Leitsätzliches
Unternehmen, die bei Facebook ein eigenes Unternehmens-Profil betreiben, sind nicht für mögliche Datenschutzverstöße durch facebook verantwortlich, da die Letztentscheidung über die Datenverarbeitung oder -verwendung bei diesem Seitembetreiber liegt.VERWALTUNGSGERICHT Schleswig
Im Namen des Volkes
Urteil
Entscheidung vom 09. Oktober 2013
Az.: 8 A 37/12
In der Verwaltungsrechtssache
...
Klägerin,
Proz.-Bev.: ...
g e g e n
das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel, - LD4-61.45/11.005 -
Beklagter,
Beigeladen:
...
Streitgegenstand: Datenschutzrecht
hat das Schleswig-Holsteinische Verwaltungsgericht ... für Recht erkannt:
Der Bescheid vom 3.11.2011 in der Fassung des Widerspruchsbescheides vom 24.1.2012 wird aufgehoben.
Der Beklagte trägt die Kosten des Verfahrens.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig.
Das Urteil ist wegen der Kosten vorläufig vollstreckbar.
Dem Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % der erstattungsfähigen Kosten abzuwenden, wenn nicht der Vollstreckungsgläubiger vor der Vollstreckung in gleicher Höhe Sicherheit leistet.
Die Berufung wird zugelassen.
Tatbestand
Die Klägerin wendet sich gegen eine Anordnung des Beklagten, die von ihr betriebene Facebook-Fanpage zu deaktivieren.
Die Klägerin ist ein Groß- und Einzelhandelsunternehmen und unterhält auf Facebook eine sog. Fanpage, die unter www.facebook.com/CITTIPARK.Kiel zu erreichen ist.
Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern und Prominenten eingerichtet werden können. Der Betreffende muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Nutzer der Plattform können eigene Beiträge auf der Plattform posten. Wer sich bei Facebook registrieren will (in Folgendem: registrierter Nutzer bzw. Facebook-Mitglied), muss bei der Registrierung die Vor- und Nachnamen, das Geburtsdatum, das Geschlecht und die E-Mail-Adresse angeben.
Bei dem Aufruf einer Fanpage wird ein Datenverkehr zwischen dem Besucher der Seite und Facebook ausgelöst. Die technischen Abläufe beim Aufruf einer Fanpage bei Facebook durch einen Nutzer sind danach zu differenzieren, ob der Nutzer ein Nicht-Facebook-Mitglied ist oder als Facebook-Mitglied beim Besuch der Fanpage gerade als solches eingeloggt ist oder nicht.
Der Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012 (S. 9; Arbeitsgruppe verschiedener Bundesländer, www.datenschutzzentrum.de/internet/20120404-AGSozNetzw-AK-I-IMK.pdf ) stellt die technischen Abläufe wie folgt dar:
Tabelle 2: Fanpage
Fallgruppe | Technische Abläufe | |
---|---|---|
1 | Nicht-Facebook-Mitglied oder Facebook-Mitglied, das gerade nicht eingeloggt ist, besucht eine Fanpage. | Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse) |
2 | Eingeloggtes Facebook-Mitglied besucht eine Fanpage | Übertragung der IP-Adresse (unklar, ob Speiche-rung als generische oder spezifische IP-Adresse) und |
Der c_user-Cookie wird von Facebook gesetzt, wenn sich das Facebook-Mitglied einloggt und enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Facebook kann dadurch das Mitglied identifizieren, den Aufruf der Website der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage personalisieren (vgl. Er-gebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 8).
Der datr-Cookie, der bei jedem Aufruf der Website www.facebook.com gesetzt wird, hat eine Gültigkeit von zwei Jahren, kann aber durch entsprechende Browser-Einstellung blockiert und gelöscht werden. Er dient Facebook nach eigenen Angaben zur Identifizierung des Web-Browsers, der die Verbindung mit der Facebook-Seite aufbaut und spielt eine Schlüsselrolle beim Schutz des sozialen Netzwerkes vor „böswilligen Aktivitäten“ (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 7 ff.).
Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook kostenfrei zur Verfügung gestellten Werkzeugs „Facebook-Insights“ anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten Angaben über die Nutzung der Fanpage. Dazu gehören Informationen über den Nutzerzuwachs, die Demographie der Nutzer und über die Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 9).
Mit Schreiben vom 6.10.2011 teilte der Beklagte, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, der Klägerin mit, dass ein aufsichtsbehördliches Verfah-ren nach § 38 Bundesdatenschutzgesetz (BDSG) eingeleitet werde.
Beim Aufruf der Fanpage würden Angaben über die Nutzung der Fanpage durch Facebook-Mitglieder und -Nichtmitglieder in die USA an Facebook übermittelt. Web-Seiten-Betreiber hätten die Unterrichtungspflichten nach § 13 Abs. 1 TMG (Telemediengesetz) und die Anforderungen an die Einholung einer Einwilligung in die Datenverarbeitung nach § 13 Abs. 3 TMG einzuhalten. Dies habe bei dem von der Klägerin angebotenen Dienst, dem Betreiben der Fanpage, nicht festgestellt werden können. Die Erstellung der Nutzungsprofile (Insights) erfolge unter Verstoß gegen § 15 Abs. 3 TMG. Über die Reichweitenanalyse werde nicht informiert, eine Widerspruchsmöglichkeit existiere ebenso wenig wie eine datenschutzrechtlich wirksame Einwilligungserklärung. Die Informationen aus der Reichweitenanalyse würden mit den identifizierenden Angaben der Facebook-Mitglieder zusammengeführt. Als Betreiberin der Fanpage sei die Klägerin Diensteanbieterin iSd § 2 Nr. 1 TMG und verantwortliche Stelle nach § 3 Abs. 7 BDSG.
Mit Bescheid vom 3.11.2011 ordnete der Beklagte gegenüber der Klägerin gemäß § 38 Abs. 5 Satz 1 BDSG an, dafür zu sorgen, dass die von ihr betriebene „Fanpage“ unter www.facebook.com/CITTIPARK.Kiel deaktiviert werde. Für den Fall, dass dieser Verpflichtung nicht innerhalb von sechs Wochen nach Zustellung des Bescheides nachgekommen werde, wurde ein Zwangsgeld in Höhe von 5.000 € angedroht.
