Samstag, 26. Januar 2013

3: Vorträge, Vorlesungen, Aufsätze

Risiken & Nebenwirkungen - der Faktor Datenschutz -

Thilo Weichert, Leiter des ULD
Landesbeauftragter für Datenschutz Schleswig-Holstein

Kongress Pflege 2013
Social Media als Herausforderung für Führungskräfte

Berlin, Maritim ProArte, 26.01.2013

Freitag, 25. Januar 2013

3: Vorträge, Vorlesungen, Aufsätze

Social Media und Datenschutz: Trends, Probleme, Lösungen

Thilo Weichert, Leiter des ULD
Landesbeauftragter für Datenschutz Schleswig-Holstein

Aktuelle Entwicklungen im Datenschutz unter 
besonderer Beachtung von Social Media

7. Europäischer Datenschutztag
Bundeskanzleramt, Wien
Freitag, 25. Jänner 2013

Freitag, 18. Januar 2013

Anordnung der sofortigen Vollziehbarkeit von Untersagungsverfügungen im Hinblick auf den Klarnamenzwang bei Facebook

Auszüge aus den Schreiben vom 18.01.2013 des
Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein
an das Verwaltungsgericht Schleswig
in den Verwaltungsrechtssachen gegen Facebook Inc und Facebook Ireland Ltd.
(Az. 8 B 61/12 und 8 B 60/12)

wegen der

Anordnung der sofortigen Vollziehbarkeit von Untersagungsverfügungen im Hinblick auf den Klarnamenzwang bei Facebook

1. Anwendung des deutschen Datenschutzrechts bzgl. Facebook Inc.

Facebook Inc./USA möchte die Anwendung irischen Datenschutzrechts mit Verweis auf Art. 4 Abs. 1 a) Satz 1 der Richtlinie 95/46/EG begründen. Demnach wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Die Voraussetzungen von Art. 4 Abs. 1 a) Satz 1 der Richtlinie 95/46/EG sind jedoch nicht erfüllt. Vielmehr gilt Art. 4 Abs. 1 c) der Richtlinie 95/46/EG.

a) Keine selbständige Datenverarbeitung durch die Facebook Ireland Ltd. als Niederlassung

Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich, vgl. Erwägungsgrund 19 der Richtlinie 95/46/EG. Zur vermeintlichen Stützung ihrer Argumentation verweist Facebook Inc./USA auf die Ausführungen der Art.-29-Datenschutzgruppe im WP 179. In dem dort gebildeten Beispielsfall hat ein soziales Netz seinen Sitz in einem Drittland und eine Niederlassung in einem Mitgliedstaat der EU. Seine Politik für die Verarbeitung personenbezogener Daten von EU-Bürgern wird von einer Niederlassung festgelegt und umgesetzt. Das soziale Netz richtet sich aktiv an alle in den Mitgliedstaaten ansässigen Personen. Das soziale Netz arbeitet mit Cookies, die es auf den Rechnern der in der EU ansässigen Benutzer setzt. Im Beispielsfall wird in dieser Fallkonstellation die Anwendung desjenigen Datenschutzrechts befürwortet, welches in jenem Mitgliedstaat gilt, in dem sich die Niederlassung befindet.

Der Beispielsfall ist jedoch auf die vorliegende Verfahrenssituation nicht übertragbar. Die Facebook Ireland Ltd. bestimmt nicht die Politik der Verarbeitung personenbezogener Daten von EU-Bürgern. Die gegenteilige Behauptung von Facebook wird durch nichts belegt. Facebook verweist vielmehr ständig auf vertragliche Unterlagen, welche eine Auftragsdatenverarbeitung der Facebook Inc./USA als Auftragnehmerin und der Facebook Ireland Ltd. als Auftraggeberin belegen sollen. Die genannten Verträge wurden bisher nicht vorgelegt. Trotz mehrfacher Aufforderung erfolgte keine Bereitstellung gegenüber dem ULD. Ohne Vorlage dieser Verträge und von deren Anhängen und Unterverträgen ist es einer unabhängigen Aufsichtsbehörde nicht möglich, deren Rechtmäßigkeit zu überprüfen. Die Steuerung und die technische Durchführung der Datenverarbeitung bei Facebook differenziert grundsätzlich nicht zwischen nordamerikanischen und sonstigen Kunden des Netzwerkes. Sie erfolgt weitestgehend durch Facebook Inc./USA und technisch auf einer einheitlichen Plattform. Dass die Facebook Ireland Ltd. Teile der Datenverarbeitung tatsächlich technisch vornimmt, wurde von Facebook bisher nicht vorgetragen.

Ein Auftragsverhältnis scheidet aus, wenn der Auftragnehmer an den Daten ein eigenes, wirtschaftliches Interesse hat. Gesellschaftsrechtliche Über- und Unterordnungsverhältnisse stehen einer Auftragsdatenverarbeitung zwar nicht generell entgegen. Nötig ist aber, dass rechtlich und faktisch sichergestellt bleibt, dass die Auftragsdatenverarbeitung ausschließlich nach Weisung erfolgt. Eine fehlende Entscheidungsbefugnis des Auftragnehmers über die Daten und über die Durchführung konkreter Verarbeitungen gerichteten Schwerpunkte sprechen für eine Auftragsdatenverarbeitung. Wird hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Für eine eigene Verantwortlichkeit spricht auch, wenn dem Verarbeiter eigenständige Nutzungsrechten an den Daten überlassen werden.

Die Facebook Ireland Ltd. ist wirtschaftlich eine 100%ige Tochter der Facebook Inc./USA. Damit hat zumindest Facebook Inc./USA hinsichtlich aller ökonomisch-unternehmerischen Entscheidungen die Möglichkeit, die Geschäftspolitik der Facebook Ireland Ltd. zu bestimmen. Für eine geschäftspolitische Unterordnung der Konzernmutter (Facebook Inc./USA) unter die Tochter (Facebook Ireland Ltd.) gibt es keinerlei Hinweise. Vielmehr spricht Facebook Inc./USA auf ihrer Webseite von einer Milliarde Nutzenden im Oktober 2012 und bezieht sich hierbei nicht nur auf die USA und Kanada, sondern schließt offensichtlich alle europäischen Nutzenden mit ein. Aus den veröffentlichten ökonomischen Zahlen ergibt sich keine Differenzierung zwischen der Facebook Inc./USA und der Facebook Ireland Ltd. Offensichtlich behandelt Facebook Inc./USA beide in der Außendarstellung als einheitliches Unternehmen, ohne die Facebook Ireland Ltd. überhaupt zu erwähnen, vgl. newsroom.fb.com/Key-Facts.

