ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der überarbeiteten Webseite unter www.datenschutzzentrum.de.

ULDPostfach 71 1624171 Kiel

Internationales Einschreiben mit Rückschein
     
Facebook Inc.
Chairman and CEO Marc Zuckerberg
1601 South California Avenue
Palo Alto, CA 94304
     
United States

 

Holstenstraße 98
24103 Kiel
Tel.: 0431 988-1200
Fax: 0431 988-1223
Ansprechpartner/in:
Dr. Thilo Weichert
Durchwahl: 988-1200
Aktenzeichen:
LD4-61.41/12.002

 

Kiel, 14. Dezember 2012

 

Anordnung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG)
Sperrung von Nutzerkonten und Aufforderung an Nutzer zur Eingabe von Echtdaten durch Facebook

Sehr geehrter Herr Zuckerberg,

das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als zuständige Aufsichtsbehörde für die Einhaltung des Datenschutzes im nicht öffentlichen Bereich (§§ 39 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) in Verbindung mit § 38 Abs. 1 BDSG) ordnet hiermit gemäß § 38 Abs. 5 Satz 1 BDSG an:

I. Die Facebook Inc. wird nach § 38 Abs. 5 Satz 1 BDSG als verantwortliche Stelle verpflichtet, für natürliche Personen, die in Schleswig-Holstein Telemedien unter www.facebook.com nutzen möchten, auch unter Einwirkung auf die Facebook Ltd., als mitverantwortliche Stelle durch die Einrichtung eines technischen Verfahrens Folgendes sicherzustellen:

1. Es muss die Wahlmöglichkeit bestehen, im Rahmen der Registrierung unter www.facebook.com anstelle der Eingabe von Echtdaten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) sich unter Eingabe eines Pseudonyms zu registrieren.

2. Konten unter www.facebook.com registrierter Personen, die ausschließlich und allein wegen des Grundes der Nichtangabe oder der nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt sind, müssen entsperrt werden.

3. Unter www.facebook.com muss vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms unterrichtet werden.

II. Die sofortige Vollziehung der unter I. Nr. 2 getroffenen Regelung wird angeordnet.

III. Sollte die Facebook Inc. den unter I. getroffenen Regelungen nicht innerhalb von zwei Wochen nach Zustellung dieses Bescheides nachkommen, wird gegen sie ein Zwangsgeld in Höhe von 20.000 Euro verhängt.

 

Begründung

A.

Facebook Inc. bietet natürlichen Personen in Schleswig-Holstein unter www.facebook.com nach vorheriger Registrierung verschiedene Dienste an. Zur Registrierung fordert Facebook Inc. folgende Angaben: Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum. In den Nutzungsbedingungen von Facebook vom 8. Juni 2012 wird unter „4. Registrierung und Sicherheit der Konten“ wie folgt ausgeführt: „Facebook-Nutzer geben ihre wahren Namen und Daten an und wir benötigen deine Hilfe, damit dies so bleibt.“ Nutzer, welche nach Abschluss des Anmeldeverfahrens ein Konto erhielten und bei der Registrierung nicht ihre korrekten Vornamen und Nachnamen angegeben haben, werden von Facebook Inc. über die vorübergehende Sperrung ihres Kontos unterrichtet. Facebook Inc. macht die Entsperrung des Kontos davon abhängig, dass der Nutzer die Kopie seines amtlichen Lichtbildausweises zwecks Identifizierung zur Verfügung stellt. Soweit sich die betroffenen Personen bei ihren Nutzerkonten anmelden möchten, wird unter www.facebook.com folgender Text angezeigt:

„Wir haben dein Konto vorübergehend gesperrt, weil wir festgestellt haben, dass dein Profil nicht deinen richtigen Namen enthält. Bitte teile uns folgende Informationen mit, damit wir deinen echten Namen bestätigen und dein Konto entsprechend aktualisieren können. Facebook ist eine Gemeinschaft, in der Menschen mithilfe ihrer wahren Identitäten miteinander in Verbindung treten und Inhalte teilen können. Wir können Dir erst dann helfen, wenn Du Deinen richtigen, vollständigen Namen unten eingegeben hast. Dazu gehören nicht:

Mehr über unsere Namensrichtlinien.