Die Anordnung wurde damit begründet, Nutzungsdaten nach § 15 TMG (u. a. IP-Adresse, Cookie-IDs, z. B. aus dem Cookie „datr“, Familien- und Vorname, Geburtsdatum) von Nutzern, welche die Fanpage der Klägerin aufriefen, würden nach § 15 Abs. 3 Satz 1 TMG für Zwecke der Werbung von Facebook erhoben, ohne dass die Klägerin als die nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle Benutzer gemäß § 13 Abs. 1 TMG über eine Widerspruchsmöglichkeit unterrichte. Eine technische Möglichkeit zur Beachtung eines Widerspruches bestehe derzeit nicht, da Facebook hierfür keine technische Möglichkeit bereitstelle. Bereits deshalb liege ein Verstoß gegen § 15 Abs. 3 Satz 1 und 2 TMG vor. Die Klägerin veranlasse durch das Bereitstellen einer Fanpage, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Fanpagenutzer erstelle. Dadurch bestimme die Klägerin gemeinsam mit Facebook den Zweck und die wesentlichen Mittel der Datenverarbeitung, wodurch sie eine datenschutzrechtliche Verantwortung trage. Da die Klägerin keine technische Möglichkeit zur Errichtung eines Widerspruchsmechanismus habe, gleichwohl aber eine datenschutzrechtliche Verantwortung bestehe, sei die Anordnung erfolgt, die Fanpage zu deaktivieren.
Den hiergegen erhobenen Widerspruch begründete die Klägerin damit, sie sei für die von dem Beklagten beanstandete Reichweitenanalyse nicht verantwortlich. Richtiger Gegner sei Facebook als Betreiberin der Seite. IP-Adressen und Cookies seien keine personenbezogenen Daten. Jedenfalls sei sie für den beanstandeten Datenverkehr nicht verantwortlich.
Diesen Widerspruch wies der Beklagte mit Widerspruchsbescheid vom 24.1.2012 zurück. Eine transparente und hinreichend konkrete Aufklärung durch Facebook über die Verarbeitung personenbezogener Nutzung der Daten fehle, daher sei eine wirksame Einwilligung der Fanpagenutzer nicht gegeben. Auch über eine Widerspruchsmöglichkeit nach § 15 Abs. 3 Satz 2 TMG werden nicht informiert, schließlich fehle ein Widerspruchsmechanismus.
Der Umstand, dass Facebook personenbezogene Nutzerdaten erhebe, stehe der datenschutzrechtlichen Verantwortung nicht entgegen. Die Klägerin leiste einen aktiven und willentlichen Beitrag zur Erhebung der Daten und damit zur Erstellung von Profilen durch Facebook. Es sei unerheblich, dass die Klägerin nicht von allen Nutzerdaten Kenntnis erhalte. Entscheidend sei, dass die Klägerin durch das Bereitstellen einer Fanpage dafür sorge, dass Facebook aus den dabei anfallenden Nutzungsdaten Profile erstelle. Es sei auch unerheblich, dass die Klägerin im Einzelnen nicht genau wisse, wie Facebook die Daten verarbeite. Das zeige ein Vergleich mit der Auftragsdatenverarbeitung nach § 11 BDSG: Auch ein Auftraggeber müsse nicht jeden Verarbeitungsschritt des Auftragneh-mers kennen.
Auch fehlende Einflussmöglichkeiten auf konkrete Datenverarbeitungsvorgänge stünden einer datenschutzrechtlichen Verantwortlichkeit gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG nicht entgegen. Mit Errichtung der Fanpage entscheide die Klägerin nicht nur über den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Nutzungsdaten, sondern es werde auch über das wesentliche Mittel der Datenverarbeitung entschieden. Ohne den Betrieb der Fanpage seien die konkreten Datenverarbeitungsprozesse nicht möglich.
Zur Begründung ihrer hiergegen am 24.2.2012 erhobenen Klage macht die Klägerin geltend:
Die Anordnung gemäß § 38 Abs. 5 Satz 1 BDSG zur Deaktivierung der Fanpage sei rechtswidrig und verletze sie in ihren Rechten. Ein Verstoß gegen datenschutzrechtliche Vorschriften, den sie zu verantworten habe, liege nicht vor. Bei IP-Adressen und Cookies handele es sich nicht um personenbezogene Daten im Sinne der Vorschrift. Sie sei auch nicht „Diensteanbieter“ im Sinne von § 2 Ziffer 1 TMG. Sie nutze die von Facebook zur Verfügung gestellte Infrastruktur und könne allenfalls hinsichtlich der von ihr eingestellten Informationen als Diensteanbieterin angesehen werden. Nur insoweit sei sie (hinsichtlich der Inhalte) verantwortlich. Sie verarbeite jedoch keine Daten im Sinne von § 15 Abs. 2 TMG. Die Handlungen von Facebook seien ihr nicht zuzurechnen, insoweit sei sie nicht verantwortlich. Die datenschutzrechtliche Verantwortlichkeit des Diensteanbieters richte sich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Die verantwortliche Stelle sei in § 3 Abs. 7 BDSG dahin definiert, dass dies die Stelle sei, die personenbezogene Daten für sich selbst erhebe, verarbeite oder nutze oder dies durch andere im Auftrag vornehmen lasse. Bei der Auslegung von § 3 Abs. 7 BDSG sei Art. 2 d) RL 95/46/EG (Datenschutzrichtlinie) ergänzend heranzuziehen, wonach verantwortlich nur sei, wer über die Zwecke und Mittel der Datenverarbeitung entscheide. Dabei komme es allein auf die Verfügungsmacht über die Daten an. Im Zusammenhang mit dem Betreiben der Fanpage erhebe sie - die Klägerin - weder personenbezogene Daten für sich selbst, noch geschehe dies durch Beauftragung eines anderen und ein Drittes gebe es nicht. Für ein Erheben von Daten sei Voraussetzung, dass sie selbst Kenntnis der Daten erhielte oder objektive Verfügungsgewalt über diese begründe. Das sei jedoch nicht der Fall. Sie habe weder Kenntnis noch Verfügungsgewalt über die Daten der Nutzer der Fanpage. Diese kämen in keinem Zeitpunkt mit ihrer technischen Infrastruktur in Berührung, sie würden unmittelbar von Facebook erhoben und durch Facebook verarbeitet.