b) Facebook Inc./USA hat ihren Sitz nicht in einem Mitgliedstaat der EU

Maßgebend ist Art. 4 Abs. 1 c) der Richtlinie 95/46/EG, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der EG verwendet werden. Mit der Richtlinienbestimmung soll verhindert werden, dass Verantwortliche für die Verarbeitung, die ihre Tätigkeit im Gemeinschaftsgebiet entfalten, sich der Anwendung des harmonisierten Datenschutzrechts durch Verlegung ihres Sitzes entziehen können (Dammann/Simitis, Kommentar zur EG-Datenschutzrichtlinie, 1. Aufl., 1997, Art. 4, S. 129). Davon erfasst ist auch Facebook Inc./USA, welche ihren Sitz außerhalb der EU bzw. des EWR hat.

c) Zugriff auf automatisierte Mittel/Erhebung personenbezogener Daten

Ausreichend für ein automatisiertes Mittel ist vorliegend der PC des Nutzers, mit welchem dieser die von der Facebook Inc./USA zur Verfügung gestellten Dienste in Anspruch nimmt (vgl. Dammann, in: Simitis, Kommentar zum BDSG, 7. Aufl., 2011, § 1 Rn. 217). Im Wege der Registrierung durch den Nutzer unter www.facebook.com erhebt Facebook Inc./USA die eingegebenen Registrierungsdaten (Name, Vorname, Geburtsdatum, E-Mail-Adresse). Ferner platziert Facebook Inc./USA bei jedem Seitenaufruf auf den Rechnern der Nutzer Cookies, wie etwa den Cookie „datr“. Durch das Setzen der Cookies und das anschließende Lesen werden zwar keine aktiven Programme auf diesen Rechnern installiert, wohl aber Daten gespeichert, damit die Programme der Facebook Inc./USA bei nachfolgenden Aufrufen des gleichen Nutzers darauf zurückgreifen können und so eine Identifizierung möglich wird (vgl. Dammann, in: Simitis, Kommentar zum BDSG, 7. Aufl., 2011, § 1 Rn. 227). Auf diese Weise verwendet Facebook Inc./USA automatisierte Mittel, um personenbezogene Daten zu verarbeiten. Folglich findet für Facebook Inc./USA deutsches Datenschutzrecht Anwendung.

Zum gleichen Ergebnis gelangt man unter Anwendung von § 1 Abs. 5 Satz 2 BDSG. Demnach findet das BDSG Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der EU oder in einem Vertragsstaat des EWR hat, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Facebook Inc./USA erhebt, wie eben ausgeführt, die personenbezogenen Registrierungs- und Nutzungsdaten (z. B. unter Verwendung von Cookies) im Inland.

d) Verantwortlichkeit der Facebook Inc./USA durch Diensteerbringung über Akamai

Facebook nutzt für seine Diensteerbringung sog. Content Delivery Networks (CDN) und nimmt hierfür die Dienste der Firma Akamai in Anspruch. Sitz der Unternehmenszentrale ist Cambridge/MA in den USA (Akamai Corporate Headquarter, 8 Cambridge Center, Cambridge, MA 02142, USA). Akamai bietet ein globales Netzwerk, das eine Verteilung von Inhalten in möglichst hoher netztopologischer Nähe zum Nutzer ermöglicht, um die Ladezeiten von Internet-Inhalten gering zu halten. Für Deutschland verantwortliches Tochterunternehmen ist Akamai Technologies GmbH in Unterföhrung (Akamai, Betastraße 108, 85774 Unterföhring). Akamai betreibt eigene Rechenzentren, nutzt aber zur Inhaltsverteilung auch solche anderer Anbieter, etwa des Internetproviders TNG in Kiel, Schleswig-Holstein.

Gemäß den bisher vorhandenen Informationen besteht eine Unterauftragskette von der Facebook Inc./USA über Akamai/USA, Akamai/Deutschland bis zu weiteren deutschen Providern wie z. B. TNG in Kiel. Bei der Verarbeitung kommt es im Rahmen dieser Auftragsverhältnisse zunächst zu einer Übermittlung an Facebook Inc./USA und dann wieder von Akamai/USA nach Deutschland. Über die tatsächliche Datenverarbeitung in diesen Auftragsverhältnissen und zu den diesen zugrundeliegenden Rechtsverhältnissen hat Facebook gegenüber dem ULD trotz entsprechender Aufforderung bisher keine Angaben gemacht. Hierzu verweisen wir auf unsere „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook“ vom 19. August 2011, S. 16 f.. Unstreitig ist, dass wesentliche Datenverarbeitungen des Facebook-Angebotes in Deutschland erfolgen, insbesondere die Verarbeitung von Inhalts- und Profildaten von Nutzenden und Fanpagebetreibern. Inwieweit nach § 11 BDSG bzw. Art. 17 der Richtlinie 95/46/EG wirksame Auftragsverhältnisse vorliegen, wurde bisher weder vorgetragen, geschweige denn belegt. Im Zweifel führt dies dazu, dass Facebook Inc./USA als datenschutzrechtlich verantwortlich anzusehen ist.

e) Kein Vertrag zur Auftragsdatenverarbeitung/keine entsprechende Qualifizierung durch die irische Datenschutzaufsichtsbehörde

In einem Vertrag zwischen der Facebook Inc./USA und der Facebook Ireland Ltd. „Data Transfer and Processing Agreement" (Vertrag zur Übermittlung und Verarbeitung von Daten) wird Facebook Ireland Ltd. als Datenexporteur und Facebook Inc./USA als Datenimporteur bezeichnet. Außerdem besteht ein "Data Hosting Services Agreement" zwischen der Facebook Inc./USA und der Facebook Ireland Ltd. als Diensteanbieter ("service provider"). Beide Verträge gelten seit September 2010. Die irische Datenschutzaufsichtsbehörde hat diese geprüft und aus ihrer Sicht "für in Ordnung befunden". Weitere präzisierende Ausführungen wurden von der irischen Datenschutzaufsichtsbehörde nicht gemacht, vgl. Report of Audit vom 21. Dezember 2011, S. 25 (http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f). Insbesondere enthält die Prüfung der irischen Datenschutzaufsichtsbehörde keine Aussage, dass auf der Grundlage dieser Verträge Facebook Ireland Ltd. ausschließliche verantwortliche Stelle sei und Facebook Inc./USA ausschließlich die Funktion eines Auftragnehmers erfüllt.