Sobald wir diese Informationen erhalten haben, werden wir den Status des Kontos neu bewerten.

Vorname, z. B. Max
Zweiter Vorname, Optional
Nachname, z. B. Mustermann

Bitte lade eine Kopie deines amtlichen Lichtbildausweises hoch, damit wir bestätigen können, dass dies dein echter Name ist. In unseren Ausweis-Richtlinien erfährst du mehr darüber, warum wir eine Kopie deines Ausweises benötigen und welche Arten von Ausweisen wir akzeptieren.“

B.

a) Für die von dem Unternehmen Facebook Inc. angebotenen Dienste, welche von Nutzern in Deutschland in Anspruch genommen werden, findet nach § 1 Abs. 5 Satz 2 BDSG, Art. 4 Abs. 1 c) der EU-Richtlinie 95/46/EG deutsches Datenschutzrecht Anwendung. Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Zusammenhang mit der Sperrung von Nutzerkonten und der Aufforderung an die Nutzer zur Eingabe von Echtdaten in ihren Profilen ist Facebook Inc. verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG, Art. 2 d) der EU-Richtlinie 95/46/EG und kooperiert dabei mit der Facebook Ltd., Ireland. Weiterhin ist das Unternehmen Facebook Inc. gemäß § 1 Abs. 5 Satz 2 BDSG i.V.m. § 3 Abs. 3 Nr. 4 Telemediengesetz (TMG) verpflichtet, die Bestimmungen des TMG einzuhalten.

Gemäß § 3 Abs. 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die Regelung setzt Art. 2 d) der Richtlinie 95/46/EG um, wonach für die Verarbeitung Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach dieser Maßgabe ist Facebook Inc. verantwortliche Stelle. Dem steht auch die Behauptung im Schreiben der Facebook Inc. vom 18. Oktober 2012, Facebook Ireland Limited (Facebook Ltd.) sei alleinige verantwortliche Stelle im Sinne der Richtlinie 95/46/EG betreffend die Verarbeitung von personenbezogenen Daten der europäischen Nutzer, nicht entgegen. Für die Beurteilung der Verantwortlichkeit aus datenschutzrechtlicher Sicht ist entscheidend, wer objektiv über die Daten bestimmen kann und wer die Entscheidungsgewalt über die Zwecke und Mittel der Datenverarbeitung hat. Facebook Inc. bestimmt die Geschäftspolitik und in diesem Zusammenhang über die Zwecke (z.B. Werbung, bedarfsgerechte Gestaltung von Telemedien), zu welchen die personenbezogenen Daten der Nutzer verarbeitet werden. Ferner bestimmt Facebook Inc. im Rahmen dieser geschäftspolitischen über die wesentlichen Mittel der Datenverarbeitung, d.h. über die technischen Methoden der Verarbeitung und z.B. auch über die Fragen, welche Daten verarbeitet werden oder wann eine Löschung erfolgt.

In ihrem Schreiben vom 18. Oktober 2012 bat die Facebook Inc. darum, „alle Anfragen betreffend das europäische Angebot von Facebook an die Facebook Ltd.“ zu richten. Eine weitere Stellungnahme wurde nicht abgegeben. Unabhängig vom vorliegenden Verfahren wurde in dem unter dem Aktenzeichen LD4-61.41/12.004 geführten Verfahren die Facebook Ltd. mit Schreiben vom 24. Oktober 2012 zur Stellungnahme aufgefordert und unter textlicher Hervorhebung darum gebeten, etwaige vorhandene Unterlagen vorzulegen, welche die Behauptung, aus datenschutzrechtlicher Sicht sei nur die Facebook Ltd. verantwortliche Stelle, stützen. In einem Schreiben vom 6. Dezember 2012 führte Facebook Ltd. aus, Facebook Ltd. setze Facebook Inc. als Auftragsdatenverarbeiter ein. Zur Untermauerung dieser Behauptung wurde von der Facebook Ltd. die Übersendung von Unterlagen in Aussicht gestellt, sofern das ULD eine „vertrauliche Behandlung sicherstellt“. Eine solche vertrauliche Behandlung im Rahmen der gesetzlichen Regelungen ist selbstverständlich und muss nicht im Einzelfall untersucht werden. Eine darüber hinausgehende Verabredung oder Zusicherung von Vertraulichkeit, die die gesetzlichen Auskunftspflichten des ULD einschränkt, ist selbstverständlich unzulässig.

Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit hat in einem Verfahren (Aktenzeichen D32 / 32.02-62/5) gegen die Facebook Inc. Unterlagen zu einer behaupteten alleinigen Verantwortlichkeit der Facebook Ltd. geprüft und im Ergebnis festgestellt, dass diese eine Auftragsdatenverarbeitung durch die Facebook Inc. nicht im Ansatz stützen (Schreiben v. 21. September 2012, S. 18 ff., abrufbar unter: www.datenschutz-hamburg.de/uploads/media/Anordnung_gegen_Facebook_2012-09-21.pdf.). Eine rein vertragliche Zuweisung der Funktion als Auftragsverarbeiter würde zudem nicht ausreichen, da der objektive Sachverhalt bezüglich der Datenverarbeitung ausschlaggebend ist.

Im Schreiben der Facebook Ltd. vom 6. Dezember 2012 wird zudem pauschal behauptet, „Facebook Ltd. habe „die Organisation, die notwendige Struktur und das Personal, um aktiv Richtlinien und Methoden für den Umgang mit personenbezogenen Daten von europäischen Nutzern zu entwickeln und zu implementieren.“ Facebook Ltd. treffe „auch tatsächlich die relevanten Entscheidungen betreffend der Behandlung der Daten europäischer Nutzer“ und entwickle „spezifisch europäische Vorgehensweisen.“ Verwiesen wird zudem auf den kürzlich für die europäischen Datenschutzbehörden eingerichteten Kommunikationskanal per E-Mail, der von Mitarbeitern der Facebook Ltd. betreut werde. Diese Ausführungen können die Annahme einer alleinigen Verantwortlichkeit der Facebook Ltd. nicht stützen. Es fehlen bereits Darlegungen dafür, wie einzelne Weisungen von der Facebook Inc. umgesetzt werden oder wie Kontrollprozesse gestaltet sind. Es sind keine Anhaltspunkte vorhanden, dass und wie die Facebook Ltd. die Erbringung von Dienstleistungen durch die Facebook Inc. überwacht. Weiterhin ist nicht erkennbar, dass die Facebook Ltd. gegenüber der Facebook Inc. eine stetige sorgfältige Beaufsichtigung wahrnimmt, mit welcher sichergestellt werden soll, dass die Facebook Inc. Weisungen und Vertragsbedingungen genau beachtet und die Facebook Ltd. die vollständige, alleinige Kontrolle über die Verarbeitungsvorgänge ausübt. Für eine damit verbundene geschäftspolitische Unterordnung der Konzernmutter (Facebook Inc.) unter die Tochtergesellschaft (Facebook Ltd.) fehlen jegliche Anhaltspunkte. Weiterhin wurden keine exemplarischen Einzelweisungen der Facebook Ltd. zur Datenverarbeitung vorgelegt, welche die Facebook Inc. umsetzen und beachten müsste.

b) Mit den angebotenen Diensten hält das Unternehmen Facebook Inc. eigene und fremde Telemedien zur Nutzung bereit und wird dadurch gegenüber den Nutzern als Diensteanbieter nach § 2 Nr. 1 TMG tätig. Gemäß § 13 Abs. 6 TMG hat der Diensteanbieter die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist nach § 13 Abs. 6 Satz 2 TMG über diese Möglichkeit zu informieren. Das Unternehmen Facebook Inc. verstößt mit dem angebotenen Registrierungsprozess unter www.facebook.com, bei welchem Echtdaten eingegeben werden müssen, sowie mit der Forderung, eine Kontoentsperrung erst nach Eingabe der Echtdaten vorzunehmen, gegen § 13 Abs. 6 TMG. Es ist dem Unternehmen Facebook Inc. technisch möglich und tatsächlich zumutbar, eine pseudonyme Nutzung von Telemedien zu ermöglichen.

