OVG Schleswig-Holstein: Datenschutzbehörde durfte 2011 anordnen dass Unternehmen seine Facebook-Fanpage schließt - Entscheidung nach 10 Jahren nach dem Weg durch die Instanzen bis zum EuGH
OLG Schleswig-Holstein
Urteil vom 25.11.2021
4 LB 20/13
Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.
Den Volltext der Entscheidung finden Sie hier:1
Aus den Entscheidungsgründen:
B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.
I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.
Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).
Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.
1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).
§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.
[...]
3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).
a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.
Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.
Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).
Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).
bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:
(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.
(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).
Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).
Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.
(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.
Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.
Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.
Urteil vom 25.11.2021
4 LB 20/13
Das OVG Schleswig-Holstein hat entschieden, dass die zuständige Datenschutzbehörde 2011 anordnen durfte, dass ein Unternehmen seine Facebook-Fanpage schließt. Somit liegt nach 10 Jahren eine Entscheidung nach dem Weg durch die Instanzen bis zum EuGH (siehe dazu EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich) vor.
Den Volltext der Entscheidung finden Sie hier:1
Aus den Entscheidungsgründen:
B. Die streitgegenständlichen Verfügungen im Bescheid vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 sind rechtmäßig und verletzen die Klägerin nicht in ihren Rechten, § 113 Abs. 1 Satz 1 VwGO.
I. Dies gilt zunächst für die Anordnung der Deaktivierung der Fanpage der Klägerin.
Maßgeblich für die Beurteilung der Rechtmäßigkeit der Anordnung der Deaktivierung der Fanpage der Klägerin ist die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011. Nachträgliche Änderungen sind nicht zu berücksichtigen (vgl. BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 16, juris). Dies ergibt sich für den Senat bindend aus der vorliegenden Revisionsentscheidung des Bundesverwaltungsgerichts (vgl. § 144 Abs. 6 VwGO).
Lediglich ergänzend wird darauf hingewiesen, dass dem auch die von der Klägerin angeführte Rechtsprechung des Bundesverwaltungsgerichts zu Dauerverwaltungsakten, nach der für den Erfolg einer gegen einen Dauerverwaltungsakt gerichteten Anfechtungsklage regelmäßig die Sach- und Rechtslage zum Zeitpunkt der letzten tatsachengerichtlichen Verhandlung maßgeblich ist (stRspr BVerwG, vgl. Urteil vom 19. September 2013 – 3 C 15.12 – Rn. 9, juris; Beschluss vom 5. Januar 2012 – 8 B 62.11 – Rn. 13, juris), nicht entgegensteht. Die streitgegenständliche Anordnung der Deaktivierung der Fanpage ist bei einer an §§ 133, 157 BGB entsprechend orientierten Auslegung des Regelungsinhalts nicht als Dauerverwaltungsakt zu bewerten. Es muss auch davon ausgegangen werden, dass dies der Auffassung des Bundesverwaltungsgerichts entspricht, da es vorliegend den Zeitpunkt der letzten Behördenentscheidung für maßgeblich erachtet hat, ohne sich zu seiner eigenen Rechtsprechung zu Dauerverwaltungsakten zu verhalten.
1. Rechtsgrundlage der streitgegenständlichen Anordnung des Beklagten ist § 38 Abs. 5 Satz 2 BDSG i. d. F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814; im Folgenden BDSG a. F.). Gemäß § 38 Abs. 5 Satz 2 BDSG a. F. kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz bei schwerwiegenden Verstößen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder schwerwiegenden technischen oder organisatorischen Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach § 38 Abs. 5 Satz 1 BDSG a. F. und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, ist gemäß der den Senat bindenden Revisionsentscheidung des Bundesverwaltungsgerichts nach dem Eingriffsgewicht als Untersagung des Einsatzes eines Verfahrens gemäß § 38 Abs. 5 Satz 2 BDSG a. F. zu werten. Dass der Beklagte in der Überschrift des Bescheids vom 3. November 2011 in Gestalt des Widerspruchsbescheids vom 16. Dezember 2011 auf § 38 Abs. 5 Satz 1 BDSG a. F. abhebt, ist – wie das Bundesverwaltungsgericht ebenfalls mit Bindungswirkung für den Senat festgestellt hat – unschädlich (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 17, juris).
