Leitsätzliches
Unternehmen, die bei Facebook ein eigenes Unternehmens-Profil betreiben, sind nicht für mögliche datenschutzrechtliche Verstöße durch Facebook verantwortlich, die die Letztentscheidung über die Datenverarbeitung oder -verwendung bei diesem Seitenbetreiber liegt.VERWALTUNGSGERICHT Schleswig
Im Namen des Volkes
Urteil
Entscheidung vom 09. Oktober 2013
Az.: 8 A 14/12
In der Verwaltungsrechtssache
...
Klägerin,
Proz.-Bev.: Rechtsanwälte A., A-Straße, A-Stadt, - -
g e g e n
das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel
Beklagter,
Beigeladen:
...
hat das Schleswig-Holsteinische Verwaltungsgericht ... für Recht erkannt:
Der Bescheid vom 03.11.2011 in der Fassung des Widerspruchsbescheides vom 16.12.2011 wird aufgehoben.
Der Beklagte trägt die Kosten des Verfahrens.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig.
Das Urteil ist wegen der Kosten vorläufig vollstreckbar.
Dem Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % der erstattungsfähigen Kosten abzuwenden, wenn nicht der Vollstreckungsgläubiger vor der Vollstreckung in gleicher Höhe Sicherheit leistet.
Die Berufung wird zugelassen.
Tatbestand
Die Klägerin wendet sich gegen eine datenschutzrechtliche Anordnung des Beklagten, wonach sie ihre Facebook-Seite (hiernach Fanpage) zu deaktivieren habe.
Die Klägerin ist ein in Form einer gemeinnützigen Gesellschaft mit beschränkter Haftung betriebenes Bildungsunternehmen, das u.a. den Weiterbildungsauftrag der drei Industrie- und Handelskammern in Schleswig-Holstein wahrnimmt. In diesem Zusammenhang unterhält sie eine sogenannte Fanpage bei der Beigeladenen, die unter ………………………. abrufbar ist.
Fanpages sind spezielle Benutzeraccounts, die bei Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern und Prominenten eingerichtet werden können. Der Betreffende muss sich hierzu bei Facebook registrieren und kann dann die von Facebook unterhaltene Plattform dazu benutzen, sich den Nutzern dieser Plattform zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Nutzer der Plattform können eigene Beiträge auf der Plattform posten. Nutzer der Fanpage, die bei Facebook registriert sind (in Folgendem: registrierter Nutzer bzw. Facebook-Mitglied) geben bei der Registrierung bei Facebook ihren Vor- und Nachnamen, das Geburtsdatum, das Geschlecht und ihre E-Mail-Adresse an.
Die technischen Abläufe beim Aufruf einer Fanpage bei Facebook durch einen Nutzer sind danach zu differenzieren, ob der Nutzer ein Nicht-Facebook-Mitglied ist oder als Facebook-Mitglied beim Besuch der Fanpage gerade als solches eingeloggt ist oder nicht.
Der Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012 (S. 9; Arbeitsgruppe verschiedener Bundesländer, www.datenschutzzentrum.de/internet/20120404-AGSozNetzw-AK-I-IMK.pdf ) stellt die technischen Abläufe wie folgt dar:
Tabelle 2: Fanpage
Fallgruppe | Technische Abläufe | |
---|---|---|
1 | Nicht-Facebook-Mitglied oder Facebook-Mitglied, das gerade nicht eingeloggt ist, besucht eine Fanpage. | Übertragung der IP-Adresse (unklar, ob Speicherung als generische oder spezifische IP-Adresse) und Setzen/Übertragen des datr-Cookie |
2 | Eingeloggtes Facebook-Mitglied besucht eine Fanpage | Übertragung der IP-Adresse (unklar, ob Speiche-rung als generische oder spezifische IP-Adresse) und Setzen/Übertragung des datr-Cookie und Übertragung des c_user-Cookies |
Der c_user-Cookie wird von Facebook gesetzt, wenn sich das Facebook-Mitglied einloggt und enthält die Anmeldekennnummer (User-ID) des Facebook-Mitglieds. Facebook kann dadurch das Mitglied identifizieren, den Aufruf der Website der Fanpage einer konkreten Person zuordnen und auf diese Weise den Inhalt der Fanpage personalisieren (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 8).
Der datr-Cookie, der bei jedem Aufruf der Website www.facebook.com gesetzt wird, hat eine Gültigkeit von zwei Jahren, kann aber durch entsprechende Browser-Einstellung blockiert und gelöscht werden. Er dient Facebook nach eigenen Angaben zur Identifizierung des Web-Browsers, der die Verbindung mit der Facebook-Seite aufbaut und spielt eine Schlüsselrolle beim Schutz des sozialen Netzwerkes vor „böswilligen Aktivitäten“ (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 7 ff.).
Betreiber von Fanpages bei Facebook können mit Hilfe des von Facebook kostenfrei zur Verfügung gestellten Werkzeugs „Facebook-Insights“ anonymisierte Statistik-Informationen über Nutzer erhalten. Die durch Facebook erstellten Statistiken enthalten Angaben über die Nutzung der Fanpage. Dazu gehören Informationen über den Nutzerzuwachs, die Demographie der Nutzer und über die Nutzung der einzelnen Funktionalitäten der Fanpage (vgl. Ergebnisbericht der Arbeitsgruppe des AK I, aaO, Seite 9).
Mit Schreiben vom 05. Oktober 2011 wies der Beklagte die Klägerin darauf hin, dass ein aufsichtsbehördliches Verfahren nach § 38 BDSG eingeleitet worden sei. So würde das Betreiben einer Fanpage bei Facebook gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) verstoßen. Webseitenbetreiber hätten die Unterrichtungspflicht nach § 13 Abs. 1 TMG und die Anforderung an die Einholung einer Einwilligung in die Datenweitergabe nach § 13 Abs. 3 TMG einzuhalten. Dies habe bei dem von der Klägerin angebotenen Dienst, dem Betreiben der Fanpage, nicht festgestellt werden können. Die Erstellung der Nutzungsprofile (Insights) erfolge unter Verstoß gegen § 15 Abs. 3 TMG. Über die Reichweitenanalyse werde nicht informiert, eine Widerspruchsmöglichkeit existiere ebenso wenig wie eine datenschutzrechtlich wirksame Einwilligungserklärung. Die Informationen aus der Reichweitenanalyse würden mit den identifizierenden Angaben der Facebook-Mitglieder zusammengeführt. Als Betreiberin der Fanpage sei die Klägerin Diensteanbieterin iSd § 2 Nr. 1 TMG und verantwortliche Stelle nach § 3 Abs. 7 BDSG.
