verein selbst hinweisen, z.B. am 23.10.2011: „Es ist wichtig, daß diese Seite bekannter wird. …“ (vgl. dazu und zu weiteren Beispielen Anlage K 11; Bl. 128 ff. d.A.).

(3) Ohne den Beweisantritten des Klägers zu Inhalt und Verlauf von Vorstandssitzungen nachgehen zu müssen, ergeben sich aus den vorgelegten Unterlagen weitere Hinweise darauf, dass es dem Verständnis sämtlicher Vorstandsmitglieder entsprach, dass es sich bei der Seite um den Facebook-Auftritt des Vereins handeln sollte, namentlich die Tagesordnung vom 06.01.2011 („Facebook-Bearbeitung X…“; Anlage K 10; Bl. 127 d.A.) und die Verweise auf die Facebook-Seite in dem Flyer des Vereins (Anlage K 12; Bl. 400 f. d.A.) und in der von der Beklagten erstellten Vereinschronik (Anlage K 13; Bl. 402 f. d.A.).

(4) Auch die Äußerungen der Beklagten nach ihrem Ausscheiden aus dem Vorstand bilden ein wichtiges Indiz in diesem Sinne. So spricht sie im Jahr 2019 davon, auf Facebook eine „Vereinsseite“ eingerichtet zu haben (Anlage K 7; Bl. 66 f. d.A.) und von dem Wunsch, „mit der Facebook-Seite des Vereins“ jetzt nichts mehr zu tun zu haben (Anlage K 17; Bl. 407 d.A.), weil sie sich in die passive Mitgliedschaft zurückziehen wolle und kein Interesse mehr an der Kontrolle der Seite habe (Anlage K 16; Bl. 406 d.A.). Diese Äußerungen sind mit der Annahme, es habe sich bei der Seite um die eigene und private Seite der Beklagten gehandelt, unvereinbar.

Dass die Äußerungen aus dem Zusammenhang gerissen seien, wie die Beklagte pauschal vorträgt, ist bei der Lektüre der Äußerungen im Zusammenhang, wie er durch die vorgelegten Anlagen ermöglicht wird, nicht nachvollziehbar.

Es stimmt zwar, dass solche nachträglichen Äußerungen die rechtliche Qualifikation des damaligen Vorstandshandelns nicht beeinflussen können. Doch ergibt sich aus ihnen, dass die Beklagte nachträglich nicht in Zweifel zog, dass sie die Seite seinerzeit als Vorstandsmitglied für den Verein angelegt und betrieben hatte. Deshalb legen sie den Schluss sehr nahe, dass dem zu dem relevanten Zeitpunkt tatsächlich so war.

(5) Dass im Profil der Facebook-Seite zunächst nicht, wie von 2016 oder 2017 an, der Vereinsname erschien, sondern das Schlagwort „…“, ist unter diesen Umständen unschädlich.

Vielmehr ergibt sich aus der Umgestaltung der Seite ab 2016 ein weiteres Indiz dafür, dass es sich nach dem Verständnis aller Beteiligten um die Seite des Vereins handelte. Die Beklagte erklärt hierzu selbst, sie habe den stellvertretenden Vorsitzenden Y… „als Hilfsperson“ bei der Administration der Seite zugelassen, der nun ebenfalls dort gepostet, den Verein (ohne ihr Wissen) als Verantwortlichen in das Impressum aufgenommen und die Seite (was sie hingenommen habe) in „…“ umbenannt habe. Zunächst entspricht die Stellung, die Herr Y… damit übernahm, nicht derjenigen einer „Hilfsperson“. An anderer Stelle spricht die Beklagte auch zutreffender von der eines „Mitadministrators“. Vor allem aber wäre dann, wenn es sich nach dem Verständnis der Beklagten um ihre eigene private Facebook-Seite gehandelt hätte, nicht zu erwarten gewesen, dass die Beklagte einem Dritten diese Befugnisse einräumt und dessen Eingriffe in die Gestaltung einfach hinnimmt.

(6) Die Facebook-Seite „…“, auch wenn sie ebenfalls – ab dem Jahr 2018 – von dem Verein betrieben wurde, ändert an der Qualifikation der streitgegenständlichen Seite nichts. Jedenfalls ist es nicht so, dass diese neue Facebook-Seite die alte Facebook-Seite abgelöst hätte und der Verein eigene Posts nunmehr nur noch auf der neuen Seite eingestellt hätte. Da dem nicht so war, kann nicht der Schluss gezogen werden, es hätte nach der Vorstellung der Verantwortlichen des Klägers keine vereinseigene Seite existiert und diese sei mit der neuen Seite erst geschaffen worden.

cc) Datenschutzrechtliche Bedenken bestehen nicht. Es ist schon nicht ersichtlich, welche personenbezogenen Daten Dritter mit der Übertragung der Administrationsrechte den Verantwortlichen des Klägers bekannt werden könnten. Soweit dem aber so wäre, träte deren Schutz im Rahmen der Abwägung nach § 24 Abs. 1 Nr. 2 BDSG hinter das Informationsrecht des Anspruchsinhabers des Herausgabeanspruchs zurück (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 666 Rn. 17; BGH, NJW 2012, 58).