c) Die angeordneten Maßnahmen sind geeignet. Sie bezwecken den Schutz des Rechts auf informationelle Selbstbestimmung von natürlichen Personen, welche Dienstangebote der Facebook Inc. in Anspruch nehmen möchten. Mit der Anordnung, durch ein technisches Verfahren eine Wahlmöglichkeit zu schaffen, Anmeldungen auch unter Pseudonym zuzulassen, wird die Einhaltung des Gebots der Datensparsamkeit und Datenvermeidung nach § 13 Abs. 6 TMG sowie § 3a BDSG durchgesetzt (BT-Drs. 13/7385, S. 23). Das Gebot der Datensparsamkeit und der Datenvermeidung knüpft dabei an den datenschutzrechtlichen Grundsatz der Erforderlichkeit an, der das Erheben, Verarbeiten und Nutzen personenbezogener Daten auf den für die Erreichung eines gesetzlich bestimmten oder vereinbarten Zwecks notwendigen Umfang begrenzt. Von der verantwortlichen Stelle wird eine aktive Gestaltung ihrer technischen und organisatorischen Verfahren in der Form verlangt, dass diese möglichst wenig personenbezogene Daten verarbeiten (Scholz, in: Simitis, BDSG, 7. Auflage 2011, § 3a, Rn 33). Zur Umsetzung dieser Grundsätze muss den Nutzern die Wahlmöglichkeit verbleiben, bei der Registrierung Echtdaten einzugeben oder nicht. Eine Unterrichtung vor dem Registrierungsprozess wahrt die Entscheidungsfreiheit der Nutzer und ist geeignet, deren Recht auf informationelle Selbstbestimmung zu schützen. Die Anordnung der Kontenentsperrung ist weiterhin geeignet, dass eine rechtswidrige Zugangsschranke für den Zugriff auf Nutzerdaten beseitigt wird.

d) Die angeordneten Maßnahmen sind erforderlich. Im Rahmen der rechtlich zulässigen Anordnungen ist kein milderes Mittel ersichtlich, welches einen gleichwertigen Schutz bewirken könnte. Die Ermöglichung einer pseudonymen Nutzung und eine Unterrichtung über die Möglichkeit einer Anmeldung mit Echtdaten oder per Pseudonym durch Einrichtung eines technischen Verfahrens sind alternativlos. Ebenso sind bezüglich der angeordneten Kontenentsperrung keine milderen Mittel ersichtlich.

e) Die angeordneten Maßnahmen sind angemessen. Sie greifen nur insoweit in die Rechte des Adressaten der Anordnung ein, wie dies für das angestrebte Ziel unerlässlich ist.

Facebook Inc. hat in seiner Stellungnahme vom 18. Oktober 2012 jegliche datenschutzrechtliche Verantwortlichkeit von sich gewiesen, die Anwendbarkeit der Vorschriften des Telemediengesetzes (TMG) verneint und im Übrigen auf die Facebook Ltd. verwiesen. Die Facebook Ltd. hat in ihrem Schreiben vom 6. Dezember 2012 zwar nur für das unter dem Aktenzeichen LD4-61.41/12.004 parallel laufende Verfahren Stellung genommen. Allerdings werden dort allgemeine Erwägungen getroffen, die den gesamten Facebook-Konzern einschließen, so dass diese Ausführungen vor allem in die Prüfung der Angemessenheit einfließen.

(1) Facebook sieht demnach seine „Kultur der wahren Identität“ in Gefahr. Das Unternehmen sei bemüht, die sozialen Normen der realen Welt in einer Online-Umgebung abzubilden, indem besondere Betonung auf die menschlichen Qualitäten von Kommunikation und gemeinsamer Nutzung gelegt werde. Beklagt wird die Einstellung von „Troll-Beiträgen“. Damit seien Personen gemeint, die „in Online-Communities wie z.B. in Online-Diskussionsforen, Chat-Räumen oder Blogs aufrührerische, irrelevante oder nicht zum Thema gehörende Beiträge schreiben und damit in erster Linie das Ziel verfolgen, andere Nutzer zu einer emotionalen Antwort zu bewegen oder die normale themenbezogene Diskussion auf sonstige Weise zu stören.“