Es liege auch keine Auftragsdatenverarbeitung gemäß § 3 Abs. 7 BDSG iVm § 11 BDSG vor. Typisches Merkmal der Auftragsdatenverarbeitung sei der Umstand, dass sich der Auftraggeber die Entscheidungsbefugnis vorbehalte und dem Dritten keinerlei inhaltliche Bewertungs- und Ermessungsspielraum gestattet sei. Sie - die Klägerin - habe keinerlei Einfluss auf die Verarbeitung der Daten durch Facebook, es bestehe hinsichtlich der Daten bei ihr keinerlei Entscheidungsspielraum. Facebook erhebe und verarbeite die Daten für eigene Geschäftszwecke und nicht als ihre Auftragnehmerin. Allein die Tatsache, dass sie eine Fanpage bei Facebook unterhalte und Inhalte auf dem Server von Facebook hinterlege, genüge nicht für die Annahme einer verantwortlichen Stelle. Die Entscheidung über die Errichtung einer Fanpage sei keine über die Art, den Umfang und den Zweck der Datenverarbeitung durch Facebook. Sie entscheide nicht, auch nicht gemeinsam mit Facebook, wie mit den Daten der Nutzer umgegangen werde.
Es bestehe auch keine Mischform zwischen eigener und Auftragsdatenverarbeitung. § 3 Abs. 7 BDSG sehe nur die eigene Datenerhebung/-verarbeitung/-nutzung oder Auftrags-datenerhebung/-verarbeitung/-nutzung vor, jedoch keine Mischform.
Die Klägerin ist im Übrigen der Ansicht, dass durch Facebook eine ausreichende Unterrichtung über die Erhebung und Verwendung personenbezogener Daten gemäß § 13 Abs. 1 Satz 1 TMG erfolge. Die insoweit zuständige irische Datenschutzbehörde habe keine datenschutzrechtlichen Beanstandungen erhoben (Report of Audit, 21.12.2011, Seite 51 ff., www.dataprotection.ie).
Die Klägerin ist ferner der Ansicht, dass selbst wenn ein Verstoß gegen Datenschutzbestimmungen vorliege, die angegriffene Verfügung wegen Ermessensfehler aufzuheben sei.
Die Klägerin beantragt,
den Bescheid vom 3.11.2011 in der Fassung des Widerspruchsbescheides vom 24.1.2012 aufzuheben.
Der Beklagte beantragt,
die Klage abzuweisen.
Der Beklagte trägt vor:
Die Klägerin sei Diensteanbieterin gemäß § 2 Satz 1 Nr. 1 TMG, so dass sie die Pflichten des Diensteanbieters gemäß § 13 Abs. 1 Satz 1 und § 15 Abs. 3 Satz 2 TMG träfen.
Aus § 12 Abs. 1 und 2 TMG sei nicht ableitbar, dass der Dienstanbieter nicht für die Datenverarbeitung einer anderen Stelle verantwortlich sein könne. Vorliegend ergebe sich die Verantwortlichkeit für die Datenverarbeitung durch Facebook aus § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG, wonach für die Verarbeitung Verantwortlicher sei, wer „allein oder gemeinsam mit anderen“ über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Die Klägerin entscheide in diesem Sinne gemeinsam mit Facebook über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Durch das Anlegen der Fanpage unternehme die Klägerin den entscheidenden Schritt dafür, dass u. a. die IP-Adresse des Nutzers an Facebook geleitet werde. Die Fanpage stelle damit ein wesentliches Mittel zur Datenverarbeitung dar. Die Klägerin leiste einen willentlichen und adäquat kausalen Beitrag zu den datenschutzrechtlichen Verstößen durch Facebook. Die Beklagte verweist auf das Urteil des LG Berlin vom 06.03.2012 (- 16 O 551/10 -, juris), das in dem Fall, dass im Rahmen des Registrierungs-prozesses bei Facebook Einladungs- und Erinnerungsmails an Personen aus der Kontaktliste des sich registrierenden Nutzers versendet werden, ausgeführt hat, die Versendung der Mails beruhe nicht allein auf dem Entschluss eines Dritten, also der einladenden Nutzer. Vielmehr handelten diese und Facebook als Mittäter gemäß § 830 Abs. 1 Satz 1 BGB, da sie bewusst und gewollt bei der Versendung der E-Mail zusammenwirkten: Die Nutzer stellten die erforderlichen Adressdaten, während Facebook die Erstellung der Mails und deren Versand übernehme. Der Beklagte ist der Auffassung, dass dieselben Grundsätze im Verhältnis zwischen dem Fanpage-Betreiber und Facebook zur Anwendung gelangen müssten.
Die Beigeladene beantragt,
den Bescheid vom 3.11.2012 in der Fassung des Widerspruchsbescheides vom 24.1.2012 aufzuheben.
Die Beigeladene teilt die Rechtsauffassung der Klägerin.
Die Bescheide seien bereits deshalb rechtswidrig, weil sie durch die in der Anordnung ausdrücklich genannte Ermächtigungsgrundlage des § 38 Abs. 5 Satz 1 BDSG nicht gedeckt sei. § 38 Abs. 5 Satz 1 BDSG ermächtige zu Maßnahmen, die auf eine Veränderung eines Datenverarbeitungsvorganges bzw. auf Beseitigung von Mängeln innerhalb eines Datenverarbeitungsvorganges gerichtet seien. Die Untersagung eines Datenverarbeitungsvorganges oder gar die vollständige Beseitigung einer mit einem Datenverarbeitungsvorgang im Zusammenhang stehenden Infrastruktur könne gemäß § 38 Abs. 5 Satz 1 BDSG nicht angeordnet werden. Die streitige Anordnung komme in ihrer Wirkung jedoch einer vollständigen Untersagung gleich, so dass sie nicht auf § 38 Abs. 5 Satz 1 BDSG gestützt werden könne.
