Volltext BVerwG liegt vor: Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen
BVerwG
Urteil vom 11.09.2019
6 C 15.18
Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.
Aus den Entscheidungsgründen:
"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).
1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).
Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.
§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.
Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.
2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.
a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).
Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.
b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).
3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.
a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.
b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).
c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.
4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).
a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.
b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).
Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.
c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.
d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.
Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.
5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).
Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."
Sie finden den Volltext der Entscheidung hier:
Urteil vom 11.09.2019
6 C 15.18
Wir hatten bereits in dem Beitrag BVerwG: Vorinstanz muss Datenverarbeitungsvorgänge erneut prüfen - aber Datenschutzbehörden können grundsätzlich Facebook-Nutzern das Betreiben einer Facebook-Fanpage untersagen - Keine Verpflichtung primär gegen Facebook vorzugehen über die Entscheidung berichtet.
Aus den Entscheidungsgründen:
"Die zulässige Revision des Beklagten ist mit der Maßgabe begründet, dass das Berufungsurteil aufzuheben und die Sache an das Oberverwaltungsgericht zurückzuverweisen ist. Das Berufungsurteil beruht auf einer Verletzung revisiblen Rechts im Sinne des § 137 Abs. 1 Nr. 1 VwGO, soweit es § 38 Abs. 5 Satz 1 und 2 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), für den hier maßgeblichen Zeitraum zuletzt geändert durch Art. 1 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 (BGBl. I S. 2814) - BDSG a.F. - entnimmt, dass für das dort vorgegebene gestufte Vorgehen unterschiedliche Adressaten in die Betrachtung einzubeziehen sind (1). Mit Bundesrecht unvereinbar ist nach den bindenden Vorgaben des Gerichtshofs der Europäischen Union (EuGH) auch der Maßstab, mit dem das Berufungsurteil die datenschutzrechtliche Verantwortlichkeit der Klägerin nach § 3 Abs. 7 BDSG a.F., Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. L 281 S. 31, ber. 2017 L 40 S. 78) - Datenschutzrichtlinie - beurteilt hat (2). Das Berufungsurteil erweist sich auch nicht aus anderen Gründen im Ergebnis als richtig (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die streitigen Datenverarbeitungen zu Recht deutsches Datenschutzrecht angewandt (3) und sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids und bei der Anordnung einer Deaktivierung der Fanpage rechtmäßig ausgeübt (4). Da die Feststellungen des Berufungsgerichts nicht ausreichen, um die Rechtmäßigkeit der Datenverarbeitungsvorgänge zu beurteilen, war das Berufungsurteil aufzuheben und die Sache zur anderweitigen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO) (5).
1. Das Berufungsgericht hat seiner Beurteilung zutreffend die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung, hier des Widerspruchsbescheids vom 16. Dezember 2011, zugrunde gelegt. Die Rechtmäßigkeit von Anordnungen zur Beseitigung datenschutzrechtlicher Verstöße nach § 38 Abs. 5 BDSG a.F. ist nach der Rechtslage zu beurteilen, die zum Zeitpunkt der letzten behördlichen Entscheidung gilt. Nachträgliche Rechtsänderungen sind nicht zu berücksichtigen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 17; vgl. dazu auch Urteil vom 27. März 2019 - 6 C 2.18 - NJW 2019, 2556 Rn. 7).
Auch ist die an die Klägerin gerichtete Anordnung, ihre Fanpage zu deaktivieren, nach dem Eingriffsgewicht nicht als Mängelbeseitigung im Sinne des § 38 Abs. 5 Satz 1 BDSG a.F., sondern als Untersagung des Einsatzes eines Verfahrens nach § 38 Abs. 5 Satz 2 BDSG a.F. zu werten. Deshalb ist sie zusätzlich zu den Voraussetzungen des Satzes 1 den gesteigerten Anforderungen des Satzes 2 der Vorschrift zu unterwerfen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Dem Umstand, dass der angefochtene Bescheid in der Titelzeile auf Satz 1 dieser Bestimmung Bezug nimmt, hat das Berufungsgericht zu Recht keine Bedeutung beigemessen. Der Bescheid ist im verfügenden Teil ausdrücklich auf die Norm des § 38 Abs. 5 BDSG a.F. gestützt und rekurriert auf die Satz 1 und 2 umfassende Befugnisnorm. Der Bescheid wählt daher entgegen dem Vorbringen der Beigeladenen weder eine unzutreffende Rechtsgrundlage noch bedarf es eines Austausches der Rechtsgrundlage oder einer Umdeutung.