Mit Bescheid vom 03. November 2011 ordnete der Beklagte nach § 38 Abs. 5 BDSG gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr betriebene Fanpage unter ………………………………………. deaktiviert werde. Falls die Klägerin dieser Verpflichtung nicht innerhalb von 6 Wochen nach Zustellung des Bescheides nachkomme, werde gegen sie ein Zwangsgeld in Höhe von 5.000,00 € verhängt. Zur Begründung verwies der Beklagte darauf, dass Nutzungsdaten nach § 15 TMG (u.a. IP-Adresse, die Cookie-ID aus dem Cookie „datr“, Familien- und Vorname, Geburtsname) von Nutzern, welche die Fanpage der Klägerin aufrufen, nach § 15 Abs. 3 Satz 1 TMG für Zwecke der Werbung von Facebook erhoben würden, ohne dass die Klägerin als die nach § 12 Abs. 3 TMG i.V.m. § 3 Abs. 7 BDSG für die Datenverarbeitung datenschutzrechtlich verantwortli-che Stelle den Nutzer über eine Widerspruchsmöglichkeit unterrichte. Eine technische Möglichkeit zur Beachtung eines Widerspruchs bestehe nicht, da Facebook hierfür keine technische Möglichkeit bereitstelle, sodass allein deshalb bereits ein Verstoß gegen § 15 Abs. 3 Satz 1 und 2 TMG vorliege. Die Klägerin veranlasse durch das Bereitstellen einer Fanpage, dass Facebook aus den dabei anfallenden Nutzungsdaten Nutzungsprofile der Fanpage-Nutzer erstellen könne. Dadurch bestimme die Klägerin gemeinsam mit Facebook den Zweck und die wesentlichen Mittel der Datenverarbeitung, wodurch sie die datenschutzrechtliche Verantwortung trage. Da die Klägerin keine technische Möglichkeit zur Einrichtung eines Widerspruchsmechanismus habe, gleichwohl aber eine datenschutzrechtliche Verantwortlichkeit bestehe, sei die Anordnung zur Deaktivierung der Fanpage erfolgt.
Hiergegen legte die Klägerin mit Schreiben vom 06. Dezember 2011, eingegangen bei dem Beklagten am 09. Dezember 2011, Widerspruch ein. Sie begründete diesen im Wesentlichen mit ihrer fehlenden Diensteanbietereigenschaft iSd Telemediengesetzes sowie ihrer fehlenden datenschutzrechtlichen Verantwortung.
Mit Widerspruchsbescheid vom 16. Dezember 2011, zugegangen am 20.12.2011, wies der Beklagte den Widerspruch zurück. Die Klägerin sei mit dem Betreiben der Fanpage Diensteanbieterin nach § 2 Nr. 1 TMG und nicht Nutzerin im Sinne von § 2 Nr. 3 TMG, da sie auf der Fanpage eigene und fremde Telemedien zur Nutzung bereit halte. Sie sei auch datenschutzrechtlich verantwortlich. Sie sei neben Facebook die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG. Durch das Einrichten der Fanpage leiste die Klägerin einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten. Es sei in diesem Zusammenhang unerheblich, dass die Klägerin nicht von allen Nutzerdaten Kenntnis erhalte. Im Datenschutzrecht werde vielmehr unabhängig vom Wissen über die Daten darauf abgestellt, wer objektiv über die Daten bestimmen könne, wer die Entscheidungsgewalt über den Zweck und die Mittel der Datenverarbeitung habe. Eine objektive Entscheidungsgewalt über den Zweck der Datenverarbeitung bestehe gerade deshalb, weil die Klägerin mit der Einrichtung der Fanpage und der dadurch initiierten Nutzung durch Fanpagebesucher die Zuführung der personenbezogenen Nutzerdaten und damit die Erstellung der Nutzungsprofile für die Zwecke der Werbung und der bedarfsgerechten Gestaltung von Telemedien steuere. Die Klägerin erhalte auf Basis der von ihr gezielt ermöglichten Erhebung von personenbezogenen Nutzerdaten von Facebook eine Nutzungsstatistik zur Verwendung für eigene geschäftliche Zwecke. Grundlage dieser Nutzungsstatistik seien personenbezogene Nutzerdaten der Fanpagebesucher. Die Statistik könne ohne diese Daten nicht erstellt werden.
Es sei nicht von Bedeutung, dass der Klägerin von Facebook ein Datenverarbeitungsergebnis nur in Form einer nicht personenbezogenen Nutzungsstatistik bereitgestellt werde und in welcher Form diese hiervon Gebrauch mache. Ein eigenes Erheben, Verarbeiten oder Nutzen von Daten durch eine verantwortliche Stelle werde vom Datenschutzrecht nicht gefordert. Wie der Gesetzgeber in § 11 Abs. 1 Satz 1 BDSG deutlich mache, könnten personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, wobei der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich bleibe. Es sei dabei möglich, dass sich die verantwortliche Stelle keine personenbezogenen, sondern anonymisierte Datenverarbeitungsergebnisse bereitstellen lasse, um diese für eigene geschäftliche Zwecke zu nutzen. Nichts anderes könne im Verhältnis zweier verantwortlicher Stellen zueinander gelten, wenn die personenbezogenen Daten nur durch eine verantwortliche Stelle erhoben und/oder gespeichert würden, die andere verantwortliche Stelle jedoch diese Erhebung und Speicherung aktiv und gezielt initiiere sowie unterstütze, die Zwecke der Datenverarbeitung dadurch mitbestimme und sich von der anderen verantwortlichen Stelle ein anonymisiertes Verarbeitungsergebnis bereitstellen lasse. Mit Errichtung der Fanpage entscheide die Klägerin nicht nur über den Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Nutzungsdaten, sondern es werde auch über das wesentliche Mittel der Datenverarbeitung entschieden. Ohne den Betrieb der Fanpage seien die konkreten Datenverarbeitungsprozesse nicht möglich.
Ein Ausschluss der Verantwortlichkeit der Klägerin sei auch dann nicht anzunehmen, wenn Fanpagebetreiber mit der Beigeladenen die Vornahme von Datenverarbeitungsprozessen vereinbarten und dies über die Nutzungsbedingungen von Facebook erfolge. So würde der Fanpagebesucher mit den Nutzungsbedingungen von Facebook nicht angemessen und hinreichend transparent über die Verarbeitung der personenbezogenen Daten unterrichtet. Dies gelte insbesondere für nichtregistrierte Nutzer; denn der Link zu den Nutzungsbedingungen am Ende der Fanpage sei nicht leicht auffindbar. Auch könne die datenschutzrechtliche Verantwortung sich nicht einfach vertraglich ausschließen lassen. Denn die Verantwortung werde nach objektiven Kriterien bestimmt. Es fehle an einer transparenten und hinreichend konkreten Aufklärung durch Facebook über die Verarbei-tung personenbezogener Nutzerdaten. Die Unterrichtungspflichten nach § 13 Abs. 1 Satz 1 TMG würden nicht erfolgen. Diese Pflicht obliege in erster Linie der Klägerin.
Hiergegen hat die Klägerin am 19. Januar 2012 Klage erhoben.