In Bezug auf die Facebook Ireland Ltd. erläuterte der irische Datenschutzbeauftragte in seinem Bericht von 2011, dass seine Bestätigung der Zuständigkeit für die Facebook Ireland Ltd. nicht dahingehend verstanden werden darf, er habe die ausschließliche Zuständigkeit über Facebooks Aktivitäten in der Europäischen Union (Report of Audit vom 21. Dezember 2011, S. 21). Vielmehr sei der Facebook Ireland Ltd. von September 2010 eine "verstärkte Verantwortlichkeit" hinsichtlich der Nutzer außerhalb von USA und Kanada zugewiesen worden (Report of Audit vom 21. Dezember 2011, S. 25).

Ein Vertrag zwischen der Facebook Inc./USA und der Facebook Ireland Ltd. über eine wirksame Auftragsdatenverarbeitung müsste vor allem konkret Folgendes darlegen:
Zweck der Verarbeitung der personenbezogenen Daten, konkretisiert auf die jeweiligen Datenarten, das Verbot einer Zweckänderung, insbesondere das Verbot, die Daten für Zwecke von der Facebook Inc./USA zu nutzen, konkrete technisch-organisatorische Maßnahmen der Datensicherheit in Bezug auf jede konkrete Funktionalität und Datenverarbeitung, die Inhalte sämtlicher Unterauftragsverträge, Angaben über die Kontrollen der Facebook Ireland Ltd. und der dabei anzuwendenden Mechanismen sowie konkrete Angaben über die Umsetzung der Safe-Harbor-Prinzipien.

Diesen Anforderungen dürften die oben genannten Verträge, die dem ULD trotz Aufforderung von Facebook bis heute nicht vorgelegt wurden, nicht genügen. So ist auf Grund der bisher vorliegenden Quellen zu vermuten, dass in dem Vertrag personenbeziehbare Daten zu Nicht-Facebook-Mitgliedern, die bei der Facebook Inc./USA über das Setzen von Cookies oder durch die Speicherung von sonstigen Identifikatoren anfallen, nicht erfasst sind. Angesichts der Zugriffsrechte, die sich US-Behörden auf im Auftrag in den USA verarbeiteten Daten vorbehalten, muss die Sicherstellung der nötigen Vertraulichkeit in Frage gestellt werden. Angesichts des Umstandes, dass Facebook generell die Verpflichtung zur Beachtung von Zweckbindungsgrundsätzen ignoriert, ist davon auszugehen, dass entsprechende Sicherheiten nicht gegeben sind. Es bestehen hinreichende Indizien, dass die Safe-Habor-Prinzipien von Facebook missachtet werden, so wie dies das ULD der zuständigen US-Verbraucherbehörde FTC (Federal Trade Commission) mit Schreiben vom 21. August 2012 mitteilte.

Facebook behauptet, Facebook Ireland Ltd. weise Facebook Inc./USA an, die Daten europäischer Nutzer "in Übereinstimmung mit irischem Datenschutzrecht zu verarbeiten". Würde Facebook Ireland Ltd. feststellen, dass insofern Verstöße mit dem irischen Recht stattfinden, so würde es "die notwendigen Schritte unternehmen, einschließlich des Abbruchs solcher Verarbeitungsaktivitäten" (Schreiben der Facebook Ireland Ltd. vom 6. Dezember 2012, S. 2 f.).

Über die konkrete Auftragsabwicklung zwischen der Facebook Ireland Ltd. und der Facebook Inc./USA gibt es keine Nachweise oder Dokumente. Dessen ungeachtet sprechen alle vorliegenden Indizien dafür, dass Facebook Inc./USA eigenständige Entscheidungen über die Datenverarbeitung trifft und hierzu Facebook Ireland Ltd. allenfalls informiert und beteiligt, und sich nicht auf die Durchführung vordefinierter Datenverarbeitungen beschränkt.

Diesen Schluss legen die Ausführungen des Auditreports vom 21. September 2012  der irischen Datenschutzaufsichtsbehörde nahe (dort S. 53). Danach werden die Produkte und Merkmale von Ingenieuren von der Facebook Inc./USA entwickelt. Vor deren Implementierung ist eine erfolgreiche Prüfung der Vereinbarkeit mit irischem und europäischem Recht nicht gewährleistet. In Abarbeitung einer Empfehlung, so der Bericht der irischen Datenschutzaufsichtsbehörde, arbeitet ein Datenschutzteam von Facebook Ireland Ltd. künftig mit Teams der Facebook Inc./USA eng zusammen. Dem Leiter des Datenschutzteams der Facebook Ireland Ltd. komme es dabei lediglich zu, eine Überprüfung der Vereinbarkeit mit irischem Recht vorzunehmen (Auditreport, S. 54). Dies bedeutet, dass die wesentlichen Festlegungen durch Facebook Inc./USA erfolgen und die Facebook Ireland Ltd. allenfalls eine Interventionsmöglichkeit hat, ohne aber die wesentlichen Formen und Zwecke der Verarbeitung selbst und allein festzulegen. Als Beispiel hierfür wird aufgeführt, dass die Facebook Ireland Ltd. einen wichtigen Beitrag beim Freundefinder geleistet habe (Auditreport, S. 54). Es ist nicht von Weisungen durch die Facebook Ireland Ltd. die Rede, sondern davon, dass Facebook Inc./USA in den USA Verfahren festlegte und hierbei "input" durch die Facebook Ireland Ltd. vorsieht, wobei selbst dieser Prozess nicht zur Zufriedenheit der irischen Datenschutzaufsichtsbehörde ablief (Auditreport, S. 55).

Es ist aus keiner der verfügbaren Quellen erkennbar, dass die Facebook Ireland Ltd. an Facebook Inc./USA überhaupt Weisungen erteilt, welchen Inhalt und welche Qualität diese haben und wie deren Umsetzung kontrolliert und dokumentiert wird. Jenseits der Entwicklung von neuen Produkten und einer Bearbeitung von Einzelfällen sind keine Anhaltspunkte erkennbar, dass und wie die Datenverarbeitung von der Facebook Inc./USA überwacht wird.

Dass Facebook Inc./USA keine tatsächlichen Weisungsbefugnisse besitzt und wahrnimmt, wird zudem durch die Verfügung des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit bestätigt, der im Hinblick auf das Gesichtserkennungsverfahrens detailliert nachwies, dass dieses Verfahren einseitig durch Facebook Inc./USA und ohne Kommunikation mit der Facebook Ireland Ltd. eingeführt wurde und die Facebook Ireland Ltd. zu keinem Zeitpunkt wesentlichen Einfluss genommen hat (Anordnung des Hamburgischen Datenschutzbeauftragten vom 21. September 2012 gegen Facebook Inc., S. 19). Die faktischen Verhältnisse der Datenverarbeitung erlauben es damit nicht, ein Auftragsverhältnis der Facebook Inc./USA für die Facebook Ireland Ltd. anzunehmen.