§ 38 Abs. 5 Satz 1 und 2 BDSG a.F. verlangt nach seinem Wortlaut ein gestuftes Vorgehen der Aufsichtsbehörden. Er verpflichtet sie, zunächst die Beseitigung datenschutzrechtlicher Verstöße oder Mängel anzuordnen und dies erforderlichenfalls durch die Verhängung eines Zwangsgelds durchzusetzen. Erst wenn diese Instrumente nicht in angemessener Zeit zur Herstellung datenschutzkonformer Zustände führen, kann die Aufsichtsbehörde die Untersagung einer Datenverarbeitung oder eines Datenverarbeitungsverfahrens aussprechen. Damit erweist sich die Normstruktur des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. als eine ausdrückliche Ausprägung des Grundsatzes der Verhältnismäßigkeit. Eben dieser Grundsatz gebietet aber dann eine Ausnahme, wenn die fehlende Eignung einer Anordnung nach Satz 1 zur Herstellung datenschutzkonformer Zustände bereits feststeht (BVerwG, Vorlagebeschluss vom 25. Februar 2016 -1 C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 22). Das Datenschutzrecht zwingt die Aufsichtsbehörden nicht zu einem objektiv sinn- und zwecklosen Vorgehen.
Allerdings erweist sich die Rechtsauffassung des Berufungsgerichts insoweit als unzutreffend, als es auch die Frage der Adressatenauswahl in die Stufenfolge des § 38 Abs. 5 Satz 1 und 2 BDSG a.F. einbezieht. Die Ermächtigungsgrundlage des § 38 Abs. 5 BDSG a.F. ist zwar adressatenoffen ausgestaltet, sie steuert mit der Vorgabe eines stufenweisen Einschreitens aber nicht die Auswahl zwischen verschiedenen nach dem materiellen Recht Pflichtigen. Weder kann die Aufsichtsbehörde bei einem Vorgehen nach § 38 Abs. 5 Satz 2 BDSG a.F. auf ein erfolgloses Einschreiten nach Satz 1 gegenüber einem Dritten verweisen, noch muss sie, soweit ein gestuftes Vorgehen ausnahmsweise entbehrlich ist, zunächst gegenüber anderen oder gar sämtlichen Normadressaten Maßnahmen nach § 38 Abs. 5 Satz 1 BDSG a.F. ergreifen. Die ermessensgerechte Adressatenauswahl ist vielmehr der Frage, welche Maßnahme nach der Stufenfolge des § 38 Abs. 5 BDSG a.F. angeordnet werden kann, vorgelagert.
2. Mit dem revisiblen Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO nicht im Einklang steht die Auslegung des Begriffs der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. durch das Berufungsgericht. Er ist unionsrechtskonform dahingehend zu verstehen, dass er auch Stellen erfasst, die anderen die Gelegenheit der Datenverarbeitung einräumen, ohne selbst damit befasst zu sein.
a. Der EuGH hat in seinem in der vorliegenden Sache ergangenen Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 44 rechtskräftig festgestellt, dass der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Im Lichte des Ziels der Datenschutzrichtlinie, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, ist der Begriff des für die Verarbeitung Verantwortlichen in Art. 2 Buchst. d der Datenschutzrichtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 27). Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36). Hinzu kommt, dass die von Facebook aus den Daten erstellten anonymen Besucherstatistiken dem Betreiber ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 37). Für die Bejahung einer datenschutzrechtlichen Verantwortlichkeit ist nicht erforderlich, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 38). Daher ist der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und ein für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 39). Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 40).