§ 38 Abs. 5 Satz 1 und 2 BDSG regelten die behördlichen Eingriffsbefugnisse im Bereich des Datenschutzes als gestuftes Verfahren. Erst bei Fruchtlosigkeit von Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG könne zu Maßnahmen nach § 38 Abs. 5 Satz 2 BDSG (Untersagungsanordnungen) gegriffen werden. Dieses abgestufte Verfahren habe der Beklagte nicht eingehalten. Ohnehin sei ein Austausch der Ermächtigungsgrundlage (§ 38 Abs. 5 Satz 2 BDSG statt § 38 Abs. 5 Satz 1 BDSG) unzulässig.
Zwar wäre nur sie, die Beigeladene, in der Lage, den Datenverarbeitungsvorgang zu modifizieren und insoweit sei die Klägerin nicht die richtige Adressatin für eine Anordnung nach § 38 Abs. 5 Satz 1 BDSG. Die Tatsache, dass der Beklagte die streitige Anordnung an eine völlig ungeeignete Stelle richte, könne ihn jedoch nicht von der Notwendigkeit befreien, das in § 38 Abs. 5 Satz 2 BDSG vorgesehene zweistufige Verfahren einzuhalten.
Die streitige Anordnung sei auch deshalb rechtswidrig, weil die Klägerin im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei. Adressat der Verpflichtungen in §§ 13, 15 TMG sei die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG. Fanpage-Betreiber seien keine datenschutzrechtlich verantwortliche Stelle, da sie nicht über Zwecke und Mittel der Datenverarbeitung (mit-)entscheiden würden.
Die Datenverarbeitung für die Insights-Funktion laufe unbeeinflusst von den Betreibern einer Fanpage ab. Diese hätten keine Entscheidungsbefugnis in Bezug auf die Zwecke und Mittel der Datenverarbeitung. Die Möglichkeit, eine Fanpage zu eröffnen, die Tatsache, dass dort Nutzeraktivitäten nachverfolgt werden, die Art der Verarbeitung dieser Daten und sogar, dass und wie diese aufbereitet und den Fanpage-Betreibern zur Verfügung gestellt würden, habe sie - die Beigeladene - bereits unabhängig vom einzelnen Fanpage-Betreiber entschieden und in ihrer Infrastruktur angelegt. Der Entscheidungsspielraum der Fanpage-Betreiber beschränke sich einzig und allein auf die Frage, ob sie eine Fanpage anlegten oder nicht. Diese Entscheidung, eine Fanpage anzulegen, sei allein nicht als Entscheidung über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ anzusehen. Im Sinne des Art. 2 d) RL 95/46/EG genüge gerade nicht jede Entscheidung, die entfernt ursächlich für das Ergebnis einer Datenverarbeitung sein könne. Vielmehr müsse die Entscheidungsbefugnis die Möglichkeit einräumen, die Datenverarbeitung selbst zu kontrollieren. Wer keinen Einfluss auf die Entscheidung habe, warum und wie personenbezogene Daten verarbeitet würden, könne nicht als verantwortliche Stelle angesehen werden. Durch die Entscheidung, eine Fanpage anzulegen, blieben das „Wie“ und „Warum“ der Datenverarbeitung durch sie - die Beigeladene - unbeeinflusst. Es werde lediglich ein weiteres Analyseobjekt geschaffen, das sie zur Förderung der eigenen Geschäftstätigkeit routinemäßig in die Insights-Funktion aufnehme und auswerte, wie jede andere Fanpage auch. Dieser Befund werde dadurch unterstrichen, dass die Klägerin selbst zu keinem Zeitpunkt eine wie auch immer geartete Verfügungsgewalt über personenbezogene Daten oder die Mittel der Datenverarbeitung erhalte. Die Mittel der Datenverarbeitung lägen vollständig bei ihr - der Beigeladenen -. Zu keinem Zeitpunkt des Verarbeitungsprozesses bekomme die Klägerin Zugang zu diesen Mitteln oder zu den Daten der Nutzer. Die Klägerin habe keinerlei Einfluss darauf, welche Daten verarbeitet würden, welche Analysen durchgeführt würden oder wie die Ergebnisse aufbereitet würden. Die Analyseergebnisse, die sie schließlich erhalte, enthielten keine personenbezogenen Daten mehr.
Das durch den Beklagten mit der Terminologie „gemeinsame Zwecksetzung“ suggerierte Zusammenwirkung zwischen der Klägerin und ihr - der Beigeladenen - existiere nicht. Eine gemeinsame Zwecksetzung, wenn es sie denn tatsächlich gäbe, sei für eine gemeinsame Verantwortlichkeit ohnehin nicht ausreichend. Gemäß Art. 2 d) RL 95/46/EG sei nämlich die Entscheidung über „Zwecke und Mittel“ der Verarbeitung entscheidend, nicht über „Zwecke oder Mittel“. Die gemeinsame Zwecksetzung sei danach zwar eine notwendige, aber keine hinreichende Bedingung für das Vorliegen einer gemeinsamen Verantwortlichkeit. Auf die Mittel der Datenverarbeitung, insbesondere die im Netzwerk der Beigeladenen implementierte Insights-Funktion, habe die Klägerin aber keinen Einfluss.
Auch der vom Beklagten angestellte Vergleich zwischen dem Betreiben einer Fanpage bei ihr (Facebook) mit dem Nutzer eines Werbenetzwerkes bzw. der Inanspruchnahme von Angeboten von Online-Inhalten, die Platz auf ihren Websites an Werbenetzbetreiber vermieten (sogenanntes „Behavioural Targeting“) überzeuge nicht. Die Situation des Betreibers einer Fanpage im Netzwerk von Facebook sei nicht mit dem Betrieb einer Website im Internet vergleichbar. Eine Fanpage entstehe gerade nicht im Internet, sondern im (Parallel-)Netzwerk der Beigeladenen. Ein Fanpage-Betreiber habe daher keine mit dem Betreiber einer Website vergleichbaren Gestaltungs- oder Entscheidungsmöglichkeiten, sondern sei gezwungen, sich an die Spielregeln der Beigeladenen zu halten. Die tatsächlichen Umstände seien somit völlig andere.