Dass die Facebook Ireland Ltd. keine tatsächlichen Weisungsbefugnisse besitzt und wahrnimmt, wird zudem von der Gruppe "europe-v-facebook" in ihrer Antwort auf dem Auditbericht des irischen Datenschutzbeauftragten von 2012 bestätigt. Bei „europe-v-facebook“ handelt es sich um eine Gruppe von Studierenden in Wien, die sich gemeinsam mit ihrem Sprecher Max Schrems im August und September 2011 an den irischen Datenschutzbeauftragten mit insgesamt 22 detaillierten Beschwerden wandten (Report of Audit vom 21. Dezember 2011, S. 22 und Appendix 2). Mitglieder dieser Gruppe versuchen seit über einem Jahr mit begrenztem Erfolg, ihre u. a. in der Richtlinie 95/46/EG garantierten Betroffenenrechte unter Einschaltung des irischen Datenschutzbeauftragten gegenüber Facebook durchzusetzen. Am 4. Dezember 2012 legte die Gruppe "europe-v-facebook" eine Antwort auf den aktuellen Auditbericht vor, in der sie feststellt, dass den kritisierten Verstößen durch Facebook im Wesentlichen nicht abgeholfen wurde. In dem Bericht dieser Gruppe wird dargestellt, dass die Facebook Ireland Ltd. gegenüber der Gruppe immer wieder argumentiert habe, dass bestimmten datenschutzrechtlichen Forderungen nicht nachgekommen werden könne, "weil das Management von Facebook Inc. dem nie zustimmen würde" (europe-v-facebook.org, Response to „audit“, Vienna, December 4th 2012, S. 17, http://www.europe-v-facebook.org/report.pdf).

f) Annahme einer vertraglichen Nutzerbeziehung nicht maßgebend

Facebook Inc./USA gibt vor, sie sei nicht Vertragspartner der Nutzer. Diese Behauptung wurde jedoch nicht mit Fakten untermauert; zum anderen steht dies der datenschutzrechtlichen Verantwortlichkeit der Facebook Inc./USA nicht entgegen. Zwar wird in den Nutzerbedingungen unter http://de-de.facebook.com/legal/terms ausgeführt, dass die Dienste unter www.facebook.de von der Facebook Ireland Ltd. angeboten werden. Allerdings wurden selbst die Nutzungsbedingungen von der Facebook Inc./USA vorgegeben, was bereits der Umstand zeigt, dass diese „auf Englisch (USA)“ verfasst wurden. Die geschäftspolitischen Entscheidungen, einschließlich der Vorgabe der Nutzungsbedingungen und Datenverwendungsrichtlinien werden durch Facebook Inc./USA getroffen. Facebook Ireland Ltd. hat keinen eigenen Handlungsspielraum. Eine Bestimmung über die Zwecke und Mittel der Datenverarbeitung liegt nach Maßgabe von Art. 2 d) der Richtlinie 95/46/EG in der Entscheidungshoheit der Facebook Inc./USA.

2. ULD ist zuständige Datenschutzaufsichtsbehörde bzgl. Facebook Inc.

Maßgebend für die Bestimmung der sachlichen Zuständigkeit für den Erlass der Anordnung ist zunächst Art. 28 Abs. 6 Satz 1 der Richtlinie 95/46/EG. Danach ist jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr nach Art. 28 Abs. 3 der Richtlinie 95/46/EG übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Eine Verarbeitung personenbezogener Daten im Hoheitsgebiet dem ULD erfolgt durch die Erhebung der Registrierungs- und Nutzungsdaten durch Facebook Inc./USA auf den Rechnern der Nutzer nach Maßgabe von Art. 4 Abs. 1 c) der Richtlinie 95/46/EG. Die sachliche Zuständigkeit dem ULD ergibt sich zudem aus § 38 Abs. 1 BDSG i.V.m. § 1 Abs. 5 Satz 2 BDSG. Nach § 38 Abs. 1 Satz 1 BDSG kontrolliert die Aufsichtsbehörde die Ausführung „dieses Gesetzes“ sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5 BDSG. Damit sind auch Datenerhebungen, -verarbeitungen und -nutzungen erfasst, die verantwortliche Stellen mit Sitz in einem Drittland im Inland durchführen. Nur auf diese Weise können die allgemeinen Persönlichkeitsrechte der Bürger gewahrt und das entsprechende gesetzgeberische Anliegen in § 1 Abs. 1 BDSG erfüllt werden.

Die örtliche Zuständigkeit für den Erlass der Anordnung ergibt sich für die Antragsgegnerin aus § 39 Abs. 3 des Landesdatenschutzgesetzes, wonach das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein die zuständige Aufsichtsbehörde nach § 38 BDSG über nichtöffentliche Stellen im Anwendungsbereich des Dritten Abschnitts des BDSG ist.

3. Anwendung des deutschen Datenschutzrechts bzgl. Facebook Ireland Ltd.

Facebook Ireland Ltd. möchte die Anwendung irischen Datenschutzrechts mit Verweis auf Art. 4 Abs. 1 a) Satz 1 der Richtlinie 95/46/EG begründen. Demnach wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Die Prüfung der Voraussetzungen von Art. 4 Abs. 1 a) Satz 1 und 2 der Richtlinie 95/46/EG führt jedoch zur Anwendung des deutschen Datenschutzrechts.

Am 11. Februar 2010 richtete Facebook in Deutschland eine eigene Niederlassung ein, die Facebook Germany GmbH (Facebook Germany GmbH, Großer Burstah 50-52, 20457 Hamburg). Nach Darstellung der Antragstellerin agiert die Facebook Germany GmbH nur als Verkaufsstelle. Das Tochterunternehmen erfülle zusätzlich Funktionen bei der Kommunikation mit der Facebook Ireland Ltd. und der Facebook Inc., bei der Werbung und hinsichtlich der Öffentlichkeitsarbeit. An Entscheidungen bezüglich der Datenverarbeitung sei die deutsche Tochter nicht involviert. Dessen ungeachtet berichtet der irische Datenschutzbeauftragte von Datenverarbeitungsverträgen zwischen Facebook Ireland Ltd. als verantwortliche Stelle und Facebook UK, Schweden, Italy, Germany, France und Netherlands (Report of Audit vom 21. Dezember 2011, S. 25, abrufbar: http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f.). Was sich hinter diesen Verträgen verbirgt, wurde bisher von Facebook nicht offengelegt.