Eine erneute Vorlage an den EuGH wegen der Reichweite der datenschutzrechtlichen Verantwortlichkeit kommt nicht in Betracht. Denn das Bundesverwaltungsgericht ist als vorlegendes Gericht bei der Entscheidung des Rechtsstreits an die Auslegung des Unionsrechts durch den EuGH im Vorabentscheidungsverfahren gebunden (stRpsr vgl. EuGH, Beschluss vom 5. März 1986 - C-69/85, Wünsche - Rn. 13). Weder das Bundesverwaltungsgericht noch das Oberverwaltungsgericht als weitere zur Entscheidung berufene Gerichte des Instanzenzugs sind befugt, von der Antwort der entschiedenen Frage in ihren Entscheidungen abzuweichen (Rennert, in: Eyermann, VwGO, 15. Aufl. 2019, § 94 Rn. 27; Ehricke, in: Streinz, EUV/AEUV, 3. Aufl. 2018, Art. 267 AEUV Rn. 68). Das Vorbringen der Beigeladenen, das Urteil des EuGH beruhe auf einem unzutreffenden Sachverhalt, ist schon aus diesem Grund unerheblich. Auch das Vorbringen der Klägerin im Nachgang zum Urteil des EuGH vom 29. Juli 2019 - C-40/17, Fashion ID -, es müsse eine isolierte Betrachtung der Verantwortlichkeit für nachgelagerte Verarbeitungsschritte stattfinden, ist mit der dargestellten Rechtsprechung des EuGH nicht in Einklang zu bringen.
b. Aufgrund des Anwendungsvorrangs des Unionsrechts ist der Begriff der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG a.F. unionsrechtskonform entsprechend der Vorgabe des Art. 2 Buchst. d der Datenschutzrichtlinie auszulegen (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1C 28.14 - Buchholz 403.1 Allg. DatenschutzR Nr. 18 Rn. 27; vgl. zur Notwendigkeit einer europarechtskonformen Auslegung auch Petri, in: Simitis/Hornung/Spiecker, Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 7 Rn. 20; Hartung, in: Kühling/Buchner, DSGVO/BSDG, 2. Aufl. 2018, DSGVO Art. 4 Nr. 7 Rn. 3). Die Klägerin ist daher als Betreiberin ihrer bei Facebook unterhaltenen Fanpage verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG a.F. und damit mögliche Adressatin einer auf § 38 Abs. 5 BDSG a.F. gestützten Anordnung. Die personale Reichweite der Eingriffsbefugnis folgt hier der materiellrechtlichen Pflichtigkeit (BVerwG, Vorlagebeschluss vom 25. Februar 2016 - 1 C 28.14 - a.a.O. Rn. 22).
3. Das Berufungsurteil kann auch nicht deshalb Bestand haben, weil es sich aus anderen Gründen als richtig erweist (§ 144 Abs. 4 VwGO). Der Beklagte hat auf die beanstandeten Datenverarbeitungsvorgänge durch Facebook zu Recht deutsches Datenschutzrecht, insbesondere die § 13 Abs. 1 Satz 1, § 15 Abs. 3 Satz 1 und 2 des Telemediengesetzes (TMG) in der Fassung des Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informationsund Kommunikationsdienste vom 26. Februar 2007 (BGBl. I S. 179), für den hier maßgeblichen Zeitraum zuletzt geändert durch das Erste Gesetz zur Änderung des Telemediengesetzes vom 31. Mai 2010 (BGBl. I S. 692) - TMG a.F. - angewandt.
a. Nach Art. 4 Abs. 1 Buchst. a Satz 1 Datenschutzrichtlinie wendet jeder Mitgliedstaat die zur Umsetzung dieser Richtlinie erlassenen Vorschriften auf alle Datenverarbeitungen an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Damit müssen zwei Voraussetzungen vorliegen, damit das Datenschutzrecht eines Mitgliedstaats der Europäischen Union auf eine Verarbeitung (Erhebung und Nutzung) personenbezogener Daten Anwendung findet: Erstens muss ein Verantwortlicher für die Datenverarbeitung eine Niederlassung in diesem Mitgliedstaat haben. Zweitens muss die Tätigkeit dieser Niederlassung in Verbindung mit der Datenverarbeitung stehen. Diese Verbindung setzt nicht voraus, dass die Niederlassung selbst in den Vorgang der Datenverarbeitung einbezogen ist. Vielmehr hält der EuGH unter Verweis auf die Gewährleistung eines möglichst hohen Niveaus des Datenschutzes jeden Bezug ihrer Tätigkeit zur Datenverarbeitung für ausreichend (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018,1154 Rn. 56 ff.). Der EuGH stellt darauf ab, ob die Tätigkeit der Niederlassung und die Datenverarbeitung Bestandteile eines Vorgangs sind, der wirtschaftlich einheitlich zu betrachten ist.
