Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1 Der Anlass

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veröffentlichte am 19.08.2011 eine Presseerklärung, in der Webseitenbetreiber in diesem Bundesland aufgefordert wurden, Fanpages und Social-Plugins des sozialen Netzwerks Facebook abzuschalten, da deren Nutzung zu datenschutzrechtlich unzulässigen Datenübermittlungen führt. Im Fall der Nichtumsetzung dieser Aufforderung wurden vom ULD datenschutzrechtliche Verfahren und Sanktionen angekündigt (1). Daraus ergab sich eine intensive gesellschaftliche, politische, ökonomische und auch rechtliche Debatte über die Verantwortlichkeit für das Nutzen der für die Seitenbetreiber unentgeltlichen Angebote von Facebook. Die Kritik an der Aufforderung des ULD lässt sich knapp dahin zusammenfassen, für den ausgelösten personenbezogenen Datenverkehr seien nicht die Webseitenbetreiber verantwortlich, sondern Facebook selbst, das seine Sitze in Irland respektive in den USA habe. Die Nutzerinnen und Nutzer, die Mitglied bei Facebook sind, hätten in die erfolgenden Datenübermittlungen, -nutzungen und sonstigen -verarbeitungen persönlich wirksam eingewilligt. Hinsichtlich der Nicht-Mitglieder entstünden keine Beeinträchtigungen des Grundrechts auf informationelle Selbstbestimmung.

2 Rahmenbedingungen

Die Diskussion über Verantwortung im Internet wird intensiv in Politik, in den Medien und auch vor Gericht geführt. Dabei geht es aus juristischer Sicht regelmäßig entweder um die strafrechtliche oder um die zivilrechtliche Verantwortlichkeit. Ein Thema ist hierbei auch die Verantwortlichkeit für Persönlichkeitsverletzungen, wobei aber – was verwundern mag – regelmäßig auf Verstöße gegen das seit über 100 Jahren zivil- und strafrechtlich geschützte allgemeine Persönlichkeitsrecht zurückgegriffen wird und nicht auf das erheblich neuere Datenschutzrecht. Verblüffend ist dies, weil das Datenschutzrecht das Ziel verfolgt, Persönlichkeitsverletzungen durch moderne Technik zu verhindern bzw. zu sanktionieren. Unstreitig ist, dass das Datenschutzrecht auch für das Verhältnis Bürger – Wirtschaftsunternehmen gilt und dass insofern die Regelungen des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetzes (TMG) privatrechtliche Ansprüche gegen Betreiber von Webseiten begründen. Unstreitig ist zudem, dass die zivilrechtlichen Ansprüche die datenschutzrechtlichen Betroffenenrechte nicht verdrängen bzw. ausschließen – was auch im umgekehrten Sinne gilt. Unstreitig ist weiterhin, dass trotz des Nebeneinanders der datenschutzrechtlichen und der zivilrechtlichen Ansprüche eine gegenseitige Wechselbeziehung besteht (2), auch wenn dies oft nicht hinreichend berücksichtigt wird.

Die Dringlichkeit der Klärung der datenschutzrechtlichen Fragen nach der Verantwortlichkeit für personenbezogenen Datenverkehr im Internet allgemein bzw. bei Facebook-Anwendungen speziell hat praktische Hintergründe. An den Antworten machen sich viele konkrete rechtliche Konsequenzen fest. Diese beziehen sich auf das Verhältnis zu den Betroffenen hinsichtlich deren Rechte (z. B. auf Auskunft, Datenkorrektur, Datenverwendung), auf gesetzliche Handlungspflichten (Wer muss im Fall von Verstößen hierfür geradestehen und aktiv werden?) und schließlich auf die verwaltungsrechtliche Zuständigkeit der Aufsichtsbehörden. Die datenschutzrechtliche Verantwortlichkeit legt fest, wer im Streitfall der richtige Antrags- oder Klagegegner ist.(3)