Bei der in Deutschland bestehenden Niederlassung der Antragstellerin handelt es sich im Verhältnis zur Konzernmutter Facebook Inc. um die inländische Vertreterin nach § 1 Abs. 5 S. 2 BDSG. Voraussetzung für diese Vertretung ist nicht, dass eine besondere Form der Verantwortlichkeit bei der Vertretung besteht. Es genügt, dass diese Erklärungen für die verantwortliche Stelle entgegennimmt und abgibt. Dies ist bei der Facebook Germany GmbH der Fall. Dass Facebook Inc. sowie dessen deutsche Tochter nicht der Pflicht nach § 1 Abs. 5 S. 3 BDSG nachgekommen ist, Angaben über die Vertretung zu machen, ist für die Annahme des Vertretungsverhältnisses unschädlich.

Nach Auffassung des ULD handelt es sich bei der Facebook Germany GmbH zugleich um eine Niederlassung von Facebook Ireland Ltd. im Sinne von § 1 Abs. 5 S. 1 BDSG. Zwar bestreiten sämtliche Facebook-Unternehmen eine Datenverarbeitung durch die deutsche Tochter. Hierauf kommt es aber nicht an. Gemäß Erwägungsgrund 19 der Richtlinie 95/46/EG genügt für die Annahme einer Niederlassung eine „effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung“. Weiter wird klargestellt, dass es nicht auf die Rechtsform ankommt. Eine selbständige GmbH ist also mit erfasst, was auch eindeutig die weiteren Ausführungen des Erwägungsgrundes belegen: „Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zur Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.“ Es ist in der Literatur unbestritten, dass für die Annahme einer Niederlassung eine „nennenswerte Tätigkeit“ genügt, etwa durch eine Ladenfiliale. Sinn und Zweck der Norm ist der Schutz des Betroffenen, weshalb grundsätzlich von einem weiten Niederlassungsbegriff ausgegangen werden muss (Dammann, in: Simitis, Kommentar zum BDSG, 7. Aufl. 2011, § 1 Rn. 203). Zur Eingrenzung des Begriffs der „Niederlassung“ kann auch auf § 42 Abs. 2 GewO zurückgegriffen werden, wonach eine Niederlassung vorhanden ist, wenn der Gewerbetreibende einen zum dauernden Gebrauch eingerichteten, ständig oder in regelmäßiger Wiederkehr von ihm benutzten Raum für den Betrieb seines Gewerbes besitzt (Gola/Schomerus, Kommentar zum BDSG, 11. Aufl. 2012, § 1 Rn 28). Dies trifft auf die Facebook Germany GmbH zu.

Die Annahme der Niederlassung für Facebook Ireland Ltd. in Form der Facebook Germany GmbH führt dazu, dass im Hinblick auf die Verantwortlichkeit nach § 1 Abs. 5 Satz 1 BDSG deutsches Datenschutzrecht anzuwenden ist.

Dieses Ergebnis folgt zudem aus der Anwendung von Art. 4 Abs. 1 a) Satz 2 der Richtlinie 95/46/EG. Demnach gilt: Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält. Facebook Ireland Ltd. muss als verantwortliche Stelle nach Art. 2 d) der Richtlinie 95/46/EG dafür Sorge tragen, dass die Facebook Germany GmbH als deren Niederlassung deutsches Datenschutzrecht und vor allem die datenschutzrechtlichen Bestimmungen des TMG einhält. Nach Maßgabe von Art. 2 d), 4 Abs. 1 a) Satz 2 der Richtlinie 95/46/EG ist sie zudem selbst verpflichtet, deutsches Datenschutzrecht einzuhalten.

4. ULD ist zuständige Datenschutzaufsichtsbehörde bzgl. Facebook Ireland Ltd.

Maßgebend für die Bestimmung der sachlichen Zuständigkeit für den Erlass der Anordnung ist zunächst Art. 28 Abs. 6 Satz 1 der Richtlinie 95/46/EG. Danach ist jede Kontrollstelle im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr nach Art. 28 Abs. 3 der Richtlinie 95/46/EG übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Maßgebend ist aus Sicht des ULD Art. 4 Abs. 1 Satz 2 a) der Richtlinie 95/46/EG. Facebook Ireland Ltd. als aus Datenschutzsicht verantwortliche Stelle muss für Niederlassungen in Deutschland die notwendigen Maßnahmen ergreifen, damit diese die im deutschen Datenschutzrecht festgelegten Verpflichtungen eingehalten werden. Für die Facebook Germany GmbH als Niederlassung der Antragstellerin gelten deutsches Datenschutzrecht und vor allem die Bestimmungen des TMG. Die entsprechenden gesetzlichen Regelungen müssen in Erfüllung der Verpflichtung aus Art. 4 Abs. 1 Satz 2 a) der Richtlinie 95/46/EG von der Antragstellerin beachtet und deren Einhaltung bei der Facebook Germany GmbH überprüft werden.

Die sachliche Zuständigkeit der Antragsgegnerin ergibt sich zudem aus § 38 Abs. 1 BDSG i.V.m. § 1 Abs. 5 Satz 1 BDSG. Nach § 38 Abs. 1 Satz 1 BDSG kontrolliert die Aufsichtsbehörde die Ausführung „dieses Gesetzes“ sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5 BDSG. Damit sind auch Datenerhebungen, -verarbeitungen und -nutzungen erfasst, die verantwortliche Stellen mit Sitz in einem anderen Mitgliedstaat aus Datenschutzsicht zu verantworten haben. Nur auf diese Weise können die allgemeinen Persönlichkeitsrechte der Bürger gewahrt und das entsprechende gesetzgeberische Anliegen in § 1 Abs. 1 BDSG erfüllt werden.

In Bezug auf die Facebook Ireland Ltd. erläuterte der irische Datenschutzbeauftragte in seinem Bericht aus 2011, dass seine Bestätigung der Zuständigkeit für die Facebook Ireland Ltd. nicht dahingehend verstanden werden darf, er habe die ausschließliche Zuständigkeit über Facebooks Aktivitäten in der Europäischen Union (Report of Audit vom 21. Dezember 2011, S. 21). Vielmehr sei der Facebook Ireland Ltd. von September 2010 an eine "verstärkte Verantwortlichkeit" hinsichtlich der Nutzer außerhalb von USA und Kanada zugewiesen worden (Report of Audit vom 21. Dezember 2011, S. 25).