Sie macht geltend, dass es bereits an der Verarbeitung personenbezogener Daten fehle. Soweit im Rahmen der Registrierung bei Facebook von den Nutzern personenbezogene Daten wie Familien- und Vorname, Geburtsdatum etc. erhoben würden, beziehe sich dies allein auf das Nutzungsverhältnis zwischen dem Nutzer und Facebook. Inwiefern darüber hinaus seitens Facebook im Rahmen des Registrierungsvorgangs die IP-Adresse des Nutzers erhoben würde, sei ihr nicht bekannt. Gleiches gelte für das etwaige Setzen von Cookies. Die Erhebung von IP-Adressen und der Einsatz von Cookies seien auch nicht datenschutzrechtlich relevant, da es sich dabei nicht um personenbezogene Daten handele. Sie sei auch keine Diensteanbieterin. Sie nutze die Facebook-Plattform und die zur Verfügung gestellte Infrastruktur, um eigene Informationen zu verbreiten. Deshalb könne sie grundsätzlich Diensteanbieterin im Sinne des Telemediengesetzes sein, dies jedoch nur bezogen auf das eigene inhaltliche Angebot. Im Zusammenhang mit diesem Angebot erfolge von ihrer Seite aus aber keine Datenerhebung und auch keine Datenverwendung im Sinne von § 15 Abs. 1 TMG. Auch erstelle sie keinerlei Nutzungsprofile. Die Handlungen von Facebook könnten ihr nicht zugrechnet werden. Eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG läge nicht vor. Insoweit würde die Auftragsdatenverarbeitung als verlängerter Arm, der für die Datenverarbeitung verantwortlichen Stelle, die stets Herrin der Daten bleibe, bezeichnet. Die Annahme, Facebook wäre in einer entsprechenden Konstellation ihr Auftragnehmer, sei fernliegend, da die Regelung zur Auftragsdatenverarbeitung ersichtlich von anderen Voraussetzungen ausginge. So beauftrage im Rahmen einer Auftragsdatenverarbeitung stets der Diensteanbieter als Auftraggeber den Dienstleister als Auftragnehmer. Der Diensteanbieter bleibe für die Datenverarbeitung verantwortliche Stelle, um seine datenschutzrechtliche Verantwortlichkeit nicht zu verlagern. Im Rahmen der Nutzung der Facebook-Infrastruktur bestünde diese Gefahr einer Auslagerung der Verantwortlichkeit hingegen schon im Ansatz nicht, da die Daten stets unmittelbar von Facebook und ohne ihre Mitwirkung verarbeitet würden. Facebook werde gerade nicht von ihr - der Klägerin - beauftragt, sondern stelle ihr die Dienste ungefragt zur Verfügung. Die Initiative ginge von Facebook aus. Vollständig anonymisierte statistische Berichte würden ihr lediglich als Nebenprodukt zur Verfügung gestellt.
Weiterhin fände auch keine Übermittlung personenbezogener Daten durch sie - der Klägerin - an Facebook statt. Eine Datenerhebung erfolge ausschließlich unmittelbar durch Facebook, ohne ihr Zutun. Sie habe weder Einfluss auf die technische Organisation der Facebook-Infrastruktur noch sorge sie für die Übermittlung oder Generierung irgendwelcher Daten an Facebook. Eine eigenständige datenschutzrechtliche Verantwortlichkeit scheide deshalb bereits aus. Eine gemeinsame Entscheidung über die Erhebungs- und Verarbeitungszwecke der Daten durch eine Einigung zwischen Facebook und ihr - der Klägerin - bestehe nicht. Sie treffe keinerlei inhaltliche Entscheidung über Art, Umfang oder Zweck der Datenverarbeitung. Eine solche würde auch nicht dadurch begründet, dass Facebook ungefragt eine anonyme Nutzungsstatistik liefere.
Schließlich habe der Beklagte, das ihm nach § 38 Abs. 5 Satz 1 BDSG eingeräumte Ermessen nicht bzw. nicht ordnungsgemäß ausgeübt.
Die Klägerin beantragt,
die getroffene Anordnung des Beklagten nach § 38 Abs. 5 Satz 1 BDSG vom 03.11.2011 sowie den Widerspruchsbescheid des Beklagten vom 16.12.2011 aufzuheben.
Der Beklagte beantragt,
die Klage abzuweisen.
Zur Begründung führt er aus, dass es sich bei den verarbeiteten IP-Adressen, als auch bei den verarbeiteten Cookies um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG handele. Durch die Beigeladene ebenso wie durch die Facebook Inc. (USA) fänden Datenschutzrechtsverstöße gegen §§ 13 Abs. 1, 15 Abs. 3 S. 1 und 2 TMG statt, für die die Klägerin als Diensteanbieterin nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG (mit)verantwortlich sei. Die Art. 29 - Datenschutzgruppe habe in einer Stellungnahme deutlich gemacht, dass Betreiber von Werbenetzwerken und Anbieter von Online-Inhalten gemeinsam als für die Datenverarbeitung verantwortliche Stelle anzusehen seien (Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting vom 22.6.2010, S. 14, www.ec.europa.eu/justice). Durch Konfigurierung der eigenen Webseite lösten Anbieter von Online-Inhalten letztlich auch die Übermittlung der IP-Adresse aus und stellten den ersten erforderlichen Schritt zur Ermöglichung der folgenden Verarbeitung der Daten für Werbezwecke dar. Vergleichbar erfolge auch die Datenverarbeitung durch die Klägerin und Facebook. Der Nutzer besuche die Fanpage der Klägerin, werde aber nicht deutlich darüber informiert, dass und vor allem welche seiner Nutzungs- wie auch seiner Registrierungsdaten, die er beim Anmeldevorgang bei Facebook eingegeben habe, für Werbezwecke verarbeitet würden. Mit dem Anlegen der Fanpage unternehme die Klägerin den entscheidenden Schritt dafür, dass unter anderem die IP-Adresse des Nutzers an Facebook geleitet werde, und löse beim Besuch des Nutzers auf der Fanpage diesen Übermittlungsvorgang aus, in dessen Folge Facebook beim Nutzer ein Cookie-ID setzen könne. Der Nutzer habe hiervon keine Kenntnis.
Die Klägerin leiste mit dem Anlegen der Fanpage einen willentlichen und adäquat kausalen Beitrag an der Herbeiführung der rechtswidrigen Beeinträchtigungen der Nutzer. Die Klägerin könne sich ihrer Verantwortlichkeit nicht dadurch entziehen, dass sie den Störungszustand allein auf ein Verhalten von Facebook zurückführe. So habe das Landgericht Berlin entschieden, dass ein Nutzer, welcher E-Mail-Adressen von anderen Personen auf dem Facebook-Portal „hochlade“, den entscheidenden Beitrag dafür leiste, dass Facebook im Anschluss diese E-Mail-Adressen für Werbezwecke nutze, ohne dass hierfür eine Einwilligung der anderen Person vorliege. In diesem Zusammenhang seien Facebook und der jeweilige Nutzer als Mittäter im Sinne von § 830 Abs. 1 Satz 1 BGB zu qualifizieren (LG Berlin, Urteil vom 06.03.2012, 16 O 55/10). Dies sei auf den vorliegenden Fall übertragbar. Selbst wenn der Klägerin die bestehenden Verletzungen datenschutzrechtlicher Vorschriften nicht bewusst gewesen sein sollten, so habe sie spätestens durch Veröffentlichungen und die Hinweise im Vorverfahren Kenntnis von dem mitverursachten Störungszustand erhalten. Die Aufrechterhaltung dieses Zustandes habe sie billigend in Kauf genommen. Einer Verantwortlichkeit könne die Klägerin sich auch nicht mit einem Verweis auf eine vermeintliche Einwilligung der Nutzer in die Datenverar-beitung durch Facebook entziehen.