Es ist kein Geheimnis, dass der Vollzug des Datenschutzrechts defizitär ist. Dies gilt in anderen europäischen Staaten, auf deutscher nationaler sowie auf Landesebene. Es ist auch kein Geheimnis, dass das Vollzugsdefizit unterschiedlich groß ist, was – nicht unbegründet – als ungerecht empfunden wird. In Bezug auf Facebook nutzende Webseitenbetreiber wurde dem ULD vorgehalten, der Abbau des Vollzugsdefizites in Schleswig-Holstein schaffe für Anbieter in diesem Land einen (Wettbewerbs-) Nachteil. Die nötigen Erwiderungen hierzu sind veröffentlicht.(4)

Die unterschiedlich starken Vollzugsdefizite provozieren nicht nur Diskriminierungen, sondern auch Privilegierungen: Wer sich in einem besonders defizitären Aufsichtsbereich befindet, kann u. U. ungestört sein illegales Treiben weiterverfolgen und dabei – wettbewerbsverzerrend – sehr viel Geld verdienen. Insofern ist das Wettbewerbsrecht gefordert. Nicht nur die Datenschutzaufsicht, sondern auch die wettbewerbsrechtlich Beteiligten, also etwa Konkurrenten und Verbraucherverbände, wären prinzipiell in der Lage, korrigierend einzugreifen. Deutsche Zivilgerichte weigern sich bislang aber nachhaltig, Datenschutzverstöße als Wettbewerbsverstöße anzuerkennen.(5) Dieser Umstand begünstigt eine gezielte Standortauswahl, also die Wahl des Standortes nach der Größe und Art des datenschutzaufsichtsbehördlichen Vollzugsdefizits, und fördert „optimierte Verantwortungslosigkeit“.(6) Es dürfte unstreitig sein, dass optimierte Verantwortungslosigkeit im Datenschutz nicht wünschenswert ist. Diese liegt nicht im Interesse des Datenschutzes, der betroffenen Menschen, der Marktteilnehmer, letztlich des Marktes und der Gesellschaft.

Nachdem die datenschutzrechtliche Verantwortlichkeit schleswig-holsteinischer Webseitenbetreiber für den durch Facebook-Nutzungen ausgelösten unzulässigen Datenumgang in Frage gestellt wurde, geht es darum, insofern eine rechtliche Klärung herbeizuführen.

3 Rechtliche Grundlagen

Die Verantwortlichkeit für die Datenverarbeitung bei Telemediendiensten ist in den §§ 7 ff. TMG sowie im allgemeinen Datenschutzrecht, also in § 3 Abs. 7 BDSG bzw. in § 2 Abs. 3 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH), geregelt. Letztgenannte Regelungen setzen national Art. 2 lit. d) Europäische Datenschutzrichtlinie(EU-DSRL, Richtlinie 95/46/EC) um.

3.1 Datenschutzrecht

§ 3 Abs. 7 BDSG: „Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

§ 2 Abs. 3 LDSG SH: „Daten verarbeitende Stelle ist jede öffentliche Stelle im Sinne von § 3 Abs. 1, die personenbezogene Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt.“

Art. 2 lit. d) EU-DSRL (Begriffsbestimmungen): „"für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden“.

Es ist unstreitig, dass trotz der teilweise sprachlich voneinander abweichenden Definitionen die Bedeutungen von „verantwortliche Stelle“, „Daten verarbeitende Stelle“ und „für die Verarbeitung Verantwortlicher“ inhaltlich identisch sind.(7) Es kommt nicht auf das Wissen über eine konkrete Datenverarbeitung an, sondern wer objektiv über diese bestimmen kann, wer die Entscheidungsgewalt über den Zweck und die Mittel der Verarbeitung hat.(8) Die Zuordnung datenschutzrechtlicher Verantwortlichkeit dient der Sicherstellung, dass es keine „unverantworteten“ personenbezogenen Datenverarbeitungen gibt.(9)

Von der Verantwortung für den Datenumgang ist die Verantwortung für die Verarbeitungsmedien zu unterscheiden. Diese können identisch sein, aber auch voneinander abweichen. Die Verantwortung ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden.(10) Ein typischer, aber nicht der einzige Fall, bei dem die Verfügung über Datenträger und Verantwortung für die Daten auseinanderfallen, ist die Auftragsdatenverarbeitung. (11)

