Blog

Anwendbarkeit deutschen Strafrechts auf rechtswidrige Inhalte bei Facebook

Gepostet von am 11. Februar 2019 in Hass im Netz, IT-Strafrecht | Keine Kommentare

Anwendbarkeit deutschen Strafrechts auf rechtswidrige Inhalte bei Facebook

Die Anwendbarkeit von deutschem Strafrecht auf Inhalte aus dem Internet, wie bspw. auf einem Facebookprofil, sind immer wieder Gegenstand von Ermittlungsverfahren und Gerichtsverfahren.

Typische Delikte sind Beleidigungen oder die Volksverhetzung. Der Tatort, die Inlandstat, die Auslandstat, das anwendbares Recht sind abzuklären und rechtlich zu würdigen.

Das Oberlandesgericht Hamm (OLG Hamm) hatte über einen Fall zu entscheiden, wo alle diese Fragen eine Rolle spielten, da der Angeklagte auf seinem Facebookprofil einen volksverhetzenden Inhalt auf Deutsch, welchen ich an dieser Stelle nicht wiedergeben möchte, kundtat und das Datum aber in englischer Form “ June, 23th a 3.25 pm“ wiedergegeben wurde (Urteil vom 01.03.2018, Az. 1 RVs 12/18). Der Angeklagte verteidigte sich mit der Einlassung, dass er an diesem Tag nicht Deutschland gewesen sei und kein Internet an dem Tag genutzt habe.

Das OLG Hamm stellt klar, dass der Aufenthaltsort des Täters der Ort der Tathandlung sei und nicht der Ort an dem die mediale Auswirkung entfaltet wird. Auch sei der Standort des Servers nicht maßgeblich. Dies sei nach Ansicht des OLG Hamm nun auch die Auffassung des Bundesgerichtshofes (BGH), wonach die Volksverhetzung kein Erfolgsdelikt, sondern ein abstraktes Gefährdungsdelikt sei.

Dennoch gelangt das OLG Hamm zu einer Strafbarkeit, da der Angeklagte deutscher Staatsbürger war und in den Niederlanden zum Tatzeitpunkt war, wo nach niederländischem Strafrecht ebenfalls eine Straftat begangen worden wäre. Dies wird vom OLG Hamm im Rahmen der Strafzumessung berücksichtigt und der mildere Strafrahmen des niederländischen Strafgesetzbuch sei nach Auffassung des OLG Hamm mittelbar anwendbar.

Dresden Bewertungsanfrage in Rechnungsmail unzulässig

Gepostet von am 29. Januar 2019 in Bewertungen im Internet, Datenschutzrecht, Werberecht | Kommentare deaktiviert für Dresden Bewertungsanfrage in Rechnungsmail unzulässig

Der Bundesgerichtshof (BGH) hat über einen Fall entschieden, indem ein Unternehmen einem Verbraucher eine pdf- Rechnung per E-Mail zusandte und in dem Text der Rechnung erfolgte eine

Bitte um eine Bewertung mit fünf Sternen auf der Verkaufsplattform bei Zufriedenheit mit der Abwicklung des Vertrags,

auf der dieses Unternehmen seinen Handel betrieb (Urteil vom 10.07.2018, Az. VI ZR 225/17).

Der BGH sah hierin eine unzulässige Werbung, die in das allgemeine Persönlichkeitsrecht (Art. 1 Abs. 1, 2 Abs. 1 GG i.V.m. §§ 823 Abs. 1, 1004 Abs. 1 Satz 2 BGB analog)  eingreift und einer vorherigen Einwilligung bedarf.

Argumentiert wurde auch mit § 7 Abs. 3 UWG, welcher eine Einwilligung für Werbung erfordert. Der BGH legt den Begriff Werbung sehr weit aus. Er sieht hierin alle Maßnahmen einen Unternehmens die auf die Förderung  des Absatzes eines Produkts oder einer Dienstleistung gerichtet sind. Die Verbindung der Rechnung mit der Bewertungsbitte war die Besonderheit des Falles.

Bewertungen sind wichtig für Kaufentscheidungen potentieller Kunden.

 

 

 

Yelp muss Schadensersatz wegen schlechter Bewertung zahlen

Gepostet von am 18. Januar 2019 in Allgemein, Bewertungen im Internet, Hass im Netz | Kommentare deaktiviert für Yelp muss Schadensersatz wegen schlechter Bewertung zahlen

Yelp muss Schadensersatz wegen schlechter Bewertung zahlen

Yelp bezeichnet sich selbst als

Internetempfehlungsportal

für Restaurants und Geschäfte.

Das Oberlandesgericht München (OLG München) hat nun diesen

Portalbetreiber YELP zu einer Schadensersatzzahlung an drei Fitness-Studios verurteilt

(Urt. vom 13.11.2018, Az. 18 U 1280/16), da auf dem Portal YELP unangebrachte negative Bewertungen über diese Fitness-Studios enthalten waren.

Die Gesamtbewertung für die Fitness-Studios fiel besonders schlecht aus, da von einer Empfehlungssoftware (künstliche Intelligenz = KI) nur bestimmte Bewertungen nach bestimmten Kriterien in die Wertung übernommen wurden und mit „empfohlen“ gekennzeichnet wurden.

Das OLG München nahm an, dass der geneigte Leser die Bewertung von Yelp so verstehe, dass eine Gesamtbewertung aller Bewertungen erfolge. Tatsächlich würden aber nur die von der Empfehlungssoftware empfohlenen Bewertungen berücksichtigt. 95 Prozent der „anderen“ Bewertungen seien nicht berücksichtigt worden. Die Gesamtbewertung von Yelp sei damit eine eigene Aussage von Yelp und als Meinungsäußerung und nicht als Tatsachenbehauptung zu bewerten. Der Nutzer erkenne nicht, dass ein großer Teil der Bewertungen nicht berücksichtigt werde und es erfolgt keine Darstellung der Auswahlkriterien durch YELP. Es liege keine Bewertung, sondern eine Auswahl von YELP vor.

Das Urteil des OLG München ist zu begrüßen, da meiner Ansicht nach durch die Bestimmung der Auswahl der Kriterien und dem Einsatz einer KI durch YELP eine eigene Äußerung des Plattformbetreibers Yelp nach § 7 Abs. 1 Telemediengesetz erfolgt, für die Yelp dann auch haftet.

§ 7 Allgemeine Grundsätze

(1) Diensteanbieter sind für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich.
(2) Diensteanbieter im Sinne der §§ 8 bis 10 sind nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben auch im Falle der Nichtverantwortlichkeit des Diensteanbieters nach den §§ 8 bis 10 unberührt. Das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes ist zu wahren.

So hatte es der Bundesgerichtshof auch schon für eine Ärztebewertungsplattform entschieden (siehe meine Artikel unterhttps://www.digideath.de/platfformbetreiber-haften-bei-eigener-aenderung-einer-bewertung/).

In Österreich wird ein „digitales Vermummungsverbot“ diskutiert, um die Bewertenden selbst identifizieren zu können (Gipfel für Verantwortung im Netz und Generalprävention der österreichischen Regierung).

 

Kein Recht auf Vergessenwerden für Unternehmer

Gepostet von am 5. November 2018 in Datenschutzrecht | Kommentare deaktiviert für Kein Recht auf Vergessenwerden für Unternehmer

Kein Recht auf Vergessenwerden für Unternehmer

Die Datenschutzgrundverordnung (DS-GVO) sieht grundsätzlich ein

Recht auf Vergessenwerden

Ich bin zertifizierter Datenschutzbeauftragter (TÜV Nord) und mit Leib und Seele Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht

vor.

„Art. 17 DSGVORecht auf Löschung („Recht auf Vergessenwerden“)
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, …

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;…“

TÜV zertifizierter Datenschutzbeauftragter in Dresden, FA IT-Recht, FA-Urheberrecht

Das Internet vergisst nicht. Auch nach Jahren können so noch missliebige Informationen durch Suchmaschinen gefunden werden. Wenn die Allgemeinheit hieran ein berechtigtes Interesse hat, muss die betroffene Person dies ertragen.

So geht es derzeit einem ehemaligen Geschäftsführer des ASB des Regionalverbandes Mittelhessen. Sein Name wird von der Suchmaschine der google Inc. weiterhin mit einem alten regionalen Skandal aus den Jahren 2011 und 2012 in Zusammenhang gebracht und für eine hohe Verschuldung des Regionalverbandes verantwortlich gemacht.

Der Geschäftsführer nahm daher google auf Löschung außergerichtlich und teilweise noch gerichtlich auf Unterlassung in Anspruch und berief sich auf sein Persönlichkeitsrecht.

Hierbei spielte das EuGH Urteil google – spain vom 13.05.2014, Az. C 131/12) eine Rolle (16 Jahre alter Artikel aus Suchmaschine zu entfernen, da sonst Recht auf informationelle Selbstbestimmung verletzt wird).

In Italien hatte der oberste Gerichtshof bspw. unter Bezugnahme auf dieses Urteil entschieden, dass ältere Artikel (2 Jahre alt) aus Onlinearchiven zu entfernen sind (Ich hatte hierüber auf https://www.digideath.de/italien-wendet-recht-auf-vergessenwerden-fuer-straftaeter-an/ berichtet).

Das befasste LG Frankfurt am Main lehnte einen Löschanspruch ab (Urteil vom 26.10.2017, Az. 2 -03 O 190/16). Das Oberlandesgericht Frankfurt am Main gab dem LG Frankfurt am Main recht (Urteil vom 26.09.2018, Az. 16 U 193/17). Das OLG Frankfurt am Main musste dabei die ab dem 25.05.2018 anzuwendende DS-GVO berücksichtigen.

Art. 17 DS-GVO sieht ein Recht auf Vergessenwerden vor. Das OLG führt auch aus, dass aus Art. 17 DS-GVO Lösch- und Unterlassungsansprüche direkt hergeleitet werden können. Die Abwägung der Interessen (siehe hierzu Art. 17 Abs. 3 DS-GVO) fiel jedoch negativ für den Geschäftsführer aus, da das OLG Frankfurt nach 6-7 Jahren noch ein Überwiegen des Interesses der Öffentlichkeit gegenüber dem Recht auf informationelle Selbstbestimmung überwiege, da aufgrund der Finanzaffäre Stellen- und Leistungsstreichungen erfolgten. Das Urteil des OLG Frankfurt am Main ist noch nicht rechtskräftig.

Natürlich darf ein Artikel zu einem Finanzskandal meiner Ansicht nach weiterhin auffindbar sein. Dennoch halte ich die Anonymisierung und Nichtindexierung hinsichtlich des Namens des Geschäftsführers nach 6 Jahren für die Suchmaschine vertretbar. Hier müsste sicherlich zunächst an den Webseitenbetreiber herangetreten werden.

 

OLG München stoppt Löschung auf Facebook

Gepostet von am 11. September 2018 in Hass im Netz | Kommentare deaktiviert für OLG München stoppt Löschung auf Facebook

OLG München stoppt Löschung auf Facebook

Ein großer Tag für die Meinungsfreiheit und das Äußerungsrecht. Das Oberlandesgericht München hat in einem einstweiligen Verfügungsverfahren die Löschpolitik von Facebook kritisiert und der Antragstellerin dazu einstweilen verholfen, dass ihre Äußerung nicht mehr von Facebook gelöscht und/oder gesperrt werden darf (Beschluss vom 24.08.2018, Az. 18 W 1294/18).