Den Nutzern von Facebook steht nach Art.1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG ein Recht auf Wahrung ihres allgemeinen Persönlichkeitsrechts zu, aus welchem ein Recht auf informationelle Selbstbestimmung resultiert. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (BVerfGE 65, 1, 43). Das BVerfG hat ferner ausgeführt, dass derjenige in seiner Freiheit wesentlich gehemmt werden kann, aus eigener Selbstbestimmung zu planen und zu entscheiden, wer nicht mit Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist (BVerfGE 65, 1, 43).

Dem Recht auf informationelle Selbstbestimmung steht das Recht des Facebook-Konzerns gegenüber, sich wettbewerblich zu betätigen. Aus verfassungsrechtlicher Sicht muss ein verhältnismäßiger Ausgleich der widerstreitenden Interessen ermittelt werden. Dabei ist von Bedeutung, dass die Facebook Inc. nicht etwa die Erfüllung karitativer Zwecke anstrebt und im Rahmen einer weltweiten „Mission“ (so im Schreiben vom 6. Dezember 2012, S. 6) lediglich die Kommunikation unter den Menschen verbessern möchte. Facebook Inc. ist ein US-börsennotiertes Unternehmen, welches mit Gewinnerzielungsabsicht tätig wird und sein Geschäftsmodell über diverse Werbungs- und Marketingmaßnahmen betreibt. Daten zu Nutzeraktivitäten werden detailliert ausgewertet und für diese Werbe- und Marketingzwecke verarbeitet und genutzt. Nach den Ausführungen in den Datenverwendungsrichtlinien unter www.facebook.com (letzte Aktualisierung: 8. Juni 2012) stellt Facebook seinen Geschäftspartnern Tools bereit, um anhand bestimmter Nutzerinformationen (z.B. Standort, Demographie, Vorlieben, Schlüsselwörter, Alter) gezielt Werbung zu schalten. Facebook nutzt insbesondere Informationen wie z.B. die Registrierungsdaten der Nutzer (Vorname, Nachname, Geburtsdatum, Geschlecht, E-Mail), Cookies und IP-Adressen, um Werbeanzeigen bereitzustellen. Insbesondere über den realen Namen eröffnen sich den Unternehmen Möglichkeiten der Verknüpfung von Angaben aus der analogen Welt mit Daten in der Internetumgebung. Der wettbewerbsrechtlichen Betätigungsfreiheit stehen die Rechte der einzelnen Nutzer entgegen, gerade nicht identifiziert zu werden und dass eine Erstellung von Nutzerprofilen für Werbe- und Marketingzwecke unterbleibt.

Ein weiteres Recht der Nutzer ist die Ausübung der verfassungsrechtlich gewährleisteten Meinungsäußerungsfreiheit. Vom Schutzbereich der Meinungsfreiheit umfasst sind zum einen Meinungen, das heißt durch das Element der Stellungnahme und des Dafürhaltens geprägte Äußerungen. Sie fallen stets in den Schutzbereich von Art. 5 Abs. 1 Satz 1 GG, ohne dass es dabei darauf ankäme, ob sie sich als wahr oder unwahr erweisen, ob sie begründet oder grundlos, emotional oder rational sind oder ob sie als wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt werden (BVerfGE 90, 241, 247; 124, 300, 320). Sie verlieren diesen Schutz auch dann nicht, wenn sie scharf und überzogen geäußert werden (BVerfGE 61, 1, 7 f.; 90, 241, 247; 93, 266, 289). Wer damit rechnen muss, als „Troll“ identifiziert zu werden, und dessen Meinungskundgabe somit über Facebook gesteuert, zugelassen oder erlaubt wird, wird an der Ausübung seiner Meinungsäußerungsfreiheit massiv gehindert. Es stellt einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, wenn die Meinungskundgabe stets von einer Registrierung mit Echtdaten abhängig gemacht wird. Die wettbewerbliche Betätigungsfreiheit von Facebook muss hier zurücktreten. Dies ist von § 13 Abs. 6 TMG gedeckt. Facebook hat nicht die Befugnis, von Art. 5 Abs. 1 Satz 1 GG geschützte Äußerungen zu unterbinden, soweit diese „aufrührerische, irrelevante oder nicht zum Thema gehörenden Beiträge“ enthalten.