Das Datenschutzrecht hebt bei der Zuordnung der Verantwortlichkeit auf die einzelnen Verarbeitungsschritte bzw. Aktivitäten ab. Dies hat zur Folge, dass die Verantwortung nicht notwendigerweise gebündelt zu beurteilen ist, sondern je nach technischer und organisatorischer Gestaltung auf verschiedene Stellen verteilt sein kann. Möglich ist auch, dass die Verantwortlichkeit für einen konkreten Umgang mit Daten nicht umfassend besteht, sondern nur im Hinblick auf bestimmte Aspekte, etwa der Datensicherheit. In solchen Fällen ist die Verantwortlichkeit eingeschränkt, aber nicht aufgehoben.(12)

Das Datenschutzrecht schließt weder ausdrücklich noch sinngemäß aus, dass mehrere Stellen in gemeinsamer Verantwortung mit personenbezogenen Daten umgehen und möglicherweise eine gesamtschuldnerische Haftung tragen.(13) Die rechtliche Gestaltung zwischen diesen Stellen kann die datenschutzrechtliche Verantwortung nicht einschränken; sie darf für den Betroffenen auch nicht intransparent sein.

3.2 Telemedienrecht

Im Telemediengesetz (TMG) bestehen Sonderregelungen für die Verantwortlichkeit in den §§ 7 bis 10, die die Art. 12-15 der EG-Richtlinie über den elektronischen Geschäftsverkehr umsetzen. Deren Zweck ist eine „Filterung“ der Verantwortlichkeit der Diensteanbieter auf Grund allgemeiner Gesetze hinsichtlich der normierten Sachverhalte (Zugangsgewährung zu fremden Inhalten – § 8 TMG, Caching – § 9 TMG, Eigenhaftung für fremde Inhalte – § 10 TMG). Als Grundsatz gilt, dass Anbieter für eigene Informationen voll verantwortlich sind (§ 7 Abs. 1 TMG). Es ist umstritten, wie weit die Haftungsprivilegierung nach den §§ 7 ff. TMG wirkt. Der Bundesgerichtshof (BGH) will diese nur auf die strafrechtliche Verantwortlichkeit und die Haftung auf Schadenersatz erstrecken.(14) Keine Einigkeit besteht, inwieweit die polizeirechtliche bzw. ordnungsbehördlicher Verantwortlichkeit durch die §§ 7 ff. TMG eingeschränkt wird.(15)

Die Regelungen der §§ 7 ff. TMG finden im Bereich des Datenschutzrechts keine Anwendung; dies ist durch die EG-Richtlinie über den elektronischen Geschäftsverkehr explizit ausgeschlossen.(16) Hierauf kommt es bei der Bewertung der Facebook-Datenverarbeitungen aber auch gar nicht an, da insofern nicht eine Privilegierung des Diensteanbieters, also von Facebook, zur Diskussion steht. Die (ausschließliche oder partielle) Verantwortlichkeit von Facebook als Diensteanbieter wird nicht in Frage gestellt. Zudem steht die Frage der Verantwortlichkeit für die Daten über die Nutzung der Dienste im Vordergrund, die zwar in den §§ 11 ff. TMG geregelt ist, nicht aber in den §§7 ff. TMG, die Aussagen zu Inhaltsdaten machen.

4 Fanpages

Wer eine Facebook-Fanpage betreibt, geht einen zivilrechtlichen Nutzungsvertrag ein, durch den Facebook dieser Person die unentgeltliche, umfassende Nutzung der eigenen Software und Hardware einräumt.(17)

4.1 Technisch-organisatorische Rahmenbedingungen

Facebook weist darauf hin, dass technisch-organisatorisch eine Struktur geschaffen worden ist, mit der explizit sichergestellt werden soll, „dass Administratoren von Facebook-Seiten keinen Zugriff auf die personenbezogenen Daten von Facebook-Nutzern haben“.(18) Demgemäß wird im Impressum von Fanpages auch nicht der Betreiber angegeben, sondern Facebook. Tatsächlich hat ein Fanpage-Betreiber technischen Zugriff nur auf solche Daten von Nutzerinnen und Nutzern, die diese explizit diesem im Rahmen von direkter oder allgemeiner Kommunikation zur Verfügung stellen (Inhaltsdaten). Eine technische Verfügungsmacht über die erhobenenen Nutzungsdaten besteht – soweit erkennbar – für die Fanpage-Betreiber nicht.

