Kanzlei Lachenmann Onlinerecht IT-Recht

Urteil VG Schleswig: Social Media Accounts von Unternehmen sind zulässig (hier: Datenschutz von Facebook-Fanpages)

Von RAin Lachenmann | Veröffentlicht: 9. Oktober 2013

Sie halten die Vorstellung für absurd, dass kein einziges deutsches Unternehmen einen Social Media Account/Fanpage betreiben dürfte? Laut Urteil (VG Schleswig, Urteil vom 9.10.2013, Az. 8 A 218/11; hier im Volltext) des heutigen Tages denkt das Verwaltungsgericht Schleswig ähnlich (und auch das OVG, siehe unten) – nicht jedoch Thilo Weichert, Leiter des ULD, des unabhängigen Zentrums für Datenschutz in Schleswig-Holstein. Dieser wollte ernsthaft sämtlichen Unternehmen Schleswig-Holsteins den Unterhalt von Social Media Accounts verbieten, es hätten also sämtliche Unternehmensseiten bei Facebook, Twitter, Xing, YouTube usw. gelöscht werden müssen. Wenn das VG Schleswig dem zugestimmt hätte, hätte das Signalwirkung für alle deutschen Datenschutzbehörden gehabt.

Wir IT-Anwälte schwitzten schon Blut und Wasser, wie wir das unseren Mandanten hätten erklären sollen. Zum Glück kam es anders und das VG Schleswig wies Herrn Weichert, dem der gesunde Menschenverstand zunehmend abhanden zu kommen scheint, (wieder einmal) in Grenzen. Social Media Accounts bleiben (datenschutzrechtlich) zulässig!

Um was geht es bei dem Urteil VG Schleswig, wonach Social Media Accounts/Fanpages von Unternehmen zulässig bleiben?

Wenn ein Unternehmen einen Social Media Account betreibt (streitgegenständlich: bei Facebook), hinterlassen die Nutzer natürlich Spuren; Facebook wertet das Nutzerverhalten aus, insbesondere durch Facebook Insights, eine Art Webtracking-System für Facebook, in dem u.a. die IP-Adressen und ggf. Klarnamen der Nutzer ausgewertet und in die USA übertragen werden. Jeder Nutzer eines Social Media Accounts eines Unternehmens ermöglicht so dem Betreiber der Social Media Seite Rückschlüsse auf sein Verhalten. Den mir bekannten Fakten nach ist diese Auswertung von Facebook nach deutschem Datenschutzrecht in der Tat rechtswidrig.

Das ULD wollte für diese Auswertung nun die Betreiber der Fanpages, die ja selbst Nutzer von Facebook sind, dafür verantwortlich machen. Das, obwohl der Fanpage-Betreiber keinerlei Einfluss auf diese Datenverarbeitung hat. Dem ULD reichte aus, dass der Fanpage-Betreiber dem Nutzer den Zugriff auf seine Seite ermöglichte und dadurch Facebook unterstützte.

Rechtliche Bewertung des Urteils des VG Schleswig, wonach Social Media Accounts/Fanpages von Unternehmen zulässig bleiben:

Damit konnte das ULD a) zum Glück und b) wie zu erwarten war nicht durchdringen. Die Begründung ist eigentlich simpel: Der Inhaber des Social Media Accounts/Fanpage ist datenschutzrechtlich nicht für die Datenerhebung verantwortlich, er erhebt keine personenbezogenen Daten (S. 14 ff.). Daher sei die Stelle nicht datenschutzrechtlich verantwortlich (also keine verantwortliche Stelle gem. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG)), obwohl auch der Betreiber einer Fanpage auch als Diensteanbieter gem. § 2 Satz 1 Nr. 1 TMG gesehen werden könne (wichtig für die Impressumspflicht).Der Betreiber eines Social Media Accounts/Fanpage ist also nicht für die Datenverarbeitung verantwortlich, da er selbst diese Daten nicht erhebt. Er vermittelt diese nur, ohne irgendeinen Einfluss darauf zu haben.

