Ein Gastbeitrag von RA Burkhardt Müller-Sönksen
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist heute vor dem Verwaltungsgericht Schleswig abermals mit einem Versuch gescheitert, Unternehmen die Nutzung von Facebook zu verbieten. Bereits im April 2013 musste sich das ULD vom Oberverwaltungsgericht Schleswig bescheinigen lassen, mangels Anwendbarkeit deutschen Datenschutzrechts keine unmittelbare Möglichkeit zu haben, Facebook zu regulieren. Nach dem heutigen Urteil ist den Datenschützern um Thilo Weichert nun auch der Versuch missglückt, Facebook über einen Umweg zu regulieren: sie wendeten sich nämlich gegen in Schleswig-Holstein ansässige Unternehmen, die eine Fanpage auf Facebook betreiben.
Mit der Einrichtung einer Fanpage erhalten Nutzer von Facebook, insbesondere Unternehmen, Personen des öffentlichen Lebens, Behörden und andere Institutionen eine Art eigene Internetseite innerhalb des sozialen Netzwerks. Genauso wie über ein privates persönliches Profil können die Fanpagebetreiber auf diesem Weg Beiträge mit ihren Fans teilen. Gleichzeitig können diese auf der Fanpage direkt mit dem Betreiber in Kontakt treten. So ist eine Fanpage anders als eine Homepage kein Ort der einseitigen Darstellung des jeweiligen Betreibers, sondern vielmehr ein Ort der bidirektionalen Kommunikation zwischen Fanpagebetreiber anderen Facebook-Nutzern. Im Idealfall bietet die Fanpage überdies noch Raum für eine Kommunikation zwischen den Fans untereinander. Anders als private Profile können die Betreiber Fanpages im Einklang mit Facebooks Nutzungsbedingungen auf für kommerzielle Zwecke nutzen. Im Ergebnis stellt eine solche Seite also ein Forum für die Kommunikation von, mit und über deren Betreiber dar.
Der Fanpagebetreiber entscheidet dabei jedoch lediglich darüber, ob er eine Fanpage anlegt, und mit welchen Informationen er diese füllt. Die weiteren technischen und gestalterischen Rahmenbedingungen gibt Facebook vor. Hierzu gehört auch die Funktion „Insights“, die Stein des Anstoßes für das Vorgehen des ULD war. Damit erhält der Betreiber Einsicht in Statistiken über die Art und Weise und den Umfang, in dem andere Facebook-Nutzer mit seiner Fanpage interagieren. Die dafür erforderlichen Daten werden von Facebook ohnehin routinemäßig und aus eigenem Interesse erhoben. Betreibern von Fanpages stellt Facebook kostenlos eine Zusammenfassung einiger der bei der Nutzung anfallenden Daten in aggregierter und anonymisierter Form, also ohne jeden Personenbezug, zur Verfügung. Diesen Vorgang können Fanpagebetreiber nicht beeinflussen, weder dadurch, dass sie Facebook zur Bereitstellung der Insights-Funktion auffordern, noch deren Abschaltung verlangen.
Die heute vor dem Verwaltungsgericht verhandelten Klagen nahmen ihren Ausgang in einer Ankündigung des ULD, gegen in Schleswig-Holstein ansässige öffentliche und nichtöffentliche Stellen vorgehen zu wollen. Das ULD forderte insbesondere die hier klagenden Unternehmen daher – zunächst informell, dann mit förmlichen Bescheid – dazu auf, den Betrieb ihrer Fanpages einzustellen. Dabei stützte das ULD sich auf § 38 Abs. 5 Satz 2 BDSG (Bundesdatenschutzgesetz). Nach erfolglosem Widerspruchsverfahren kam es dann zur Klage vor dem Verwaltungsgericht.
Das ULD monierte vor allem Verstöße gegen datenschutzrechtliche Vorgaben des TMG (Telemediengesetz). Konkret warf es den belangten Unternehmen Verstöße gegen §§ 13 Abs. 1, 15 Abs. 3 TMG vor. Danach müssen Anbieter von Telemedien ihre Nutzer zu Beginn des Nutzungsvorganges über den damit verbundenen Umgang mit personenbezogenen Daten informieren. Gleichzeitig muss der Nutzer bei der Erstellung von Nutzungsprofilen über sein Widerspruchsrecht informiert werden. Nach Ansicht des ULD verstößt der Betrieb von Fanpages, insbesondere die Verwendung der Insights-Funktion, wegen einer angeblich damit verbundenen Datenübermittlung an Facebook und mangels hinreichender Informationen hierüber gegen deutsches Datenschutzrecht. Kernfrage des Rechtsstreits war aber nicht, ob ein solcher Verstoß tatsächlich vorliegt. Vielmehr geht es darum, ob das ULD – das Vorliegen eines solchen Verstoßes angenommen – deswegen gegen deutsche Unternehmen vorgehen kann, die mit Fanpages auf Facebook vertreten sind. Fraglich war also die datenschutzrechtliche Verantwortlichkeit dieser Stellen.