Der Verweis auf die EuGH-Entscheidung zur Verantwortlichkeit des Betreibers einer Facebook-Seite für die Verarbeitung personenbezogener Daten (EuZW 2018, 534) rechtfertigt keine andere Bewertung. Denn darin geht es um die von Facebook auf den Endgeräten der Besucher einer Seite gesetzten Cookies und die Möglichkeit der Seitenbetreiber, daraus anonymisierte statistische Daten betreffend die Nutzer dieser Seiten von Facebook erhalten. Hieraus kann sich eine Belehrungspflicht des Seitenbetreibers ergeben. Einem Betreiberwechsel steht diese Pflicht nicht entgegen.

dd) Der Anspruch war nicht verjährt. Die Verjährung des Herausgabeanspruchs beginnt mit seinem Fälligwerden zu laufen. Dieses ist hier auf das Ausscheiden aus dem Vorstand zu datieren (vgl. MüKoBGB/Schäfer, 8. Aufl. 2020, § 667 Rn. 23 zum Auftragsrecht).

c) In der Löschung der Facebookseite nach Klageerhebung, die dazu führte, dass die Seite unwiederbringlich verloren ist, liegt schließlich das erledigende Ereignis, welches die Klage unbegründet machte. Denn nunmehr ist die Herausgabe unmöglich und von der Beklagten deshalb nicht geschuldet (§ 275 BGB).

Den Volltext der Entscheidung finden Sie hier:

ArbG Lübeck: 1000 EURO Schadensersatz aus Art. 82 Abs. 1 DSGVO - Veröffentlichung eines Mitarbeiterfotos durch Arbeitgeber auf Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers

ArbG Lübeck
Beschluss vom 20.06.2019
1 Ca 538/19


Das ArbG Lübeck hat im Rahmen eines Prozesskostenhilfebeschlusses entschieden, dass bei Veröffentlichung eines Mitarbeiterfotos durch den Arbeitgeber auf der Facebook-Seite des Unternehmens ohne Einwilligung des Arbeitnehmers aus Art. 82 Abs. 1 DSGVO ein Anspruch auf Schadensersatz von bis zu 1.000,00 EURO bestehen kann.


Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen

BVerwG
Urteil vom 11.09.2019
6 C 15.18

Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.

Aus den Entscheidungsgründen:

"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).

1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).

Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.

§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.

Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.

2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.

a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).

Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.

b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).

3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.

a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.

b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).

c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.

4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).

a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.

b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).

Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.

c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.

d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.

Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.

5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).

Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."


Sie finden den Volltext der Entscheidung hier:


BVerfG: Bei Bewertung von Beiträgen auf Facebook-Seite als jugendgefährdend und etwaiger Verpflichtung zur Bestellung eines Jugendschutzbeauftragten muss Meinungsfreiheit beachtet werden

BVerfG
Beschluss vom 27. August 2019
1 BvR 811/17


Das Bundesverfassungsgericht hat entschieden, dass bei der Bewertung von Beiträgen auf einer Facebook-Seite als jugendgefährdend und einer etwaigen daraus folgenden Verpflichtung zur Bestellung eines Jugendschutzbeauftragten die Meinungsfreiheit beachtet werden muss.

Die Pressemitteilung des Bundesverfassungsgerichts:

Zu der Bedeutung der Meinungsfreiheit bei der Einschätzung einer Äußerung als „jugendgefährdend“ und der daran geknüpften bußgeldbewehrten Pflicht zur Bestellung eines Jugendschutzbeauftragten

Entscheidungen, die an die Bewertung einer durch Art. 5 Abs. 1 Satz 1 GG geschützten Äußerung als jugendgefährdend nachteilige Rechtsfolgen knüpfen, müssen der wertsetzenden Bedeutung des Grundrechts der Meinungsfreiheit Rechnung tragen. Diese Grundsätze sind auch dann zu beachten, wenn nicht die Meinungsäußerung selbst Gegenstand eines Verfahrens ist, sondern deren Bewertung ihrerseits Grundlage für eine weitere belastende staatliche Maßnahme wird. Soweit eine Einstufung von Äußerungen als „jugendgefährdend“ die Grundlage für die bußgeldbewehrte Pflicht zur Bestellung eines Jugendschutzbeauftragten bildet, muss im Rahmen der Verhältnismäßigkeitsprüfung auch berücksichtigt werden, welche Bedeutung eine solche Pflicht für die Möglichkeit der freien Meinungsäußerung der Betroffenen besitzt. Dies hat die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts mit heute veröffentlichtem Beschluss entschieden und einer Verfassungsbeschwerde eines Beschwerdeführers stattgegeben.

Sachverhalt:

Der Beschwerdeführer ist einer der Landesverbände der Nationaldemokratischen Partei Deutschlands (NPD) und unterhält eine allgemein zugängliche Facebook-Seite, auf der er eigene Texte zu politischen Themen einstellt und auf fremde Texte verlinkt. Zwischen November 2014 und Januar 2016 erstellte der Beschwerdeführer eine Vielzahl von kämpferischen Beiträgen zur Flüchtlingspolitik, die sowohl von Nutzerinnen und Nutzern als auch von dem Beschwerdeführer selbst mit grob herabsetzenden Kommentaren gegenüber Flüchtlingen versehen wurden. Aufgrund der Beiträge setzte die Landesmedienanstalt gegen den Beschwerdeführer eine Geldbuße fest. Der Beschwerdeführer habe einen Jugendschutzbeauftragten bestellen müssen, da er jugendgefährdende Angebote geschäftsmäßig über Telemedien zugänglich mache.