5. § 13 Abs. 6 TMG findet für Facebook Inc./USA Anwendung

a) Anliegen des Richtliniengebers in der Richtlinie 95/46/EG

Entgegen der Darstellung von Facebook beinhaltet § 13 Abs. 6 TMG einen Grundsatz, welcher aus der Richtlinie 95/46/EG ableitbar ist. Die Vorschrift konkretisiert das Ziel der Datenvermeidung, wonach Diensteanbieter im Rahmen der technischen Möglichkeiten den Nutzern anonymes oder pseudonymes Handeln ermöglichen müssen (BT-Drs. 13/7385, S. 23). Das Gebot der Datenvermeidung gilt für den gesamten Nutzungsvorgang. Einer Vollharmonisierung des Datenschutzrechts steht § 13 Abs. 6 TMG nicht entgegen. Vielmehr bestimmt Art. 6 Abs. 1 c) der Richtlinie, dass personenbezogene Daten den Zwecken entsprechen müssen, für die sie erhoben und /oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen. Bereits mit dieser Bestimmung, welche auf die Erforderlichkeit der Datenverarbeitung Bezug nimmt, wird der Grundsatz der Datensparsamkeit konkretisiert. Ferner bestimmt Art. 6 Abs. 1 e) der Richtlinie 95/46/EG, dass personenbezogene Daten nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Aufbewahrung in besonderen „Formen“ zeigt deutlich, dass der Richtliniengeber Maßnahmen der Anonymisierung und der Pseudonymisierung mit in den Regelungsbereich der Richtlinie aufgenommen hat (Dammann/Simitis, Kommentar zur EG-Datenschutzrichtlinie, 1. Aufl., 1997, Art. 6, Erl. 17; Ehmann/Helfrich, Kommentar zur EG-Datenschutzrichtlinie, Art. 6, Rn. 28 ff.). Schließlich kann das Prinzip einer datenvermeidenden Angebots- und Technikgestaltung auf Erwägungsgrund 46 der Richtlinie 95/46/EG gestützt werden, indem die zum Schutz der personenbezogenen Daten geeigneten technischen und organisatorischen Maßnahmen bereits „zum Zeitpunkt der Planung des Verarbeitungssystems“ getroffen werden müssen (Scholz, in: Simitis, Kommentar zum BDSG, 7. Aufl. 2011, § 3a Rn. 17).

b) Anliegen des Richtliniengebers in der Richtlinie 2002/58/EG

Der Grundsatz der Datensparsamkeit hat über den Anwendungsbereich der Richtlinie 95/46/EG hinaus Bedeutung. Nach Erwägungsgrund 9 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation sollen die Mitgliedstaaten bei der Einführung und Weiterentwicklung von neuen Technologien zusammenarbeiten und als Ziele insbesondere die Beschränkung der Verarbeitung personenbezogener Daten auf das erforderliche Mindestmaß und die Verwendung anonymer oder pseudonymer Daten berücksichtigen. Die Ziele, möglichst anonyme oder pseudonyme Daten zu verarbeiten und beim Design der Technik und bei den Verarbeitungsprozessen im Vorwege Lösungen zu entwickeln, um auf einen Personenbezug weitestgehend zu verzichten, entsprechen also gerade dem Anliegen des europäischen Richtliniengebers. Solche Lösungen sollen Gegenstand der Vollharmonisierung des Datenschutzes auf europäischer Ebene sein.

c) Konkretisierung des Drittwirkungsgrundsatzes auf europäischer Ebene

Weiterhin muss Facebook Art. 8 Abs. 1 und 2 der Charta der Grundrechte der EU beachten. Demnach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. § 13 Abs. 6 TMG bildet eine Konkretisierung dieser datenschutzrechtlichen Grundsätze, was im Wege der mittelbaren Drittwirkung von Grundrechten Berücksichtigung finden muss. Das europäische Datenschutzrecht erfasst nach den gerichtlichen Entscheidungen des EuGH auch privatrechtliche Sachverhalte, bei denen keine staatlichen Organe beteiligt sind: In einem Fall hatte eine Privatperson personenbezogene Daten von 18 Arbeitskollegen ohne deren Einwilligung ins Internet gestellt (EuGH, Urteil vom 6. 11. 2003 - C-101/01 – Lindqvist). In einem anderen Fall forderte ein Verband zur Geltendmachung zustehender Urheberrechte von einem Internetanbieter die Herausgabe von Benutzerdaten (EuGH, Urteil vom 29. 1. 2008 - C-275/06 - Promusicae). Der EuGH hat dabei das Datenschutzgrundrecht als europarechtlichen Maßstab für die Beurteilung der entsprechenden Vorabentscheidungsverfahren angewandt. Dies erfolgte letztlich auch deshalb, weil das Datenschutzgrundrecht zur Interpretation der Richtlinie 95/46/EG herangezogen wurde und die Richtlinie private Datenverarbeitung ebenso erfasst wie staatliche (Britz, Das Grundrechtecharta, S. 13 f.; abrufbar unter http://www.datenschutz.hessen.de/download.php?download_ID = 188 Extern). Im Fall „Lindqvist“ entschied der EuGH, dass die von den Mitgliedstaaten zur Gewährleistung des Schutzes personenbezogener Daten getroffenen Maßnahmen sowohl mit den Bestimmungen der Richtlinie 95/46/EG als auch mit deren Ziel im Einklang stehen müssen, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren. Aufgrund dessen entfaltet Art. 8 der Grundrechtecharta über die in ihm enthaltene Schutzpflicht mittelbare Drittwirkung (Streinz/Michl, EuZW 2011, 384, 387). Somit entsteht für nichtöffentliche Stellen eine privatrechtsbindende Wirkung, die sich bei organisatorischen Vorkehrungen zum Datenschutz entfaltet. Der Schutz durch Art. 8 der Grundrechtecharta ist somit bei der Beurteilung der Frage heranzuziehen, welche Maßnahmen der Datensparsamkeit und welche Verarbeitungsformen, wie etwa eine anonyme oder pseudonyme Verarbeitung, zur Wahrung der allgemeinen Persönlichkeitsrechte der Nutzer zu veranlassen sind. § 13 Abs. 6 TMG enthält hierfür konkrete Vorgaben.

d) Zumutbarkeit der Zulassung einer pseudonymen Nutzung

Facebook ist die Zulassung einer pseudonymen Nutzung nach Maßgabe von § 13 Abs. 6 TMG technisch möglich und zumutbar. Ergänzend zu den Ausführungen in den Anordnungen des ULD vom 14. Dezember 2012 soll nochmals ausgeführt werden, dass technische Maßnahmen zur zukünftigen Unterbindung von z. B. urheber- oder strafrechtlichen Verhaltensweisen von Nutzern für Facebook auch dann möglich sind, wenn die Nutzer unter Pseudonym agieren. Das Pseudonym ist in diesem Fall bereits ein Identifikator, um etwaigem Missbrauch des Diensteangebots entgegen zu wirken. Damit sind auch sämtliche Behauptungen von Facebook nicht stichhaltig, wonach bei Verwendung von Pseudonymen unkalkulierbare Haftungsrisiken entstehen würden. Eine Verarbeitung von Echtdaten ist z. B. nicht erforderlich um festzustellen, von welchem Accountinhaber rechtswidrige Eintragungen vorgenommen wurden. Maßnahmen, um einem entsprechenden Missbrauch eines Diensteangebots entgegen zu wirken, könnten unter Ermittlung des Pseudonyms ergriffen werden.