Diese Verantwortlichkeit seitens der klagenden Unternehmen hat das Verwaltungsgericht mit seinem Urteil zutreffend abgelehnt. Danach ist allein Facebook für die Datenverarbeitung im Rahmen von Fanpages verantwortlich. Auf den ersten Blick scheint sich bereits die Frage nach der Anwendbarkeit der Datenschutzregeln des TMG auf Unternehmen, die eine Fanpage betreiben, nicht zu stellen: denn es ist anerkannt, dass diese – zumindest neben Facebook – Diensteanbieter im Sinne des TMG sein können. Maßstab für die Suche nach dem Adressaten der datenschutzrechtlichen Vorgaben des TMG ist jedoch nicht die Stellung als Diensteanbieter, sondern die Einordnung als nach § 3 Abs. 7 BDSG datenschutzrechtlich verantwortliche Stelle. Denn die datenschutzrechtlichen Vorgaben des TMG setzen Teile der europäischen Datenschutzrichtlinie 95/46/EG um. Daher muss sich der Anwendungsbereich dieser Vorgaben nach den allgemeinen datenschutzrechtlichen Regeln richten. Entsprechend ist nach § 3 Abs. 7 BDSG datenschutzrechtlich verantwortlich, wer
„personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“
Zum besseren Verständnis dieser Norm sollte man sich zusätzlich ihre europarechtliche Grundlage, Art. 2 lit d) der Richtlinie 95/46/EG, in Erinnerung rufen: danach ist datenschutzrechtlich verantwortlich, wer
„allein oder mit anderen gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Entsprechend geht auch die Art. 29-Datenschutzgruppe (Working Paper 169, S. 15) davon aus, dass derjenige, der
„weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, […] nicht als für die Verarbeitung Verantwortlicher herangezogen werden kann.“
Danach sind die Fanpagebetreiber für sich genommen datenschutzrechtlich nicht als verantwortlich anzusehen. Denn zunächst entscheiden diese nicht darüber, zu welchen Zwecken und mit welchen Mitteln die Daten der Nutzer ihrer Fanpages verarbeitet werden. Speziell im Rahmen der Insights-Funktion treffen Fanpagebetreiber keinerlei Entscheidung über die Datenverarbeitung. Vielmehr hat Facebook allein über die Interaktionsmöglichkeiten mit den Nutzern, deren Nachverfolgung, die Verarbeitung der dabei entstehenden Daten und selbst über das ob und wie der Aufbereitung dieser Daten für den Fanpagebetreiber entschieden. Entsprechend beschränkt sich der Entscheidungsspielraum des Betreibers allein auf die Frage, ob er eine Fanpage anlegt oder nicht. Diese Entscheidung alleine genügt für die Annahme einer datenschutzrechtlichen Verantwortlichkeit jedoch nicht. Durch die Eröffnung einer Fanpage liefert der Betreiber Facebook zwar die Möglichkeit, mittels eines weiteren Analyseobjekts weitere Daten zu generieren. Der Betreiber erhält selbst jedoch keine Möglichkeit, die Datenverarbeitung selbst zu kontrollieren. Er hat keinerlei Verfügungsgewalt über personenbezogene Daten. Insbesondere enthalten die ausgewählten, anonymisierten und aggregierten Analyseergebnisse, die Facebook ihm über Insights zur Verfügung stellt, keinerlei personenbezogene Daten mehr.
Daher ist die Funktion Insights auch nicht mit anderen im Internet eingesetzten Analysewerkzeugen wie beispielsweise Google Analytics vergleichbar. Hier liefern Webseitenbetreiber Dritten vielfach unmittelbaren Zugriff auf IP-Adresse, technische Informationen und sonstige Daten ihrer Nutzer, um die Reichweite ihrer Internetseite zu messen oder mehr Geld durch passende Werbeeinblendungen zu verdienen. Eine direkte vertragliche Beziehung zwischen dem Dritten und dem Nutzer besteht bei diesen Diensten – anders als bei Facebook – gerade nicht, der Dritte wird vielmehr im Auftrag des Webseitenbetreibers tätig. Auf die Datenverarbeitung durch Facebook haben die Betreiber einer Fanpage demgegenüber keinen Einfluss.