b. Für die vorliegend streitigen Datenverarbeitungen sind nach den bindenden Vorgaben des EuGH im Vorabentscheidungsverfahren (EuGH, Urteil vom 5. Juni 2018 - C-210/16 - JZ 2018, 1154 Rn. 54 - 62) beide Voraussetzungen des Art. 4 Abs. 1 Buchst. a der Datenschutzrichtlinie erfüllt. Die amerikanische Muttergesellschaft Facebook Inc. als gemeinsam mit der Beigeladenen für die Verarbeitung im Rahmen des Sozialen Netzwerks Facebook Verantwortliche unterhält in Irland mit der Beigeladenen und in Deutschland mit der Facebook Germany GmbH dauerhafte Niederlassungen, die effektiv und tatsächlich Tätigkeiten ausüben (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 55). Die beanstandeten Datenverarbeitungen sind auch als im Rahmen der Tätigkeit der Facebook Germany GmbH ausgeführt anzusehen, weil diese die Aufgabe hat, den Verkauf der Werbeflächen zu fördern, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 60). Auf die bei Aufruf der Fanpage durch Facebook vorgenommenen Datenverarbeitungen ist daher materielles deutsches Datenschutzrecht anzuwenden (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 61).
c. Zu dem danach anwendbaren Recht zählen auch die vom Beklagten herangezogenen Vorschriften des Telemediengesetzes. Nach § 3 Abs. 3 Nr. 4 TMG a.F. bestimmt sich die Anwendbarkeit des für den Schutz personenbezogener Daten geltenden Rechts nicht nach dem für Dienstanbieter in § 3 Abs. 1 und 2 TMG a.F. geregelten Herkunftslandprinzip, sondern nach den allgemeinen Kollisionsvorschriften der Datenschutzrichtlinie und des Bundesdatenschutzgesetzes a.F. (Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, Einführung zum TMG Rn. 11; Jotzo, MMR 2009, 232 <234>). Daher kommen vorliegend für die streitgegenständlichen Verarbeitungsvorgänge gemäß § 1 Abs. 5 BDSG a.F., Art. 4 Abs. 1 Buchst. a Satz 2 Datenschutzrichtlinie die §§ 11 ff. TMG a.F. zur Anwendung.
4. Für den Fall, dass eine mit schwerwiegenden Mängeln behaftete datenschutzrechtswidrige Erhebung und Verarbeitung der Nutzerdaten vorliegt, ist die Ausübung des Ermessens im Rahmen des § 38 Abs. 5 BDSG a.F. durch den Beklagten nicht zu beanstanden (§ 114 Satz 1 VwGO).
a. Für die Ausübung aufsichtlicher Eingriffsbefugnisse nach § 38 Abs. 5 BDSG a.F. bedarf es im Falle mehrerer datenschutzrechtlich Verantwortlicher einer Ermessensausübung im Hinblick auf die Auswahl des Adressaten. Aus der Datenschutzrichtlinie ergibt sich nichts Abweichendes: Die nationalen Kontrollstellen haben ihre Befugnisse aus § 38 Abs. 5 BDSG a.F. ungeachtet der europarechtlichen Verankerung in Art. 28 Abs. 3 der Datenschutzrichtlinie unter Wahrung der nach dem für sie maßgeblichen nationalen Verwaltungsverfahrensrecht und der dortigen Vorgaben zum Ermessen auszuüben. Dabei haben sie ihr nationales Recht im Einklang mit der Datenschutzrichtlinie auszulegen und darauf zu achten, dass sie sich nicht auf eine Auslegung dieser Richtlinie stützen, die mit den durch die Gemeinschaftsrechtsordnung geschützten Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts, wie dem Grundsatz der Verhältnismäßigkeit, kollidiert (EuGH, Urteil vom 6. November 2003 - C-101/01, Lindqvist - Rn. 87). Stehen einer nationalen Kontrollbehörde infolge einer gemeinsamen Verantwortlichkeit mehrere potentielle Adressaten für eine Abhilfemaßnahme zur Verfügung, so ist unter Beachtung des Grundsatzes der Verhältnismäßigkeit eine Ermessensentscheidung erforderlich, wenn bereits die Inanspruchnahme nur eines Adressaten den Anlass für das Einschreiten beseitigen könnte (Schreiber, ZD 2019, 55 <59> m.w.N.). Auch § 38 Abs. 5 BDSG a.F. selbst bietet keinen Ansatz dafür, dass diese Befugnisnorm im Rahmen der Ermessensausübung einen Rückgriff auf die allgemeinen Grundsätze der Störerauswahl ausschließen würde.