Soweit Art. 2 d) RL 95/46/EG die Möglichkeit einer gemeinsamen datenschutzrechtlichen Verantwortung vorsehe, setze diese selbstverständlich voraus, dass jeder gemeinsam Verantwortliche selbst in Bezug auf die Datenverarbeitung oder zumindest Teilaspekte davon die Voraussetzung von Art. 2 d) RL 95/46/EG erfülle.
Eine Gesamtverantwortung qua Zurechnung sehe Art. 2 d) RL 95/46/EG grundsätzlich nicht vor.
Es liege auch keine Auftragsdatenverarbeitung und keine einer Auftragsdatenverarbeitung vergleichbare Situation vor. Sie verarbeite keine personenbezogenen Daten im Auftrag der Klägerin. Soweit im Rahmen der Auftragsdatenverarbeitung ausnahmsweise ein fehlender Kontakt mit personenbezogenen Daten die Verantwortlichkeit des Auftraggebers nicht beeinträchtige, basiere dies darauf, dass der Auftraggeber über sein Weisungsrecht dennoch in der Lage sei, alle relevanten Entscheidungen zu treffen und die Datenverarbeitung zu kontrollieren. Ein solches Auftragsverhältnis mit einem Weisungsrecht und der Möglichkeit der Kontrolle über die Datenverarbeitung existiere im Verhältnis zwischen der Klägerin und ihr nicht. Die Klägerin bestimme nicht die Zwecke der Datenverarbeitung, sondern profitiere lediglich vom Ergebnis einer eigenständig initiierten Datenverarbeitung durch sie - die Beigeladene.
Auch die vom Beklagten konstruierte allgemeine Verantwortlichkeit vergleichbar einer „Störerhaftung“ könne die fehlende datenschutzrechtliche Verantwortung der Klägerin nicht ersetzen. Die Figur einer Verantwortlichkeit für Störungszustände sei dem Datenschutzrecht fremd. Der dem deutschen Polizei- und Ordnungsrecht entliehene Begriff der Störerhaftung finde keine Entsprechung in den europarechtlichen Harmonisierungsvorschriften für den Datenschutz. Vielmehr enthalte Art. 2 d) RL 95/46/EG eine eigene explizite Regelung der datenschutzrechtlichen Verantwortlichkeit. Danach sei allein derjenige Verantwortlicher im datenschutzrechtlichen Sinne, der eine Datenverarbeitung steuernd in den Händen halte, indem er maßgeblich „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide“. Eine Verantwortlichkeit für „Störungszustände“ oder für eine Datenverarbeitung, für die allein ein Dritter verantwortlich ist, sei nicht vorge-sehen.
Diese Definition der Verantwortlichkeit sei bei der Umsetzung der Datenschutzrichtlinie in nationales Recht nicht erweitert worden. Vielmehr sei § 3 Abs. 7 BDSG in Anlehnung an die Terminologie des Art. 2 d) RL 95/46/EG formuliert worden. Eine national-autonome Erweiterung auf „Nichtverantwortliche“ im Sinne der RL 95/46/EG sei also nicht beabsichtigt gewesen und wäre darüber hinaus europarechtlich unzulässig. Die Beigeladene nimmt insoweit auf ein Urteil des EuGH vom 24.11.2011 (C-468/10 und C-469/10) Bezug.
Die Beigeladene ist im Übrigen der Auffassung, dass ihre Datenverarbeitung dem allein maßgeblichen irischen materiellen Datenschutzrecht entspreche. Im Übrigen sei die streitige Anordnung auch ermessensfehlerhaft.
Für das weitere Vorbringen der Beteiligten sowie die Einzelheiten des Sachverhaltes wird auf die Schriftsätze der Beteiligten sowie auf den Verwaltungsvorgang, der dem Gericht vorgelegen hat, Bezug genommen.
Entscheidungsgründe:
Die Klage ist zulässig und begründet.
Der Bescheid vom 3.11.2011 in der Fassung des Widerspruchsbescheides vom 24.1.2012 ist rechtswidrig und verletzt die Klägerin in ihren Rechten gemäß Art. 14 Abs. 1 GG (Eigentumsrecht, Recht am eingerichteten und ausgeübten Gewerbebetrieb) bzw. Art. 12 Abs. 1 Satz 2 GG (Freiheit der Berufsausübung), so dass er aufzuheben war (§ 113 VwGO).
In der streitigen Anordnung nach § 38 Abs. 5 Satz 1 BDSG geht es nicht um die datenschutzrechtliche Verantwortlichkeit der Klägerin für Inhalte der Fanpage und auch nicht um die Frage einer datenschutzrechtlichen Verantwortlichkeit einer von Facebook unabhängigen eigenen Datenerhebung und Datenverarbeitung betreffend die Nutzer ihrer Fanpage. In Rede steht die datenschutzrechtliche Verantwortlichkeit als Diensteanbieter von Telemedien gemäß § 13 Abs. 1 TMG und § 15 Abs. 3 Satz 2 TMG durch das Betreiben einer Fanpage bei Facebook als solches.
Insoweit ist eine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook zu verneinen.
Da bereits aus diesem Grunde die Anordnung der Deaktivierung der Fanpage rechtswidrig ist, bedarf es keiner Entscheidung zum Verhältnis der Eingriffsermächtigungen des § 38 Abs. 5 Satz 1 und Satz 2 BDSG zueinander (offengelassen, ob ein abgestuftes Verfahren vorgesehen ist: OVG Schleswig, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris; Annahme eines abgestuften Verfahrens: Gola u. a., BDSG, München 2010, Rnr. 26 zu § 38 BDSG und Schaffland/ Wiltfang, BDSG, 2005, Rnr. 26 zu § 38 BDSG).
Für die oben beschriebene Erhebung, Verwendung und Verarbeitung personenbezogener Daten durch Facebook ist die Klägerin nicht (mit-) verantwortlich.
Zwar dürfte sie als Betreiberin einer Fanpage als Diensteanbieter iSd § 2 Satz 1 Nr. 1 TMG anzusehen sein, wonach Diensteanbieter jede natürliche oder juristische Person ist, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (zur Qualifizierung von Fanpages als Telemedien: Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012, Seite 9; Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur Facebook-Kampagne des ULD , S. 12, www.datenschutzzentrum.de; Inhaber eines geschäftlich genutzten Facebook-Accounts als Diensteanbieter von Telemedien: LG Aschaffenburg, Urteil vom 19.08.2011 - 2 HKO 54/11, 2 HKO 54/11 -, juris; offengelassen durch: OLG Düsseldorf, Beschluss vom 10.05.2012 - I-20 W 20/12 -, juris), jedoch fehlt der Klägerin die datenschutzrechtliche (Mit-)Verantwortlichkeit für die durch den Besuch einer Fanpage ausgelöste Erhebung, Verwendung und Verarbeitung personenbezogener Daten (im Folgenden zusammenfassend: Datenverarbeitung) durch die Beigeladene.
Die Beteiligten gehen zutreffend übereinstimmend davon aus, dass mit dem Begriff „Diensteanbieter“ im Sinne des Telemediengesetzes hinsichtlich der Verarbeitung personenbezogener Daten keine spezialgesetzliche Verantwortlichkeit abweichend von dem Begriff der verantwortlichen Stelle gemäß § 3 Abs. 7 BDSG bzw. Verantwortlicher im Sinne von Art. 2 d) der RL 95/46/EG (Datenschutzrichtlinie) geregelt wurde.
Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“, E-Commerce-Richtlinie - ECRL -), die der Gesetzgeber mit dem Telemediengesetz (TMG) umsetzen wollte (vgl. Spindler u. a., Recht der elektronischen Medien, München 2008, Rdnr. 8 zu § 1 TMG) regelt in Art. 1 Abs. 5 b) ausdrücklich, dass diese Richtlinie keine Anwendung findet auf Fragen betreffend die Dienste der Informationsgesellschaft, die von der RL 95/46/EG und RL 97/66/EG erfasst werden. Der Erwägungsgrund Nr. 14 zur ECRL-Richtlinie besagt ausdrücklich, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogender Daten ausschließlich Gegenstand der Richtlinie 95/46/EG und der Richtlinie 97/66/EG ist, die uneingeschränkt auf die Dienste der Informationsgesellschaft anwendbar seien.
Dementsprechend richtet sich die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten ausschließlich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG.
Da das Telemediengesetz keine von den vorgenannten Vorschriften abweichende Verantwortlichkeit bei der Verarbeitung personenbezogener Daten schafft, bedarf es an dieser Stelle keiner Entscheidung, ob eine davon abweichende national-gesetzliche Definition der Verantwortlichkeit überhaupt zulässig wäre (in Frage käme hier die entsprechende Anwendung der Grundsätze, die der EuGH mit seinem Urteil vom 24.11.2011 -, C-468/10 und C-469/10, curia.europa.eu/juris, zur Unzulässigkeit der Abweichung von in Art. 7 RL 95/46/EG abschließend geregelten Datenverarbeitungsgrundsätzen aufgestellt hat).
Eine (Mit-)Verantwortlichkeit der Klägerin für die Verarbeitung personenbezogener Daten der Nutzer der Fanpage besteht nicht.
Die Klägerin ist nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG.
Danach ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt.
Da das Bundesdatenschutzgesetz die RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) umsetzt, ist die Regelung in § 3 Abs. 7 BDSG im Lichte dieser Richtlinie auszulegen. Nach Art. 2 d) RL 95/46/EG ist „für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im Hinblick auf die mit der Nutzung einer Fanpage ausgelöste Verarbeitung personenbezogener Daten kann weder von einer eigenen Datenverarbeitung durch die Klägerin noch davon gesprochen werden, dass diese die betreffende Datenverarbeitung durch die Beigeladene aufgrund eines Auftrages vornehmen lasse.
Der Nutzer einer Fanpage der Klägerin bei Facebook ruft unmittelbar eine Facebook-Seite auf, so dass personenbezogene Daten ausschließlich vom Nutzer direkt zu Facebook gelangen. Insoweit unterscheidet sich die Konstellation bei Fanpages von dem Fall, dass Anbieter von Online-Inhalten ihre Internetseite so konfigurieren, dass ein Besucher dieser Seite automatisch zur Webseite des Betreibers eines Werbenetzwerkes umgeleitet wird, womit der Anbieter von Online-Inhalten die Übermittlung der IP-Adresse auslöst und hier-für den ersten erforderlichen Schritt zur Ermöglichung der folgenden Datenverarbeitung, die der Betreiber des Werbenetzwerkes ausübt, macht, wofür die Art.-29-Datenschutzgruppe der EU in der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting vom 22.06.2010, WP 171, Seite 14 (www.ec.europa.eu/justice), eine gewisse Verantwortung für die Datenverarbeitung auch dem Anbieter von Online-Inhalten zusprechen möchte.
In der vorliegend zur Beurteilung anstehenden Konstellation der Nutzung einer Fanpage kommt die Klägerin mit ihrem operativen Instrumentarium demgegenüber in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen personenbezogenen Daten (wobei offenbleiben kann, ob und ggf. unter welchen Voraussetzungen eine IP-Adresse ein personenbezogenes Datum ist: vgl. hierzu Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur „Facebook-Kampagne“ des ULD, Seite 4, Schleswig-Holsteinischer Landtag Umdruck 17/2988, www.landtag.ltsh.de/infothek/wahl17/umdrucke/2900/umdruck-17-2988.pdf ; ders., a. a.O. S. 7 ff., zur Frage, ob die von Facebook gesetzten Cookies personenbezogene Daten sind).
Dieser fehlende Kontakt der Klägerin zu personenbezogenen Daten der Nutzer der Fanpage schlösse ihre datenschutzrechtliche Verantwortlichkeit gemäß § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG nicht aus, wenn ein Fall der Auftragsdatenverarbeitung der Beigeladenen für die Klägerin iSd § 11 Abs. 1 Satz 1 BDSG vorläge. Dies ist jedoch nicht der Fall.
§ 11 Abs. 1 Satz 1 BDSG bestimmt, dass in dem Falle, dass personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich ist. Art. 2 e) RL 95/46/EG bestimmt, dass „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Die Beigeladene ist jedoch hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der Nutzer der Fanpage keine Auftragnehmerin der Klägerin.
Ein Auftragsverhältnis zwischen der Klägerin und der Beigeladenen besteht insoweit nicht. Es ist nicht feststellbar, dass insoweit in irgendeiner Weise eine vertragliche Beziehung zwischen der Klägerin und der Beigeladenen besteht. Die vertragliche Beziehung ist auf das Zurverfügungstellen der Fanpage durch die Beigeladene an die Klägerin entsprechend den Nutzungsbedingungen der Beigeladenen beschränkt.
Die Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch die Beigeladene ist nicht Gegenstand dieser Vereinbarung.
Soweit die Beigeladene der Klägerin den kostenlosen Dienst „Insights“ zur Verfügung stellt, handelt es sich lediglich um eine unabhängig von einem Auftrag ausgeführte statistische Auswertung der Nutzung der Fanpage mit dem Ergebnis von anonymisiertem Statistikmaterial (insoweit ebenfalls die Annahme einer Auftragsdatenverarbeitung durch Facebook ablehnend: Wissenschaftlicher Dienst des Deutschen Bundestages, Die Verlet-zung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook-Fanpages und Social-Plugins, 07.10.2011, S. 9, www.datenschutzzentrum.de/facebook/material/-WissDienst-BT-Facebook-UL -; ebenso: Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, 24.11.2011, S. 17 f., a.a.O.). Das für die Annahme eines Auf-tragsverhältnisses wesentliche Element eines vertraglichen Weisungsrechtes fehlt im Vertragsverhältnis zwischen der Klägerin und der Beigeladenen. Die Klägerin ist nicht „Herrin der Daten“ (vgl. zu diesem Begriff für den Auftraggeber einer Auftragsdatenverarbeitung: Gola u. a., BDSG, München 2010, Rnr. 50 zu § 3 BDSG).
Damit kann die Klägerin nicht als datenschutzrechtlich Verantwortliche für eine Auftragsdatenverarbeitung durch die Beigeladene iSd § 11 Abs. 1 Satz 1 BDSG bzw. Art. 2 e) RL 95/46/EG angesehen werden.
Die Klägerin ist auch nicht unter dem Gesichtspunkt verantwortliche Stelle gemäß § 3 Abs. 7 1. Alt. BDSG und Art. 2 d) RL 95/46/EG, dass sie „gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden würde.
Die Regelung in § 3 Abs. 7 1. Alt. BDSG ist im Lichte von Art. 2 d) RL 95/46/EG auszulegen, der den für die Verarbeitung Verantwortlichen als jede Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Klägerin entscheidet entgegen der Auffassung des Beklagten mit dem Bereitstellen einer Fanpage bei der Beigeladenen jedoch nicht mit der Beigeladenen zusammen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
Vorliegend bedarf es keiner Entscheidung, ob für die Annahme einer datenschutzrechtlichen Verantwortlichkeit gemäß Art. 2 d) RL 95/46/EG aufgrund des Wortlautes „über die Zwecke und Mittel der Verarbeitung … entscheidet“ die (allein oder gemeinsam mit anderen getroffene) Entscheidung sowohl über die Zwecke als auch über die Mittel vorausgesetzt wird (vgl. demgegenüber Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „Für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeitung“ vom 16.02.2010 - WP 169 -, Seite 17, wonach es möglich erscheine, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheide). Denn vorliegend fehlt es sowohl hinsichtlich der Zwecke als auch der Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage der Klägerin an einer für diese allein oder gemeinsam mit der Beigeladenen bestehenden Entscheidungsgewalt.
Die Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten werden ausschließlich von der Beigeladenen bestimmt. Die Entscheidung der Klägerin beschränkt sich auf die Annahme eines für sie unabänderlichen Angebotes, die Fanpage einzurichten und mit Inhalten zu füllen oder nicht. Durch die Annahme dieses Angebotes und die Einrichtung einer Fanpage bestimmt die Klägerin nicht Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage. Allein die Entscheidung über die Eröffnung einer Fanpage führt daher nicht zur Begründung einer datenschutzrechtlichen Verantwortlichkeit der Klägerin (vgl. Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme zur Facebook-Kampagne des ULD vom 24.11.2011, Seite 18; a.A. Polenz, Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207, 211).
Die datenschutzrechtliche Verantwortlichkeit in Bezug auf die Verarbeitung personenbezogener Daten richtet sich ausschließlich nach der abschließenden Regelung in § 3 Abs. 7 BDSG, der im Lichte des Art. 2 d) RL 95/46/EG auszulegen ist.
Grundvoraussetzung für die nach diesen Vorschriften sich ergebende datenschutzrechtliche Verantwortlichkeit ist der tatsächliche und/oder rechtliche Einfluss der Stelle in Bezug auf die Verarbeitung personenbezogener Daten, die bei einer eigenen Datenverarbeitung oder einer gemeinsamen mit einem anderen durchgeführten arbeitsteiligen Datenverarbeitung und bei einer Auftragsdatenverarbeitung aufgrund des Weisungsrechtes des Auf-traggebers hinsichtlich der Datenverarbeitung gegeben ist. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung betreffend die Verar-beitung personenbezogener Daten hat, kann nicht als für die Verarbeitung Verantwortlicher angesehen werden (Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 vom 16.02.2010 - WP 169 -, Seite 15).
Mangels eines tatsächlichen oder rechtlichen Einflusses auf die Verarbeitung personen-bezogener Daten der Nutzer der Fanpage ist die Klägerin keine für die Verarbeitung personenbezogener Daten verantwortliche Stelle.
Mit § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG ist eine abschließende Regelung betreffend die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten gegeben. Diese Regelung der Verantwortlichkeit kann nicht durch den Rückgriff auf Zurechnungsnormen des Privatrechtes oder des allgemeinen Polizei- und Ordnungsrechtes ausgeweitet werden.
Als Schuldner eines deliktischen Schadensersatzanspruches kommt im gewerblichen Rechtsschutz- und Wettbewerbsrecht ebenso wie im bürgerlichen Recht der Täter, Mittäter (§ 830 Abs. 1 Satz 1 BGB) oder Teilnehmer (§ 830 Abs. 2 BGB) der unerlaubten Handlung sowie daneben derjenige in Betracht, dem das Verhalten des Handelnden zuzurechnen ist (vgl. BGH, Urteil vom 18.10.2001 - 1 ZR 22/99 -, juris). Darüber hinaus eröffnet die Störerhaftung die Möglichkeit, auch denjenigen in Anspruch zu nehmen, der - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Gutes oder zu einer verbotenen Handlung beigetragen hat (BGH, aaO; BGH, Urteil vom 15.08.2013 - I ZR 80/12 -, juris, Prüfpflicht eines Speicherplatzproviders). Diese Störerhaftung, die ihre Grundlage nicht im Deliktsrecht, sondern in der Regelung über die Besitz- und die Eigentumsstörung in § 862 und § 1004 BGB hat, vermittelt dagegen nur Abwehransprüche.
Diese speziell auf das Zivilrecht ausgerichteten Zurechnungsnormen können vorliegend nicht zur Anwendung gebracht werden, da die datenschutzrechtliche Verantwortlichkeit abschließend in § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG geregelt ist.
Aus dem gleichen Grunde scheiden auch ein Rückgriff auf die Grundsätze der Störerhaftung (§ 218 LVwG SH Verhaltensstörer, § 219 LVwG SH Zustandsstörer) und die Grundsätze über die Inanspruchnahme von Nichtstörern (vgl. § 220 LVwG SH) aus (vgl. aber zur Inanspruchnahme eines Domain-Registrars als Nichtstörer durch Ordnungsverfügung nach dem Glückspielstaatsvertrag: OVG Nordrhein-Westfalen, Beschluss vom 26.01.2010 - 13 B 760/09 -, juris; vgl. für eine Sperrungsanordnung gegen den Access-Provider aufgrund des Glücksspielstaatsvertrages mit Rückgriff auf den Störerbegriff des allgemeinen Polizei- und Ordnungsrechts: VG Düsseldorf, Urteil vom 29.11.2011 - 27 K 5887/10 -, juris; vgl. auch VG Köln, Urteil vom 15.12.2011 - 6 K 5404/10 -, juris; vgl. zu einer Sperrverfügung nach dem Medienstaatsvertrag gegen Nichtverantwortliche aufgrund spezialrechtlicher Regelung: VG Düsseldorf, Beschluss vom 19.12.2002 - 15 L 4148/02 -, juris).
Genauso wie Art. 7 der RL 95/46/EG eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und daher die Einführung von schärferen oder liberaleren Grundsät-zen durch nationales Recht ausgeschlossen ist (vgl. EuGH, Urteil vom 24.11.2011 - C-468/10 und C-469/10, aaO) ist auch die Regelung der datenschutzrechtlichen Verantwortlichkeit in Art. 2 d) RL 95/46/EG erschöpfend und abschließend geregelt, so dass keine Begründung der datenschutzrechtlichen Verantwortlichkeit über die entsprechende Anwendung der Grundsätze des allgemeinen Polizei- und Ordnungsrechtes insbesondere auch betreffend die Verantwortlichkeit von Nichtstörern im Bereich des materiellen Datenschutzrechtes zulässig ist.
Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig, da diese sich durch einen eigenen Sachantrag am Kostenrisiko des Prozesses beteiligt hat (§ 154 Abs. 3 VwGO iVm § 162 Abs. 3 VwGO).
Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO iVm §§ 708 Nr. 11, 711 ZPO.
Die Berufung ist gemäß § 124 a Abs. 1 Satz 1 VwGO iVm § 124 Abs. 2 Nr. 3 VwGO we-gen der grundsätzlichen Bedeutung der Rechtssache zugelassen worden.
Rechtsmittelbelehrung
Gegen dieses Urteil ist das Rechtsmittel der Berufung statthaft. Die Berufung ist innerhalb eines Monats nach Zustellung dieses Urteils schriftlich oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle beim
Schleswig-Holsteinischen Verwaltungsgericht
Brockdorff-Rantzau-Straße 13
24837 Schleswig
einzulegen.
Die Berufung muss das angefochtene Urteil bezeichnen.
Die Berufung ist innerhalb von zwei Monaten nach Zustellung dieses Urteils zu begründen.
Die Begründung ist, sofern sie nicht zugleich mit der Einlegung der Berufung erfolgt, bei dem
Schleswig-Holsteinischen Oberverwaltungsgericht
Brockdorff-Rantzau-Straße 13
24837 Schleswig
einzureichen.
Sie muss einen bestimmten Antrag enthalten sowie die im Einzelnen anzuführenden Gründe der Anfechtung. Mangelt es an einem dieser Erfordernisse, so ist die Berufung unzulässig.
Vor dem Oberverwaltungsgericht müssen sich die Beteiligten, außer im Prozesskostenhilfeverfahren, durch Prozessbevollmächtigte vertreten lassen. Dies gilt auch für Prozesshandlungen, durch die ein Verfahren vor dem Oberverwaltungsgericht eingeleitet wird. Als Bevollmächtigte sind nur die in § 67 Abs. 2 Satz 1 VwGO bezeichneten Personen zugelassen. Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse können sich durch eigene Beschäftigte mit Befähigung zum Richteramt oder durch Beschäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Ferner sind die in § 67 Abs. 2 Satz 2 Nr. 3 bis 7 VwGO bezeichneten Personen und Organisationen als Bevollmächtigte zugelassen. Ein Beteiligter, der nach Maßgabe des § 67 Abs. 2 Satz 1 VwGO bzw. § 67 Abs. 2 Satz 2 Nr. 3 bis 7 VwGO zur Vertretung berechtigt ist, kann sich selbst vertreten.
Richter dürfen nicht als Bevollmächtigte vor dem Gericht auftreten, dem sie angehören. Ehrenamtliche Richter dürfen, außer in den Fällen des § 67 Abs. 2 Satz 2 Nr. 1 VwGO, nicht vor einem Spruchkörper auftreten, dem sie angehören.