Aus diesem Grund kommt auch eine gemeinsame Verantwortlichkeit der klagenden Unternehmen neben Facebook nicht in Betracht. Zwar besteht nach Art. 2 lit d) der Richtlinie 95/46/EG grundsätzlich die Möglichkeit, für einen Vorgang mehrere Stellen als datenschutzrechtlich verantwortlich anzusehen. Dies erfordert jedoch zum einen, dass jede dieser Stellen zumindest für einen Teil der Datenverarbeitung selbst verantwortlich ist. Schon dies ist hier wie oben gezeigt nicht der Fall. Zum anderen würde sich selbst dann die Verantwortlichkeit der jeweiligen Stelle auf diesen Teil der Verarbeitung beschränken. Eine Zurechnung der Verantwortlichkeit anderer Stellen findet gerade nicht statt.
Allein die Entscheidung, eine Fanpage zu eröffnen, kann damit keine datenschutzrechtliche Verantwortlichkeit der vom ULD belangten Unternehmen begründen.
Daneben ist es auch fraglich, ob die vom ULD belangten Stellen – selbst wenn man eine datenschutzrechtliche Verantwortlichkeit annähme – überhaupt gegen die genannten Vorschriften verstoßen. Denn die vom ULD verlangten Informationen sind für jeden Facebook-Nutzer bei Registrierung und auch sonst jederzeit einsehbar.
Gleichzeitig war auch das methodische Vorgehen des ULD in dem Prozess umstritten. Die Datenschützer sahen sich insbesondere dem Vorwurf ausgesetzt, dass sie sich bei ihren Entscheidungen von sachfremden Erwägungen leiten ließen. Dem ULD sei es hier primär nicht darum gegangen, Datenschutzverstöße der belangten Unternehmen abzustellen. Vielmehr hätten die Datenschützer versucht, mit ihrem Vorgehen Druck auf Facebook auszuüben. Dafür habe man die betroffenen Unternehmen sozusagen in „Geiselhaft“ genommen. Zudem sei das ULD nur gegen einige wenige Unternehmen vorgegangen, die Fanpages betreiben. Daneben war es auch fraglich, ob das ULD den Unternehmen den Betrieb ihrer Fanpages gestützt auf § 38 Abs. 5 Satz 2 BDSG unmittelbar untersagen durfte oder ob nicht zunächst eine Anordnung gem. § 38 Abs. 5 Satz 1 BDSG, den vermeintlichen Datenschutzverstoß abzustellen, hätte erlassen werden müssen
Im Ergebnis hat das Verwaltungsgericht daher zutreffend entschieden, dass die Betreiber von Fanpages datenschutzrechtlich keineswegs für die im Rahmen der Nutzung ihrer Seiten erfolgenden Datennutzungen verantwortlich sind. Gleichzeitig hat das Gericht durch seine Entscheidung erhebliche wirtschaftliche Nachteile für deutsche, insbesondere in Schleswig-Holstein ansässige, Unternehmen vermieden. Schließlich nehmen Fanpages in sozialen Netzwerken heute für die Außendarstellung von Unternehmen, insbesondere zunehmend auch kleinere und mittelständische Unternehmen, im Internet eine genauso essentielle Rolle ein, wie die eigene Homepage. Die ULD hat nun zwei Möglichkeiten. Sie respektiert das Urteil des Verwaltungsgerichts und lässt dieses rechtskräftig werden. Interessierte Beobachter halten dieses für eher unwahrscheinlich. Oder sie beharrt auf ihrer Rechtsauffassung und legt vor dem OVG (Oberverwaltungsgericht) Berufung ein, damit wir dann in dieser Frage endlich Rechtsfrieden haben: Zum Wohle der Fans, zum Wohle der Stars und zum Wohle der Fanpagebetreiber.
Burkhardt Müller-Sönksen ist Rechtsanwalt in Hamburg, ehemaliges Mitglied des Deutschen Bundestages (2005-2013) und medienpolitischer Sprecher der FDP Hamburg.
Nachtrag, 22.10.2013: Die Redaktion weist darauf hin, dass der Kontakt zwischen Herrn Müller-Sönksen und Telemedicus auf Vorschlag von Facebook zustande kam. Herr Müller-Sönksen vertritt Facebook nach Kenntnisstand der Redaktion weder gerichtlich noch außergerichtlich; er ist alleiniger Autor des Textes und gibt nur eigene Ansichten wider.