4 LB 20/13

Anordnung nach §38 Abs.5 BDSG nur gegenüber verantwortlicher Stelle; Fanpage‑Betreiber meist nicht verantwortlich • Anordnungen nach § 38 Abs. 5 BDSG sind nur gegenüber der datenschutzrechtlich verantwortlichen Stelle zulässig. • Die Anordnung, eine Facebook‑Fanpage zu deaktivieren, stellt eine Untersagung der Datenverarbeitung dar und kann nicht anstelle des abgestuften Verfahrens (§ 38 Abs. 5 S.1 und S.2 BDSG) gegenüber Dritten verhängt werden. • Betreiber einer Facebook‑Fanpage sind regelmäßig keine Verantwortlichen i.S.v. § 3 Abs. 7 BDSG/Art.2 d) RL 95/46/EG, solange sie nicht über Zwecke und Mittel der Verarbeitung durch Facebook entscheiden. • Eine Auftragsdatenverarbeitung nach § 11 BDSG liegt nicht vor, wenn kein Weisungs- und Kontrollverhältnis besteht. • Eine Anspruchsgrundlage für Maßnahmen gegen nicht‑verantwortliche Dritte (Störer) lässt sich aus § 38 BDSG oder der Datenschutzrichtlinie nicht herleiten. Die Klägerin betreibt als gemeinnütziges Bildungsunternehmen eine Facebook‑Fanpage. Der Beklagte (Datenschutzaufsicht) ordnete per Bescheid an, die Fanpage zu deaktivieren, weil Facebook durch Setzen von Cookies und Erheben von IP‑Adressen und weiteren Nutzungsdaten gegen datenschutzrechtliche Vorschriften (insbesondere §15 TMG) verstoße und die Klägerin als Diensteanbieterin die Nutzer nicht über Widerspruchsmöglichkeiten informiere. Die Klägerin widersprach und begehrte Klage auf Aufhebung des Bescheids; sie rügte, sie sei keine datenschutzrechtlich verantwortliche Stelle und erhebe keine personenbezogenen Daten selbst. Facebook Ireland wurde beigeladen und erklärte, Fanpages und die Insights‑Funktion seien Teil ihrer Infrastruktur; die Klägerin habe keinen Einfluss auf Zwecke und Mittel der Datenverarbeitung. Das Verwaltungsgericht hob den Bescheid auf. Der Beklagte legte Berufung ein mit dem Vorwurf, die Klägerin habe durch Betrieb der Fanpage mitverantwortlich gehandelt; zudem bestünde eine Schutzlücke, wenn Dritte nicht in Anspruch genommen werden könnten. Das Oberverwaltungsgericht bestätigte die Entscheidung des Verwaltungsgerichts. • Zuständigkeit und Rechtsgrundlage: Für Maßnahmen gegen Telemediendienste gelten mangels spezieller Ermächtigung im TMG die Eingriffsbefugnisse des § 38 BDSG; dieser sieht ein abgestuftes Verfahren vor: zunächst Maßnahmen zur Beseitigung von Mängeln (§38 Abs.5 S.1), erst bei Fruchtlosigkeit Untersagungen (§38 Abs.5 S.2). • Rechtsanwaltschaft der Maßnahme: Die angeordnete Deaktivierung der Fanpage ist als Untersagung der Datenverarbeitung bzw. als Eingriff in die Teilnahme an einer Infrastruktur zu qualifizieren und kann nicht ohne Einhaltung des abgestuften Verfahrens gem. §38 Abs.5 BDSG unmittelbar gegenüber einem Dritten angeordnet werden. • Adressat der Anordnung: §38 Abs.5 BDSG ist dahin auszulegen, dass Adressat der Anordnung die datenschutzrechtlich verantwortliche Stelle i.S.v. §3 Abs.7 BDSG sein muss; die Norm verlangt Bestimmtheit, die nur gewährleistet ist, wenn die Pflicht zur Beseitigung von Verstößen der Stelle obliegt, die tatsächlich Einfluss auf die Datenverarbeitung hat. • Begriff der verantwortlichen Stelle: Nach §3 Abs.7 BDSG/Art.2 d) RL 95/46/EG ist Verantwortlicher, wer allein oder gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheidet. Die Klägerin entscheidet nur, ob sie eine Fanpage einrichtet; über das ‚Warum‘ und ‚Wie‘ der Verarbeitung durch Facebook entscheidet allein Facebook. • Abgrenzung zu Auftragsverarbeitung: Eine Auftragsdatenverarbeitung (§11 BDSG) liegt nicht vor, da kein Vertrag mit Weisungs‑ und Kontrollbefugnissen oder ein tatsächliches Weisungsverhältnis festgestellt ist; ohne tatsächliche Einfluss‑ und Kontrollmöglichkeiten bleibt die Klägerin keine Auftraggeberin. • EuGH‑Rechtsprechung und Vergleichsfälle: Die Entscheidung des EuGH zur Verantwortlichkeit von Suchmaschinenbetreibern lässt keine generelle Übertragbarkeit auf Fanpages zu, weil dort unterschiedliche Datenverarbeitungen und Verantwortlichkeiten vorliegen. • Schlussfolgerung zum Handlungsspielraum der Aufsichtsbehörde: Die Aufsichtsbehörde kann nicht anstelle des Verantwortlichen gegenüber Dritten vorgehen; eine Heranziehung nicht‑verantwortlicher Dritter als Störer findet in der Richtlinie 95/46/EG und §38 BDSG keine Grundlage. • Ermessens‑ und Subsidiaritätsaspekt: Selbst wenn Facebook rechtswidrig Daten verarbeitete, wäre eine wirksamere und zweckmäßigere Durchsetzung durch Maßnahmen gegen Facebook selbst möglich; daher war die Deaktivierungsanordnung gegenüber der Klägerin auch ermessensfehlerhaft. Die Berufung des Beklagten ist zurückgewiesen und das Urteil des Verwaltungsgerichts bestätigt; der Bescheid zur Deaktivierung der Fanpage ist rechtswidrig, weil die Anordnung nicht durch §38 Abs.5 BDSG gegenüber einer verantwortlichen Stelle gedeckt ist und das vorgeschriebene abgestufte Verfahren nicht ersatzlos umgangen werden darf. Die Klägerin war in Bezug auf die von Facebook erhobenen Nutzerdaten keine verantwortliche Stelle im Sinne des §3 Abs.7 BDSG/Art.2 d) RL 95/46/EG, da sie nicht über Zwecke und Mittel der Verarbeitung durch Facebook entschied; eine Auftragsdatenverarbeitung lag ebenfalls nicht vor. Damit konnte der Beklagte nicht wirksam die Deaktivierung der Fanpage gegenüber der Klägerin anordnen. Die Kosten des Verfahrens hat der Beklagte zu tragen; die Revision wurde zugelassen.