Die Beigeladene beantragt,
den Bescheid vom 03.11.2011 in der Form des Widerspruchsbescheides vom 16.12.2011 aufzuheben.
Die Beigeladene teilt die Auffassung der Klägerin. Der Bescheid vom 3.11.2011 in der Fassung des Widerspruchsbescheides vom 16.12.2011 sei bereits deshalb rechtswidrig, weil er durch die in der Anordnung ausdrücklich genannte Ermächtigungsgrundlage des § 38 Abs. 5 Satz 1 BDSG nicht gedeckt sei. § 38 Abs. 5 Satz 1 BDSG ermächtige zu Maßnahmen, die auf eine Veränderung eines Datenverarbeitungsvorganges bzw. auf Beseitigung von Mängeln innerhalb eines Datenverarbeitungsvorganges gerichtet seien. Die Untersagung eines Datenverarbeitungsvorganges oder gar die vollständige Beseitigung einer mit einem Datenverarbeitungsvorgang im Zusammenhang stehenden Infrastruktur könne gemäß § 38 Abs. 5 Satz 1 BDSG nicht angeordnet werden. Die streitige Anordnung komme in ihrer Wirkung jedoch einer vollständigen Untersagung gleich, so dass sie nicht auf § 38 Abs. 5 Satz 1 BDSG gestützt werden könne.
§ 38 Abs. 5 Satz 1 und 2 BDSG regelten die behördlichen Eingriffsbefugnisse im Bereich des Datenschutzes als gestuftes Verfahren. Erst bei Fruchtlosigkeit von Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG könne zu Maßnahmen nach § 38 Abs. 5 Satz 2 BDSG (Untersagungsanordnungen) gegriffen werden. Dieses abgestufte Verfahren habe der Beklagte nicht eingehalten. Ohnehin sei ein Austausch der Ermächtigungsgrundlage (§ 38 Abs. 5 Satz 2 BDSG statt § 38 Abs. 5 Satz 1 BDSG) unzulässig.
Zwar wäre nur sie, die Beigeladene, in der Lage, den Datenverarbeitungsvorgang zu modifizieren und insoweit sei die Klägerin nicht die richtige Adressatin für eine Anordnung nach § 38 Abs. 5 Satz 1 BDSG. Die Tatsache, dass der Beklagte die streitige Anordnung an eine völlig ungeeignete Stelle richte, könne ihn jedoch nicht von der Notwendigkeit befreien, das in § 38 Abs. 5 Satz 2 BDSG vorgesehene zweistufige Verfahren einzuhalten.
Die streitige Anordnung sei auch deshalb rechtswidrig, weil die Klägerin im Hinblick auf die Fanpage keine datenschutzrechtlich verantwortliche Stelle sei. Adressat der Verpflichtungen in §§ 13, 15 TMG sei die datenschutzrechtlich verantwortliche Stelle gemäß § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG. Fanpage-Betreiber seien keine datenschutzrechtlich verantwortliche Stelle, da sie nicht über Zwecke und Mittel der Datenverarbeitung (mit-)entscheiden würden.
Die Datenverarbeitung für die Insights-Funktion laufe unbeeinflusst von den Betreibern einer Fanpage ab. Diese hätten keine Entscheidungsbefugnis in Bezug auf die Zwecke und Mittel der Datenverarbeitung. Die Möglichkeit, eine Fanpage zu eröffnen, die Tatsache, dass dort Nutzeraktivitäten nachverfolgt werden, die Art der Verarbeitung dieser Daten und sogar, dass und wie diese aufbereitet und den Fanpage-Betreibern zur Verfügung gestellt würden, habe sie - die Beigeladene - bereits unabhängig vom einzelnen Fanpage-Betreiber entschieden und in ihrer Infrastruktur angelegt. Der Entscheidungsspielraum der Fanpage-Betreiber beschränke sich einzig und allein auf die Frage, ob sie eine Fanpage anlegten oder nicht. Diese Entscheidung, eine Fanpage anzulegen, sei allein nicht als Entscheidung über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ anzusehen. Im Sinne des Art. 2 d) RL 95/46/EG genüge gerade nicht jede Entscheidung, die entfernt ursächlich für das Ergebnis einer Datenverarbeitung sein könne. Vielmehr müsse die Entscheidungsbefugnis die Möglichkeit einräumen, die Datenverarbeitung selbst zu kontrollieren. Wer keinen Einfluss auf die Entscheidung habe, warum und wie personenbezogene Daten verarbeitet würden, könne nicht als verantwortliche Stelle angesehen werden. Durch die Entscheidung, eine Fanpage anzulegen, blieben das „Wie“ und „Warum“ der Datenverarbeitung durch sie - die Beigeladene - unbeeinflusst. Es werde lediglich ein weiteres Analyseobjekt geschaffen, das sie zur Förderung der eigenen Geschäftstätigkeit routinemäßig in die Insights-Funktion aufnehme und auswerte, wie jede andere Fanpage auch. Dieser Befund werde dadurch unterstrichen, dass die Klägerin selbst zu keinem Zeitpunkt eine wie auch immer geartete Verfügungsgewalt über personenbezogene Daten oder die Mittel der Datenverarbeitung erhalte. Die Mittel der Daten-verarbeitung lägen vollständig bei ihr - der Beigeladenen -. Zu keinem Zeitpunkt des Verarbeitungsprozesses bekomme die Klägerin Zugang zu diesen Mitteln oder zu den Daten der Nutzer. Die Klägerin habe keinerlei Einfluss darauf, welche Daten verarbeitet würden, welche Analysen durchgeführt würden oder wie die Ergebnisse aufbereitet würden. Die Analyseergebnisse, die sie schließlich enthalte, enthielten keine personenbezogenen Daten mehr.