Weiterhin besteht für Facebook die zumutbare Möglichkeit, eine Nutzung des Diensteangebots durch eine Identifikation mit dem elektronischen Personalausweis durchzuführen. Personalausweisinhaber können ihre Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachweisen. Der Personalausweis besitzt die Funktion, eine Identifizierung via Pseudonym zuzulassen, indem ein dienste- und kartenspezifisches Kennzeichen auslesbar ist, § 18 Abs. 3 Nr. 3 Personalausweisgesetz (PAuswG). Diensteanbieter erhalten unter den Voraussetzungen des § 21 Abs. 2 PAuswG auf schriftlichen Antrag die Berechtigung, die für die Wahrnehmung ihrer Aufgaben oder Geschäftszwecke erforderlichen Daten im Wege des elektronischen Identitätsnachweises beim Inhaber des Personalausweises mittels eines Berechtigungszertifikats anzufragen. Facebook ist es zumutbar, beim Bundesverwaltungsamt nach § 28 Abs. 1 der Personalausweisverordnung (PAuswVO) einen Antrag auf Ausstellung einer solchen Berechtigung zu stellen. Bei alleiniger Abrufberechtigung für das dienste- und kartenspezifische Kennzeichen wird im Chip des Personalausweises ein Pseudonym generiert und einem bestimmten Ausweisinhaber zugewiesen. Auf diese Weise ist ein datensparsamer Umgang mit personenbezogenen Daten gewährleistet.

Eine Zusendung von Kopien von Personalausweisen zwecks Kontoentsperrung kann Facebook hingegen nicht verlangen. Die Erhebung der auf dem Personalausweis aufgedruckten Daten ist nicht erforderlich. Dies gilt in besonderer Weise für das Lichtbild und die Zugangsnummer, die nur dem Ausweisinhaber bekannt sein soll, durch ein Kopieren jedoch in Umlauf geraten kann. Selbst das Bundesministerium des Innern fordert, soweit eine Ausweiskopie ausnahmsweise zulässig sein sollte, dass die Daten erhebende Stelle die Betroffenen auf die Notwendigkeit einer Schwärzung hinweisen muss. Unabhängig von der Unzulässigkeit einer Personalausweiskopie im vorliegenden Fall nimmt Facebook keine solche Belehrung gegenüber den Nutzern vor.

6. Ordnungsgemäße Interessenabwägung

Bereits in den Anordnungen des ULD vom 14. Dezember 2012 wurde zur massiven Behinderung der Meinungsäußerungsfreiheit der Nutzer durch die Selektierung „irrelevanter Beiträge“ durch Facebook ausgeführt. Vom Schutzbereich der Meinungsfreiheit umfasst sind zum einen Meinungen, das heißt durch das Element der Stellungnahme und des Dafürhaltens geprägte Äußerungen. Sie fallen stets in den Schutzbereich von Art. 5 Abs. 1 Satz 1 GG, ohne dass es dabei darauf ankäme, ob sie sich als wahr oder unwahr erweisen, ob sie begründet oder grundlos, emotional oder rational sind, oder ob sie als wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt werden (BVerfGE 90, 241, 247; 124, 300, 320). Sie verlieren diesen Schutz auch dann nicht, wenn sie scharf und überzogen geäußert werden (BVerfGE 61, 1, 7 f.; 90, 241, 247; 93, 266, 289). Wer damit rechnen muss, von Facebook als „Troll“ identifiziert zu werden (Schreiben der Facebook Ireland Ltd. vom 6. Dezember 2012, S. 6 f.) und dessen Meinungskundgabe somit über Facebook gesteuert, zugelassen oder erlaubt wird, wird an der Ausübung seiner Meinungsäußerungsfreiheit massiv gehindert. Dies stellt auch einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, wenn die Meinungskundgabe stets von einer Registrierung mit Echtdaten abhängig gemacht wird.

Die anonyme Nutzung ist dem Internet immanent. Der BGH hat in seiner Entscheidung zu Lehrerbewertungsportalen ausgeführt, dass entsprechende Regelungen zur Wahrung der Anonymität auch in den Vorschriften des TMG zu finden sind. Eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, ist nach den Darlegungen des BGH mit Art. 5 Abs. 1 GG nicht vereinbar (BGH Urteil vom 23.06.2009 - VI ZR 196/08, BGH MMR 2009, 608, 612). „Die Verpflichtung, sich namentlich zu einer bestimmten Meinung zu bekennen, würde nicht nur im schulischen Bereich, um den es im Streitfall geht, die Gefahr begründen, dass der Einzelne aus Furcht vor Repressalien oder sonstigen negativen Auswirkungen sich dahingehend entscheidet, seine Meinung nicht zu äußern. Dieser Gefahr der Selbstzensur soll durch das Grundrecht auf freie Meinungsäußerung entgegengewirkt werden“ (BGH Urteil vom 23.6.2009 - VI ZR 196/08; Ballhausen/Roggenkamp, K&R 2008, 403, 406; OLG Hamm, Beschluss vom 03.08.2011, I 3 U 196/10).

Die Meinungsäußerungsfreiheit der Nutzer wird durch Art. 11 Abs. 1 der Grundrechtecharta geschützt. Hiernach hat jede Person das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben. § 13 Abs. 6 TMG bildet insofern eine Konkretisierung der Gewährleistung, ohne Zwang eine bestimmte Meinung äußern zu können. Der Äußernde muss seine Meinung unter Verwendung eines Pseudonyms tätigen können, ohne fürchten zu müssen, von Facebook als Person mit „irrelevanten“ Beiträgen von der Kommunikation ausgeschlossen zu werden. Diese grundrechtliche Gewährleitung muss zwischen Facebook und den Nutzern im Wege der mittelbaren Drittwirkung von Grundrechten beachtet werden.