Fachanwalt für-IT Recht Fachanwalt für Urheber- und Medienrecht

Fachanwalt für-IT Recht
Fachanwalt für Urheber- und Medienrecht

I. Auf die sofortige Beschwerde der Antragstellerin wird der Beschluss des Landgerichts München II vom 14.08.2018, Az.: 11 O 3129/18, abgeändert und folgende einstweilige Verfügung erlassen:
Der Antragsgegnerin wird es bei Meidung eines Ordnungsgeldes von bis zu 250.000 €, ersatzweise Ordnungshaft von bis zu sechs Monaten, oder einer Ordnungshaft von bis zu sechs Monaten untersagt,
1. einen von der Antragstellerin auf der F.-Seite von „Spiegel-Online“ zu dem Artikel mit der Überschrift „Österreich kündigt Grenzkontrollen an“ eingestellten Kommentar mit folgendem Wortlaut:
„… Gar sehr verzwickt ist diese Welt, mich wundert’s daß sie wem gefällt. Wilhelm Busch (1832 – 1908)
Wusste bereits Wilhelm Busch 1832 zu sagen:-D Ich kann mich argumentativ leider nicht mehr mit Ihnen messen, Sie sind unbewaffnet und das wäre nicht besonders fair von mir.“
zu löschen,
2. die Antragstellerin wegen der erneuten Einstellung dieses Kommentars auf der Plattform www.f…com zu sperren.
II. Die Antragsgegnerin trägt die Kosten des einstweiligen Verfügungsverfahrens.
III. Der Streitwert des Beschwerdeverfahrens wird auf 10.000,00 € festgesetzt.
Gründe
I.
1
Die Antragstellerin begehrt den Erlass einer einstweiligen Verfügung, durch welche der Antragsgegnerin untersagt werden soll, den im Tenor unter Ziffer I 1 wiedergegebenen Textbeitrag auf www.f…com zu löschen und sie wegen des Einstellens des vorgenannten Textbeitrages auf www.f….com zu sperren.
2
Das Landgericht München II hat mit Beschluss vom 14.08.2018 den Antrag auf Erlass der begehrten einstweiligen Verfügung zurückgewiesen. Es ist der Ansicht, dass weder ein Verfügungsanspruch noch ein Verfügungsgrund bestehe. Hinsichtlich der näheren Begründung wird auf die Ausführungen in den Gründen des vorgenannten Beschlusses (Bl. 31/33 d.A.) Bezug genommen.
3
Gegen den ihr am 17.08.2018 formlos bekannt gegebenen Beschluss hat die Antragstellerin mit Schriftsatz vom 17.08.2018, beim Landgericht München II eingegangen am selben Tage, sofortige Beschwerde eingelegt. Hinsichtlich der Begründung des Rechtsmittels wird auf den vorgenannten Schriftsatz (Bl. 35/38 d.A. mit den zugehörigen Anlagen) verwiesen.
4
Das Landgericht hat mit Beschluss vom 20.08.2018 (Bl. 39/40 d.A.), auf dessen Gründe Bezug genommen wird, der sofortigen Beschwerde nicht abgeholfen und die Akten dem Oberlandesgericht München zur Entscheidung vorgelegt.
II.
5
Die sofortige Beschwerde der Antragstellerin ist gemäß § 567 Abs. 1 Nr. 2 ZPO statthaft und auch im Übrigen zulässig. Das Landgericht hat den mit der sofortigen Beschwerde angreifbaren Beschluss entgegen der Vorschrift des § 329 Abs. 2 Satz 2 ZPO nicht förmlich zugestellt; die zweiwöchige Notfrist des § 569 ZPO ist aber offensichtlich gewahrt.
6
Das Rechtsmittel hat auch in der Sache Erfolg.
7
1. Der Antrag vom 10.08.2018 auf Erlass der begehrten einstweiligen Verfügung ist zulässig.
8
a) Die vom Landgericht stillschweigend unterstellte – auch im Beschwerdeverfahren von Amts wegen zu prüfende (vgl. hierzu BGH, Urteil vom 28.11.2002 – III ZR 102/02, NJW 2003, 426) – internationale Zuständigkeit der deutschen Gerichte ist zu bejahen.
9
Maßgeblich ist die Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12.12.2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (EuGVVO), weil die Antragsgegnerin ihren Sitz in Irland und damit in einem Mitgliedstaat der Europäischen Union hat. Im Rahmen der Zuständigkeitsprüfung kann letztlich dahinstehen, ob es sich bei dem geltend gemachten Verfügungsanspruch um einen vertraglichen Erfüllungsanspruch oder um einen Anspruch aus unerlaubter Handlung handelt. In beiden Fällen wäre das Landgericht München II örtlich und damit auch international zuständig.
10
Eine Vertragspflicht der Antragsgegnerin im Sinne von Art. 7 Nr. 1 lit. a EuGVVO auf Bereitstellung von „F.k-Diensten“ wäre mangels einer abweichenden Vereinbarung der Vertragsparteien kraft Natur der Sache am Wohnsitz der Antragstellerin zu erfüllen. Falls die Sperrung der Antragstellerin bzw. die Löschung eines von ihr geposteten Beitrages ein „schädigendes Ereignis“ im Sinne von Art. 7 Nr. 2 EuGVVO darstellen sollte, träte dieses primär an ihrem Wohnsitz ein. Denn dort käme es zur Kollision der widerstreitenden Interessen der Antragstellerin auf Meinungsfreiheit (Art. 5 Abs. 1 Satz 1 GG) und der Antragsgegnerin auf Wahrung ihrer Gemeinschaftsstandards (vgl. zur Bedeutung dieses Gesichtspunkts für die internationale Zuständigkeit deutscher Gerichte im Falle einer Klage wegen einer Persönlichkeitsverletzung durch eine im Internet abrufbare Veröffentlichung BGH, Urteil vom 02.03.2010 – VI ZR 23/09, Rn. 20 ff., BGHZ 184, 313).
11
b) Entgegen der Ansicht des Landgerichts ist der Antrag auch insoweit hinreichend bestimmt, als die Antragstellerin der Antragsgegnerin untersagen möchte, sie wegen des im Tenor dieses Beschlusses unter Ziffer I 1 wiedergegebenen Kommentars (im Folgenden: streitgegenständliche Äußerung) auf der Plattform www.f…com zu sperren. Die gebotene Auslegung ergibt eindeutig, dass die Antragstellerin der Antragsgegnerin sowohl die Löschung des Kommentars als auch eine hierauf gestützte Sperrung ihrer Person verbieten lassen will. Die etwas missverständliche Formulierung „und/oder“ soll zum Ausdruck bringen, dass sich die Antragstellerin mit ihrem Antrag nicht nur gegen die Kombination von Löschung und Sperrung wendet.
12
2. Der Antrag ist auch begründet. Das Landgericht hat sowohl das Bestehen eines Verfügungsanspruchs als auch das Vorliegen eines Verfügungsgrundes zu Unrecht verneint.
13
a) Anspruchsgrundlage für die geltend gemachten Ansprüche auf Unterlassung der Löschung der streitgegenständlichen Äußerung sowie der hierauf gestützten Sperrung der Antragsgegnerin auf der Social-Media-Plattform www.f…com ist jeweils der zwischen den Parteien bestehenden Vertrag, durch den sich die Antragsgegnerin verpflichtet hat, der Antragstellerin die Nutzung der von ihr angebotenen „F.-Dienste“ zu ermöglichen, in Verbindung mit § 241 Abs. 2 BGB.
14
aa) Die Antragstellerin hat hinreichend glaubhaft gemacht, dass sie sich im sozialen Netzwerk „F.“ als Nutzerin angemeldet hatte.
15
Sie hat an Eides Statt versichert, dass sie auf der F.-Seite von „Spiegel-Online“ den dort am 07.08.2018 veröffentlichten Artikel mit der Überschrift „Österreich kündigt Grenzkontrollen an“ kommentiert hatte und im Rahmen der sich entwickelnden Diskussion mit der streitgegenständlichen Äußerung auf einen kritischen Kommentar der weiteren F.-Nutzerin geantwortet hatte (Anlage JS 7). Die Tatsache, dass die Antragstellerin bei der Antragsgegnerin als Nutzerin registriert ist, wird zudem durch die in die Antragsschrift vom 10.08.2018 auf Seite 10 eingescannte Mitteilung bestätigt, dass die Antragstellerin wegen eines Verstoßes gegen die „Gemeinschaftsstandards“ der Antragsgegnerin für 30 Tage gesperrt sei.
16
bb) Mit der Anmeldung ist zwischen der Antragstellerin und der Antragsgegnerin ein Vertragsverhältnis zustande gekommen.
17
Wie dem Beschwerdegericht aus dem eine vergleichbare Fallkonstellation betreffenden Beschwerdeverfahren mit dem Aktenzeichen 18 W 858/18 bekannt ist, bietet die Antragsgegnerin ihren Nutzern unter der Bezeichnung „F.-Dienste“ Funktionen und Dienstleistungen an, die sie über ihre Webseite www.f…k.com bereitstellt. Unter anderem eröffnet sie ihren Nutzern die Möglichkeit, innerhalb des eigenen Profils Beiträge zu posten und die Beiträge anderer Nutzer zu kommentieren, soweit diese eine Kommentierung zulassen, oder mit verschiedenen Symbolen zu bewerten.
18
Für die von ihr angebotenen Dienste beansprucht die Antragsgegnerin kein Entgelt, weshalb der Nutzungsvertrag rechtlich nicht als Dienstvertrag im Sinne von § 611 BGB eingeordnet werden kann; es dürfte sich um einen Vertrag sui generis handeln. Eine abschließende Klärung der Rechtsnatur des Vertrages ist im vorliegenden Verfahren indes nicht geboten. Das ausführliche Regelwerk der Antragsgegnerin – vor allem die in den Sonderbedingungen für Nutzer mit Wohnsitz in Deutschland (vorgelegt als Anlage JS 4) enthaltenen Klauseln zur Rechtswahl (Nr. 5), zum Kündigungsrecht der Antragsgegnerin aus wichtigem Grund (Nr. 4) und zur Haftungsbegrenzung (Nr. 6) – lässt jedenfalls erkennen, dass die Antragsgegnerin ihre Dienste mit Rechtsbindungswillen anbietet.
19
b) Die Antragstellerin hat glaubhaft gemacht, dass die Antragsgegnerin die streitgegenständliche Äußerung gelöscht hat. Dies ergibt sich eindeutig aus der in die eidesstattliche Versicherung (Anlage JS 7) eingescannten Mitteilung der Antragsgegnerin, dass die dort wörtlich wiedergegebene Äußerung nur für die Antragstellerin sichtbar sei, weil sie gegen die Gemeinschaftsstandards (seil.: der Antragsgegnerin) verstoße.
20
Mit der Löschung der streitgegenständlichen Äußerung hat die Antragsgegnerin ihre Vertragspflicht verletzt, auf die Rechte der Antragstellerin, insbesondere deren Grundrecht auf Meinungsfreiheit (Art. 5 Abs. 1 Satz 1 GG), Rücksicht zu nehmen.
21
aa) Ausweislich der von ihr angegebenen Begründung für die Löschung der Äußerung hat die Antragsgegnerin von einer Befugnis Gebrauch machen wollen, welche in ihrer – von der Antragstellerin nicht vorgelegten, dem Beschwerdegericht aber aus dem Beschwerdeverfahren mit dem Aktenzeichen 18 W 858/18 bekannten – „Erklärung der Rechte und Pflichten“ unter Nr. 5.2 geregelt ist. Bei diesem Regelwerk handelt es sich um Allgemeine Geschäftsbedingungen der Antragsgegnerin im Sinne von § 305 Abs. 1 Satz 1 BGB. Die maßgebliche Klausel Nr. 5 lautet auszugsweise wie folgt:
„5. Schutz der Rechte anderer Personen Wir respektieren die Rechte anderer und erwarten von dir, dass du dies ebenfalls tust.“
22
1. Du wirst keine Inhalte auf F.k posten oder Handlungen auf F. durchführen, welche die Rechte einer anderen Person verletzen oder auf sonstige Art gegen das Gesetz verstoßen.
23
2. Wir können sämtliche Inhalte und Informationen, die du auf F. postest, entfernen, wenn wir der Ansicht sind, dass diese gegen die Erklärung oder unsere Richtlinien verstoßen. (…).“
24
Die Klausel Nr. 5.2 ist allerdings unwirksam, weil sie die Nutzer als Vertragspartner der Verwenderin entgegen den Geboten von Treu und Glauben unangemessen benachteiligt (§ 307 Abs. 1 Satz 1 BGB).
25
Nach dem Wortlaut der Klausel – dem zugleich die bei der gebotenen Auslegung zu Lasten des Verwenders (§ 305c Abs. 2 BGB) zugrunde zu legende kundenunfreundlichste Auslegung entspricht – kommt es für die Beurteilung der Frage, ob ein geposteter Beitrag gegen die Richtlinien der Antragsgegnerin verstößt und deshalb gelöscht werden darf, allein auf das Urteil der Antragsgegnerin an. Dieses einseitige Bestimmungsrecht der Antragsgegnerin steht im Widerspruch dazu, dass der Vertrag zwischen Nutzer und Plattformbetreiber gemäß § 241 Abs. 2 BGB seinem Inhalt nach beide Vertragsparteien zur Rücksichtnahme auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichtet (ebenso LG Frankfurt am Main, Beschluss vom 14.05.2018 – 2-03 O 182/18, S. 4).
26
Für den Inhalt und die Reichweite der Pflicht zur gegenseitigen Rücksichtnahme ist im vorliegenden Fall von entscheidender Bedeutung, dass die von der Antragsgegnerin bereitgestellte Social-Media-Plattform www.f…com dem Zweck dient, den Nutzern einen „öffentlichen Marktplatz“ für Informationen und Meinungsaustausch zu verschaffen (vgl. OLG Frankfurt, Urteil vom 10.08.2017 – 16 U 255/16, Rn. 28, zit. nach juris). Im Hinblick auf die mittelbare Drittwirkung der Grundrechte, insbesondere des Grundrechts des Nutzers auf Meinungsfreiheit (Art. 5 Abs. 1 GG), muss deshalb gewährleistet sein, dass eine zulässige Meinungsäußerung nicht von der Plattform entfernt werden darf (ebenso LG Frankfurt am Main, Beschluss vom 14.05.2018 – 2-03 O 182/18, S. 4 f. m.w.N.).
27
Den Grundrechten kommt nach der ständigen Rechtsprechung des Bundesverfassungsgerichts insoweit eine mittelbare Drittwirkung zu, als das Grundgesetz in seinem Grundrechtsabschnitt zugleich Elemente objektiver Ordnung aufgerichtet hat, die als verfassungsrechtliche Grundentscheidung für alle Bereiche des Rechts Geltung haben, mithin auch das Privatrecht beeinflussen (BVerfG, Beschluss vom 23.04.1986 – 2 BvR 487/80, Rn. 25, BVerfGE 73, 261; Urteil vom 15.01.1958 – 1 BvR 400/51, Rn. 26, BVerfGE 7, 198; Jarass in Jarass/Pieroth, Grundgesetz, 13. Aufl., Art. 1 Rn. 54 m.w.N.). In dieser Funktion zielen die Grundrechte nicht auf eine möglichst konsequente Minimierung von freiheitsbeschränkenden Eingriffen, sondern sind im Ausgleich gleichberechtigter Freiheit zu entfalten. Hierbei sind kollidierende Grundrechtspositionen in ihrer Wechselwirkung zu erfassen und nach dem Grundsatz der praktischen Konkordanz so zum Ausgleich zu bringen, dass sie für alle Beteiligten möglichst weitgehend wirksam werden (vgl. BVerfG, Beschluss vom 11.04.2018 – 1 BvR 3080/09, Rn. 32 m.w.N., NJW 2018, 1667).
28
Der Rechtsgehalt der Grundrechte als objektive Normen entfaltet sich im Privatrecht durch das Medium der dieses Rechtsgebiet unmittelbar beherrschenden Vorschriften, insbesondere der Generalklauseln und sonstigen auslegungsfähigen und -bedürftigen Begriffe, die im Sinne dieses Rechtsgehalts ausgelegt werden müssen (BVerfG, Beschluss vom 23.04.1986 – 2 BvR 487/80, Rn. 25, BVerfGE 73, 261). Im vorliegenden Fall bildet die Vorschrift des § 241 Abs. 2 BGB die konkretisierungsbedürftige Generalklausel, bei deren Auslegung dem von der Antragstellerin geltend gemachten Grundrecht auf freie Meinungsäußerung (Art. 5 Abs. 1 Satz 1 GG) Rechnung zu tragen ist. Mit dem gebotenen Ausgleich der kollidierenden Grundrechtspositionen nach dem Grundsatz der praktischen Konkordanz wäre es unvereinbar, wenn die Antragsgegnerin gestützt auf ein „virtuelles Hausrecht“ (vgl. LG Bonn, Urteil vom 16.11.1999 – 10 O 457/99, NJW 2000, 961) auf der von ihr bereitgestellten Social-Media-Plattform den Beitrag eines Nutzers, in dem sie einen Verstoß gegen ihre Richtlinien erblickt, auch dann löschen dürfte, wenn der Beitrag die Grenzen zulässiger Meinungsäußerung nicht überschreitet.
29
bb) Die in den (ebenfalls nicht vorgelegten, dem Beschwerdegericht aber aus dem Beschwerdeverfahren 18 W … bekannten) Gemeinschaftsstandards der Antragsgegnerin geregelte Befugnis zur Entfernung sogenannter „Hassbotschaften“ -definiert als Inhalte, die Personen aufgrund ihrer Rasse, Ethnizität, nationalen Herkunft, religiösen Zugehörigkeit, sexuellen Orientierung, geschlechtlichen Identität oder aufgrund von Behinderungen oder Krankheiten direkt angreifen – wird von der Nichtigkeit der Klausel Nr. 5.2 der „Erklärung der Rechte und Pflichten“ nicht unmittelbar berührt. Denn diese Befugnis stellt hinsichtlich der Einordnung eines Inhalts als „Hassbotschaft“ nicht auf die subjektiven Vorstellungen der Antragsgegnerin bzw. der für diese handelnden Personen, sondern auf objektivierbare Kriterien ab.
30
Auf eine Verletzung ihrer Gemeinschaftsstandards kann die Antragsgegnerin die Löschung der streitgegenständlichen Äußerung aber nicht stützen, weil diese evident keine „Hassbotschaft“ nach der Definition der Antragsgegnerin darstellt. Es bedarf daher im vorliegenden Fall auch keiner Prüfung, ob die Gemeinschaftsstandards als solche einer Inhaltskontrolle nach § 307 BGB standhalten würden.
31
(1) Die Interpretation einer Äußerung setzt die Ermittlung ihres objektiven Sinns aus der Sicht eines unvoreingenommenen und verständigen Publikums voraus. Bei der Erfassung des Aussagegehalts muss die beanstandete Äußerung ausgehend von dem Verständnis eines unbefangenen Durchschnittslesers und dem allgemeinen Sprachgebrauch in dem Gesamtzusammenhang beurteilt werden, in dem sie gefallen ist. Sie darf nicht aus dem sie betreffenden Kontext herausgelöst und einer rein isolierten Betrachtung zugeführt werden (BGH, Urteil vom 12.04.2016 – VI ZR 505/14, Rn. 11 m.w.N., MDR 2016, 648 f.). Fern liegende Deutungen sind auszuscheiden. Ist der Sinn einer Äußerung unter Zugrundelegung des vorstehend erörterten Maßstabs eindeutig, ist er der weiteren Prüfung zugrunde zu legen. Zeigt sich dagegen, dass ein unvoreingenommenes und verständiges Publikum die Äußerung als mehrdeutig wahrnimmt, oder verstehen erhebliche Teile des Publikums den Inhalt jeweils unterschiedlich, ist von einem mehrdeutigen Inhalt auszugehen (BVerfG, Beschluss vom 25.10.2005 – 1 BvR 1696/98, Rn. 31, BVerfGE 114, 339 – 356).
32
(2) Unter Zugrundelegung dieser Grundsätze ist die streitgegenständliche Äußerung der Antragsgegnerin wie folgt zu interpretieren:
33
Aufgrund des zu Beginn genannten Namens „.. “ erkennt der verständige und unvoreingenommene Leser im Kontext der F.-Seite von „Spiegel-Online“ mit den dort veröffentlichten Kommentaren zu dem Artikel „Österreich kündigt Grenzkontrollen an“, dass die Antragstellerin sich mit der streitgegenständlichen Äußerung direkt an… wendet, die sich an der auf der Webseite geführten Diskussion beteiligt hatte. Deren Diskussionsbeitrag wird von der Antragstellerin allerdings weder wörtlich noch sinngemäß wiedergegeben.
34
Entgegen der Ansicht des Landgerichts macht dieser Umstand im vorliegenden Fall ausnahmsweise die vollständige Erfassung des Sinngehalts der streitgegenständlichen Äußerung nicht unmöglich. Denn die Antragstellerin hat glaubhaft gemacht, dass … sich zuvor kritisch zu dem von der Antragstellerin selbst geposteten, in ihrer eidesstattlichen Versicherung (Anlage JS 7) wiedergegebenen Kommentar geäußert hatte. Die Mitteilung dieses Kontextes ermöglicht dem Beschwerdegericht die Interpretation der streitgegenständlichen Äußerung, ohne dass hierfür die Kenntnis des vorausgegangenen Beitrags von … – mit dem sich die streitgegenständliche Äußerung gar nicht inhaltlich auseinandersetzt – erforderlich wäre.
35
Die Antwort der Antragstellerin an … wird mit der Wiedergabe eines kurzen – als solches kenntlich gemachten – Zitats von Wilhelm Busch in Versform eingeleitet, in dem dieser seine Verwunderung darüber zum Ausdruck bringt, dass diese „gar sehr verzwickt(e)“ Welt jemandem gefallen könne. Dem Zitat liegt offensichtlich ein pessimistisches Weltbild zugrunde. Der maßgebliche Leser erkennt, dass Wilhelm Busch mit der geäußerten Verwunderung darüber, dass es Menschen gibt, denen die Welt trotz ihrer „Verzwicktheit“ gefällt, den Vertretern einer positiveren Weltsicht letztlich ein ausreichendes Urteilsvermögen abspricht, weil diese nicht in der Lage seien, die Komplexität und Unvollkommenheit der tatsächlich existierenden Welt zu erkennen.
36
Aufgrund dieser Interpretation des Zitats erschließt sich dem verständigen und unvoreingenommenen Leser auch, dass die Antragstellerin mit der Verwendung des Zitats ihrer Kritikerin … mangelndes Urteilsvermögen vorwirft. In dieser Interpretation sieht er sich durch den weiteren Inhalt der streitgegenständlichen Äußerung bestätigt: Die Aussage „Wusste bereits Wilhelm Busch 1832 zu sagen“ und die anschließende Zeichenkombination „:-D“, welche, nach den Gepflogenheiten der Internet-Kommunikation ein laut – aber nicht unbedingt freundlich – lachendes Gesicht symbolisiert, erkennt der Leser als Übertragung der allgemeinen Aussage des Zitats auf die Person der Kritikerin.