Insofern unterscheidet sich der Sachverhalt nicht wesentlich von dem Betreiben einer eigenverantwortlich administrierten Webseite, bei der die technische Durchführung des Betriebs oft einem professionellen Administrator übertragen wird, der im Auftrag des Webseitenbetreibers tätig wird. Rechtlich wird in diesen Fällen unstreitig § 11 BDSG, also eine Auftragsdatenverarbeitung, angenommen, weshalb die rechtliche Verantwortung beim Webseitenbetreiber verbleibt. Anders als bei sonstigen Webseiten besteht aber nach Darstellung von Facebook „zwischen Facebook und den Seiten-Administratoren kein dahin gehender Vertrag, dass Facebook Nutzerdaten im Namen der Administratoren verarbeitet“.(19) Anders als bei sonstiger Auftragsdatenverarbeitung bei Webseitenbetreibern nutzt also ein Fanpage-Betreiber die technische und organisatorische Infrastruktur von Facebook, ohne dass die datenschutzrechtlichen Anforderungen und Absicherungen des § 11 BDSG eingehalten würden. Nach Darstellung von Facebook kann der Fanpage-Betreiber „lediglich beherrschend betreffend derjenigen Informationen angesehen werden, die diese auf ihrer Seiten posten“.(20)

 

Facebook meint, dass das Modell seiner Fanpage-Datenverarbeitung „einen noch höheren Datenschutz bietet, als wenn Seiten-Administratoren tatsächlich Dateninhaber bzw. -verarbeiter wären und die Datenschutzverpflichtungen des TMG erfüllen müssten, da keine persönlichen Daten an die Seiten-Administratoren weitergegeben würden.(21) Facebook verschweigt in diesem Zusammenhang, dass personenbezogene Daten – sowohl von Facebook-Mitgliedern als auch bzgl. der allgemein einsehbaren Seiten von Nicht-Mitgliedern – bei Facebook erhoben und weitergenutzt werden. Die Erstellung von personenbezogenen bzw. pseudonymen Profilen erfolgt demnach nicht durch die Fanpage-Betreiber bzw. in deren Auftrag, sondern durch Facebook. Nach eigener Darstellung ist hierfür Facebook Irland verantwortliche Stelle; die tatsächliche Datenverarbeitung hinsichtlich der Nutzungsdaten erfolgt bei Facebook in den USA.

Die Einrichtung einer Fanpage sowie die inhaltliche Gestaltung erfolgt ausschließlich in der Verantwortung des jeweiligen Betreibers. Facebook nimmt insofern keine eigenen zielgerichteten Aktivitäten vor. Dessen ungeachtet wird im Impressum als verantwortlich Facebook Irland genannt, mit folgendem ergänzenden Hinweis: „Diese Erklärung wurde auf Englisch (USA) verfasst. Sollte es bei der übersetzten Version dieser Erklärung im Vergleich zur englischsprachigen Version zu Unstimmigkeiten kommen, ist stets die englischsprachige Version ausschlaggebend. Bitte beachte, dass Abschnitt 16 einige Änderungen der allgemeinen Richtlinien für Nutzer außerhalb der USA enthält.“(22)

