Landeszentrum Datenschutz (ULD) unterliegt vor dem Verwaltungsgericht Schleswig-Holstein – Betreiber von Facebook Seiten NICHT für die Datenverarbeitung der Plattform verantwortlich

Soeben hat das Verwaltungsgericht Schleswig-Holstein in einem richtungsweisenden Urteil eine datenschutzrechtliche Verantwortlichkeit der Betreiber von Facebookseiten für die Datenverarbeitung auf der Plattform Facebook verneint.

Die hohe Bedeutung dieser Entscheidung resultiert nicht zuletzt daraus, dass die Annahme einer (Mit-)Verantwortlichkeit von Unternehmen und/oder öffentlichen Stellen für die durch Facebook praktizierte Datenverarbeitung andernfalls einige weitergehende Verpflichtungen der Betreiber auslösen würde, die bisher eigentlich von niemand beachtet, geschweige denn eingehalten werden. Darüber hinaus sind die Argumente des VG Schleswig-Holstein natürlich entsprechend auf sonstigen Präsenzen bei Twitter, Google+ & Co übertragbar.

(ACHTUNG: Die Entscheidung hat zunächst NICHTS mit dem Facebook Like Button auf der eigenen Webseite zu tun, sondern bezieht sich allein auf Präsenzen auf der Plattform von Facebook selbst).

A. Hintergrund des Verfahrens

Im Herbst 2011 war das Unabhängige Landeszentrum für Datenschutz (ULD) gegen mehrere öffentliche und private Betreiber von Facebook Fanseiten vorgegangen, weil – nach Auffassung der Datenschutzbehörde – beim Betrieb der Seiten gegen datenschutzrechtliche Vorschriften im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) verstoßen werde.  In diesem Zusammenhang waren vom ULD gegen verschiedene Unternehmen Verfügungen nach § 38 Abs. 5 BDSG erlassen worden, mit denen diese zur Deaktivierung der Facebookseiten verpflichtet werden sollten.

Gegen diese Verfügungen des ULD hatten sich drei Unternehmen (u.a. die Wirtschaftsakademie Schleswig-Holstein GmbH der Industrie- und Handelskammer) zur Wehr gesetzt und Widerspruch eingelegt. Nachdem die Entscheidung des ULD im Rahmen des Widerspruchsverfahren aufrecht erhalten worden war, hatten die betroffenen Unternehmen Klage eingereicht.

B. Datenschutzrechtliche Verantwortlichkeit von Betreibern von Facebookseiten

In dem Verfahren ging es also um die zentrale Frage, ob Betreiber von Facebookseiten für die dortige Datenverarbeitung durch die Facebook Ltd (mit-)verantwortlich sind.

Nach § 3 Abs. 7 BDSG ist  jede Person oder Stelle datenschutzrechtlich verantwortlich (sog. Verantwortliche Stelle), die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Es kommt damit entscheidend darauf an, inwiefern man als Betreiber einer Facebookseite „technische Verfügungsmacht“ über die Datenverarbeitung hat.

Das ULD war – entgegen anderer Rechtsmeinungen   – von einer datenschutzrechtlichen Verantwortlichkeit des Betreibers von Facebookseiten ausgegangen. Daraus folge, dass die Betreiber von Fanseiten auch für die Erstellung von Nutzungsprofilen verantwortlich, die die Plattform für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erhebt. Nach § 15 Abs. 3 Satz 2 TMG hätte man als Diensteanbieter dann auch dafür Sorge zu tragen, dass die Webseitenbesucher über ihr Widerspruchsrecht unterrichtet werden (§ 13 Abs.1 TMG) und dass im Falle eines Widerspruchs nach Maßgabe von § 15 Abs. 3 Satz 1 TMG die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen durch Facebook unterbleibt.

 C. Die Entscheidung des VG Schleswig-Holstein und die Folgen

Das VG Schleswig-Holstein hat nach Informationen einiger Live-Berichterstatter nun vor wenigen Minuten entschieden, dass Unternehmen und öffentliche Stellen für die Datenverarbeitung von Facebook nicht verantwortlich sind, da es an dem notwendigen rechtlichen und faktischen Einfluss auf die Datenverabeitung bei Facebook fehle.