(2) Facebook führt im Schreiben vom 6. Dezember 2012 aus, dass die Nutzer „wollen und erwarten, dass ihre Verbindungen auf Facebook authentisch sind.“ Schließlich würde die pseudonyme Nutzung von Facebook die „Integrität des Umfelds für alle Nutzer destabilisieren und das Vertrauen untergraben, das für den Austausch auf Facebook erforderlich ist.“ Es mag sein, dass bestimmte Nutzer im Rahmen der Registrierung unter www.facebook.com ihre Echtdaten eingeben und sich wünschen, dass dies auch andere Personen tun. Jeder Nutzer muss nach Maßgabe von § 13 Abs. 6 TMG aber die Wahlmöglichkeit haben, anstelle der Eingabe der Echtdaten mit einem Pseudonym zu arbeiten. Gerade hierin besteht der Schutz des allgemeinen Persönlichkeitsrechts solcher Nutzer, die ihre Identität nicht preisgeben wollen. Es ist zu beachten, dass der Facebook-Konzern mit seinen Diensteangeboten eine Monopolstellung einnimmt und gerade die Kommunikation unter Minderjährigen in vielen Bereichen (Schule, Freizeit) nur noch über das Facebook-Portal abgewickelt wird. Eine Wahrung der Privatsphäre ist nicht mehr möglich, wenn Teilnahmezwänge entstehen und dies mit der ausnahmslosen Preisgabe der Echtdaten verbunden ist.

(3) Weiterhin schildert Facebook im Schreiben vom 6. Dezember 2012, dass das „Erfordernis der wahren Identität untrennbar mit der Nutzersicherheit auf der Facebook-Plattform verbunden und wesentlicher Bestandteil der implementierten Sicherheitsmaßnahmen“ sei. Datenschutz, Sicherheit und Integrität der Facebook-Plattform wären ohne derartige Maßnahmen wesentlich beeinträchtigt. Schließlich wird behauptet, dass die große Mehrheit der von Facebook deaktivierten Konten mit „Spamming, Verbreitung von Malware, Täuschung von Nutzern zur Offenlegung von Finanzdaten, ’Trolling’, Cybermobbing, Verbreitung von Hassreden, Austausch von Kinderpornographie und Mogeleien bei Spielen“ im Zusammenhang gestanden hätten.

Es wird bereits nicht deutlich, welche implementierten Sicherheitsmaßnahmen durch die Ermöglichung einer Anmeldung per Pseudonym beeinträchtigt würden. Maßnahmen der Datensicherheit nach § 9 BDSG i.V.m. der Anlage zum BDSG (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie die Wahrung des Trennungsgebots und der Einsatz von Verschlüsselungstechnik nach dem Stand der Technik) können auch bei der Verwendung von Pseudonymen durchgeführt werden. Die behaupteten Gründe, weswegen in der Vielzahl der Fälle eine Kontensperrung erfolgt sein soll, widersprechen den Ausführungen gegenüber den Nutzern, nachdem bei diesen die Konten gesperrt wurden: „Facebook ist eine Gemeinschaft, in der Menschen mithilfe ihrer wahren Identitäten miteinander in Verbindung treten und Inhalte teilen können. Wir können Dir erst dann helfen, wenn Du Deinen richtigen, vollständigen Namen unten eingegeben hast.“ Diese Botschaft wurde an sämtliche Nutzer gerichtet, welche nicht oder nicht vollständig ihre Echtdaten bei der Registrierung angegeben haben.