Auf den hiergegen gerichteten Einspruch stellte das Amtsgericht fest, dass es nicht darauf ankomme, ob die Beiträge tatsächlich volksverhetzenden Inhalt hätten. Die Jugendgefährdung folge schon aus den grob vereinfachten Darstellungen, Slogans und Kommentaren, die geeignet seien, zur undifferenzierten Ablehnung ganzer Bevölkerungsgruppen und aggressiver Feindseligkeit gegenüber religiösen und ethnischen Minderheiten beizutragen. Demnach habe der Beschwerdeführer einen Jugendschutzbeauftragten bestellen müssen; weil er dies versäumt habe, sei die verhängte Geldbuße rechtmäßig. Das Kammergericht verwarf die Rechtsbeschwerde als unbegründet. Mit seiner Verfassungsbeschwerde rügt der Beschwerdeführer unter anderem eine Verletzung seines Grundrechts auf Meinungsfreiheit aus Art. 5 Abs. 1 GG.

Wesentliche Erwägungen der Kammer:

I. Soweit der Beschwerdeführer rügt, durch die angegriffenen Entscheidungen in seiner Meinungsfreiheit aus Art. 5 Abs. 1 Satz 1 GG verletzt zu sein, ist die Verfassungsbeschwerde zulässig und begründet.

Politische Parteien sind Träger von Grundrechten, insbesondere der Meinungsfreiheit aus Art. 5 Abs. 1 GG. Gegenstand des Schutzbereichs sind Meinungen, das heißt durch das Element der Stellungnahme und des Dafürhaltens geprägte Äußerungen, ohne dass es dabei darauf ankäme, ob sie sich als wahr oder unwahr erweisen, ob sie begründet oder grundlos, emotional oder rational sind, als wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt werden. Daher fallen die beanstandeten Kommentare nicht schon deshalb aus dem Schutzbereich des Art. 5 Abs. 1 Satz 1 GG, weil sie sich gegen Minderheiten richten oder einen hetzerischen und möglicherweise offen rassistischen Gehalt aufweisen.

II. Das Grundrecht der Meinungsfreiheit ist nicht vorbehaltslos gewährt. Ein Eingriff in die Meinungsfreiheit bedarf aber immer der besonderen Rechtfertigung. So ist es erforderlich, dass Entscheidungen, die an die Bewertung einer durch Art. 5 Abs. 1 Satz 1 GG geschützten Äußerung als jugendgefährdend nachteilige Rechtsfolgen, wie die Pflicht zur Bestellung eines Jugendschutzbeauftragten, knüpfen, die wertsetzende Bedeutung des Grundrechts der Meinungsfreiheit berücksichtigen.

Diesen Anforderungen genügen die angegriffenen Entscheidungen nicht. Erforderlich ist eine nachvollziehbare Darlegung der einzelnen Subsumtionsschritte unter die Tatbestandsmerkmale der angewendeten Norm, in der sich die Fachgerichte mit der wertsetzenden Bedeutung der Meinungsfreiheit auseinandersetzen und insbesondere den hier in Frage stehenden Jugendschutz berücksichtigen. Das Gericht hat hingegen die Äußerungen nur pauschal als jugendgefährdend eingestuft, ohne einzelfallbezogen den Bedeutungsgehalt der beanstandeten Äußerungen in tragfähiger Weise zu ermitteln und die Meinungsfreiheit des Beschwerdeführers zu berücksichtigen. Insbesondere setzte es sich nicht in irgendeiner Weise mit der hier in Frage stehenden Sanktion - der Bestellung eines Jugendschutzbeauftragten - und deren Bedeutung und Eingriffsgewicht für Verantwortliche von Äußerungen in sozialen Netzwerken auseinander.


Den Volltext der Entscheidung finden Sie hier:



BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflich

BVerwG
Urteil vom 11.09.2019
6 C 15.18


Das BVerwG hat entschieden, dass Datenschutzbehörden grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen können. Es besteht keine Verpflichtung primär gegen Facebook vorzugehen. Das BVerwG hat die Sache allerdings an die Vorinstanz zurückverwiesen, dass Datenverarbeitungsvorgänge erneut prüfen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen

Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 - BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 - C-210/16 - entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Urteil vom 11. September 2019 - BVerwG 6 C 15.18 -

Vorinstanzen:

OVG Schleswig, 4 LB 20/13 - Urteil vom 04. September 2014 -

VG Schleswig, 8 A 14/12 - Urteil vom 09. Oktober 2013 -


Siehe auch zum Thema EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich


BVerwG: Für Rechtsstreit um Ausübung des virtuellen Hausrechts auf der Facebook-Seite einer Kirche sind die Zivilgerichte zuständig

BVerwG
Beschluss vom 09.04.2019
6 B 162.18


Das Bundesverwaltungsgericht hat entschieden, dass für einen Rechtsstreit um die Ausübung des virtuellen Hausrechts auf der Facebook-Seite einer Kirche die Zivilgerichte zuständig sind.

Aus den Entscheidungsgründen:

Die vom Oberverwaltungsgericht zugelassene weitere Beschwerde (§ 17a Abs. 4 Satz 4 GVG) ist nicht begründet. Für den Rechtsstreit ist der Rechtsweg zu den staatlichen Gerichten eröffnet (1.), von denen die Zivilgerichte gemäß § 13 GVG zuständig sind (2.).

1. Zur Entscheidung des Rechtsstreits um die Ausübung des "virtuellen Hausrechts" (vgl. zu diesem Begriff bereits LG Bonn, Urteil vom 16. November 1999 - 10 O 457/99 - NJW 2000, 961 <962>; vgl. auch OLG München, Beschluss vom 24. August 2018 - 18 W 1294/18 - NJW 2018, 3115 Rn. 28) auf der Internetseite "www.facebook.com/katholisch.de" sind die staatlichen Gerichte berufen. Der aus dem Rechtsstaatsprinzip (Art. 20 Abs. 3 GG) in Verbindung mit den Grundrechten, insbesondere Art. 2 Abs. 1 GG (BVerfG, Beschluss vom 20. Juni 1995 - 1 BvR 166/93 - BVerfGE 93, 99 <107>) abgeleitete allgemeine Justizgewährungsanspruch eröffnet auch Angehörigen einer korporierten Religionsgesellschaft die Anrufung staatlicher Gerichte, wenn und soweit sie geltend machen, ein Akt ihrer Religionsgesellschaft habe sie in ihren subjektiven, vom Staat verliehenen Rechten verletzt (vgl. BVerwG, Urteil vom 27. Februar 2014 - 2 C 19.12 - BVerwGE 149, 139 Rn. 12 ff. für Geistliche und Kirchenbeamte).

2. Entgegen der Auffassung der Beschwerde liegt keine in die Zuständigkeit der Verwaltungsgerichte fallende öffentlich-rechtliche Streitigkeit im Sinne des § 40 Abs. 1 Satz 1 VwGO vor, sondern die Vorinstanzen haben zutreffend entschieden, dass im vorliegenden Fall die Zivilgerichte gemäß § 13 GVG zuständig sind.

a) Ob eine Streitigkeit bürgerlich-rechtlicher oder öffentlich-rechtlicher Art ist, beurteilt sich nach der Natur der Rechtsnormen, die das Rechtsverhältnis prägen, aus dem der geltend gemachte Anspruch hergeleitet wird. Bürgerliches Recht ist Jedermannsrecht. Öffentlich-rechtlicher Natur sind demgegenüber diejenigen Rechtsnormen, welche einen Träger öffentlicher Gewalt gerade als solchen berechtigen oder verpflichten, die also einen öffentlichen Verwaltungsträger zur Wahrnehmung öffentlicher Aufgaben mit besonderen Befugnissen ausstatten oder besonderen Regeln unterwerfen (stRspr, vgl. Gemeinsamer Senat der obersten Gerichtshöfe des Bundes, Beschluss vom 10. Juli 1989 - GmS-OGB 1/88 - BGHZ 108, 284 <287>; BVerwG, Beschluss vom 21. November 2016 - 10 AV 1.16 [ECLI:DE:BVerwG:2016:211116B10AV1.16.0] - BVerwGE 156, 320 Rn. 5). Für die Bestimmung des Rechtswegs kommt es daher nicht auf die Rechtsnatur der geforderten Entsperrungshandlung, sondern den Charakter des geltend gemachten Anspruchs an, der sich seinerseits nach dem Charakter des Rechtsverhältnisses bestimmt, aus dem der Kläger seinen Anspruch herleitet (vgl. BVerwG, Urteil vom 15. November 1990 - 7 C 9.89 - BVerwGE 87, 115 <119>). Entscheidend ist die wahre Natur des Anspruchs, wie er sich nach dem Sachvortrag des Klägers darstellt, und nicht, ob dieser sich auf eine zivilrechtliche oder eine öffentlich-rechtliche Anspruchsgrundlage beruft (Gemeinsamer Senat der obersten Gerichtshöfe des Bundes, Beschluss vom 10. Juli 1989 - GmS-OGB 1/88 - BGHZ 108, 284 <286>).

b) Das von der "Allgemeinen Gemeinnützigen Programmgesellschaft mbH" für den Beklagten ausgeübte "virtuelle Hausrecht" auf der Internetseite "www.facebook.com/katholisch.de", die darauf gestützte Sperre des Accounts des Klägers und der spiegelbildlich dazu von ihm geltend gemachte Anspruch auf Entsperrung wurzeln nicht in Normen des öffentlichen Rechts.

Der Status einer Religionsgemeinschaft als Körperschaft des öffentlichen Rechts (vgl. Art. 137 Abs. 5 WRV i.V.m. Art. 140 GG) stellt im Kontext des Grundgesetzes ein Mittel zur Entfaltung der Religionsfreiheit dar. Er soll die Eigenständigkeit und Unabhängigkeit der Religionsgemeinschaften unterstützen. Die Religionsgemeinschaften mit öffentlich-rechtlichem Status sind in gleichem Umfang grundrechtsfähig wie andere Religionsgemeinschaften. Sie stehen dem Staat als Teile der Gesellschaft gegenüber und unterscheiden sich damit im religiös-weltanschaulich neutralen Staat des Grundgesetzes, der keine Staatskirche oder Staatsreligion kennt (Art. 140 GG i.V.m. Art. 137 Abs. 1 WRV), grundlegend von den Körperschaften des öffentlichen Rechts im verwaltungs- und staatsorganisationsrechtlichen Verständnis. Sie nehmen keine Staatsaufgaben wahr, sind nicht in die Staatsorganisation eingebunden und unterliegen keiner staatlichen Aufsicht (BVerfG, Urteil vom 19. Dezember 2000 - 2 BvR 1500/97 - BVerfGE 102, 370 <387 f.> m.w.N.). Deshalb üben Religionsgemeinschaften keine öffentliche Gewalt i.S.d. Art. 19 Abs. 4 GG aus (BVerfG, Beschluss vom 9. Dezember 2008 - 2 BvR 717/08 - NJW 2009, 1195 Rn. 2).

Damit vermittelt der Status der Körperschaft des öffentlichen Rechts dem Beklagten gegenüber seinen Mitgliedern Befugnisse, kraft derer ihm die Möglichkeit eingeräumt ist, von öffentlich-rechtlichen Rechtsformen Gebrauch zu machen, die sonst nur der öffentlichen Hand zustehen (vgl. de Wall/Muckel, Kirchenrecht, 5. Aufl. 2017, S. 3). So können korporierten Religionsgemeinschaften im Rahmen des ihnen eingeräumten Rechts auf Selbstverwaltung (Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV) bestimmte Angelegenheiten, die sich historisch bzw. gewohnheitsrechtlich herausgebildet haben, in den Formen des öffentlichen Rechts ordnen und verwalten. Dazu zählen insbesondere das Organisations-, Parochial-, Dienst-, Disziplinar- und sakrale Sachenrecht (BVerwG, Urteil vom 7. Oktober 1983 - 7 C 44.81 - BVerwGE 68, 62 <63 ff.>; Ehlers/Schneider, in: Schoch/Schneider/Bier, VwGO, Band I, Stand: September 2018, § 40 Rn. 474 ff.). Darüber hinaus handeln Religionsgemeinschaften als Körperschaften öffentlich-rechtlich, wenn sie - wie im Bereich der Erhebung von Kirchensteuern (Art. 140 GG i.V.m. Art. 137 Abs. 6 WRV) - die Befugnisse eines mit Staatsgewalt Beliehenen wahrnehmen (vgl. BVerfG, Beschluss vom 19. August 2002 - 2 BvR 443/01 - NVwZ 2002, 1496 <1497>). Demgegenüber treten sie jedenfalls dann privatrechtlich auf, wenn sie am allgemeinen Rechtsverkehr teilnehmen, da Rechtsverhältnisse mit Dritten keine innerkirchlichen, vom kirchlichen Selbstverwaltungsrecht abgedeckten Angelegenheiten betreffen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 40 Rn. 98).

Bei dem Betrieb einer Facebook-Seite und der Sperrung der Kommentarfunktion in Ausübung eines "virtuellen Hausrechts" handelt es sich nach der zutreffenden Rechtsauffassung des Verwaltungsgerichts und des Oberverwaltungsgerichts nicht um eine herkömmliche, den Kirchen im Rahmen ihres Rechts auf Selbstverwaltung (Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV) zustehende Angelegenheit. Denn die Öffentlichkeitsarbeit des Beklagten - die Zurechenbarkeit des Handelns der mit der Geschäftsbesorgung beauftragten "Allgemeinen Gemeinnützigen Programmgesellschaft mbH" unterstellt - fällt nicht in die o.g. Bereiche kirchlichen Handelns, in denen einer als Körperschaft des öffentlichen Rechts verfassten Religionsgesellschaft der Zugriff auf öffentlich-rechtliche Handlungsformen eröffnet wäre.

Die Vorinstanzen haben es auch zu Recht abgelehnt, die Seite "www.facebook.com/katholisch.de" als kirchlich gewidmete Einrichtung im Sinne einer "res sacra" zu betrachten, aus deren Benutzung sich eine öffentlich-rechtliche Beziehung zwischen Kläger und Beklagtem herleiten ließe. Hiergegen spricht bereits, dass sich der Beklagte für sein Auftreten ausdrücklich der privatrechtlichen Form bedient. Er hat für die Gestaltung und den Betrieb dieser Seite die "Allgemeine Gemeinnützige Programmgesellschaft mbH", eine juristische Person des Privatrechts, eingeschaltet. Damit nutzt er die von Facebook auf der Grundlage eines schuldrechtlichen Vertrags (vgl. dazu BGH, Urteil vom 12. Juli 2018 - III ZR 183/17 - NJW 2018, 3178 Rn. 19) zur Verfügung gestellte virtuelle Infrastruktur zur Interaktion mit anderen Nutzern als Jedermannsrecht und nimmt auf diesem Wege am allgemeinen Rechts- und Wirtschaftsverkehr teil. Die Inanspruchnahme privatrechtlicher Handlungsformen ist auch für eine Körperschaft des öffentlichen Rechts nicht grundsätzlich ausgeschlossen (so zum Hausverbot für einen kirchlichen Kindergarten: BVerwG, Beschluss vom 10. Juli 1986 - 7 B 27.86 - Buchholz 310 § 40 VwGO Nr. 221; vgl. Sodan, in: Sodan/Ziekow, VwGO, 5. Aufl. 2018, § 40 Rn. 474).