Im Rahmen der mündlichen Verhandlung wurde seitens des Gerichts darauf hingewiesen, dass die Facebook Ltd in Irland die Daten verarbeite und man sich in Fällen von Datenschutzverstößen an diese wenden könne (und müsse). Sonstige Konstruktionen  die eine Verantwortlichkeit des Seitenbetreibers begründen könnten, wie eine Auftragsdatenverarbeitung, Mitstörer- oder Zweckveranlassereigenschaft des Seitenbetreibers – wären in der vorliegenden Konstellation auch nicht einschlägig.

Die Bescheide des ULD, mit der die Facebookseiten verboten werden sollten, wurden nun mit dem Urteil des VG Schleswig-Holstein auf Grundlage dieser Argumente aufgehoben.

Die Entscheidung  hat weitreichende Folgen für die Nutzung von Internet und Social Media Plattformen im Allgemeinen. Stets stellt sich die Frage, ob man als Betreiber einer Präsenz bei Twitter, Google Plus & Co auch für die Datenverarbeitung der Plattform (mit-)verantwortlich ist.

Nach dem Urteil des VG Schleswig-Holstein darf man zunächst davon ausgehen, dass Unternehmen und öffentliche Stellen für die Datenverarbeitung von Facebook selbst nicht verantwortlich sind. Alles andere hätte (möglicherweise auch für Privatpersonen) sonst weitreichende Auswirkungen.

Als erstes, in der Argumentation durchaus nachvollziehbares Urteil schafft die Entscheidung des VG Schleswig zunächst einmal mehr Rechtssicherheit für Unternehmen, aber auch öffentlichen Stellen (Städte, Kommunen, Verwaltungsstellen), denen von verschiedenen Datenschutzbeauftragten der Länder die Einrichtung von Facebookseiten teilweise untersagt worden war.

Es wird aber abzuwarten sein, ob das ULD ein Rechtsmittel einlegt, was dazu führen würde, dass sich das Oberverwaltungsgericht Schleswig-Holstein noch einmal mit der Sache befassen muss.

Weiterführend:

Ist der Facebook Login datenschutzrechtlich zulässig ? Anforderungen an die Einbindung von Social Plugins

Zusammenschluss der deutschen Datenschutzbehörden zur (Un-)zulässigkeit des Facebook Like Buttons und anderer Social Plugins

Datenschutzkonforme Nutzung von Google Analytics nun  (auch nach Auffassung der Datenschutzbehörden) möglich und die Erkenntnisse für den Facebook Like Button

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.

Trackbacks

  1. […] Eines der Urteile im Wortlaut ist hier zu finden, die Pressemitteilung des Gerichts hier. Der Social Media-Rechtsexperte Dr. Carsten Ulbricht hat die Richtersprüche in einem Blogbeitrag analysiert. […]

  2. […] hat, weil allein Facebook über die Datenverarbeitung entscheide. Das entscheidende Argument, dass das Unternehmen weder rechtlich noch faktisch Einfluss auf die Datenverarbeitung von Facebook habe, ist weitgehend auf Whatsapp übertragbar. Unternehmen, die über den Mobilen Messenger mit anderen […]

  3. […] Landeszentrum Datenschutz (ULD) unterliegt vor dem Verwaltungsgericht schleswig-Holstein – Bet… […]

  4. […] In der Sache hatte das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (Uld) der Wirtschaftsakademie Schleswig-Holstein den Betrieb einer Facebook Fanpage verboten, weil Nutzer auf der Facebookseite nicht hinreichend über die Datenverarbeitung aufgeklärt würden. In dem Widerspruch argumentierte die Wirtschaftsakademie – verkürzt gesagt – dass hier doch allein Facebook verantwortlich Stelle sei und die Wirtschaftsakademie insoweit nicht datenschutzrechtlich verantwortlich gemacht werden können. Dieser Position haben sich das Verwaltungsgericht und das Oberverwaltungsgericht Schleswig-Holstein mit hörbarer Argumentation angeschlossen (siehe meinen damaligen Blogbeitrag). […]

Speak Your Mind

*

Sicherheitsfrage *