b. Der Beklagte hat sein Ermessen bei der Auswahl der Klägerin als Adressatin des Bescheids ungeachtet der Frage, ob auch ein Vorgehen gegen Unternehmen des Facebook-Konzerns rechtlich möglich gewesen wäre, rechtmäßig ausgeübt. Er hat vor Erlass des Bescheids mit Facebook erfolglos Gespräche darüber geführt, welche technischen Vorkehrungen für einen datenschutzkonformen Betrieb einer Fanpage in Betracht kämen (vgl. S. 4 des angefochtenen Bescheids). Daher hat er ein Vorgehen gegen Facebook tatsächlich in Erwägung gezogen, dann aber einer Inanspruchnahme der Klägerin aus sachlichen Gründen den Vorzug gegeben. Für die Auswahl unter mehreren datenschutzrechtlich Verantwortlichen erweist sich der das Gefahrenabwehrrecht beherrschende Gedanke der Effektivität als legitim. Die Behörde kann sich bei der Auswahl unter mehreren in Betracht kommenden Adressaten von der Erwägung leiten lassen, dass ein rechtswidriger Zustand durch die Inanspruchnahme eines bestimmten Adressaten schneller oder wirksamer beseitigt werden kann (zum allgemeinen Polizeirecht Denninger, in: Lisken/Denninger, Handbuch des Polizeirechts, 6. Aufl. 2018, D. Polizeiaufgaben, Rn. 133; zur Adressatenwahl im Eisenbahnrecht: BVerwG, Urteil vom 9. September 2015 - 6 C 28.14 - BVerwGE 153, 1 Rn. 32; im Umweltrecht: Sparwasser/Heilshorn, in: Landmann/Rohmer, Umweltrecht, Band III, Stand Februar 2019, § 14 BImSchG Rn. 45).
Auch im Bereich des Datenschutzes kann es das Gebot einer effektiven und wirkungsvollen Gefahrenabwehr rechtfertigen, denjenigen Verantwortlichen heranzuziehen, dessen Pflichtigkeit sich ohne weiteres bejahen lässt und dem effektive Mittel zum Abstellen des Verstoßes zur Verfügung stehen. Daher war der Beklagte vor dem Hintergrund der im Zeitpunkt der Widerspruchsentscheidung fehlenden Kooperationsbereitschaft der Beigeladenen, den unklaren Binnenstrukturen der Facebook-Unternehmensgruppe, der damit verknüpften Frage, welches nationale Datenschutzrecht für die Beigeladene Anwendung findet und welche Möglichkeiten für die Durchsetzung eines solchen Bescheids bestehen, aus Gründen der Effektivität nicht gehalten, vor einer Inanspruchnahme der Klägerin seine rechtlichen und tatsächlichen Möglichkeiten eines Vorgehens gegen ein Unternehmen der Facebook-Unternehmensfamilie umfassend zu klären. Vielmehr war die Deaktivierungsanordnung gegenüber der Klägerin auch geeignet, die Beigeladene über den Einzelfall der Klägerin hinaus unter Zugzwang zu setzen. Hat diese Maßnahme Bestand, so wird sich Facebook um eine datenschutzrechtskonforme Lösung bemühen müssen, um sein Geschäftsmodell in Deutschland weiterverfolgen zu können. Daher erweist sich die Anordnung gegen die Klägerin als effektives Mittel, um das vom EuGH im Urteil vom 5. Juni 2018 - C-210/16 - (JZ 2018, 1154 Rn. 26) herausgestellte Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre bei der Verarbeitung personenbezogener Daten, zu gewährleisten.