Technische Maßnahmen zur künftigen Unterbindung von z.B. urheber- oder strafrechtlichen Verhaltensweisen von Nutzern wären für Diensteanbieter, die hiervon Kenntnis erhalten, zudem auch dann möglich, wenn der mutmaßliche Täter unter Pseudonym agiert. Hierzu müssen nicht die Echtdaten vorliegen. Weiterhin erfolgen, wie bereits ausgeführt, Kontensperrungen auch dann, wenn die nicht unter den Echtdaten kommunizierenden Nutzer von Facebook als „Troll“ qualifiziert werden, was deren Meinungsäußerungsfreiheit eklatant beeinträchtigt.

(4) Vor diesem Hintergrund sind die in dieser Verfügung getroffenen Maßnahmen verhältnismäßig. Die Ermöglichung einer Registrierung unter Pseudonym wahrt die Persönlichkeitsrechte der Nutzer. Facebook steht das Recht zur wettbewerblichen Betätigung (Art. 12, 14 GG), welches jedoch gegenüber den Persönlichkeitsrechten der Nutzer nicht überwiegt. Facebook Inc. kann die Pflichten eines Diensteanbieters, gerade mit Blick auf die §§ 7 ff. TMG, insbesondere nach § 10 TMG auch dann erfüllen, wenn die Nutzer nicht ihre Echtdaten angegeben haben. Erhält Facebook im Einzelfall Kenntnis davon, dass ein Nutzer bei Nutzung des Diensteangebots gegen bestehende Rechtsnormen verstößt, was z.B. bei strafrechtlichen Verfehlungen der Fall sein kann, so könnten auch ohne Ermittlung der Echtdaten technische Maßnahmen zur Unterbindung solcher Verstöße ergriffen werden.

Folglich müssen die Nutzungswilligen vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form sowie in deutscher Sprache über die Möglichkeit der Registrierung unter Angabe eines Pseudonyms unterrichtet werden. Die Maßnahme der Aufforderung zur Entsperrung der Konten registrierter Nutzer, welche bei der Registrierung nicht oder nicht vollständig ihre Echtdaten angegeben haben, greift verhältnismäßig in das Facebook zustehende Recht auf gewerbliche Betätigung ein, indem nur diejenigen Nutzerkonten erfasst werden, die allein wegen der Nutzung von Pseudonymen gesperrt wurden. Getroffene technische Maßnahmen von Facebook Inc. im Falle, dass Facebook Inc. Kenntnis von einem Nutzerverhalten erlangt, welches gegen Rechtsvorschriften verstößt (z.B. straf-, urheber- oder wettbewerbsrechtliche Bestimmungen), bleiben von dieser Verfügung unberührt. Das Anbieten einer Nutzung unter Pseudonym ist der Facebook Inc. in diesem Zusammenhang technisch möglich und zumutbar. Das Unternehmen verfügt über die entsprechenden technischen und wirtschaftlichen Möglichkeiten.

 

C.

Die sofortige Vollziehung der Anordnung unter I. Nr. 2 des Tenors war anzuordnen, weil dies zum Schutze des Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung der betroffenen registrierten Personen erforderlich ist. Durch die Sperrung der Konten registrierter Nutzer können diese nicht mehr auf die von ihnen eingegebenen und verwalteten Informationen zugreifen und mit anderen Nutzern kommunizieren. Eine besondere Dringlichkeit besteht weiterhin, da zahlreiche Nutzer ihre Facebook-Konten auch für geschäftliche Zwecke nutzen und diese somit an ihrer Berufsausübung gehindert sind. Dies greift in deren Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG ein. Indem Facebook Inc. zur Identifizierung der Nutzer die Übersendung der Kopie des Personalausweises fordert, werden zudem die Anforderungen nach § 20 Abs. 2 des Personalausweisgesetzes nicht gewahrt. Nach der Bestimmung darf der Ausweis außer zum elektronischen Identitätsnachweis durch öffentliche und nicht-öffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden. Nach der Intention des Gesetzgebers sollen hiervon alle Formen des vorbehaltlosen automatisierten Abrufs, vor allem die Nutzung von Scanntechnik, erfasst sein. Auch eine teilweise Anonymisierung von Ausweiskopien hat die Facebook Inc. nicht in Erwägung gezogen. Die Nutzer gesperrter Konten werden mit der Aufforderung zur Übersendung von Ausweiskopien zwecks Abgleichs der Registrierungsdaten mit den Ausweisdaten damit zu einem Verhalten gezwungen, welches gegen § 20 Abs. 2 Personalausweisgesetz verstößt. Dies führt zu besonderen Beeinträchtigungen der schutzwürdigen Belange von Nutzern. Die Anordnung der sofortigen Vollziehung steht damit auch im öffentlichen Interesse. Dieses öffentliche Interesse am sofortigen Vollzug überwiegt das Interesse von Facebook Inc. an der Wahrung der aufschiebenden Wirkung.

