Unternehmen können aufatmen: Fanpages bei Facebook bleiben weiter erlaubt
Unternehmen können aufatmen: Fanpages bei Facebook bleiben weiter erlaubt – Gastbeitrag von Steffen Bunnenberg und Franziska Klauke. Laut dreier Entscheidung des Verwaltungsgerichts Schleswig-Holstein von Anfang Oktober, die seit heute mit Begründung vorliegen, sind Unternehmen nicht mitverantwortlich für Facebooks mögliche Verstöße gegen Datenschutzrecht.
Das Unabhängige Landeszentrums für Datenschutz (ULD) in Schleswig Holstein hatte unter seinem Leiter, Thilo Weichert, im November 2011 unter Androhung von Bußgeldern bis zu einer Höhe von 50.000 Euro drei Unternehmen aufgefordert, ihre Fanseiten bei Facebook zu deaktivieren. Begründung: Die Unternehmen als Fanpagebetreiber seien mitverantwortlich für Facebooks Datenschutzverstöße. Facebook erfasse die Daten der Besucher einer Fanpage, darunter IP-Adresse, Cookie-IDs, Familien- und Vorname, Geburtsdatum, informiere jedoch weder hinreichend über diese Datenerfassung, noch gebe es eine technische Möglichkeit für einen Widerspruch gegen die Datenerfassung. Nach den Kieler Datenschützern ein klarer Verstoß gegen das Telemediengesetz (TMG) sowie das Bundesdatenschutzgesetz (BDSG).
Das Problem: Das Telemediengesetz und das Bundesdatenschutzgesetz gelten nicht für Facebook. Die europäische Dependance des Unternehmens, die Facebook Ireland Ltd., sitzt in Dublin, dort findet die Datenverarbeitung statt. Es gilt irisches Recht und das sieht den Datenschutz nicht so eng. Also hatte Thilo Weichert, der Anfang des Jahres bereits gegen die von Facebook verordnete Klarnamen-Pflicht vorgegangen und mit der Anwendung deutschen Datenschutzrechtes gescheitert war, einen neuen Weg gewählt: Den indirekten, über deutsche Unternehmen. Stichwort: Mitverantwortung.
Nicht nur die gegen die Anordnungen klagenden Unternehmen waren da anderer Meinung. Auch das Verwaltungsgericht Schleswig-Holstein sah beim Betreiben einer Fanpage die Grenzen jeglicher datenschutzrechtlicher Mitverantwortung erreicht, denn:
1. Die Fanpage-Betreiber haben keinen eigenen Einfluss auf die Datenverarbeitung durch Facebook
2. Sie beauftragen Facebook nicht mit der Verarbeitung von Daten.
Was sich im Ergebnis simpel anhört, entstammt einem Zusammenspiel aus TMG, BDSG und der europäischen Datenschutzrichtlinie (RL 95/46 EG).
Das Gericht führte in der Begründung aus, dass ein Betreiber einer Fanpage zwar ein „Diensteanbieter“ im Sinne des TMG (§ 2 Nr.1 TMG) und damit grundsätzlich zur darin geregelten Information über Datenerhebung und Einräumung eines Widerspruchrechtes verpflichtet sei. Allerdings, so das Gericht, bestimme sich die sogenannte „datenschutzrechtliche Verantwortung“ nicht nach dem TMG sondern dem BDSG (§ 3 Abs. 7 BDSG). Danach ist Voraussetzung, dass die verantwortliche Stelle „personenbezogene Daten für sich erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt.“
Die Unternehmen als Fanpagebetreiber kämen jedoch, so das Gericht, „mit ihrem operativen Instrumentarium in keinerlei direktem Kontakt zum Nutzer der Fanpage“, so dass eine eigene Datenverarbeitung und damit eine direkte eigene Verantwortlichkeit ausscheide. Die Entscheidungsfreiheit der Unternehmen beschränke sich lediglich darauf, ob sie das Angebot, eine Fanpage bei Facebook einzurichten annehmen oder nicht.
Auch, so das Gericht, sei Facebook nicht etwa „Auftragnehmerin“ der Unternehmen, denn es fehle das (für einen Auftrag wesentliche) Weisungsrecht. Dass Facebook den Fanpage-Unternehmen kostenlos den Dienst „Insights“ zur Verfügung stelle widerspreche dem nicht. Dies sei lediglich eine „unabhängig von einem Auftrag ausgeführte statistische Auswertung der Nutzung der Fanpage mit dem Ergebnis von anonymisiertem Statistikmaterial“.
Obwohl Thilo Weichert der Ansicht ist, dass „die Anbieter durch die Auswahl ihrer Dienstleister für deren Datenschutzverstöße zumindest mit verantwortlich sind,“ gibt es hierfür nach Ansicht des Verwaltungsgerichts jedenfalls keine rechtliche Grundlage.
Somit ist durch das Urteil einer rechtlichen Mitverantwortung deutscher Unternehmen für Ihre Fanpages bei Facebook eine Absage erteilt worden. Allerdings nur vorläufig. Der ULD kündigte an, die Urteilsbegründung genau zu prüfen und über eine Berufung nachzudenken. Zugelassen wurde sie durch das Verwaltungsgericht bereits. Unter Hinweis auf die grundsätzliche Bedeutung der Urteile.
Die Abmahngefahr ist für diese Frage damit deutlich minimiert, wenngleich nicht für andere datenschutzrechtliche Verstöße. Denn solche sind nach neuerer wettbewerbsrechtlich angreifbar.
Zu den Personen
Franziska Klauke ist Rechtsanwältin bei Bunnenberg Bertram Rechtsanwälte. Sie berät Unternehmen im Schwerpunkt Datenschutzrecht, Wettbewerbsrecht und Äußerungsrecht. Weitere Schwerpunkte ihrer Tätigkeit liegen im Urheber- und Telemedienrecht. Dort berät sie namhafte Unternehmen auch von der frühen Start-up-Phase an.