Zusätzlich zu der Zurverfügungstellung der technischen Infrastruktur für die Einrichtung von Fanpages generiert Facebook mit den erhobenen Nutzungsdaten über die Art und den Umfang der Nutzung der Fanpages eine Nutzungsstatistik. Diese wird, soweit es sich um angemeldete Nutzer des Netzwerkes handelt, mit demographischen Angaben wie Alter, Geschlecht und Herkunft des jeweiligen Besuchers der Seite angereichert und als aggregierter, und damit anonymer, Nutzungsreport an die Betreiber der Fanpages zur Verfügung gestellt. Mit der Erstellung einer Fanpage geht insoweit auch die Beauftragung einer Nutzungsanalyse, wie sie in § 15 Abs. 3 TMG geregelt ist, einher. In vergleichbaren Fällen, wie z. B. bei der Nutzung von Google Analytics, gehen die Aufsichtsbehörden für den Datenschutz des Bundes und der Länder gemeinsam mit den Anbietern derartiger Systeme davon aus, dass es sich bei einer derartigen Dienstleistung um eine Auftragsdatenverarbeitung handelt, auch wenn der Diensteanbieter ebenfalls ein eigenes wirtschaftliches Interesse an den erhobenen Nutzungsdaten hat.(23)

4.2 Rechtliche Bewertung

In seinem Arbeitspapier vom 19.09.2011 ging das ULD davon aus, zwischen den Fanpage-Betreibern und Facebook werde ein Auftragsverhältnis nach § 11 BDSG eingegangen. Dem wird von Facebook widersprochen. Dies hat zur Folge, dass durch Facebook eine eigenverantwortliche Datenerhebung der Nutzungsdaten erfolgt. Streitig ist, ob diese Datenerhebung direkt bei den Betroffenen erfolgt, ohne dass hierfür eine Verantwortlichkeit bei den Fanpage-Betreibern liegt, so Facebook, oder die Datenerhebung durch Facebook (auch) den Fanpage-Betreibern rechtlich zugerechnet werden muss.

Angesichts der Unklarheiten der datenschutzrechtlichen Verantwortlichkeiten bei modernen komplexen arbeitsteiligen Verarbeitungsverfahren, wie sie insbesondere bei Internetdiensten gegeben sind, hat die Artikel-29-Datenschutzgruppe in der Europäischen Union ihre Stellungnahmen 1/2010 und 8/2010 verfasst, die europaweit einheitliche Antworten auf die in der Praxis schwierigen Einordnungs-, Abgrenzungs- und Bewertungsfragen geben (Working Paper WP 169 und WP 179).(24) Beide Arbeitspapiere zielen darauf ab, „ausreichende Klarheit zu schaffen, um eine wirksame Anwendung und Einhaltung des Datenschutzes zu ermöglichen und sicherzustellen. Im Zweifelsfall ist in der Regel die Lösung vorzuziehen, die die größten Chancen für die Erreichung dieser Wirkung bietet“ (WP 169, S. 9). Dabei verfolgt sowohl das WP 179 als auch das WP 169 „ein funktionelles Konzept, das die Zuweisung der Verantwortlichkeiten anhand des tatsächlichen Einflusses und damit auf der Grundlage einer Analyse der Fakten und nicht einer formellen Analyse ermöglichen soll“ (WP 169, S. 12). Nicht relevant sein sollen also nominelle Deklarationen, auch wenn diese im Impressum erfolgen, sondern wer über die Datenverarbeitung entscheidet.

Unter Verweis auf die EU-Kommission als Urheberin der Verantwortlichkeitsregelung bekräftigt das WP 169, dass es „für ein und dieselbe Verarbeitung mehrere gemeinsam Verantwortliche geben kann, die gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden“ (S. 22). Dabei ist nicht erforderlich, dass zwei verantwortliche Stellen eine gemeinsame Entscheidung zum selben Zeitpunkt treffen; es genügt, wenn die Entscheidungen zeitlich voneinander getrennt erfolgen und wenn sich bei der Verarbeitung der Daten beide unabhängig voneinander erfolgenden Entscheidungen technisch und denklogisch voraussetzen. Nötig ist zudem, dass die beiden entscheidenden Stellen voneinander und von deren Entscheidung Kenntnis haben und dies in ihre eigene Entscheidung mit einbeziehen.