Das durch den Beklagten mit der Terminologie „gemeinsame Zwecksetzung“ suggerierte Zusammenwirkung zwischen der Klägerin und ihr - der Beigeladenen - existiere nicht. Eine gemeinsame Zwecksetzung, wenn es sie denn tatsächlich gäbe, sei für eine gemeinsame Verantwortlichkeit ohnehin nicht ausreichend. Gemäß Art. 2 d) RL 95/46/EG sei nämlich die Entscheidung über „Zwecke und Mittel“ der Verarbeitung entscheidend, nicht über „Zwecke oder Mittel“. Die gemeinsame Zwecksetzung sei danach zwar eine notwendige, aber keine hinreichende Bedingung für das Vorliegen einer gemeinsamen Verantwortlichkeit. Auf die Mittel der Datenverarbeitung, insbesondere die im Netzwerk der Beigeladenen implementierte Insights-Funktion, habe die Klägerin aber keinen Einfluss.
Auch der vom Beklagten angestellte Vergleich zwischen dem Betreiben einer Fanpage bei Facebook mit dem Nutzer eines Werbenetzwerkes bzw. der Inanspruchnahme von Angeboten von Online-Inhalten, die Platz auf ihren Websites an Werbenetzbetreiber vermieten (sogenanntes „Behavioural Targeting“), überzeuge nicht. Die Situation des Betreibers einer Fanpage im Netzwerk von Facebook sei nicht mit dem Betrieb einer Website im Internet vergleichbar. Eine Fanpage entstehe gerade nicht im Internet, sondern im (Parallel-)Netzwerk der Beigeladenen. Ein Fanpage-Betreiber habe daher keine mit dem Betreiber einer Website vergleichbaren Gestaltungs- oder Entscheidungsmöglichkeiten, sondern sei gezwungen, sich an die Spielregeln der Beigeladenen zu halten. Die tatsächlichen Umstände seien somit völlig andere.
Soweit Art. 2 d) RL 95/46/EG die Möglichkeit einer gemeinsamen datenschutzrechtlichen Verantwortung vorsehe, setze diese selbstverständlich voraus, dass jeder gemeinsam Verantwortliche selbst in Bezug auf die Datenverarbeitung oder zumindest Teilaspekte davon die Voraussetzung von Art. 2 d) RL 95/46/EG erfülle.
Eine Gesamtverantwortung qua Zurechnung sehe Art. 2 d) RL 95/46/EG grundsätzlich nicht vor.
Es liege auch keine Auftragsdatenverarbeitung und keine einer Auftragsdatenverarbeitung vergleichbare Situation vor. Sie verarbeite keine personenbezogenen Daten im Auftrag der Klägerin. Soweit im Rahmen der Auftragsdatenverarbeitung ausnahmsweise ein fehlender Kontakt mit personenbezogenen Daten die Verantwortlichkeit des Auftraggebers nicht beeinträchtige, basiere dies darauf, dass der Auftraggeber über sein Weisungsrecht dennoch in der Lage sei, alle relevanten Entscheidungen zu treffen und die Datenverarbeitung zu kontrollieren. Ein solches Auftragsverhältnis mit einem Weisungsrecht und der Möglichkeit der Kontrolle über die Datenverarbeitung existiere im Verhältnis zwischen der Klägerin und ihr nicht. Die Klägerin bestimme nicht die Zwecke der Datenverarbeitung, sondern profitiere lediglich vom Ergebnis einer eigenständig initiierten Datenverarbeitung durch sie - die Beigeladene -.
Auch die vom Beklagten konstruierte allgemeine Verantwortlichkeit vergleichbar einer „Störerhaftung“ könne die fehlende datenschutzrechtliche Verantwortung der Klägerin nicht ersetzen. Die Figur einer Verantwortlichkeit für Störungszustände sei dem Datenschutzrecht fremd. Der dem deutschen Polizei- und Ordnungsrecht entliehene Begriff der Störerhaftung finde keine Entsprechung in den europarechtlichen Harmonisierungsvorschriften für den Datenschutz. Vielmehr enthalte Art. 2 d) RL 95/46/EG eine eigene explizite Regelung der datenschutzrechtlichen Verantwortlichkeit. Danach sei allein derjenige Verantwortliche im datenschutzrechtlichen Sinne, der eine Datenverarbeitung steuernd in den Händen halte, in dem er maßgeblich „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheide“. Eine Verantwortlichkeit für „Störungszustände“ oder für eine Datenverarbeitung, für die allein ein Dritter verantwortlich ist, sei nicht vorge-sehen.
Diese Definition der Verantwortlichkeit sei bei der Umsetzung der Datenschutzrichtlinie in nationales Recht nicht erweitert worden. Vielmehr sei § 3 Abs. 7 BDSG in Anlehnung an die Terminologie des Art. 2 d) RL 95/46/EG formuliert worden. Eine national-autonome Erweiterung auf „Nichtverantwortliche“ im Sinne der RL 95/46/EG sei also nicht beabsichtigt gewesen und wäre darüber hinaus europarechtlich unzulässig. Die Beigeladene nimmt insoweit auf ein Urteil des EuGH vom 24.11.2011 (C-468/10 und C-469/10 -) Bezug.
Die Beigeladene ist im Übrigen der Auffassung, dass ihre Datenverarbeitung dem allein maßgeblichen irischen materiellen Datenschutzrecht entspreche. Im Übrigen sei die streitige Anordnung auch ermessensfehlerhaft.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes und des gegenseitigen Vorbringens wird auf den Inhalt der Gerichtsakten und der beigezogenen Verwaltungsakten Bezug genommen.
Entscheidungsgründe
Die Klage ist zulässig und begründet.
Der Bescheid vom 3.11.2011 in der Fassung des Widerspruchsbescheides vom 16.12.2011 ist rechtswidrig und verletzt die Klägerin in ihren Rechten gemäß Art. 14 Abs. 1 GG (Eigentumsrecht, Recht am eingerichteten und ausgeübten Gewerbebetrieb) bzw. Art. 12 Abs. 1 Satz 2 GG (Freiheit der Berufsausübung), so dass er aufzuheben war (§ 113 VwGO).
Die an die Klägerin gerichtete Anordnung, ihre Fanpage bei Facebook zu deaktivieren, ist rechtswidrig.
In der streitigen Anordnung nach § 38 Abs. 5 Satz 1 BDSG geht es nicht um die datenschutzrechtliche Verantwortlichkeit der Klägerin für Inhalte der Fanpage und auch nicht um die Frage einer datenschutzrechtlichen Verantwortlichkeit einer von Facebook unabhängigen eigenen Datenerhebung und Datenverarbeitung betreffend die Nutzer ihrer Fanpage. In Rede steht die datenschutzrechtliche Verantwortlichkeit als Diensteanbieter von Telemedien gemäß § 13 Abs. 1 TMG und § 15 Abs. 3 Satz 2 TMG durch das Betrei-ben einer Fanpage bei Facebook als solches.
Insoweit ist eine datenschutzrechtliche (Mit-)Verantwortlichkeit der Klägerin für die mit der Eröffnung einer Fanpage ausgelösten Vorgänge der Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch Facebook zu verneinen.