Verantwortliche Stelle im Sinne der Datenschutzgesetze ist allein der Betreiber der Social Media Plattform, hier also der irische Sitz von Facebook. Denn der Nutzer rufe die Fanpage unmittelbar über die Facebook-Seite auf, so dass allein Facebook die personenbezogenen Daten erheben würde. Auch liege keine Auftragsdatenverarbeitung vor,da weder eine entsprechende Vereinbarung vorliege noch ein Weisungsverhältnis bestehe (S. 17). Auch einem Versuch, deliktische Haftung aus dem BGB oder gar eine Störerhaftung anzunehmen, erteilt des VG Schleswig zu Recht eine klare Absage, da die EG-Datenschutzrichtlinie die Verantwortlichkeit abschließend regele (S. 19 f.). Das Urteil ist sachlich eine klare Ansage gegen das ULD und sauber begründet, so dass es sicherlich auch in der 2. Instanz Bestand haben wird.

Folgen des Urteils für den Datenschutz von Homepagebetreibern:

  • Unternehmen können weiterhin Ihre Social Media Präsenzen/Fanpages weiterbetreiben.
  • Es ist nicht nötig, dort eine Datenschutzerklärung vorzusehen. Dies muss nur der Betreiber des Social Networks. In der Datenschutzerklärung der Homepage kann jedoch ein entsprechender Hinweis aufgenommen werden.

Wofür das Urteil nicht gilt:

  • Ein Impressum ist auf den Social Media Präsenzen dennoch nötig, da § 5 TMG unabhängig davon anzuwenden ist, was das Verwaltungsgericht auch klar bestätigt!
  • Über die Social Media Plugins (Like Button, Google +1 usw.) ist damit nichts ausgesagt! Der Unterschied besteht hier darin, dass die Homepage-Betreiber diese eigenverantwortlich auf ihre Homepage einbauen und dadurch die Nutzerdaten eigenverantwortlich weiterleiten.
  • Wer Online-Werbung betreibt, durch die Daten der Nutzer an die Werbenetzwerke übermittelt werden, ist laut Ansicht des VG Schleswig wohl für diese Übermittlung verantwortlich, da der Webseiten-Betreiber diese Werbung eigenverantwortlich auf die Homepage einbinde.

Update 5.9.2014: Über den Fall wurde inzwischen auch in 2. Instanz von dem OVG Schleswig verhandelt (Pressemitteilung). Dieses bestätigte das Urteil des VG und wies das ULD erneut in die Schranken. Sobald das Urteil im Volltext vorliegt, berichte ich näher. Inzwischen empfehle ich den ausführlichen Bericht von der mündlichen Verhandlung von Christian Hoffmann und Sönke E. Schulz. Das ULD hat ebenfalls eine Pressemitteilung veröffentlicht, die zeigt, dass es Zeit wird, dass der nurnoch kommissarische Leiter Weichert durch einen neuen Landesdatenschutzbeauftragten ersetzt wird. Facebook als „illegales Portal“ zu bezeichnen, nachdem zwei Gerichte klar erklärt haben, dass es völlig legal ist, ist schlicht absurd. Nachdem gegen Herrn Weichert schonmal eine Unterlassungsverfügung erging, weil er sich zu weit aus dem Fenster gelehnt hatte, hätte man eigentlich denken sollen, Herr Weichert hätte dazu gelernt.

Zwischenzeitig sollten Sie unabhängig davon prüfen, ob Ihre Webseite Datenschutzkonform ist – Lesen Sie dazu meine Blogbeitrags-Serie.

Zum Thema berichten auch:

Autor des Artikels: RA Lachenmann.

Dieser Beitrag wurde in Blog, Datenschutzrecht, Gewerblicher Rechtschutz/IP, Internetrecht/Onlinerecht, IT- und Internetrecht, Verbraucherschutz, Wettbewerbsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.