§ 38 Abs. 5 Satz 2 BDSG a. F. ist mit Blick auf eine Inanspruchnahme der Klägerin auch sonst anwendbar (vgl. zur Anwendbarkeit des Dritten Abschnitts des Bundesdatenschutzgesetzes a. F. § 27 Abs. 1 Nr. 1 BDSG a. F.). Die Klägerin ist als nichtöffentliche Stelle im Sinne des § 1 Abs. 2 Nr. 3, § 2 Abs. 4 BDSG a. F., die keine Aufgaben der öffentlichen Verwaltung wahrnimmt (vgl. § 2 Abs. 1 bis 3 BDSG a. F.), zu qualifizieren. Es handelt sich um eine privatrechtlich organisierte gemeinnützige Gesellschaft.
[...]
3. Die Anordnung zur Deaktivierung der Fanpage der Klägerin ist materiell-rechtlich nicht zu beanstanden. Im Gebrauch der Registrierungsdaten und der übrigen vorhandenen personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen sowie in der unzureichenden Bereitstellung von Informationen über die Erhebung und Verwendung personenbezogener Daten für diese Personengruppe sind im hier maßgeblichen Zeitpunkt im Dezember 2011 Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu erkennen (dazu unter a). Die Klägerin kann auch als Adressatin einer auf § 38 Abs. 5 Satz 2 BDSG a. F. beruhenden Verfügung herangezogen werden, da sie für den Gebrauch der genannten Daten zur Erstellung der auf ihre Fanpage bezogenen Insights-Statistiken durch Facebook sowie für die unzureichende Bereitstellung von Informationen (mit)verantwortlich ist (dazu unter b). Ferner wiegen die Verstöße schwer (dazu unter c). Vor diesem Hintergrund kann die rechtliche Bewertung einzelner technischer Abläufe dahinstehen (dazu unter d). Der materiell-rechtlichen Rechtmäßigkeit der hier streitgegenständlichen Verfügung steht auch nicht die in § 38 Abs. 5 Satz 1 und Satz 2 BDSG a. F. vorgegebenen "Stufenfolge" entgegen (dazu unter e).
a) Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne des § 38 Abs. 5 Satz 2 TMG a. F. ergeben sich hier aus einem Widerspruch verschiedener durch den Besuch der Fanpage der Klägerin angestoßener und durch die Beigeladene gesteuerter Vorgänge zu den Vorgaben der § 12 und § 13 TMG in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692; im Folgenden TMG a. F.). Gemäß § 12 Abs. 1 und Abs. 2 TMG a. F. darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG a. F. hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
aa) Die durch den Besuch der Fanpage der Klägerin im Facebook-Netzwerk angestoßenen Vorgänge unterfallen dem Anwendungsbereich des gegenüber dem Bundesdatenschutzgesetz a. F. spezielleren Telemediengesetz a. F. Das soziale Netzwerk Facebook ist Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F. (vgl. i. E. Ricke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 1 TMG, Rn. 12; Altenhain, in: MüKo zum StGB, 3. Auflage 2019, § 1 TMG, Rn. 26). Gemäß § 1 Abs. 1 Satz 1 TMG a. F. sind unter Telemedien alle elektronischen Informations- und Kommunikationsdienste ("IuK-Dienst"), die nicht Telekommunikation im engeren Sinne oder Rundfunk sind, zu verstehen. Dazu gehören beispielsweise Online-Angebote von Waren oder Internet-Suchmaschinen (vgl. BT-Drucks. 16/3078, S. 13). Das soziale Netzwerk Facebook ermöglicht durch seine Strukturen die Bereitstellung von Informationen sowie Diskussion über Sachthemen, d. h. das Verbreiten derartiger Themen und den anschließenden Dialog hierüber. Es ist damit selbst als sogenannter elektronischer "IuK-Dienst" anzusehen. Gleiches gilt für die Fanpage der Klägerin innerhalb des Facebook-Netzwerkes.
Die Beigeladene und die damalige Facebook Inc. sind auch Diensteanbieter im Sinne des § 12 Abs. 1 und Abs. 2 TMG a. F. Diensteanbieter ist gemäß § 2 Satz 1 Nr. 1 HS 1 TMG a. F. jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Da sowohl die Beigeladene als auch ihr Mutterkonzern das Telemedium, d. h. das soziale Netzwerk bzw. die Fanpage zur Verfügung stellen und allen Interessierten Zugang hierzu vermitteln, liegen die Voraussetzungen des § 2 Satz 1 Nr. 1 HS 1 TMG a. F. vor. Die Klägerin ist ebenfalls Diensteanbieter in diesem Sinne, da sie über die Errichtung der Fanpage einen (eigenen oder fremden) elektronischen Informations- und Kommunikationsdienst, d. h. ein Telemedium im Sinne des § 1 Abs. 1 Satz 1 TMG a. F., bereitstellt bzw. jedenfalls Zugang zur Nutzung vermittelt.
Die Vorgänge des Erhebens, Verarbeitens und Nutzens personenbezogener Daten im Sinne des § 38 Abs. 5 i.V.m. § 3 Abs. 3 bis 5 BDSG a.F. entsprechen denen des Erhebens und Verwendens im Sinne des Abschnitt 4 im Telemediengesetz a.F.; der Begriff der Verwendung ist als Sammelbezeichnung für das Verarbeiten und Nutzen personenbezogener Daten i.S.d. § 3 Abs. 4 und 5 BDSG auszulegen (Bizer/Hornung, in: Roßnagel, Beck´scher Kommentar zum Recht der Telemediendienste, 1. Auflage 2013, § 12 TMG, Rn. 53 m.w.N.).
Der Anwendbarkeit des Telemediengesetzes steht im vorliegenden Fall nicht entgegen, dass die Beigeladene mit Sitz in Irland nach eigenem Bekunden die tatsächliche Verantwortung für die hier maßgeblichen Datenerhebungs- und -verwendungsvorgänge trägt. Die §§ 12 ff. TMG a. F. werden nicht durch eine vorrangige Anwendbarkeit irisches Datenschutzrecht – ggf. in Kombination mit einer vorrangigen Prüfungskompetenz der irischen Datenschutzbehörde – verdrängt. Insoweit wird zur Begründung auf die Revisionsentscheidung des Bundesverwaltungsgerichts und die Entscheidung des Gerichtshofs der Europäischen Union im vorliegenden Verfahren verwiesen (BVerwG, Urteil vom 11. September 2019 – 6 C 15.18 –, Rn. 24 ff., EuGH, Urteil vom 5. Juni 2018 – C-210/16 –, Rn. 50 ff., juris).
bb) Für die Feststellung der maßgeblichen Datenerhebungs- und -verwendungsvorgänge bis Ende 2011 geht der Senat von folgenden, zu seiner Überzeugung (§ 108 Abs. 1 VwGO) feststehenden Sachverhalten aus:
(1) Bei jedem Aufruf der Fanpage der Klägerin wird die Internetadresse der aufgerufenen Seite sowie die IP-Adresse des jeweiligen Internetnutzers an Facebook übertragen. IP-Adressen sind Ziffernfolgen, die dem mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 7, Bl. 223 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 15, Bl. 128 GA). Nach Angaben der Beigeladenen werden die empfangenen IP-Adressen nicht einzeln – insbesondere nicht in Profilen zu den Internetnutzern – gespeichert.
(2) Ferner ist der Senat davon überzeugt, dass Facebook bei Besuch der Fanpage den Inhalt der c_user-Cookies ausliest, die zuvor im Browser von im Netzwerk angemeldeten Facebook-Mitgliedern gesetzt worden sind. Cookies sind eindeutig zuzuordnende alphanumerische Kennungen, die im Internetbrowser auf dem Endgerät des Nutzers gespeichert werden. Facebook-Mitglieder haben sich im Facebook-Netzwerk registriert und im Zuge der Registrierung ihren Vor- und Nachnamen, ihr Geburtsdatum, ihr Geschlecht und ihre E-Mail-Adresse angegeben. Der c_user-Cookie enthält eine User-ID des Facebook-Mitglieds. Er wird von Facebook gesetzt, wenn sich das Facebook-Mitglied erstmals registriert oder wenn ein registriertes Facebook-Mitglied sich erneut im Netzwerk anmeldet (bzw. "einloggt"). Die Gültigkeit dieses Cookies hängt davon ab, ob das Facebook-Mitglied in den Kontoeinstellungen die Option gewählt hat, im Netzwerk (auch bei Verlassen) angemeldet zu bleiben. Ist dies der Fall, verliert der c_user-Cookie seine Gültigkeit erst, wenn das Facebook-Mitglied den Facebook-Webserver 30 Tage nicht mehr aufruft. Ansonsten wird der c_user-Cookie mit dem Schließen des Browsers gelöscht (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 8, Bl. 224 GA).