Ob daran festzuhalten ist, es sei verfassungsrechtlich geboten, das Wirken kirchlicher Körperschaften des öffentlichen Rechts, soweit es der staatlichen Rechtsordnung unterliegt, grundsätzlich als dem öffentlichen Recht angehörig zu betrachten, und daher eine Vermutung für die öffentlich-rechtliche Qualifikation kirchlichen Handels spreche (so BVerwG, Urteil vom 7. Oktober 1983 - 7 C 44.81 - BVerwGE 68, 62 <65>; a.A. Ehlers/Schneider, in: Schoch/Schneider/Bier, VwGO, Band I, Stand: September 2018, § 40 Rn. 475 m.w.N.), bedarf vorliegend keiner Klärung. Denn mit der Entscheidung, den Facebook-Auftritt durch die "Allgemeine Gemeinnützige Programmgesellschaft mbH" betreiben zu lassen, hat der Beklagte zum Ausdruck gebracht, dass er kein kirchliches Wirken auf dem Gebiet des öffentlichen Rechts bezweckt. Damit wäre eine entsprechende Vermutung bereits widerlegt.

c) Die Zuständigkeit der Verwaltungsgerichte nach § 40 VwGO ergibt sich im vorliegenden Fall auch nicht aus dem Umstand, dass die Rechtsprechung Streitigkeiten, die um die Nutzung behördlicher Internetauftritte geführt wurden, mehrfach als öffentlich-rechtlich behandelt hat (vgl. zum Internetportal der Bundesanstalt für Arbeit: BSG, Urteil vom 6. Dezember 2012 - B 11 AL 25/11 R - MMR 2013, 675 Rn. 13; zu einer Internet-Datenbank zur Provenienzforschung: BVerwG, Urteil vom 19. Februar 2015 - 1 C 13.14 [ECLI:DE:BVerwG:2015:190215U1C13.14.0] - BVerwGE 151, 228 Rn. 28; zu einem "Stadtinformationsportal": VG Münster, Urteil vom 19. November 2013 - 1 K 1589/12 - juris Rn. 14). Auch die Facebook-Auftritte der öffentlich-rechtlichen Rundfunkanstalten sind unter Verweis auf deren Grundversorgungsauftrag als öffentliche Einrichtungen angesehen worden (VG München, Urteil vom 27. Oktober 2017 - M 26 K 16.5928 - juris Rn. 14 und VG Mainz, Urteil vom 13. April 2018 - 4 K 762/17.MZ - juris Rn. 55). Damit ist die vorliegende Konstellation der von einer Religionsgemeinschaft als Körperschaft des öffentlichen Rechts unter Einschaltung einer juristischen Person des Privatrechts betriebenen Öffentlichkeitsarbeit auf einer "Social media"-Plattform nicht vergleichbar. Denn die korporierten Religionsgemeinschaften erfüllen keinen staatlichen Auftrag und nehmen keine Staatsaufgaben wahr (BVerfG, Urteil vom 19. Dezember 2000 - 2 BvR 1500/97 - BVerfGE 102, 370 <387 f.>), zu deren Erfüllung der Facebook-Auftritt dienen könnte.

3. Es bedarf für die vorliegend zu entscheidende Frage nach dem richtigen Rechtsweg keiner abschließenden Klärung, auf welche Rechtspositionen sich ein "virtuelles Hausrecht" des Facebook-Seitenbetreibers stützen könnte, denn sie wurzeln nach dem oben Dargelegten jedenfalls nicht in Rechten, die dem Beklagten als korporierter Religionsgemeinschaft vorbehalten wären. Dagegen ist die vom Kläger aufgeworfene Frage, ob der Beklagte infolge seiner Stellung als Körperschaft des öffentlichen Rechts bei Ausübung eines "virtuellen Hausrechts" einer besonderen Pflichtenstellung zum Schutz der Rechte Dritter unterliegt, nicht mit der Rechtswegfrage verknüpft.


Den Volltext der Entscheidung finden Sie hier:



Datenschutzkonferenz: Datenschutzkonforme Facebook-Fanpage nach wie vor nicht möglich - Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit veröffentlicht.

Nach wie vor kommen die Datenschützer zu dem Ergebnis, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich ist.


OLG Celle: Beim Teilen eines Autotests auf Facebook-Seite eines Autohauses müssen Pflichtangaben nach PKW-EnVKV erfolgen

OLG Celle
Beschluss vom 08.05.2018
13 U 12/18


Das OLG Celle hat entschieden, dass beim Teilen eines Autotests auf der Facebook-Seite eines Autohauses für das getestete Modell zusätzlich die erforderlichen Pflichtangaben nach der PKW-EnVKV vorgehalten werden müssen.

Aus den Entscheidungsgründen:

a) Dem Kläger steht wegen des auf der Facebook-Seite des Beklagten am 11. Mai 2017 erfolgten Eintrags ein Unterlassungsanspruch gegen den Beklagten gemäß § 8 Abs. 1, § 3 Abs. 2, § 3a UWG i. V. m. § 1 Abs. 1, § 5 Abs. 1, Abs. 2 Nr. 1 Pkw-EnVKV i. V. m. Abschn. I der Anlage 4 zu § 5 Pkw-EnVKV zu.

aa) Der Beklagte ist unstreitig ein Händler i. S. d. § 2 Nr. 3, § 5 Abs. 1 Pkw-EnVKV, so dass ihm die in § 1 Abs. 1, § 5 Abs. 1 Pkw-EnVKV geregelten Informationspflichten auferlegt sind. Diese stellen Marktverhaltensregelungen i. S. d. § 3a UWG (= § 4 Nr. 11 UWG a.F.) dar (vgl. BGH, Urteil vom 5. März 2015 - I ZR 163/13 -Neue Personenkraftwagen II, juris Rn. 13; Urteil vom 21. Dezember 2011 - I ZR 190/10 - Neue Personenkraftwagen, juris Rn. 16).

bb) Der Beklagte hat gegen § 1 Abs. 1, § 5 Abs. 1, Abs. 2 Nr. 1 Pkw-EnVKV i. V. m. Abschn. I der Anlage 4 zu § 5 Pkw-EnVKV verstoßen.

Nach § 5 Pkw-EnVKV haben Hersteller und Händler, die Werbeschriften verwenden, sicherzustellen, dass dort Angaben über die offiziellen spezifischen CO²-Emissionen der betreffenden Modelle neuer Personenkraftwagen nach Maßgabe von Abschn. I der Anlage 4 gemacht werden. Nach diesem Abschn. I der Anlage 4 sind für das in der Werbeschrift genannte Fahrzeugmodell Angaben über die offiziellen spezifischen CO²-Emissionen im kombinierten Testzyklus zu machen (Nr. 1 Satz 1), wobei die Angaben auch bei flüchtigem Lesen leicht verständlich, gut lesbar und ebenso hervorgehoben sein müssen wie der Hauptteil der Werbebotschaft (Nr. 2). Gemäß Abschn. I Nr. 3 der Anlage 4 ist eine Angabe der CO²-Werte nicht erforderlich, wenn nicht für ein bestimmtes Modell, sondern lediglich für die Fabrikmarke geworben wird. Nach § 2 Nr. 15 Pkw-EnVKV ist „Modell“ i.S. dieser Verordnung die Handelsbezeichnung eines Fahrzeugs, bestehend aus Fabrikmarke, Typ sowie ggf. Variante und Version eines Personenkraftwagens.

(1) Der streitgegenständliche Facebook-Eintrag vom 11. Mai 2017 betrifft einen Mitsubishi ASX 2.2 DI-D 4 WD (150 PS), mithin ein bestimmtes Modell, das auf der Webseite automativ.de getestet worden ist.

(2) Der vom Beklagten am 11. Mai 2017 geteilte Facebook-Eintrag (vgl. Anlage K 2, Bl. 8 ff. d. A.) enthält unstreitig keine Angaben über die offiziellen spezifischen CO²-Emissionen des angegebenen Fahrzeugmodells.

(3) Entgegen der Auffassung des Beklagten handelt es sich bei dem Facebook-Eintrag auch um eine Werbung i. S. v. § 5 Abs. 1, Abs. 2 Nr. 1 Pkw-EnVKV.

Nach § 2 Nr. 11 Pkw-EnVKV ist "Werbematerial" jede Form von Informationen, die für Vermarktung und Werbung für Verkauf und Leasing neuer Personenkraftwagen in der Öffentlichkeit verwendet werden; dies umfasst auch Texte und Bilder auf Internetseiten. Dabei gilt § 5 Abs. 1 Pkw-EnVKV gemäß § 5 Abs. 2 Nr. 1 Pkw-EnVKV auch für die Verbreitung in elektronischer Form nach § 2 Nr. 10 Pkw-EnVKV. Der Begriff der Werbung umfasst nach dem allgemeinen Sprachgebrauch alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Damit ist außer der unmittelbar produktbezogenen Werbung auch die mittelbare Absatzförderung - beispielsweise in Form der Imagewerbung oder des Sponsoring - erfasst. Werbung ist deshalb in Übereinstimmung mit Art. 2 Buchst. a) der Richtlinie 2006/114/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über irreführende und vergleichende Werbung jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern (vgl. BGH, Urteil vom 15. Dezember 2015 - VI ZR 134/15, juris Rn. 16). Dies ist bei dem streitgegenständlichen Facebook-Eintrag der Fall (vgl. auch Senatsurteil vom 18. August 2016 - 13 U 33/16 sowie Senatsurteil vom 1. Juni 2017 - 13 U 15/17; OLG Frankfurt, Beschluss vom 19. November 2013 - 14 U 188/13, juris Rn. 18).