37
Letzte Zweifel werden durch den abschließenden Satz der streitgegenständlichen Äußerung „ich kann mich argumentativ leider nicht mehr mit ihnen messen, Sie sind unbewaffnet und das wäre nicht besonders fair von mir.“ ausgeräumt. Damit bringt die Antragstellerin aus Sicht des maßgeblichen Lesers zum Ausdruck, dass sie auf die Eröffnung einer inhaltlichen Auseinandersetzung mit … verzichtet, weil sie ihre Kritikerin nicht für „intellektuell satisfaktionsfähig“ hält. Diese sei „unbewaffnet“, was der Leser im Kontext dahin versteht, dass die Kritikerin ihre gegenteilige Auffassung nicht auf tragfähige Argumente stützen könne. Die abschließende Bemerkung, dass die Fortsetzung der Diskussion „nicht besonders fair“ wäre, erkennt der Leser als Betonung ihrer eigenen intellektuellen Überlegenheit durch die Antragstellerin.
38
(3) Mit diesem durch Interpretation ermittelten Aussagegehalt kann die streitgegenständliche Äußerung evident nicht als „direkter Angriff auf Personen wegen ihrer Rasse, Ethnizität, nationalen Herkunft, religiösen Zugehörigkeit, sexuellen Orientierung, geschlechtlichen Identität oder aufgrund von Behinderungen oder Krankheiten“ und damit als „Hassbotschaft“ im Sinne der Definition der Antragsgegnerin gewertet werden. Die Antragstellerin führt vielmehr eine persönliche Auseinandersetzung mit einer individuellen Kritikerin.
39
cc) Eine andere Rechtsgrundlage, auf welche die Antragsgegnerin die Löschung der streitgegenständlichen Äußerung stützen könnte, ist nicht ersichtlich.
40
(1) Insbesondere stellt die Äußerung keinen rechtswidrigen Inhalt im Sinne von § 1 Abs. 3 NetzDG dar. Die tatbestandlichen Voraussetzungen der in dieser Vorschrift genannten Strafnormen sind ganz offensichtlich nicht erfüllt.
41
(2) Dahinstehen kann, ob die streitgegenständliche Äußerung das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) der F.-Nutzerin verletzt.
42
Denn zur Geltendmachung einer etwaigen Verletzung dieses allein ihrer Nutzerin zustehenden Rechts wäre die Antragsgegnerin nicht aktivlegitimiert.
43
c) Da die Löschung der streitgegenständlichen Äußerung rechtswidrig war, stellt auch die mit der Einstellung dieser Äußerung auf www.f…com begründete Sperrung der Antragstellerin eine Vertragspflichtverletzung seitens der Antragsgegnerin dar. Durch Einscannen der Mitteilung der Antragsgegnerin auf Seite 10 der Antragsschrift vom 10.08.2018 und ihre eidesstattliche Versicherung vom 09.08.2018 (Anlage JS 7) hat die Antragstellerin glaubhaft gemacht, dass die Antragsgegnerin sie wegen der streitgegenständlichen Äußerung für 30 Tage „für das Posten gesperrt“ hat.
44
d) Die rechtswidrige Löschung der streitgegenständlichen Äußerung und die rechtswidrige Sperrung der Antragsgegnerin auf der Plattform www.f…com begründet jeweils die für einen Unterlassungsanspruch konstitutive Wiederholungsgefahr.
45
Bei einem auf die direkte oder analoge Anwendung von § 1004 Abs. 1 Satz 2 BGB gestützten Unterlassungsanspruch bildet die Besorgnis weiterer Beeinträchtigungen ein Tatbestandsmerkmal und damit eine materielle Anspruchsvoraussetzung (BGH, Urteil vom 19.10.2004 – VI ZR 292/03, NJW 2005, 594, 595). Für einen Unterlassungsanspruch, der aus einem vertraglichen Erfüllungsanspruch abgeleitet wird, kann nach dem Rechtsgedanken des § 259 ZPO im Ergebnis nichts anderes gelten. Nach dieser Vorschrift setzt eine Klage auf künftige Leistung voraus, dass den Umständen nach die Besorgnis gerechtfertigt ist, dass der Schuldner sich der rechtzeitigen Leistung entziehen werde. Fehlt die Wiederholungsgefahr, wäre zumindest das Rechtsschutzbedürfnis für eine gerichtliche Geltendmachung des Unterlassungsanspruchs zu verneinen.
46
e) Das Vorliegen eines Verfügungsgrundes hat das Landgericht ebenfalls mit einer nicht vertretbaren Begründung verneint.
47
aa) Das Landgericht hat im Ausgangspunkt zutreffend erkannt, dass das Begehren der Antragstellerin auf den Erlass einer sogenannten Leistungsverfügung gerichtet ist. Rechtsfehlerhaft hat es aber ein dringendes Bedürfnis der Antragstellerin für den Erlass der begehrten Eilmaßnahme verneint.
48
(1) Wie oben unter Ziffer 2 lit. a dargelegt, kommt als Verfügungsanspruch nur der Erfüllungsanspruch der Antragstellerin aus dem mit der Antragsgegnerin geschlossenen Nutzungsvertrag in Verbindung mit § 241 Abs. 2 BGB in Betracht. Mit dem angestrebten Verbot einer Sperrung wegen der streitgegenständlichen Äußerung bezweckt die Antragstellerin in der Sache, dass ihr die ungehinderte Nutzung der Funktionen von www.f…com, insbesondere das Posten von Beiträgen, das Kommentieren fremder Beiträge sowie die Nutzung des Nachrichtensystems, ermöglicht wird. Der Erlass der begehrten einstweiligen Verfügung würde hinsichtlich der bestehenden vertraglichen Erfüllungsansprüche gegen die Antragsgegnerin zu einer vollständigen Befriedigung der Antragsstellerin und damit zu einer Vorwegnahme der Hauptsache führen.
49
Die auf Erfüllung gerichtete Leistungsverfügung setzt neben dem Bestehen des geltend gemachten Anspruchs ein dringendes Bedürfnis für die begehrte Eilmaßnahme voraus. Der Gläubiger muss auf die sofortige Erfüllung seines Anspruchs dringend angewiesen sein, was darzulegen und glaubhaft zu machen ist. Entwickelt wurde die Leistungsverfügung zur Gewährung effektiven Rechtsschutzes (Art. 19 Abs. 4 GG) bei Bestehen einer dringenden Not- bzw. Zwangslage sowie im Falle einer Existenzgefährdung des Gläubigers. Sie ist auch zulässig, wenn die vom Schuldner zu erbringende Handlung so kurzfristig zu erbringen ist, dass die Erwirkung eines Vollstreckungstitels im ordentlichen Verfahren nicht möglich ist, die Verweisung des Gläubigers auf die Erhebung der Hauptsacheklage praktisch einer Rechtsverweigerung gleichkäme (vgl. zum Vorstehenden Zöller-Vollkommer, ZPO, 32. Aufl., § 940 Rn. 6). In vergleichbaren Fällen hat die Rechtsprechung den Erlass einer Leistungsverfügung grundsätzlich für möglich erachtet (vgl. LG Kiel, Beschluss vom 14.03.2012 – 1 T 21/12, NJW-RR 2012, 1211: Sperrung eines Mobilfunkanschlusses; OLG Frankfurt, Beschluss vom 11.08.2009 – 3 W 45/09, NJW-RR 2010, 936: Erschwerung des Internetzugangs).
50
(2) Die Antragstellerin hat durch eidesstattliche Versicherung vom 09.08.2018 (Anlage JS 7) glaubhaft gemacht, dass sie von ihrer Sperrung am 09.08.2018 Kenntnis erlangt hat und dass die Sperrung noch andauert. Bei dieser Sachlage muss sich die Antragstellerin nicht auf die Erhebung der Hauptsacheklage gegen die Sperrung verweisen lassen. Unter Berücksichtigung des gewöhnlichen Verfahrensgangs kann nahezu ausgeschlossen werden, dass die Antragstellerin bis zum Ablauf der auf 30 Tage befristeten Sperrung ein obsiegendes Urteil in der Hauptsache erstreiten könnte. Ihre Verweisung auf die Erhebung der Hauptsacheklage käme deshalb im Ergebnis einer Rechtsverweigerung gleich.
51
Verfehlt ist in diesem Zusammenhang die Erwägung des Landgerichts, dass der Antragstellerin eine „soziale Kommunikation“ – über andere Kommunikationsmittel -grundsätzlich möglich sei. Diese Argumentation blendet den entscheidenden Gesichtspunkt aus, dass der Antragstellerin gegen die Antragsgegnerin ein vertraglicher Erfüllungsanspruch auf die Bereitstellung der von dieser angebotenen „F.-Dienste“ zusteht.
52
Nicht gefolgt werden kann auch der Ansicht des Landgerichts, dass in der Löschung der streitgegenständlichen Äußerung keine so weitgehende Einschränkung der Meinungsfreiheit der Antragstellerin liege, dass diese nicht im Rahmen einer Hauptsacheklage geltend gemacht werden könnte, weil die Äußerung in keinem Zusammenhang mit einem aktuellen Ereignis stehe. Das Grundrecht auf Meinungsfreiheit beschränkt sich nicht auf das Recht, zu aktuellen Ereignissen Stellung zu nehmen. Das Argument des Landgerichts ist zudem sachlich falsch. Mit der Löschung der streitgegenständlichen Äußerung hat die Antragsgegnerin der Antragstellerin rechtswidrig verwehrt, sich an einer aktuell auf der F.-Seite von „Spiegel-Online“ geführten Debatte zu Grenzkontrollen zu beteiligen.
53
bb) Unverständlich sind die Ausführungen des Landgerichts, dass „hinsichtlich der Eilbedürftigkeit“ zu berücksichtigen sei, dass bei Eingang der Antragsschrift am 14.08.2018 bereits vier der 30 Tage der Sperrung der Antragstellerin verstrichen gewesen seien.
54
Es ist zwar allgemein anerkannt, dass ein Verfügungsgrund fehlt, wenn der Antragsteller trotz eines bestehenden Sicherungs- oder Regelungsbedürfnisses zu lange zugewartet hat, bevor er den Erlass einer einstweiligen Verfügung beantragt (vgl. KG, Urteil vom 09.02.2001 – 5 U 9667/00, Rn. 14, zit. nach juris, NJW-RR 2001, 1201; Zöller-Vollkommer, ZPO, 32. Aufl., § 940 Rn. 4 m.w.N.). Mit dem Verstreichenlassen eines Zeitraums von nur vier Tagen (!) kann aber keinesfalls eine Selbstwiderlegung der von der Antragstellerin behaupteten Dringlichkeit durch eigenes Verhalten begründet werden.
III.
55
Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO, die zugrundeliegende Streitwertfestsetzung auf § 53 Abs. 1 Nr. 1 GKG in Verbindung mit § 3 ZPO.
56
Eine ausdrückliche Anordnung der vorläufigen Vollstreckbarkeit ist entbehrlich. Einstweilige Verfügungen sind Vollstreckungstitel, die mit Erlass des Beschlusses sofort vollstreckbar sind, ohne dass es einer Entscheidung hierüber bedarf (Zöller-Vollkommer, ZPO, 32. Aufl., § 929 Rn. 1 m.w.N.).“