Der Inhalt des c_user-Cookie wird innerhalb seines Gültigkeitszeitraums bei jeder Kommunikation mit Facebook an Facebook übermittelt und gibt Facebook die Möglichkeit einer Verknüpfung des Seitenaufrufs mit dem registrierten Mitglied. Diese Verknüpfung ermöglicht unter anderem die personalisierte Darstellung von Fanpage-Inhalten. Über die Personalisierung erfährt das Facebook-Mitglied beispielsweise, welche seiner Facebook-Freunde die Fanpage empfohlen oder kommentiert haben (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 3, 15, Bl. 219, 231 GA).
Die über den c_user-Cookie ermöglichte Verknüpfung von Fanpage-Aufruf und Facebook-Mitglied speichert Facebook in den über das Mitglied angelegten Profilen, die wiederum zu Werbezwecken genutzt werden. Diese Überzeugung hat der Senat aufgrund der durchgeführten mündlichen Verhandlung gewonnen. In dieser hat die Beigeladene auf entsprechende Frage des Gerichts eingeräumt, es "ist anzunehmen", dass der Fanpage-Aufruf in den Profilen der Mitglieder gespeichert wird. Bereits zu Beginn dieses Verfahrens war zwischen der Beigeladenen und dem Beklagten unstreitig, dass Facebook "bis zu einem bestimmten Grad" Profile seiner Mitglieder anlegt und diese zu Werbezwecken nutzt. Ferner deuten die Datenverwendungsrichtlinien 2011 von Facebook die Durchführung entsprechender Vorgänge an, indem sie darauf hinweisen, dass Facebook jedes Mal, wenn das Mitglied mit Facebook interagiert, beispielsweise eine bestimmte Seite aufruft, Daten erhält (vgl. Datenverwendungsrichtlinien 2011, Abschnitt I, Überschrift Informationen, die wir über dich erhalten, S. 1) und dass Werbeanzeigen bei den Personen eingeblendet werden, welche die vom Werbetreibenden ausgewählten Kriterien (beispielsweise "Kinobesucher") erfüllen (vgl. Datenverwendungsrichtlinien 2011, Abschnitt IV, Überschrift: Personalisierte Werbeanzeigen, S. 4). Letzteres ist nur dann möglich, wenn Facebook über die Registrierungsdaten hinaus Informationen zu den Personen, beispielsweise zu bestimmten Interessen und Vorlieben, speichert.
(3) Facebook unterhält außerdem den Dienst "Insights". Dieser beinhaltet die Erstellung von Statistiken über die Nutzung von Fanpages (auch als Seitenstatistik bezeichnet). Die Seitenstatistik umfasst unter anderem Angaben zur Anzahl der Seitenaufrufe, zur Verweildauer der Besucher, sowie zu deren Alter, Geschlecht, geographischer Herkunft und Sprache und zur Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I "Staatsrecht und Verwaltung" zum Datenschutz in sozialen Netzwerken vom 4. April 2012, S. 9, Bl. 225 GA; Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 11. August 2011, S. 12, Bl. 126 GA). Die Erstellung dieser Statistiken ist Facebook insbesondere aufgrund des c_user-Cookies möglich, da mit diesem der Aufruf einer Fanpage mit den Facebook-Mitgliedern und den zu diesen bereits gewonnenen Informationen verknüpft werden kann. Nach Angaben der Beigeladenen fließt der Aufruf einer Fanpage durch ein Nicht-Facebook-Mitglied ausschließlich in die Gesamtzahl der Aufrufe der Fanpage im Rahmen der Insights-Statistik ein. Weitere Erkenntnisse über Nicht-Mitglieder werden nach Angabe der Beigeladenen nicht in Insights verarbeitet.
Fanpage-Betreiber erhalten über Insights die Seitenstatistiken in aggregierter und anonymisierter Form, ohne dass es dazu der Erteilung eines entsprechenden Auftrags an Facebook bedürfte. Die Klägerin kann ebenso wie andere Fanpage-Betreiber den Dienst Insights auch nicht an- oder abwählen. Sie kann nicht steuern, welche Angaben in der Statistik enthalten sind. Ferner haben Fanpagebetreiber auf die technische Konfiguration der Fanpage keinen Einfluss, sie können die Fanpages "lediglich" mit Inhalt füllen.
Die Erstellung von Seitenstatistiken dient dem Zweck, den Betrieb einer Fanpage auf die Nutzer anzupassen, d. h. die Fanpage attraktiver gestalten zu können. Gleichzeitig sollen diese Facebook ermöglichen, den Werbewert des Netzwerkes zu erhöhen.