Im WP 169 wird ausdrücklich auf Fallkonstellationen bei sozialen Netzwerkdiensten eingegangen. Dabei wird bestätigt, dass hierbei sowohl die Anbieter wie auch die Nutzer als Verantwortliche eingestuft werden können. „Ein eindeutiger und unproblematischer Fall einer vollständig gemeinsamen Kontrolle“ liegt danach vor, wenn „die verschiedenen Akteure nur über einen Teil der Zwecke und Mittel gemeinsam entscheiden … und gemeinsame Mittel für die Erreichung gemeinsamer Zwecke einsetzen“. Dies ist hier der Fall. Es ist gemeinsamer Zweck, dass die Fanpage-Betreiber sich darstellen können und so eine Bindung der Internetnutzer erfolgt, dadurch Webtraffic ausgelöst wird, der Facebook personenbezogene Daten liefert, mit denen Werbung geschaltet und verkauft werden kann, so dass den Fanpage-Betreibern das nötige Software- und Hardwareangebot unentgeltlich zur Verfügung gestellt werden kann. Tatsächlich würde Facebook nicht die Nutzungsdaten einer Fanpage erhalten, wenn diese nicht zuvor von einem Betreiber eingerichtet worden wäre. Umgekehrt wäre es dem Betreiber nicht möglich, diese Seite in dem Facebook-Netzwerk zu nutzen, wenn dieses ihm nicht von Facebook bereitgestellt würde. Auch die Informationen über den Umfang und die Art der Nutzung der eingerichteten Fanpages stünden weder Facebook noch den Betreibern der Fanpages ohne die Einrichtung derselbigen zur Verfügung. Insoweit trägt auch der Fanpage-Betreiber Verantwortung für die Verkehrsdatenerhebung.

Zwar werden die technischen Mittel vollständig von Facebook festgelegt; diese Festlegung macht sich aber ein Fanpage-Betreiber vollständig zu eigen. Die Zwecke der Datenverarbeitungen werden gemeinsam verfolgt und bedingen sich gegenseitig. Die den Nutzenden vorgegebenen Zwecke (Besuch der konkreten Fanpage) werden ausschließlich vom Betreiber bestimmt. Doch auch diese Festlegung macht sich Facebook durch sein Angebot zur Einrichtung von Fanpages vollständig zu eigen.

Das WP 169 weist darauf hin, dass „die Unfähigkeit, alle Verpflichtungen eines für die Verarbeitung Verantwortlichen direkt zu erfüllen (z. B. das Recht auf Information oder Auskunft zu gewährleisten) … die Einstufung als für die Verarbeitung Verantwortlicher nicht ausschließt“ (S. 27). Ein Fanpage-Betreiber kann nach der Eigendarstellung von Facebook, wonach für das Unternehmen irisches und damit auch europäisches Datenschutzrecht anwendbar ist, davon ausgehen, dass die europäische Datenschutzrichtlinie beachtet wird, dass also Facebook z. B. Auskunftsansprüchen nach Art. 12 EU-DSRL nachkommt. Eine formelle, rechtlich korrekte Auftragsdatenverarbeitung ist für die Annahme einer Mitverantwortlichkeit nicht erforderlich; es kommt lediglich auf die einem solchen Auftragsverhältnis entsprechende tatsächliche Konstellation an. Tatsächlich dürfte es den Fanpage-Betreibern ein großes Anliegen sein, dass die über ihre Fanpage ausgelöste Kommunikation datenschutzkonform erfolgt, so wie dies von Facebook auch immer wieder beteuert wird. Dass diese Beteuerung nicht zutrifft und dass dies von den Fanpage-Betreibern auch nicht überprüft werden kann, spielt für die Frage der Verantwortungszuordnung keine Rolle. Auch Facebook dürfte davon ausgehen, dass viele Fanpages von ihren Betreibern abgeschaltet würden, wenn diesen nachweislich bekannt wird, dass die Weiterverarbeitung der über sie beschafften Daten bei Facebook gegen Datenschutzrecht verstößt.