Da bereits aus diesem Grunde die Anordnung der Deaktivierung der Fanpage rechtswidrig ist, bedarf es keiner Entscheidung zum Verhältnis der Eingriffsermächtigungen des § 38 Abs. 5 Satz 1 und Satz 2 BDSG zueinander (offengelassen, ob ein abgestuftes Verfahren vorgesehen ist: OVG Schleswig, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris; Annahme eines abgestuften Verfahrens: Gola u. a., BDSG, München 2010, Rnr. 26 zu § 38 BDSG und Schaffland/ Wiltfang, BDSG, 2005, Rnr. 26 zu § 38 BDSG).
Für die oben beschriebene Erhebung, Verwendung und Verarbeitung personenbezogener Daten durch Facebook ist die Klägerin nicht (mit-) verantwortlich.
Zwar dürfte sie als Betreiberin einer Fanpage als Diensteanbieter iSd § 2 Satz 1 Nr. 1 TMG anzusehen sein, wonach Diensteanbieter jede natürliche oder juristische Person ist, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (zur Qualifizierung von Fanpages als Telemedien: Ergebnisbericht der Arbeitsgruppe des AK I „Staatsrecht und Verwaltung“ zum Datenschutz in sozialen Netzwerken vom 04. April 2012, Seite 9; Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zur Facebook-Kampagne des ULD , S. 12, www.datenschutzzentrum.de; Inhaber eines geschäftlich genutzten Facebook-Accounts als Diensteanbieter von Telemedien: LG Aschaffenburg, Urteil vom 19.08.2011 - 2 HKO 54/11, 2 HKO 54/11 -, juris; offengelassen durch: OLG Düsseldorf, Beschluss vom 10.05.2012 - I-20 W 20/12 -, juris), jedoch fehlt der Klägerin die datenschutzrechtliche (Mit-)Verantwortlichkeit für die durch den Besuch einer Fanpage ausgelöste Erhebung, Verwendung und Verarbeitung personenbezogener Daten (im Folgenden zusammenfassend: Datenverarbeitung) durch die Beigeladene.
Die Beteiligten gehen zutreffend übereinstimmend davon aus, dass mit dem Begriff „Diensteanbieter“ im Sinne des Telemediengesetzes hinsichtlich der Verarbeitung personenbezogener Daten keine spezialgesetzliche Verantwortlichkeit abweichend von dem Begriff der verantwortlichen Stelle gemäß § 3 Abs. 7 BDSG bzw. Art. 2 d) der RL 95/46/EG (Datenschutzrichtlinie) geregelt wurde.
Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektroni-schen Geschäftsverkehr“, E-Commerce-Richtlinie - ECRL -), die der Gesetzgeber mit dem Telemediengesetz (TMG) umsetzen wollte (vgl. Spindler u. a., Recht der elektronischen Medien, München 2008, Rdnr. 8 zu § 1 TMG) regelt in Art. 1 Abs. 5 b) ausdrücklich, dass diese Richtlinie keine Anwendung findet auf Fragen betreffend die Dienste der Informationsgesellschaft, die von der RL 95/46/EG und RL 97/66/EG erfasst werden. Der Erwägungsgrund Nr. 14 zur ECRL-Richtlinie besagt ausdrücklich, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogender Daten ausschließlich Gegenstand der Richtlinie 95/46/EG und der Richtlinie 97/66/EG ist, die uneingeschränkt auf die Dienste der Informationsgesellschaft anwendbar seien.
Dementsprechend richtet sich die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten ausschließlich nach § 12 Abs. 3 TMG iVm § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG.
Da das Telemediengesetz keine von den vorgenannten Vorschriften abweichende Verantwortlichkeit bei der Verarbeitung personenbezogener Daten schafft, bedarf es an dieser Stelle keiner Entscheidung, ob eine davon abweichende national-gesetzliche Definition der Verantwortlichkeit überhaupt zulässig wäre (in Frage käme hier die entsprechende Anwendung der Grundsätze, die der EuGH mit seinem Urteil vom 24.11.2011 -, C-468/10 und C-469/10, curia.europa.eu/juris, zur Unzulässigkeit der Abweichung von in Art. 7 RL 95/46/EG abschließend geregelten Datenverarbeitungsgrundsätzen aufgestellt hat).
Eine (Mit-)Verantwortlichkeit der Klägerin für die Verarbeitung personenbezogener Daten der Nutzer der Fanpage besteht nicht.
Die Klägerin ist nicht verantwortliche Stelle iSd § 3 Abs. 7 BDSG.
Danach ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt.
Da das Bundesdatenschutzgesetz die RL 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) umsetzt, ist die Regelung in § 3 Abs. 7 BDSG im Lichte dieser Richtlinie auszulegen. Nach Art. 2 d) RL 95/46/EG ist „für die Verarbeitung Verantwortlicher“ die natürlicher oder juristischer Personen, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im Hinblick auf die mit der Nutzung einer Fanpage ausgelösten Verarbeitung personenbezogener Daten kann weder von einer eigenen Datenverarbeitung durch die Klägerin noch davon gesprochen werden, dass diese die betreffende Datenverarbeitung durch die Beigeladene aufgrund eines Auftrages vornehmen lasse.
Der Nutzer einer Fanpage der Klägerin bei Facebook ruft unmittelbar eine Facebook-Seite auf, so dass personenbezogene Daten ausschließlich vom Nutzer direkt zu Facebook gelangen. Insoweit unterscheidet sich die Konstellation bei Fanpages von dem Fall, dass Anbieter von Online-Inhalten ihre Internetseite so konfigurieren, dass ein Besucher dieser Seite automatisch zur Webseite des Betreibers eines Werbenetzwerkes umgeleitet wird, womit der Anbieter von Online-Inhalten die Übermittlung der IP-Adresse auslöst und hier-für den ersten erforderlichen Schritt zur Ermöglichung der folgenden Datenverarbeitung, die der Betreiber des Werbenetzwerkes ausübt, macht, wofür die Art.-29-Datenschutzgruppe der EU in der Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting vom 22.06.2010, Seite 14 (www.ec.europa.eu/justice), eine gewisse Verantwortung für die Datenverarbeitung auch dem Anbieter von Online-Inhalten zusprechen möchte.
In der vorliegend zur Beurteilung anstehenden Konstellation der Nutzung einer Fanpage kommt die Klägerin mit ihrem operativen Instrumentarium demgegenüber in keinerlei direkten Kontakt zu dem Nutzer der Fanpage und dessen personenbezogener Daten (wobei offenbleiben kann, ob und ggf. unter welchen Voraussetzungen eine IP-Adresse ein personenbezogenes Datum ist: vgl. hierzu Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme vom 24.11.2011 zu „Facebook-Kampagne“ des ULD, Seite 4, Schleswig-Holsteinischer Landtag Umdruck 17/2988, www.landtag.ltsh.de/infothek/wahl17/umdrucke/2900/umdruck-17-2988.pdf; ders., a. a.O. S. 7 ff., zur Frage, ob die von Facebook gesetzten Cookies personenbezogene Daten sind).