 

D.

Gemäß § 235 Abs. 1 Nr. 1, 236, 237 Abs. 1 LVwG i.V.m. § 38 Abs. 5 Satz 1 und 2 BDSG ist die Androhung von Zwangsgeld zulässig, wenn der Pflichtige angehalten werden soll, eine Handlung vorzunehmen. Andere Zwangsmittel scheiden aus, da sie nicht geeignet sind, den mit der Anordnung angestrebten Erfolg zu bewirken. Die Höhe des angedrohten Zwangsgeldes ist auch verhältnismäßig. Die Kontensperrung betrifft sämtliche natürlichen Personen, die in Schleswig-Holstein Telemedien unter www.facebook.com nutzen möchten und die bei der Registrierung keine Echtdaten angegeben haben. Die fehlenden Hinweise bezüglich der Wahlmöglichkeit, eine Registrierung unter Pseudonym vorzunehmen, und letztlich auch die fehlende Bereitstellung dieser Möglichkeit führen bei den betroffenen Nutzern zu erheblichen Beeinträchtigungen von deren Persönlichkeitsrechten, da diese nicht selbstbestimmt über die Verarbeitung ihrer personenbezogenen Daten entscheiden können.

Das angedrohte Zwangsgeld ist geeignet, den Adressaten der Anordnung dazu anzuhalten, die angeordnete Kontenentsperrung, die Ermöglichung einer Registrierung unter Pseudonym und die Unterrichtung über die Wahlmöglichkeit fristgerecht vorzunehmen. In Anbetracht der unmittelbar bevorstehenden Gefährdung des Rechts auf informationelle Selbstbestimmung von weiteren Nutzern in Schleswig-Holstein, die für die Zukunft eine Registrierung unter www.facebook.de beabsichtigen, und im Hinblick auf die registrierten Nutzer in Schleswig-Holstein, deren Konten von der Facebook Inc. infolge Nichtangabe/nicht vollständiger Angabe der Echtdaten gesperrt wurden, ist die Höhe des Zwangsgeldes auch erforderlich und angemessen.

 

Rechtsbehelfsbelehrung

Gegen I. Nr. 1 und Nr. 3 dieser Anordnung kann innerhalb eines Monats nach Bekanntgabe Widerspruch beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, Holstenstraße 98, 24103 Kiel, erhoben werden. Der Widerspruch ist schriftlich oder zur Niederschrift einzulegen.

Wir weisen Sie darauf hin, dass ein Widerspruch gemäß § 80 Abs. 2 Nr. 4 VwGO keine aufschiebende Wirkung hat, soweit er sich gegen I. Nr. 2 der Anordnung richtet.

Der Widerspruch gegen III. der Anordnung hat nach § 248 Abs. 1 Satz 2 LVwG kraft Gesetzes keine aufschiebende Wirkung.

Gegen I. Nr. 2 dieser Anordnung kann beim Verwaltungsgericht Schleswig, Brockdorff-Rantzau-Straße 13, 24837 Schleswig, ein Antrag auf Wiederherstellung der aufschiebenden Wirkung gestellt werden.

Zusätzlich weise ich Sie darauf hin, dass die Zuwiderhandlung gegen eine vollziehbare Anordnung nach § 38 Abs. 5 Satz 1 BDSG gemäß § 43 Abs. 1 Nr. 11, Abs. 3 Satz 1 BDSG mit einem Bußgeld in Höhe von bis zu 50.000 Euro belegt werden kann.

 

gez.

Dr. Thilo Weichert

 

Anlage: Anordnung gegenüber der Facebook Ltd.