Das WP 169 weist darauf hin, dass eine gesamtschuldnerische datenschutzrechtliche Haftung nicht eine Haftung von Stellen im Zusammenwirken voraussetzt: „In vielen Fällen können die verschiedenen für die Verarbeitung Verantwortlichen für die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß verantwortlich – und damit haftbar – sein“ (S. 27). Es weist auf die Notwendigkeit einer klaren Zuweisung der Verantwortlichkeiten etwa „für mögliche Verletzungen (der Datenschutz-) Bestimmungen“ hin: „In diesen Fällen ist wichtiger den je, dass die betroffenen Personen Informationen mit Erläuterungen zu den verschiedenen Phasen und Akteuren der Verarbeitung erhalten. Darüber hinaus sollte klargestellt werden, ob alle für die Verarbeitung Verantwortlichen dafür zuständig sind, alle Verpflichtungen hinsichtlich der Rechte der betroffenen Personen zu erfüllen, bzw. welcher für die Verarbeitung Verantwortliche für welche Rechte zuständig ist“ (S. 27 f.).

Derartige Hinweise fehlen bei Facebook-Fanpages vollständig. Der Inhalt des Impressums wird für den Betroffenen dadurch konterkariert, dass der Inhalt der gesamten Fanpage ausschließlich vom Betreiber gestaltet wird und auch dessen Handschrift trägt. Es gibt für den Nutzer keine Indizien, dass der für den Inhalt der Fanpage vollständig verantwortliche Betreiber keinerlei Verantwortung für den Datenschutz hinsichtlich der Nutzungsdaten übernehmen möchte. Das Betreiben einer Fanpage ist keine datenschutzrechtlich irrelevante Vorbereitungshandlung für die Datenverarbeitungen bei Facebook, vielmehr werden alle Voraussetzungen vom Betreiber gesetzt, um den Nutzer zu seinen Aktivitäten auf der Seite zu veranlassen. U. U. animiert der Betreiber der Fanpage mit seinem guten Namen, etwa als öffentliche Stelle, die Nutzenden zu einem unbesorgten Surfen und Kommunizieren auf der Seite. Letztlich machen sich sowohl Facebook als auch der Betreiber diesen Umstand zunutze. Der Betreiber erhält damit demographisch qualifizierte Aussagen über die Reichweite seines Angebotes. Kein anderer Analysedienst ist derzeit dazu in der Lage. Facebook im Gegenzug erhält darüber detaillierte und intime Kenntnisse über die Interessen und Vorlieben seiner Nutzerinnen und Nutzer. Diese kann Facebook für seine geschäftlichen Interessen des Direktmarketing verwenden.

Selbst wenn man dieser Bewertung auf der Basis des WP 169 der Artikel-29-Datenschutzgruppe nicht zustimmen wollte, so läge in jedem Fall für die Datenerhebung bei den betroffenen Nutzern und die Übermittlung zu bzw. die Erhebung durch Facebook eine Verantwortung bei den Fanpage-Betreibern. Diese Verantwortung kann nicht auf die Nutzenden abgeschoben werden, da diese keine Vorstellung davon haben und haben können, welche Daten von ihnen durch Facebook erhoben und weiterverarbeitet werden.

Dieses datenschutzrechtliche Ergebnis korrespondiert mit gerichtlichen Entscheidungen zur Verantwortlichkeit bei Internetnutzungen in anderen Rechtsbereichen. So hat der Europäische Gerichtshof in einer markenrechtlichen Entscheidung klargestellt, dass eine Verantwortlichkeit gegeben ist, wenn ein Unternehmen gegenüber Nutzenden keine neutrale Stellung einnimmt, sondern eine aktive Rolle spielt, die zur einer Kenntnisverschaffung von Angebote betreffenden Daten führt.(25)

Auch unter Berücksichtigung von Art. 5 GG ergibt sich keine andere Bewertung der Verantwortlichkeit von Fanpage-Betreibern. Soweit es sich hierbei um private Stellen oder Personen handelt, können diese für sich zweifellos das Grundrecht auf freie Meinungsäußerung in Anspruch nehmen. Dieses vorrangig auf die Meinungsinhalte zielende Grundrecht schützt auch die Wahl des Mittels bzw. Forums der Meinungsäußerung. Das Grundrecht auf freie Meinungsäußerung findet nach Art. 5 Abs. 2 GG aber seine „Schranken in den Vorschriften der allgemeinen Gesetze“. Zu diesen allgemeinen Gesetzen gehört das Datenschutzrecht. Es ist jedem Menschen unbenommen, seine Meinung über das Internet zu verbreiten, wenn er eine Webseite nutzt, bei der die Verwendung der Nutzungsdaten rechtmäßig erfolgt. Die Beachtung des Datenschutzrechts bei der Meinungsäußerung beschränkt eine Person in keiner Weise in die Wahrnehmung ihres Grundrechts nach Art. 5 GG.

5 „Gefällt mir“-Button

Die Verantwortlichkeit der Webseitenbetreiber für deren Einbindung von Social-Plugins von Facebook wird von keiner Seite in Frage gestellt. Gemäß der Darstellung von Facebook handelt es sich hinsichtlich der durch Social-Plugins ausgelösten Formen der Datenverarbeitung nicht um eine Auftragsdatenverarbeitung nach § 11 BDSG. Es besteht auch insofern kein (dieser Norm gerecht werdender) Auftragsvertrag. Vielmehr macht Facebook geltend, die bei Facebook registrierten Nutzer hätten ihre Zustimmung zur Verarbeitung ihrer Daten durch Facebook gegeben; hinsichtlich der Datenverarbeitung in Bezug auf Nicht-Nutzern wird versichert, dass keine weitergehende Auswertung der Daten erfolge.(26)

In der datenschutzrechtlichen Bewertung der Reichweitenanalyse durch Facebook vom 19.08.2011 hat das ULD dargestellt, dass die bei Facebook-Mitgliedern eingeholten Erklärungen nicht ausreichen, um Datenverarbeitungen zu legitimieren, wie sie von Facebook vorgenommen werden, da den Anforderungen der §§ 4 Abs. 1, 4a BDSG, 12, 13 TMG, 305 ff. BGB nicht genügt wird.(27)

Gemäß der Darstellung von Facebook erfolgen von den Webseitenbetreibern mit Social-Plugins bei deren Verwendung Übermittlungen an Facebook, auch soweit hiervon Nicht-Mitglieder betroffen sind. Die Aussage, dass zu diesen Personen keine Profile erstellt würden, kann von den Webseitenbetreibern ebenso wenig verifiziert werden wie bisher durch das ULD. Daher erfolgen Übermittlungen, die hinsichtlich des Umfangs und der Art der Weiterverarbeitung bei Facebook von den Webseitenbetreibern datenschutzrechtlich nicht verantwortet werden können, solange keine hinreichenden Nachweise dafür erbracht werden, dass keine relevanten Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung durch Facebook Irland erfolgen, insbesondere auch nicht durch die Datenweitergaben an Facebook in den USA.

6 Ergebnis

Facebook-Fanpage-Betreiber sowie Webseitenbetreiber, die Social-Plugins von Facebook in ihr Angebot integriert haben, sind datenschutzrechtlich verantwortlich für unzulässige Datenübermittlungen von Nutzerinnen und Nutzern. Sie haben die datenschutzrechtlichen Vorgaben des Telemediengesetzes sowie des Bundes- bzw. Landesdatenschutzgesetzes zu beachten und einzuhalten. Dies hat des Weiteren zur Folge, dass sie gegenüber den Betroffenen und gegenüber der nach § 38 BDSG zuständigen Datenschutzaufsichtsbehörde, in Schleswig-Holstein also gegenüber dem ULD, ihre Datenverarbeitung zu verantworten haben. Auf der Grundlage der unstreitig feststehenden technischen und organisatorischen Feststellungen ist die Nutzung von Fanpages und Social-Plugins nach europäischem wie deutschem Datenschutzrecht unzulässig, selbst wenn die von Facebook gemachten Angaben, die teilweise (noch) nicht überprüft werden können, zutreffen.