Dieser fehlende Kontakt der Klägerin zu personenbezogenen Daten der Nutzer der Fanpage schlösse ihre datenschutzrechtliche Verantwortlichkeit gemäß § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG nicht aus, wenn ein Fall der Auftragsdatenverarbeitung der Beigeladenen für die Klägerin iSd § 11 Abs. 1 Satz 1 BDSG vorläge. Dies ist jedoch nicht der Fall.
§ 11 Abs. 1 Satz 1 BDSG bestimmt, dass in dem Falle, dass personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich sind. Art. 2 e) RL 95/46/EG bestimmt, dass „Auftragsverarbeiter“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Die Beigeladene ist jedoch hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der Nutzer der Fanpage keine Auftragnehmerin der Klägerin.
Ein Auftragsverhältnis zwischen der Klägerin und der Beigeladenen besteht insoweit nicht. Es ist nicht feststellbar, dass insoweit in irgendeiner Weise eine vertragliche Beziehung zwischen der Klägerin und der Beigeladenen besteht. Die vertragliche Beziehung ist auf das Zurverfügungstellen der Fanpage durch die Beigeladene an die Klägerin entsprechend den Nutzungsbedingungen der Beigeladenen beschränkt.
Die Erhebung, Verwendung und Verarbeitung personenbezogener Daten von Nutzern der Fanpage durch die Beigeladene ist nicht Gegenstand dieser Vereinbarung.
Soweit die Beigeladene der Klägerin den kostenlosen Dienst „Insights“ zur Verfügung stellt, handelt es sich lediglich um eine unabhängig von einem Auftrag ausgeführte statistische Auswertung der Nutzung der Fanpage mit dem Ergebnis von anonymisiertem Statistikmaterial (insoweit ebenfalls die Annahme einer Auftragsdatenverarbeitung durch Facebook ablehnend: Wissenschaftlicher Dienst des Deutschen Bundestages, Die Verletzung datenschutzrechtlicher Bestimmungen durch sogenannte Facebook-Fanpages und Social-Plugins, 07.10.2011, S. 9 - www.datenschutzzentrum.de/facebook/material/-WissDienst-BT-Facebook-UL; ebenso: Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, 24.11.2011, S. 17 f., a.a.O.). Das für die Annahme eines Auftragsverhältnisses wesentliche Element eines vertraglichen Weisungsrechtes fehlt im Vertragsverhältnis zwischen der Klägerin und der Beigeladenen. Die Klägerin ist nicht „Herrin der Daten“ (vgl. zu diesem Begriff für den Auftraggeber einer Auftragsdatenverarbeitung: Gola u. a., BDSG, München 2010, zu Rnr. 50, zu § 3 BDSG).
Damit kann die Klägerin nicht als datenschutzrechtlich Verantwortliche für eine Auftragsdatenverarbeitung durch die Beigeladene iSd § 11 Abs. 1 Satz 1 BDSG bzw. Art. 2 e) RL 95/46/EG angesehen werden.
Die Klägerin ist auch nicht unter dem Gesichtspunkt verantwortliche Stelle gemäß § 3 Abs. 7 1. Alt. BDSG und Art. 2 d) RL 95/46/EG, dass sie „gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden würde.
Die Regelung in § 3 Abs. 7 1. Alt. BDSG ist im Lichte von Art. 2 d) RL 95/46/EG auszulegen, der den für die Verarbeitung Verantwortlichen als jede Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Die Klägerin entscheidet entgegen der Auffassung der Beklagten mit dem Bereitstellen einer Fanpage bei der Beigeladenen jedoch nicht mit der Beigeladenen zusammen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
Vorliegend bedarf es keiner Entscheidung, ob für die Annahme einer datenschutzrechtlichen Verantwortlichkeit gemäß Art. 2 d) RL 95/46/EG aufgrund des Wortlautes „über die Zwecke und Mittel der Verarbeitung … entscheidet“ die (allein oder gemeinsam mit anderen getroffene) Entscheidung sowohl über die Zwecke als auch über die Mittel vorausgesetzt wird (vgl. demgegenüber Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „Für die Verarbeitung Verantwortliche“ und „Auftragsverarbeitung“ vom 16.02.2010 - WP 169 -, Seite 17, wonach es möglich erscheine, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheide). Denn vorliegend fehlt es sowohl hinsichtlich der Zwecke als auch der Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage der Klägerin an einer von dieser allein oder gemeinsam mit der Beigeladenen bestehenden Entscheidungsgewalt.
Die Zwecke und Mittel der Verarbeitung der betreffenden personenbezogenen Daten werden ausschließlich von der Beigeladenen bestimmt. Die Entscheidung der Klägerin beschränkt sich auf die Annahme eines für sie unabänderlichen Angebotes, die Fanpage einzurichten und mit Inhalten zu füllen oder nicht. Durch die Annahme dieses Angebotes und die Einrichtung einer Fanpage bestimmt die Klägerin nicht Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Nutzer der Fanpage. Allein die Entscheidung über die Eröffnung einer Fanpage führt daher nicht zur Begründung einer datenschutzrechtlichen Verantwortlichkeit der Klägerin (vgl. Wissenschaftlicher Dienst des Schleswig-Holsteinischen Landtages, Stellungnahme zur Facebook-Kampagne des ULD vom 24.11.2011, Seite 18; a.A. Polenz, Die Datenverarbeitung durch und via Facebook auf dem Prüfstand, VuR 2012, 207, 211).
Die datenschutzrechtliche Verantwortlichkeit in Bezug auf die Verarbeitung personenbezogener Daten richtet sich ausschließlich nach der abschließenden Regelung in § 3 Abs. 7 BDSG, der im Lichte des Art. 2 d) RL 95/46/EG auszulegen ist.
Grundvoraussetzung für die nach diesen Vorschriften sich ergebende datenschutzrechtliche Verantwortlichkeit ist der tatsächliche und/oder rechtliche Einfluss der Stelle in Bezug auf die Verarbeitung personenbezogener Daten, die bei einer eigenen Datenverarbeitung oder einer gemeinsamen mit einem anderen durchgeführten arbeitsteiligen Datenverarbeitung und bei einer Auftragsdatenverarbeitung aufgrund des Weisungsrechtes des Auftraggebers hinsichtlich der Datenverarbeitung gegeben ist. Eine Stelle, die weder einen rechtlichen noch einen tatsächlichen Einfluss auf die Entscheidung betreffend die Verarbeitung personenbezogener Daten hat, kann nicht als für die Verarbeitung Verantwortli-cher angesehen werden (Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 vom 16.02.2010 - WP 169 -, Seite 15).
Mangels eines tatsächlichen oder rechtlichen Einflusses auf die Verarbeitung personen-bezogener Daten der Nutzer der Fanpage ist die Klägerin keine für die Verarbeitung personenbezogener Daten verantwortliche Stelle.
Mit § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG ist eine abschließende Regelung betreffend die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten gegeben. Diese Regelung der Verantwortlichkeit kann nicht durch den Rückgriff auf Zurechnungsnormen des Privatrechtes oder des allgemeinen Polizei- und Ordnungsrechtes ausgeweitet werden.
Als Schuldner eines deliktischen Schadensersatzanspruches kommt im gewerblichen Rechtsschutz- und Wettbewerbsrecht ebenso wie im bürgerlichen Recht der Täter, Mittäter (§ 830 Abs. 1 Satz 1 BGB) oder Teilnehmer (§ 830 Abs. 2 BGB) der unerlaubten Handlung sowie daneben derjenige in Betracht, dem das Verhalten des Handelnden zuzurechnen ist (vgl. BGH, Urteil vom 18.10.2001 - 1 ZR 22/99 -, juris). Darüber hinaus eröffnet die Störerhaftung die Möglichkeit, auch denjenigen in Anspruch zu nehmen, der - ohne Täter oder Teilnehmer zu sein - in irgendeiner Weise willentlich und adäquat kausal zur Verletzung eines geschützten Gutes oder zu einer verbotenen Handlung beigetragen hat (BGH, aaO; BGH, Urteil vom 15.08.2013 - I ZR 80/12 -, juris, Prüfpflicht eines Spei-cherplatzproviders). Diese Störerhaftung, die ihre Grundlage nicht im Deliktsrecht, sondern in der Regelung über die Besitz- und die Eigentumsstörung in § 862 und § 1004 BGB hat, vermittelt dagegen nur Abwehransprüche.
Diese speziell auf das Zivilrecht ausgerichteten Zurechnungsnormen können vorliegend nicht zur Anwendung gebracht werden, da die datenschutzrechtliche Verantwortlichkeit abschließend in § 3 Abs. 7 BDSG und Art. 2 d) RL 95/46/EG geregelt ist.
Aus dem gleichen Grunde scheidet auch ein Rückgriff auf die Grundsätze der Störerhaftung (§ 218 LVwG SH Verhaltensstörer, § 219 LVwG SH Zustandsstörer) und die Grundsätze über die Inanspruchnahme von Nichtstörern (vgl. § 220 LVwG SH) aus (vgl. aber zur Inanspruchnahme eines Domain-Registrars als Nichtstörer durch Ord-nungsverfügung nach dem Glückspielstaatsvertrag: OVG Nordrhein-Westfalen, Beschluss vom 26.01.2010 - 13 B 760/09 -, juris; vgl. für eine Sperrungsanordnung gegen den Access-Provider aufgrund des Glücksspielstaatsvertrages mit Rückgriff auf den Störerbegriff des allgemeinen Polizei- und Ordnungsrechts: VG Düsseldorf, Urteil vom 29.11.2011 - 27 K 5887/10 -, juris; vgl. auch VG Köln, Urteil vom 15.12.2011 - 6 K 5404/10 -, juris; vgl. zu einer Sperrverfügung nach dem Medienstaatsvertrag gegen Nichtverantwortliche aufgrund spezialrechtlicher Regelung: VG Düsseldorf, Beschluss vom 19.12.2002 - 15 L 4148/02 -, juris).
Genauso wie Art. 7 der RL 95/46/EG eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und daher die Einführung von schärferen oder liberaleren Grundsätzen durch nationales Recht ausgeschlossen ist (vgl. EuGH, Urteil vom 24.11.2011 - C-468/10 und C-469/10, aaO) ist auch die Regelung der datenschutzrechtlichen Verantwortlichkeit in Art. 2 d) RL 95/46/EG erschöpfend und abschließend geregelt, so dass keine Begründung der datenschutzrechtlichen Verantwortlichkeit über die entsprechende Anwendung der Grundsätze des allgemeinen Polizei- und Ordnungsrechtes insbesondere auch betreffend die Verantwortlichkeit von Nichtstörern im Bereich des materiellen Datenschutzrechtes zulässig ist.
Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.
Die außergerichtlichen Kosten der Beigeladenen sind erstattungsfähig, da diese sich durch einen eigenen Sachantrag am Kostenrisiko des Prozesses beteiligt hat (§ 154 Abs. 3 VwGO iVm § 162 Abs. 3 VwGO).
Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO iVm §§ 708 Nr. 11, 711 ZPO.
Die Berufung ist gemäß § 124 a) Abs. 1 Satz 1 VwGO iVm § 124 Abs. 2 Nr. 3 VwGO wegen der grundsätzlichen Bedeutung der Rechtssache zugelassen worden.
Rechtsmittelbelehrung
Gegen dieses Urteil ist das Rechtsmittel der Berufung statthaft. Die Berufung ist innerhalb eines Monats nach Zustellung dieses Urteils schriftlich oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle beim Schleswig-Holsteinischen Verwaltungsgericht
Brockdorff-Rantzau-Straße 13
24837 Schleswig
einzulegen.
Die Berufung muss das angefochtene Urteil bezeichnen.
Die Berufung ist innerhalb von zwei Monaten nach Zustellung dieses Urteils zu begründen.
Die Begründung ist, sofern sie nicht zugleich mit der Einlegung der Berufung erfolgt, bei dem
Schleswig-Holsteinischen Oberverwaltungsgericht
Brockdorff-Rantzau-Straße 13
24837 Schleswig
einzureichen.
Sie muss einen bestimmten Antrag enthalten sowie die im Einzelnen anzuführenden Gründe der Anfechtung. Mangelt es an einem dieser Erfordernisse, so ist die Berufung unzulässig.
Vor dem Oberverwaltungsgericht müssen sich die Beteiligten, außer im Prozesskostenhilfeverfahren, durch Prozessbevollmächtigte vertreten lassen. Dies gilt auch für Prozesshandlungen, durch die ein Verfahren vor dem Oberverwaltungsgericht eingeleitet wird. Als Bevollmächtigte sind nur die in § 67 Abs. 2 Satz 1 VwGO bezeichneten Personen zugelassen. Behörden und juristische Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse können sich durch eigene Beschäftigte mit Befähigung zum Richteramt oder durch Beschäftigte mit Befähigung zum Richteramt anderer Behörden oder juristischer Personen des öffentlichen Rechts einschließlich der von ihnen zur Erfüllung ihrer öffentlichen Aufgaben gebildeten Zusammenschlüsse vertreten lassen. Ferner sind die in § 67 Abs. 2 Satz 2 Nr. 3 bis 7 VwGO bezeichneten Personen und Organisationen als Bevollmächtigte zugelassen. Ein Beteiligter, der nach Maßgabe des § 67 Abs. 2 Satz 1 VwGO bzw. § 67 Abs. 2 Satz 2 Nr. 3 bis 7 VwGO zur Vertretung berechtigt ist, kann sich selbst vertreten.
Richter dürfen nicht als Bevollmächtigte vor dem Gericht auftreten, dem sie angehören. Ehrenamtliche Richter dürfen, außer in den Fällen des § 67 Abs. 2 Satz 2 Nr. 1 VwGO, nicht vor einem Spruchkörper auftreten, dem sie angehören.