 

 

Datenschutzrecht-EuGH: Facebook-Fanpage-Betreiber ist Verantwortlicher

Gepostet von am 5. Juni 2018 in Datenschutzrecht | Kommentare deaktiviert für Datenschutzrecht-EuGH: Facebook-Fanpage-Betreiber ist Verantwortlicher

In meinem Artikel zur Social-Media-Nutzung von Behörden am 17.10.2017,

Ich bin zertifizierter Datenschutzbeauftragter (TÜV Nord) und mit Leib und Seele Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht

Ich bin zertifizierter Datenschutzbeauftragter (TÜV Nord) und mit Leib und Seele Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht.

hatte ich schon darauf verwiesen, dass eine

Entscheidung des EuGH´s zur Verantwortlichkeit eines Facebook-Fanpage-Betreibers

ansteht.

Heute hat der EuGH nun entschieden, dass ein Facebook-Fanpage-Betreiber (auch nach der alten Datenschutzrichtlinie) verantwortliche Stelle und damit nach neuem Recht Verantwortlicher im Sinne der DS-GVO ist.

Dies führt zur gesamtschuldnerischen Haftung der Facebook-Fanpage-Betreiber auch für Verstöße der Facebook Inc. gegenüber Betroffenen (Art. 26 Abs. 3 DS-GVO). Ich empfehle daher dringend eine Vereinbarung gemäß Art. 26 Abs. 3 DS-GVO mit der Facebook Inc. abzuschließen oder den Betrieb der Fanpage einzustellen.

Das Urteil ist auf andere Social-Media-Kanäle übertragbar. Daher sollten Sie auch hier entweder den Betrieb des Social – Media – Accounts einstellen oder eine Vereinbarung nach Art. 26 Abs. 3 DS-GVO vereinbaren.

Nachfolgend sehen Sie das Urteil des EuGH´s im Volltext (EuGH, Urteil vom  5. Juni 2018 – C 210/16).

URTEIL DES GERICHTSHOFS (Große Kammer)
5. Juni 2018(*)
„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht, bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten – Art. 2 Buchst d – Für die Verarbeitung personenbezogener Daten Verantwortlicher – Art. 4 – Anwendbares nationales Recht – Art. 28 – Nationale Kontrollstellen – Einwirkungsbefugnisse dieser Stellen“
In der Rechtssache C‑210/16
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesverwaltungsgericht (Deutschland) mit Entscheidung vom 25. Februar 2016, beim Gerichtshof eingegangen am 14. April 2016, in dem Verfahren
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
gegen
Wirtschaftsakademie Schleswig-Holstein GmbH,
Beteiligte:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten A. Tizzano (Berichterstatter), der Kammerpräsidenten M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský und E. Levits, der Richter E. Juhász, A. Borg Barthet und F. Biltgen, der Richterin K. Jürimäe sowie der Richter C. Lycourgos, M. Vilaras und E. Regan,
Generalanwalt: Y. Bot,
Kanzler: C. Strömholm, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 27. Juni 2017,
unter Berücksichtigung der Erklärungen
– des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, vertreten durch Rechtsanwälte U. Karpenstein und M. Kottmann,
– der Wirtschaftsakademie Schleswig-Holstein GmbH, vertreten durch Rechtsanwalt C. Wolff,
– der Facebook Ireland Ltd, vertreten durch Rechtsanwälte C. Eggers, H.‑G. Kamann und M. Braun sowie durch I. Perego, avvocato,
– der deutschen Regierung, vertreten durch J. Möller als Bevollmächtigten,
– der belgischen Regierung, vertreten durch L. Van den Broeck, C. Pochet, P. Cottin und J.‑C. Halleux als Bevollmächtigte,
– der tschechischen Regierung, vertreten durch M. Smolek, J. Vláčil und L. Březinová als Bevollmächtigte,
– Irlands, vertreten durch M. Browne, L. Williams, E. Creedon, G. Gilmore und A. Joyce als Bevollmächtigte,
– der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von P. Gentili, avvocato dello Stato,
– der niederländischen Regierung, vertreten durch C. S. Schillemans und M. K. Bulterman als Bevollmächtigte,
– der finnischen Regierung, vertreten durch J. Heliskoski als Bevollmächtigten,
– der Europäischen Kommission, vertreten durch H. Krämer und D. Nardi als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 24. Oktober 2017
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
2 Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (im Folgenden: ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (im Folgenden: Wirtschaftsakademie), über die Rechtmäßigkeit einer Anordnung des ULD gegenüber der Wirtschaftsakademie, mit der dieser aufgegeben wurde, eine auf der Website des sozialen Netzwerks Facebook (im Folgenden: Facebook) unterhaltene Fanpage zu deaktivieren.
Rechtlicher Rahmen
Unionsrecht
3 In den Erwägungsgründen 10, 18, 19 und 26 der Richtlinie 95/46 heißt es:
„(10) Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und ‑freiheiten, insbesondere des auch in Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des [Unions]rechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der [Union] ein hohes Schutzniveau sicherzustellen.

(18) Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der [Union] erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

(26) Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist. …“.
4 Art. 1 („Gegenstand der Richtlinie“) der Richtlinie 95/46 sieht vor:
„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“
5 In Art. 2 („Begriffsbestimmungen“) der Richtlinie heißt es:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck

b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder [unionsrechtlichen] Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder [unionsrechtliche] Rechtsvorschriften bestimmt werden;
e) ‚Auftragsverarbeiter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
f) ‚Dritter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
…“
6 Art. 4 („Anwendbares einzelstaatliches Recht“) der genannten Richtlinie sieht in Abs. 1 vor:
„Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;
b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet;
c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der [Union] niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen [Union] verwendet werden.“
7 Art. 17 („Sicherheit der Verarbeitung“) der Richtlinie 95/46 bestimmt in den Abs. 1 und 2:
„(1) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.
Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
(2) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet; der für die Verarbeitung Verantwortliche überzeugt sich von der Einhaltung dieser Maßnahmen.“
8 Art. 24 („Sanktionen“) der Richtlinie sieht vor:
„Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.“
9 In Art. 28 („Kontrollstelle“) der Richtlinie heißt es:
„(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle verfügt insbesondere über:
– Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
– wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
– das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.
…“
Deutsches Recht
10 § 3 Abs. 7 des Bundesdatenschutzgesetzes (BDSG) in seiner auf den Sachverhalt des Ausgangsverfahrens anwendbaren Fassung lautet:
„Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“
11 In § 11 („Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag“) BDSG heißt es:
„(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. …
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: …
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
…“
12 § 38 Abs. 5 BDSG bestimmt:
„Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.“
13 § 12 des Telemediengesetzes (TMG) vom 26. Februar 2007 (BGBl. 2007 I S. 179) bestimmt:
„(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.“
Ausgangsverfahren und Vorlagefragen
14 Die Wirtschaftsakademie bietet Bildungsdienstleistungen über eine auf Facebook unterhaltene Fanpage an.
15 Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Insoweit geht aus der Vorlageentscheidung hervor, dass – jedenfalls in dem für das Ausgangsverfahren relevanten Zeitraum – weder die Wirtschaftsakademie noch die Facebook Ireland Ltd auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen haben.
16 Mit Bescheid vom 3. November 2011 (im Folgenden: angefochtener Bescheid) ordnete das ULD als Kontrollstelle im Sinne von Art. 28 der Richtlinie 95/46, die für die Überwachung der Anwendung der von der Bundesrepublik Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslands Schleswig-Holstein (Deutschland) zuständig ist, gegenüber der Wirtschaftsakademie gemäß § 38 Abs. 5 Satz 1 BDSG an, die von dieser unter der Internetadresse https://www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage zu deaktivieren, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Begründet wurde dies damit, dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinwiesen, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebe und diese Daten danach verarbeite. Die Wirtschaftsakademie legte gegen diesen Bescheid Widerspruch ein, mit dem sie im Wesentlichen geltend machte, sie sei nach dem anwendbaren Datenschutzrecht weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich.
17 Mit Bescheid vom 16. Dezember 2011 wies das ULD den Widerspruch mit der Begründung zurück, dass die Verantwortlichkeit der Wirtschaftsakademie als Diensteanbieter gemäß § 3 Abs. 3 Nr. 4 und § 12 Abs. 1 TMG in Verbindung mit § 3 Abs. 7 BDSG begründet sei. Das ULD führte aus, dass die Wirtschaftsakademie durch das Einrichten ihrer Fanpage einen aktiven und willentlichen Beitrag zur Erhebung personenbezogener Daten betreffend die Besucher dieser Fanpage durch Facebook leiste und von diesen Daten durch die ihr von Facebook zur Verfügung gestellten Statistiken profitiere.
18 Die Wirtschaftsakademie erhob beim Verwaltungsgericht (Deutschland) Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht im Sinne von § 11 BDSG mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das ULD direkt gegen Facebook hätte vorgehen müssen, anstatt den angefochtenen Bescheid gegen sie zu erlassen.
19 Das Verwaltungsgericht hob den angefochtenen Bescheid mit Urteil vom 9. Oktober 2013 auf und begründete dies im Wesentlichen damit, dass der Betreiber einer Fanpage bei Facebook keine verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG sei und die Wirtschaftsakademie daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.
20 Das Oberverwaltungsgericht (Deutschland) wies die vom ULD gegen dieses Urteil eingelegte Berufung als unbegründet zurück. Es führte im Wesentlichen aus, dass die Untersagung der Datenverarbeitung im angefochtenen Bescheid rechtswidrig sei, da § 38 Abs. 5 Satz 2 BDSG ein abgestuftes Vorgehen vorsehe, auf dessen erster Stufe nur Maßnahmen zur Beseitigung festgestellter Verstöße bei der Datenverarbeitung angeordnet werden dürften. Eine sofortige Untersagung der Datenverarbeitung komme nur in Betracht, wenn ein Datenverarbeitungsverfahren in seiner Gesamtheit unzulässig sei und dieser Mangel nur durch die Einstellung dieses Verfahrens beseitigt werden könne. Dies sei jedoch hier nicht der Fall gewesen, da Facebook die Möglichkeit gehabt habe, die vom ULD behaupteten Verstöße zu beseitigen.
21 Weiter führte das Oberverwaltungsgericht aus, dass der angefochtene Bescheid auch deswegen rechtswidrig sei, weil eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG ergehen könne, was die Wirtschaftsakademie aber hinsichtlich der von Facebook erhobenen Daten nicht sei. Über den Zweck und die Mittel der Erhebung und Verarbeitung der im Rahmen der Funktion Facebook Insight genutzten personenbezogenen Daten entscheide nämlich allein Facebook, da die Wirtschaftsakademie selbst allein anonymisierte, statistische Informationen erhalte.
22 Das ULD hat beim Bundesverwaltungsgericht (Deutschland) Revision eingelegt, mit der es u. a. eine Verletzung von § 38 Abs. 5 BDSG rügt und verschiedene Verfahrensfehler geltend macht, die sich seiner Ansicht nach auf die Entscheidung des Berufungsgerichts auswirken. Es sieht den Verstoß der Wirtschaftsakademie in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters, hier Facebook Ireland, mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts. Die mit dem angefochtenen Bescheid gegenüber der Wirtschaftsakademie erlassene Anordnung, ihre Fanpage zu deaktivieren, ziele daher auf die Beseitigung dieses Verstoßes, da sie ihr die weitere Nutzung der Facebook‑Infrastruktur als technischer Grundlage ihres Webauftritts untersage.
23 Das Bundesverwaltungsgericht ist wie das Oberverwaltungsgericht der Ansicht, dass die Wirtschaftsakademie selbst nicht als im Sinne von § 3 Abs. 7 BDSG oder Art. 2 Buchst. d der Richtlinie 95/46 für die Verarbeitung der Daten verantwortlich angesehen werden könne. Gleichwohl geht es davon aus, dass dieser Begriff im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit auszulegen sei, wie dies auch der Gerichtshof in seiner jüngsten einschlägigen Rechtsprechung anerkannt habe. Außerdem hat es in Anbetracht dessen, dass der für die Erhebung und Verarbeitung personenbezogener Daten innerhalb des Facebook-Konzerns auf Unionsebene Verantwortliche Facebook Ireland ist, Zweifel hinsichtlich der Befugnisse, die dem ULD im vorliegenden Fall gegenüber Facebook Germany zustehen. Schließlich sei fraglich, welche Bedeutung für die Zwecke der Ausübung der Einwirkungsbefugnisse des ULD der Beurteilung der für Facebook Ireland zuständigen Kontrollstelle bezüglich der Rechtmäßigkeit der in Rede stehenden Verarbeitung personenbezogener Daten zukomme.
24 Unter diesen Umständen hat das Bundesverwaltungsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt, oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 dieser Richtlinie und der „wirksame[n] Einwirkungsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 dieser Richtlinie in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne von Art. 2 Buchst. d dieser Richtlinie für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für ihr Informationsangebot?
2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 der Richtlinie 95/46, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen „Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet“, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne von Art. 2 Buchst. e dieser Richtlinie verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4 und Art. 28 Abs. 6 der Richtlinie 95/46 die Kontrollstelle eines Mitgliedstaats (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaats zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
4. Sind Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaats (hier: Deutschland) besteht, die u. a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann, oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaats (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
5. Sind die Art. 4 Abs. 1 Buchst. a sowie Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaats (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 dieser Richtlinie wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaats, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 der Richtlinie 95/46 dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 dieser Richtlinie übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaats (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
Zu den Vorlagefragen
Zur ersten und zur zweiten Frage
25 Mit der ersten und der zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen sind, dass sie es zulassen, dass die Verantwortlichkeit einer Stelle in ihrer Eigenschaft als Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung, ein soziales Netzwerk für die Verbreitung ihres Informationsangebots zu nutzen, festgestellt wird.
26 Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass die Richtlinie 95/46, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehnten Erwägungsgrund ergibt, darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom 11. Dezember 2014, Ryneš, C‑212/13, EU:C:2014:2428, Rn. 27 und die dort angeführte Rechtsprechung).
27 Diesem Ziel entsprechend ist der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d der Richtlinie weit definiert als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
28 Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 34).
29 Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.
30 Es ist festzustellen, dass im vorliegenden Fall in erster Linie die Facebook Inc. und, was die Union betrifft, Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheiden, die die auf Facebook unterhaltenen Fanpages besucht haben, und somit unter den Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 fallen, was in der vorliegenden Rechtssache nicht in Zweifel gezogen wird.
31 Zur Beantwortung der vorgelegten Fragen ist jedoch zu prüfen, ob und inwieweit der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie im Rahmen dieser Fanpage gemeinsam mit Facebook Ireland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann.
32 Insoweit schließt offenbar jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.
33 Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.
34 Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.
35 Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.
36 In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
37 Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
38 Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
39 Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.
40 Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
41 Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
42 Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
43 Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
44 Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
Zur dritten und zur vierten Frage
45 Mit der dritten und der vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind, dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt, oder ob es Sache der Kontrollstelle des letztgenannten Mitgliedstaats ist, diese Befugnisse gegenüber der zweiten Niederlassung auszuüben.
46 Das ULD und die italienische Regierung haben Zweifel hinsichtlich der Zulässigkeit dieser Fragen geäußert, da diese für die Entscheidung des Ausgangsrechtsstreits nicht relevant seien. Adressat des angefochtenen Bescheids sei nämlich die Wirtschaftsakademie, so dass sich dieser Bescheid weder auf die Facebook Inc. noch auf eine von deren im Unionsgebiet ansässigen Tochtergesellschaften beziehe.
47 Hierzu ist darauf hinzuweisen, dass es im Rahmen der mit Art. 267 AEUV eingerichteten Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts ist, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen. Betreffen daher die vorgelegten Fragen die Auslegung des Unionsrechts, ist der Gerichtshof grundsätzlich gehalten, darüber zu befinden (Urteil vom 6. September 2016, Petruhhin, C‑182/15, EU:C:2016:630, Rn. 19 und die dort angeführte Rechtsprechung).
48 Im vorliegenden Fall ist darauf hinzuweisen, dass das vorlegende Gericht geltend macht, dass die Beantwortung der dritten und der vierten Vorlagefrage durch den Gerichtshof für die Entscheidung des Ausgangsrechtsstreits erforderlich sei. Es führt nämlich aus, dass in dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.
49 Unter diesen Umständen sind die dritte und die vierte Frage zulässig.
50 Zur Beantwortung dieser Fragen ist zunächst darauf hinzuweisen, dass nach Art. 28 Abs. 1 und 3 der Richtlinie 95/46 jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats durch das nationale Recht übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (vgl. in diesem Sinne Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 51).
51 Die Frage, welches nationale Recht auf die Verarbeitung personenbezogener Daten anwendbar ist, ist in Art. 4 der Richtlinie 95/46 geregelt. Nach dessen Abs. 1 Buchst. a wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Klarstellend heißt es in dieser Vorschrift, dass der Verantwortliche, wenn er eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, die notwendigen Maßnahmen ergreift, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.
52 Aus dieser Vorschrift in Verbindung mit Art. 28 Abs. 1 und 3 der Richtlinie 95/46 geht somit hervor, dass dann, wenn das nationale Recht des Mitgliedstaats der Kontrollstelle nach Art. 4 Abs. 1 Buchs. a dieser Richtlinie anwendbar ist, weil die in Rede stehende Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung im Hoheitsgebiet dieses Mitgliedstaats Verantwortlichen ausgeführt wird, diese Kontrollstelle sämtliche Befugnisse ausüben kann, die ihr durch dieses Recht gegenüber dieser Niederlassung übertragen wurden, und zwar unabhängig davon, ob der für die Verarbeitung Verantwortliche auch in anderen Mitgliedstaaten Niederlassungen unterhält.
53 Um zu bestimmen, ob eine Kontrollstelle unter Umständen wie denen des Ausgangsverfahrens berechtigt ist, gegenüber einer im Hoheitsgebiet ihres Mitgliedstaats ansässigen Niederlassung die Befugnisse auszuüben, die ihr durch das nationale Recht übertragen wurden, ist somit zu prüfen, ob die beiden Voraussetzungen nach Art. 4 Abs. 1 Buchst. a der Richtlinie 96/46 vorliegen, d. h. zum einen, ob es sich um eine „Niederlassung …, die der für die Verarbeitung Verantwortliche … besitzt“, im Sinne dieser Vorschrift handelt, und zum anderen, ob diese Verarbeitung „im Rahmen der Tätigkeiten“ dieser Niederlassung im Sinne dieser Vorschrift ausgeführt wird.
54 Was erstens die Voraussetzung anbelangt, wonach der für die Verarbeitung personenbezogener Daten Verantwortliche im Hoheitsgebiet des Mitgliedstaats der betreffenden Kontrollstelle eine Niederlassung besitzen muss, ist darauf hinzuweisen, dass es im 19. Erwägungsgrund der Richtlinie 95/46 heißt, dass eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetzt und dass die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, in dieser Hinsicht nicht maßgeblich ist (Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 28 und die dort angeführte Rechtsprechung).
55 Im vorliegenden Fall steht fest, dass die Facebook Inc. als gemeinsam mit Facebook Ireland für die Verarbeitung personenbezogener Daten Verantwortliche in Deutschland über eine dauerhafte Niederlassung verfügt, nämlich Facebook Germany, die in Hamburg ansässig ist, und dass die letztgenannte Gesellschaft in diesem Mitgliedstaat effektiv und tatsächlich Tätigkeiten ausübt. Sie stellt daher eine Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 dar.
56 Was zweitens die Voraussetzung anbelangt, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ der betreffenden Niederlassung ausgeführt werden muss, ist zunächst darauf hinzuweisen, dass die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden kann (Urteil vom 1. Oktober 2015, Weltimmo, C‑230/14, EU:C:2015:639, Rn. 25 und die dort angeführte Rechtsprechung).
57 Sodann ist darauf hinzuweisen, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 nicht verlangt, dass diese Verarbeitung „von“ der betreffenden Niederlassung selbst ausgeführt wird, sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird (Urteil vom 13. Mai 2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 52).
58 Im vorliegenden Fall geht aus der Vorlageentscheidung und den von Facebook Ireland eingereichten schriftlichen Erklärungen hervor, dass Facebook Germany für die Förderung des Verkaufs von Werbeflächen verantwortlich ist und Tätigkeiten ausübt, die für in Deutschland wohnhafte Personen bestimmt sind.
59 Wie in den Rn. 33 und 34 des vorliegenden Urteils ausgeführt, hat die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten, die durch die Facebook Inc. gemeinsam mit Facebook Ireland ausgeführt wird und in der Erhebung solcher Daten mittels Cookies besteht, die auf den Computern oder jedem anderen Gerät der Besucher auf Facebook unterhaltener Fanpages gesetzt werden, u. a. zum Ziel, es diesem sozialen Netzwerk zu ermöglichen, sein Werbesystem zu verbessern, um die von ihm verbreiteten Mitteilungen zielgerichteter zu gestalten.
60 Wie der Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt hat, ist aber aufgrund dessen, dass zum einen ein soziales Netzwerk wie Facebook einen wesentlichen Teil seiner Einnahmen aus der Werbung erwirtschaftet, die auf den eingerichteten Webseiten eingeblendet und von den Nutzern aufgerufen wird, und zum anderen die in Deutschland ansässige Facebook-Niederlassung die Aufgabe hat, in diesem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen zu sorgen, mit denen die von Facebook angebotenen Dienstleistungen rentabel gemacht werden sollen, anzunehmen, dass die Tätigkeiten dieser Niederlassung als mit der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten, für die die Facebook Inc. gemeinsam mit Facebook Ireland verantwortlich ist, untrennbar verbunden anzusehen sind. Diese Verarbeitung ist somit als im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen ausgeführt im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 anzusehen (vgl. in diesem Sinne Urteil vom 13. Mai 2014 Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 55 und 56).
61 Da nach Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten deutsches Recht anwendbar ist, folgt daraus, dass die deutsche Kontrollstelle gemäß Art. 28 Abs. 1 dieser Richtlinie zuständig war, dieses Recht auf diese Verarbeitung anzuwenden.
62 Folglich war diese Kontrollstelle zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, gegenüber Facebook Germany Gebrauch zu machen.
63 Klarzustellen ist noch, dass der vom vorlegenden Gericht in seiner dritten Frage hervorgehobene Umstand, dass die strategischen Entscheidungen hinsichtlich der Erhebung und Verarbeitung personenbezogener Daten bezüglich Personen, die im Unionsgebiet wohnhaft sind, von einer in einem Drittland ansässigen Muttergesellschaft – im vorliegenden Fall der Facebook Inc. – getroffen werden, nicht geeignet ist, die Zuständigkeit der dem Recht eines Mitgliedstaats unterliegenden Kontrollstelle gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung des für die Verarbeitung dieser Daten Verantwortlichen in Frage zu stellen.
64 Nach alledem ist auf die dritte und die vierte Vorlagefrage zu antworten, dass die Art. 4 und 28 der Richtlinie 95/46 dahin auszulegen sind dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
Zur fünften und zur sechsten Frage
65 Mit der fünften und der sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
66 Zur Beantwortung dieser Fragen ist darauf hinzuweisen, dass, wie aus der Antwort auf die erste und die zweite Vorlagefrage hervorgeht, Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass er es unter Umständen wie denen des Ausgangsverfahrens ermöglicht, im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten die Verantwortlichkeit einer Stelle wie die Wirtschaftsakademie in ihrer Eigenschaft als Betreiber einer bei Facebook unterhaltenen Fanpage festzustellen.
67 Daraus folgt, dass die Kontrollstelle des Mitgliedstaats, in dessen Hoheitsgebiet die verantwortliche Stelle ihren Sitz hat, nach Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 1 und 3 der Richtlinie 95/46 zuständig ist, ihr nationales Recht anzuwenden und somit gegenüber dieser Stelle von sämtlichen, ihr durch dieses nationale Recht übertragenen Befugnissen gemäß Art. 28 Abs. 3 dieser Richtlinie Gebrauch zu machen.
68 Wie Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 vorsieht, nehmen die Kontrollstellen, die mit der Überwachung der Anwendung der von dem Mitgliedstaat, dem sie unterstehen, zur Umsetzung dieser Richtlinie erlassenen Vorschriften beauftragt sind, im Hoheitsgebiet dieses Mitgliedstaats die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr. Dieses Erfordernis ergibt sich auch aus dem Primärrecht der Union, namentlich aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und aus Art. 16 Abs. 2 AEUV (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 40).
69 Außerdem sorgen die Kontrollstellen zwar nach Art. 28 Abs. 6 Unterabs. 2 der Richtlinie 95/46 für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen, jedoch sieht diese Richtlinie weder irgendein Prioritätskriterium vor, das das Eingreifen der Kontrollstellen im Verhältnis untereinander regeln würde, noch schreibt sie vor, dass die Kontrollstelle eines Mitgliedstaats verpflichtet wäre, dem gegebenenfalls von der Kontrollstelle eines anderen Mitgliedstaats geäußerten Standpunkt zu folgen.
70 Somit ist eine Kontrollstelle, deren Zuständigkeit nach nationalem Recht anerkannt ist, in keiner Weise verpflichtet, sich das Ergebnis, zu dem eine andere Kontrollstelle in einer entsprechenden Situation gelangt ist, zu eigen zu machen.
71 Insoweit ist darauf hinzuweisen, dass aufgrund dessen, dass die nationalen Kontrollstellen gemäß Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union und Art. 28 der Richtlinie 95/46 die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen haben, jede von ihnen zu der Prüfung befugt ist, ob bei einer Verarbeitung personenbezogener Daten im Hoheitsgebiet ihres Mitgliedstaats die in der Richtlinie 95/46 aufgestellten Anforderungen eingehalten werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 47).
72 Da Art. 28 der Richtlinie 95/46 seinem Wesen nach bei jeder Verarbeitung personenbezogener Daten zur Anwendung kommt, auch wenn eine Kontrollstelle eines anderen Mitgliedstaats eine Entscheidung getroffen hat, muss eine Kontrollstelle, wenn sich eine Person mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie wendet, in völliger Unabhängigkeit prüfen, ob bei der Verarbeitung dieser Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden (vgl. in diesem Sinne Urteil vom 6. Oktober 2015, Schrems, C‑362/14, EU:C:2015:650, Rn. 57).
73 Daraus folgt, dass im vorliegenden Fall das ULD nach dem mit der Richtlinie 95/46 geschaffenen System befugt war, die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen.
74 Daher ist auf die fünfte und die sechste Frage zu antworten, dass Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 dahin auszulegen sind, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Kosten
75 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

Lenaerts Tizzano Ilešič

Bay Larsen von Danwitz Rosas

Malenovský Levits Juhász

Borg Barthet Biltgen Jürimäe

Lycourgos Vilaras Regan
Verkündet in öffentlicher Sitzung in Luxemburg am 5. Juni 2018.

Der Kanzler Der Präsident

A. Calot Escobar K. Lenaerts

Netzwerkdurchsetzungsgesetz europarechtswidrig

Gepostet von am 11. Januar 2018 in Hass im Netz | Kommentare deaktiviert für Netzwerkdurchsetzungsgesetz europarechtswidrig

Das Netzwerkdurchsetzungsgesetz (NetzDG) wird von der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) sowie dem Europarat hart angegriffen.

Ich hatte das Gesetz im August 2017 kritisiert.

 

Ich bin auch dafür, dass Hate Speech und Fakenews im Netz unterbunden werden. Aber dies hatte bisher auch mit der Hilfe der deutschen Justiz hervorragend funktioniert und es wurde, wenn nötig, im Einzelfall über den jeweiligen Sachverhalt unter Abwägung des Persönlichkeitsrechts und dem Informationsinteresse der Öffentlichkeit entschieden.

Auch der Beauftragte für Medienfreiheit der OSZE Harlem Désir kritisiert die zu starke Begrenzung der Meinungsfreiheit in Deutschland durch das NetzDG.

Es bestehe die Gefahr des Overblocking. Richtig, bei bis zu 40. Mio Bußgeldandrohung wird lieber mehr gelöscht als zu wenig. Zudem hat jeder Nutzer nun Angst davor seine Meinung frei von der Leber weg zu äußern. Dies ist auch offline zu beobachten. Klare Standpunkte werden vermieden und diplomatische schwammige und damit inhaltlich nicht klare Erklärungen werden abgegeben. Damit ist der Informations- und Meinungsaustausch in unserer Gesellschaft beschränkt worden. Die Nachrichten über willkürliche Löschungen auf Facebook und Twitter, die nun durch Gerichte teilweise wieder rückgängig gemacht werden müssen, reißen nicht ab. Es ist mitnichten davon auszugehen, dass sich alle betroffenen Personen dagegen zu Wehr setzen.

Der Europarat in der Gestalt des Kommissars für Menschenrecht, Herrn Nils Muiznieks, beschreibt dieses Phänomen als „Chilling Effect“ und sieht eine Gefährdung der Meinungsfreiheit in Deutschland. Es wurde eine Reformierung des Gesetzes vorgeschlagen.

Das hohe Gut der Meinungsfreiheit spielt in den Sondierungsgesprächen zur Neuauflage der GroKo jedoch keine Rolle, da sie in der letzten Legislaturperiode dieses Gesetz auf den Weg brachte. Die EU sollte meiner Ansicht nach -wie gegen Polen- ein Rechtsstaatsverfahren gegen Deutschland als Mitgliedsstaat wegen der Gefährdung der Meinungsfreiheit erwägen.

 

Social Media Nutzung durch Behörden

Gepostet von am 17. Oktober 2017 in Datenschutzrecht | Kommentare deaktiviert für Social Media Nutzung durch Behörden

Social Media Nutzung durch Behörden

Der Beitrag „Social Media Nutzung durch Behörden“ trägt der staatlichen Nutzung von social – media – Plattformen wie Twitter, Facebook, Youtube – aus datenschutzrechtlicher Sicht – Rechnung. Staatliche Einrichtungen nutzen bspw. Twitter für die Öffentlichkeitsarbeit, Fahndungen oder Warnungen.

aktuelle Situation § 15 Telemediengesetz (TMG)

Staatlich betriebene social – media – accounts sind Telemedien im Sinne von § 1 Abs. 1 TMG. Daher sind staatliche Organisationen zur Vorhaltung eines Impressums verpflichtet, § 5 Abs. 1 TMG.

㤠1 Anwendungsbereich
(1) Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (Telemedien). Dieses Gesetz gilt für alle Anbieter einschließlich der öffentlichen Stellen unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird.“

㤠5 Allgemeine Informationspflichten
(1) Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
1.
den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten und, sofern Angaben über das Kapital der Gesellschaft gemacht werden, das Stamm- oder Grundkapital sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen,
2.
Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post,…“

Das Telemediengesetz ist demnach anwendbar und aus datenschutzrechtlicher Sicht ist § 15 TMG von staatlichen Organisationen zu beachten, welcher die Verarbeitung von Nutzungsdaten beinhaltet.

Grundsätzlich ist die Verarbeitung von Nutzungsdaten nicht gestattet. Eine Ausnahme hiervon ist durch die Einwilligung der betroffenen Person oder durch einen gesetzlichen Erlaubnisvorbehalt möglich. Dies ist bspw. für die Nutzungsmöglichkeit des Telemediums in § 15 Abs. 1 TMG vorgesehen.

Verarbeitung von Nutzungsdaten während der Nutzung des Telemediums

㤠15 Nutzungsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).“

Sobald die Nutzung des Telemediendienstes durch den Nutzer abgeschlossen ist, ist eine Verarbeitung bspw. durch Speicherung grundsätzlich nicht mehr zulässig. In Betracht kommt jedoch eine Pseudonymisierung (nicht Anonymisierung) gemäß § 15 Abs. 3 TMG.

Weiterverarbeitung von Nutzungsdaten nach Beendigung der Nutzungs des Telemediums

Grundsätzlich kann eine Analyse der pseudonymisierten Nutzerdaten für Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung des social – media – Aufritts erfolgen, wenn

  1. der Nutzer auf sein Widerspruchsrecht hingewiesen wurde,
  2. Klardaten und pseudonymisierte Daten des Nutzers strickt getrennt werden.

„(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Gerade der letzte Satz des § 15 Abs. 3 TMG (keine Zusammenführung Klardaten und Pseudonymdaten) funktioniert in der Praxis nicht, da Accountdaten der Nutzer mit den Benutzungsdaten zusammengeführt werden.

Eine Ausnahme macht der EuGH bspw. für Cyberattacken, hier liest er in § 15 Abs. 1 TMG eine vorzunehmende Abwägung zwischen dem Interesse des Nutzers an informationelle Selbstbestimmung (Persönlichkeitsrecht) und dem Interesse der Allgemeinheit an der Abwehr und Sicherheit von Internetdiensten, weshalb bei Überwiegen des Interesses an Sicherheit eine Speicherung personenbezogener Daten, europarechtlich ausgelegt, zulässig sei.

Ich verweise hierzu auf meinen Artikel

http://www.aa13.info/it-recht/datenschutzrecht/.

nach Geltung der EU – Datenschutzgrundverordnung (DS-GVO) am 25.05.2018, der ePrivacy Verordnung (ePrivacy-VO) 25.05.2018

Die

EU – Datenschutzgrundverordnung und die ePrivacyverordnung

gelten ab dem 25.05.2018 und haben Vorrang vor dem Telemediengesetz. Die ePrivacyverordnung wiederum soll im Bereich der elektronischen Kommunikation Vorrang vor der EU-Datenschutzgrundverordnung haben.

Ich verweise hinsichtlich der

EU-Datenschutzgrundverordnung

zu den meiner Ansicht nach erfolgenden Konkretisierungen auf meinen Artikel

auf  http://www.aa13.info/die-neue-eu-datenschutzgrundverordnung/ .

Die

ePrivacyverordnung

im Entwurf regelt nach dem derzeitigen Entwurf zwar die Reichweitenanalyse und den Einsatz von Cookies, wird aber im LIBE – Ausschuss der EU derzeit noch geändert und steht unter massiver Kritik, weshalb die Geltung zum 25.05.2018 noch nicht feststeht (Stand 11.10.2017) und weitere Änderungen zu erwarten sind.

social media mit US – Bezug

Die meistgenutzten social – media – Plattformbetreiber wie Facebook, Twitter oder Instagramm haben ihren Sitz in den USA. Dies ist aus datenschutzrechtlicher Sicht bedenklich, da für die Verarbeitung personenbezogener Daten bspw. von Europäern in den USA kein angemessenes Datenschutzniveau gegeben ist.

Ich verweise zu dem Thema USA und Datenschutzrecht auf meine Artikel

auf aa13.info.

Inhaltlich sind diese Artikel auf social – media Plattformen übertragbar und meiner Ansicht nach ist es derzeit bedenklich, dass auch staatliche Institutionen social – media – Plattformanbieter aus den USA nutzen.

Fazit

Die Nutzung von social – media – Plattformen birgt für staatliche Telemedienanbieter Risiken der Verletzung des TMG, der Verletzung der bald geltenden EU-Datenschutzgrundverordnung und der EuGH sieht das amerikanische Datenschutzrecht für Europäer nicht auf einem angemessenen Datenschutzniveau.

Als verantwortliche Stellen wurden nach der bisherigen Rechtsprechung jedoch nur die Plattformbetreiber (bspw. Facebook) und nicht die account-Nutzer von deutschen Gerichten angesehen, da diese über die Zwecke und Mittel der Verarbeitung entscheiden. Es läge auch keine Auftragsdatenverarbeitungen zwischen Accountinhaber und Plattformbetreiber vor. Dies sehe ich kritisch, da die Ursache der Datenschutzrechtsverletzung dennoch durch den Accountinhaber und Telemedienanbieter gesetzt wird. Zumutbare Maßnahmen sind daher meiner Ansicht nach auch vom Telemedienanbieter zu treffen. Der EuGH hat durch das Bundesverwaltungsgericht eine entsprechende Vorlagefrage zur datenschutzrechtlichen Verantwortlichkeit (BVerwG, Beschluss 25.02.2016, Az. 1 C 28.14) für die beim Aufruf einer Facebook – Fanpage erhobenen Nutzerdaten erhalten und der EuGH wird diese Frage noch abschließend beantworten und damit beurteilen, ob die Verantwortlichkeit gleich Kontrolle bedeutet.

Nachtrag

Am 05.06.2018 hat der EuGH die Verantwortlichkeit des Facebook-Fanpage-Betreibers bejaht.

Ich verweise auf meine Besprechung unter

http://www.digideath.de/datenschutzrecht-eugh-facebook-fanpage-betreiber-ist-verantwortlicher/ .

Ihr Fachanwalt für IT – Recht

Thilo Zachow, Dresden

Facebook für Unternehmen ist mitbestimmungspflichtig

Gepostet von am 4. Oktober 2017 in Datenschutzrecht, Hass im Netz | Kommentare deaktiviert für Facebook für Unternehmen ist mitbestimmungspflichtig

Der Entwurf von social – media – guidelines für Unternehmen und damit auch für Mitarbeiter ist meiner Ansicht nach wichtig, um das Unternehmen, aber auch die Mitarbeiter zu sensibilisieren für das Urheberrecht, das Persönlichkeitsrecht und die Meinungsfreiheit.

Social – Media Fanseiten oder eigene Internetauftritte sind sehr gute Marketinginstrumente für Unternehmen. Dass die

Mitbestimmung durch eine betriebliche Arbeitnehmervertretung

oder die Einwilligung eines Mitarbeiters eine Rolle spielen kann, haben die wenigsten Unternehmen auf dem Zettel.

Ein Sonderfall stellt das

Mitarbeiterbashing

 durch Kunden dar. Hier kann es gegebenenfalls bis zur Abschaltung der Seite oder dem Abschalten einzelner Funktionalitäten gehen (bspw. BAG, Beschluss vom 13.12.2016, Az. 1 ABR 7/15).

§ 87 Abs. 1 Nr. 6 BetrVG ist hierzu einschlägig.

„Betriebsverfassungsgesetz
§ 87 Mitbestimmungsrechte

(1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:
1.
Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb;
2.
Beginn und Ende der täglichen Arbeitszeit einschließlich der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage;
3.
vorübergehende Verkürzung oder Verlängerung der betriebsüblichen Arbeitszeit;
4.
Zeit, Ort und Art der Auszahlung der Arbeitsentgelte;
5.
Aufstellung allgemeiner Urlaubsgrundsätze und des Urlaubsplans sowie die Festsetzung der zeitlichen Lage des Urlaubs für einzelne Arbeitnehmer, wenn zwischen dem Arbeitgeber und den beteiligten Arbeitnehmern kein Einverständnis erzielt wird;
6.
Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;
7.
Regelungen über die Verhütung von Arbeitsunfällen und Berufskrankheiten sowie über den Gesundheitsschutz im Rahmen der gesetzlichen Vorschriften oder der Unfallverhütungsvorschriften;
8.
Form, Ausgestaltung und Verwaltung von Sozialeinrichtungen, deren Wirkungsbereich auf den Betrieb, das Unternehmen oder den Konzern beschränkt ist;
9.
Zuweisung und Kündigung von Wohnräumen, die den Arbeitnehmern mit Rücksicht auf das Bestehen eines Arbeitsverhältnisses vermietet werden, sowie die allgemeine Festlegung der Nutzungsbedingungen;
10.
Fragen der betrieblichen Lohngestaltung, insbesondere die Aufstellung von Entlohnungsgrundsätzen und die Einführung und Anwendung von neuen Entlohnungsmethoden sowie deren Änderung;
11.
Festsetzung der Akkord- und Prämiensätze und vergleichbarer leistungsbezogener Entgelte, einschließlich der Geldfaktoren;
12.
Grundsätze über das betriebliche Vorschlagswesen;
13.
Grundsätze über die Durchführung von Gruppenarbeit; Gruppenarbeit im Sinne dieser Vorschrift liegt vor, wenn im Rahmen des betrieblichen Arbeitsablaufs eine Gruppe von Arbeitnehmern eine ihr übertragene Gesamtaufgabe im Wesentlichen eigenverantwortlich erledigt.
(2) Kommt eine Einigung über eine Angelegenheit nach Absatz 1 nicht zustande, so entscheidet die Einigungsstelle. Der Spruch der Einigungsstelle ersetzt die Einigung zwischen Arbeitgeber und Betriebsrat.“

Entsprechende

Betriebsvereinbarungen oder social media guidelines

habe ich bspw. auch schon für das Tracking von Mitarbeitern entworfen (Datenschutzrechtsbezug).

Ihr Fachanwalt für IT – Recht

Thilo Zachow, Dresden

Sperrung von Links durch Suchmaschinenbetreiber

Gepostet von am 27. September 2017 in Hass im Netz | Kommentare deaktiviert für Sperrung von Links durch Suchmaschinenbetreiber

Sperrung von Links durch Suchmaschinenbetreiber

Im Bereich des

Äußerungsrechts (Bildberichterstattung und/oder Wortberichterstattung)

ist es oft nicht einfach den Täter einer unliebsamen Äußerung zu ermitteln. Ein probates Mittel ist daher die Verfolgung der Unterlassung der Indexierung von Links durch Suchmaschinen, welche die unliebsame Berichterstattung in Ihren Index aufgenommen haben. Dies funktioniert nach dem notice and take down – Prinzip für Suchmaschinenbetreiber als Hostingprovider.

Das

OLG Köln (Urteil vom 13.10.2016, Az. 15 U 173/15) und auch das Landgericht Köln

haben die

Sperrung von Links

als zulässig angesehen, wenn die behauptete Rechtsverletzung offensichtlich erkennbar ist. Das Aufforderungsschreiben muss sehr detailliert gestaltet werden. Weiterhin müssen die Rechtsgrundlagen herausgearbeitet werden, deren Verletzung behauptet wird. Google und co. sind bei der Prüfung sehr schnell dabei, die Nichtindexierung bei Persönlichkeitsrechtsfällen abzulehnen, wenn hier nicht konkret vorgetragen wird und nur die Links genannt werden und eine Verletzung des Persönlichkeitsrechts behauptet wird. Daher ist schon hier eine anwaltliche Beratung und Tätigkeit vorteilhaft, da das Inkenntnisschreiben im notice und take – down – Verfahren die Weichen stellt und ein schneller Erfolg durchaus möglich ist.

Die Schutzinteressen der Betroffenen sind mit den Belangen der Meinungsfreiheit und dem Informationsinteresse der Allgemeinheit abzuwägen. Hierzu bedarf meiner Ansicht der Erfahrung und der Spezialisierung auf das Medienrecht.

Ihr Fachanwalt für IT – Recht

Thilo Zachow, Dresden