Etwas anderes ergibt sich entgegen der Auffassung des Beklagten nicht daraus, dass der Eintrag keine ausdrückliche Aufforderung zum Kauf enthält, sondern „nur“ einen Link zu einem Testbericht über das vorgenannte Fahrzeug. Der Senat hat bereits für einen Eintrag auf einer Facebook-Seite eines Autohauses, mit dem das Autohaus ein von einem Kunden eingesandtes Foto seines Pkw veröffentlicht und unter Angabe des konkreten Fahrzeugmodells als „tolles Bild“ kommentiert hat, entschieden, dass derartige Einträge auf der Facebook-Seite eines Autohändlers als Werbung anzusehen sind (vgl. Senatsurteil vom 1. Juni 2017 - 13 U 15/17, juris Rn. 19 ff.). Auch im vorliegenden Verfahren gilt, dass der Beklagte seinen Facebook-Auftritt nicht lediglich mit dem selbstlosen Zweck betreibt, Verbraucher über die Tests der von ihm verkauften Fahrzeugmodelle zu informieren. Sinn und Zweck der Postings des Beklagten - einschließlich des „Teilens“ des Testberichts - ist es vielmehr gerade, die auf sein Autohaus gerichtete Aufmerksamkeit über die sozialen Medien zu erhöhen und damit den Absatz von Produkten und Dienstleistungen zu fördern. Mit dem „Teilen“ des von Mitsubishi Motors DE geposteten Beitrags macht der Beklagte sich die Aussagen dieses Eintrags und des hierin verlinkten Artikels in der Form zu eigen, dass er damit für sich und seine Fahrzeuge werben, das Interesse an dem Mitsubishi ASX 2.2 DI-D 4 WD wecken und in der Folge die eigenen Verkaufsmöglichkeiten für das Fahrzeug positiv beeinflussen will.

(4) Bei der Facebook-Seite des Beklagten handelt es sich auch nicht um einen audiovisuellen Mediendienst i. S. d. Art. 1 Buchst. a) der Richtlinie 2010/13/EU, der nach § 5 Abs. 2 Satz 1 Pkw-EnVKV von den streitgegenständlichen Informationspflichten ausgenommen ist (vgl. Senatsurteil vom 18. August 2016 - 13 U 33/16 m. w. N.).

(5) Ein Verstoß gegen die Pkw-EnVKV ist entgegen der Auffassung des Beklagten regelmäßig geeignet, die durch die § 1 Abs. 1, § 5 Abs. 1 Pkw-EnVKV geschützten Interessen von Verbrauchern oder sonstigen Marktteilnehmer i. S. v. § 3a UWG spürbar zu beeinträchtigen und zu einer geschäftlichen Entscheidung zu veranlassen, die sie andernfalls nicht getroffen hätten (vgl. BGH, Urteil vom 4. Februar 2010 - I ZR 66/09, Gallardo Spyder, juris Rn. 20; Köhler: in Köhler/Bornkamm/Feddersen, a. a. O., § 3a UWG Rn. 1.213).

Den Volltext der Entscheidung finden Sie hier:



Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DFK) hat sich mit einer Entschließung vom 06.06.2018 zur EuGH-Entscheidung vom 05.06.2017 - C-210/16 (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) geäußert. Nach Ansicht der DSK ist ein rechtskonformer Betrieb einer Facebook-Fanpage bzw. Facebook-Seite derzeit nicht möglich, da die Nutzer ohne Mitwirkung von Facebook keine datenschutzkonforme Seite vorhalten können.

Die Mitteilung der DSK:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.

- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.

- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.



EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

EuGH
Urteil vom 05.06.2018
C-210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ./, Wirtschaftsakademie Schleswig-Holstein GmbH


Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.

Entscheidend ist für den EuGH, dass der Betreiber einer Facebook-Seite "durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. " Ob dies generell bei Einrichtung einer Facebook-Seite der Fall ist oder die Nutzung weiterer Facebook-Funktionen erfordert, lässt der EuGH leider nicht genau erkennen. Sollten der EuGH generell die Einrichtung der Seite genügen lassen, könnten Facebook-Seiten / Facebook-Fanpages praktisch nicht mehr rechtskonform betrieben werden. Die Datenschutzbehörden sind - so der EuGH - jedenfalls befugt, in diesem Zusammenhang tätig zu werden.

Den Volltext der Entscheidung finden Sie hier:

Tenor der Entscheidung:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.


Die Pressemitteilung des EuGH:

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen

Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46. In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese
Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats
gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen
Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.



BVerwG: Facebook oder Fanpagebetreiber - EuGH muss Streit um datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten klären

BVerwG
Beschluss vom 25.02.2016
1 C 28.14


Das BVerwG hat den Streit um die Frage, wer die datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten trägt, dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BVerwG:

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es - wie das OVG - keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 - Be­schluss vom 25. Fe­bru­ar 2016

Vor­in­stan­zen:
OVG Schles­wig 4 LB 20/13 - Ur­teil vom 04. Sep­tem­ber 2014
VG Schles­wig 8 A 14/12 - Ur­teil vom 09. Ok­to­ber 2013