Die wettbewerbliche Betätigungsfreiheit von Facebook muss hier zurücktreten. Nach Art. 16 der Grundrechtecharta wird die unternehmerische Freiheit nach dem Gemeinschaftsrecht und den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten anerkannt. Nach Art. 52 Abs. 1 Satz 2 der Grundrechtecharta dürfen unter Wahrung des Grundsatzes der Verhältnismäßigkeit Einschränkungen nur dann vorgenommen werden, wenn sie notwendig sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Die Meinungsäußerungsfreiheit der Nutzer sowie das ihnen zustehende allgemeine Persönlichkeitsrecht verdienen gegenüber der wettbewerblichen Betätigungsfreiheit von Facebook Vorrang. Gerade kritische Meinungsäußerungen können von den Nutzern nur dann unter den angelegten Accounts verbreitet werden, wenn diese sicher sein können, dass keine Zensur durch Facebook erfolgt. Dabei muss die Freiheit bestehen, Meinungsäußerungen unter Nutzung eines Pseudonyms in die Kommunikation mit anderen Nutzern einzubringen. Nutzer müssen dabei die Möglichkeit erhalten, gegenüber anderen Nutzern per Pseudonym aufzutreten. Missstände müssen dann offen diskutiert werden können, ohne dass die Nutzer mit Nachteilen rechnen müssen (OLG Hamm, Beschluss vom 03.08.2011, I 3 U 196/10). Facebook hat kein Recht in diese Kommunikation aktiv einzugreifen, indem sie Kontensperrungen vornimmt und Äußerungen unter Pseudonym unmöglich macht. Weiterhin hat Facebook nicht die Befugnis, eine Kommunikation der Nutzer von vornherein ohne Ausnahme unter Offenbarung ihrer Identität zu fordern. Die Ermöglichung einer Kommunikation unter Pseudonym entspricht auch den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen. Dabei ist die Meinungsfreiheit nicht auf die Äußerung von Meinungen beschränkt, sondern schließt nach Art. 10 Abs. 1 Satz 2 der EMRK und Art. 11 Abs. 1 Satz 1 der Grundrechtecharta im Sinne einer Kommunikationsfreiheit ausdrücklich die Freiheit zum Empfang und zur Mitteilung von Nachrichten oder Ideen ein. Dieses Recht wird durch eine Kontensperrung massiv behindert. Der EGMR betont in ständiger Rechtsprechung, dass die Freiheit der Meinungsäußerung nicht nur für Informationen oder Ideen gilt, die Zustimmung erfahren oder die als harmlos oder unerheblich betrachtet werden, sondern auch für sämtliche Informationen und Ideen, die den Staat oder einen Bereich der Bevölkerung beleidigen, aus der Fassung bringen oder stören (EuGH, Schlussantrag des Generalanwalts v. 08.05.2008, Rechtssache C-73/07).

Eine Missbrauchskontrolle bleibt Facebook möglich, wenn einzelne Nutzer davon Gebrauch machen, auf dem Facebook-Portal unter Pseudonym aufzutreten. Erhält Facebook Kenntnis davon, dass z. B. ein strafrechtlich relevantes Verhalten von einzelnen Nutzern vorliegt, so wäre der jeweilige Verursacher über das Pseudonym zu ermitteln und Maßnahmen gegen einen Missbrauch können ergriffen werden. Das Angebot an die Nutzer, eine Registrierung unter Pseudonym vorzunehmen, ist Facebook zumutbar, zumal über die Funktion des elektronischen Personalausweises neue Möglichkeiten einer Identifizierung bestehen. Der Gesetzgeber hat die Möglichkeit einer Verwendung des elektronischen Identitätsnachweises z. B. auch für Kreditinstitute geregelt, wodurch ein besonderes sparsamer Umgang mit personenbezogenen Daten erfolgen kann, vgl. §§ 6 Abs. 2 Nr. 2 Satz 1 c), 8 Abs. 1 Satz 6 PAuswG.

Weiterhin liegt ein Verstoß gegen Art. 8 Abs. 1 und 2 der Grundrechtecharta vor. Nach Art. 8 Abs. 2 Satz 2 der Grundrechtecharta dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten Grundlage verarbeitet werden. Eine Einwilligung der Nutzer liegt nicht vor, da diese voraussetzen würde, dass die Nutzer eine freie Entscheidung über die Verwendung ihrer Echtdaten bei der Registrierung fällen können. Dies ist durch den von der Facebook ausgeübten Zwang auf die Nutzer, sich mit Echtdaten zu registrieren, nicht gegeben. Insofern haben die betroffenen Nutzer keine Einwilligung nach Maßgabe von Art. 7 a) der Richtlinie 95/46/EG, Art. 8 Abs. 2 Satz 1 der Grundrechtecharta erteilt. Die Eingabe der Echtdaten kann auch nicht auf eine gesetzliche Grundlage gestützt werden. Die Verarbeitung der Daten ist nicht für die Erfüllung eines Vertrags erforderlich, Art. 7 b) der Richtlinie 95/46/EG. Es bestehen auf Seiten von Facebook keine legitimen Zwecke, ohne Ausnahme den Gebrauch von Pseudonymen zu verbieten. Dabei ist auch zu berücksichtigen, dass keine Vertragspflichten der Nutzer gegenüber Facebook bestehen, die eine Übermittlung personenbezogener Daten zwingend notwendig macht, wie dies etwa bei einem Kaufvertrag bezüglich der Angabe der Rechnungsadresse denkbar wäre. Eine wie von Facebook vorgetragene „Klarnamenpolitik“ muss im Rahmen der ihr zustehenden wirtschaftlichen Betätigungsfreiheit hinter dem Schutz der allgemeinen Persönlichkeitsrechte der Nutzer zurückstehen.

Vor diesem Hintergrund ist die Anordnung der sofortigen Vollziehung bezüglich der Entsperrung von Nutzerkonten rechtmäßig. Es besteht ein hohes öffentliches Interesse an der Ermöglichung eines freien Meinungsaustausches und der Wahrung der Privatsphäre. Eine Kommunikation, die Nutzer gesperrter Konten bisher über das Portal von Facebook geführt haben, ist diesen nicht mehr zugänglich. Hierdurch wird Meinungsbildung und -äußerung gezielt verhindert. Ein Zwang zur Offenbarung der Identität beschränkt in unzulässiger Weise die allgemeinen Persönlichkeitsrechte der Nutzer. Eine Zensur von Meinungen durch Facebook verstößt eklatant gegen die Meinungsäußerungsfreiheit. Da Facebook nun zu einer Sperrung von Nutzerkonten übergegangen ist, um die Herausgabe von Echtdaten und ungeschwärzten Kopien von Personalausweiskopien auf rechtswidrige Weise zu erzwingen und den Nutzern keine Wahlmöglichkeiten eingeräumt werden, um auf eigene Kommunikationsinhalte zurückzugreifen, besteht ein öffentliches Vollzugsinteresse.

Dienstag, 1. Januar 2013

Facebook, der Datenschutz und die öffentliche Sicherheit

Thilo Weichert: Facebook, der Datenschutz und die öffentliche Sicherheit

Sonderdruck aus Möllers/van Ooyen (Hrsg.),
Jahrbuch Öffentliche Sicherheit 2012/2013

"Facebook, der Datenschutz und die öffentliche Sicherheit" vollständig lesen