c. Die gegenüber der Klägerin angeordnete Deaktivierung ihrer Fanpage erweist sich auch im Übrigen als ermessensfehlerfrei. Da die Klägerin als datenschutzrechtlich Verantwortliche bei Vorliegen der beanstandeten Verstöße einen rechtskonformen Betrieb ihrer Fanpage nach den bindenden Feststellungen des Berufungsurteils mangels vertraglicher oder technischer Einwirkungsmöglichkeiten nicht bewirken kann, war die Anordnung der Deaktivierung ein geeignetes Mittel zur Unterbindung der potentiellen Datenschutzrechtsverstöße. Ein milderes Mittel stand dem Beklagten gegenüber der Klägerin nicht zur Verfügung. Auch der Umstand, dass das Deaktivierungsgebot der Klägerin derzeit die Möglichkeit nimmt, sich in dem von ihr für ihre geschäftliche Tätigkeit als besonders wichtig erachteten sozialen Netzwerk Facebook zu präsentieren, zwang den Beklagten nicht zu einem Verzicht auf ein effektives Einschreiten, wenn die Klägerin dieses Angebot nur unter Inkaufnahme schwerwiegender datenschutzrechtlicher Mängel betreiben kann.
d. Ebenso wenig lässt sich ein Ermessensfehler aus dem Umstand herleiten, dass die Daten der Nutzer auch auf einer Vielzahl weiterer Facebook-Fanpages in gleicher Weise verarbeitet werden und daher die Abschaltung der klägerischen Fanpage massenhafte Datenschutzrechtsverstöße an anderer Stelle nicht verhindern kann. Verstöße Dritter gegen datenschutzrechtliche Bestimmungen lassen die Verantwortlichkeit der Klägerin für ihr eigenes Angebot unberührt.
Art. 3 Abs. 1 GG gewährt keinen Anspruch auf Gleichbehandlung im Unrecht. Der Beklagte war im Lichte des Art. 3 Abs. 1 GG auch nicht gehalten, vor einer Inanspruchnahme der Klägerin ein Konzept für ein flächendeckendes Vorgehen gegen Fanpage-Betreiber in seiner Zuständigkeit zu erstellen. Zwar beschränkt der Gleichheitssatz als gesetzliche Ermessensgrenze die Handlungsmöglichkeiten der Verwaltung und gebietet der Behörde, in vergleichbaren Fällen in der gleichen Art und Weise zu verfahren (BVerwG, Urteil vom 26. Oktober 2017 - 8 C 18.16 - BVerwGE 160, 193 Rn. 21 m.w.N.). Das bedeutet bei einer Vielzahl von Verstößen aber nicht, dass sie gleichzeitig tätig werden muss. Bei Vorliegen sachlicher Gründe kann sie sich auch darauf beschränken, zunächst einen Einzelfall herauszugreifen und die Verhältnisse nach und nach zu bereinigen (stRspr, vgl. BVerwG, Beschluss vom 22. April 1995 - 4 B 55.95 - BRS 57 Nr. 248 S. 595). Dafür, dass die von dem Beklagten für die Auswahl der in Anspruch genommenen Fanpage-Betreiber angeführten Gründe willkürlich waren, ist vorliegend nichts ersichtlich.
5. Der Senat kann in der Sache nicht selbst abschließend entscheiden. Das Oberverwaltungsgericht hat von seinem rechtlichen Standpunkt aus folgerichtig keine tatsächlichen Feststellungen zu den bei Aufruf der Fanpage der Klägerin tatsächlich ablaufenden Datenverarbeitungsvorgängen und einer etwaigen Unterrichtung der Nutzer getroffen. Die Sache ist daher zur anderweitigen Verhandlung und Entscheidung an das Oberverwaltungsgericht zurückzuverweisen (§ 144 Abs. 3 Satz 1 Nr. 2 VwGO).
Das Oberverwaltungsgericht wird zu prüfen haben, welche Datenerhebungen bei Aufruf der Fanpage im für die Entscheidung maßgeblichen Zeitpunkt stattfanden. Soweit sich aus der Verwendung der von Facebook gesetzten Cookies eine Verarbeitung personenbezogener Daten ergab, wird das Gericht zwischen den Fallgruppen der Facebook-Mitglieder und der nicht bei Facebook registrierten Internetnutzer zu unterscheiden haben. Die Verarbeitung personenbezogener Daten wäre nur dann rechtmäßig, wenn bei der erstgenannten Gruppe eine wirksame Einwilligung in die Erhebung und nachfolgende Verarbeitung vorlag und bei der letztgenannten Gruppe für die Erhebung personenbezogener Daten eine Rechtsgrundlage bestand und eine möglicherweise erforderliche Unterrichtung erfolgte."
Sie finden den Volltext der Entscheidung hier:
Trackbacks
Keine Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt