Warum der Kreuzzug des ULD gegen die Facebook-User rechtswidrig ist…

…habe ich heute zusammen mit meinem Anwaltskollegen und Kanzleipartner Stephan Dirks zum Gegenstand einer offiziellen Stellungnahme gemacht. Schließlich betreibt unsere Kanzlei selbst eine Facebook-Fanpage und ist daher von der Vorgehensweise des ULD auch betroffen.SDP Rechtsanwälte Kiel

Nachfolgend die Stellungnahme inkl. Anlage. Die vollständige offizielle Medieninformation der Kanzlei ist auch als PDF-Datei abrufbar.

—————————————————————

Stellungnahme zum „Facebook“-Boykott-Aufruf vom 19. August 2011 durch die schleswig-holsteinische Datenschutzbehörde ULD

Am 19.08.2011 wandte sich das Unabhängige Landeszentrum für den Datenschutz in Schleswig-Holstein (ULD) in Kiel mit einer Pressemitteilung unter dem Titel “ULD: Facebook Reichweitenanalyse abschalten an die Öffentlichkeit und forderte unter anderem in Schleswig-Holstein ansässige Firmen und Organisationen dazu auf, alle von ihnen beim Social-Media-Netzwerk Facebook genutzten Dienste zu deaktivieren, bei denen es zu einer Übermittlung von Nutzerdaten Dritter an Facebook in den USA kommt.

Hierzu wurde zeitgleich durch das ULD ein datenschutzrechtliches Gutachten mit dem Titel „Arbeitspapier Facebook und Reichweitenanalyse“ veröffentlich.

Hintergrund der Aufforderung, die mit einem Hinweis auf widrigenfalls ab 01.10.2011 drohende Bußgelder in Höhe von bis EUR 50.000,00 verbunden war, bildet das Reichweitenanalysetool „Facebook insights“, welches aus Sicht des ULD in rechtswidriger Weise Daten von Fanpage-Besuchern erhebt und nutzt. Betroffen sind neben den Nutzern von Facebook-Fanpages auch Anbieter von Webseiten, die dort den sog.  „Gefällt mir“-Button von Facebook verwenden.

Das ULD geht bei seiner rechtlichen Beurteilung von der Annahme aus, dass diejenigen, die bei Facebook eine Fanpage erstellt haben, dadurch „Diensteanbieter“ im Sinne des Telemediengesetzes (TMG) und damit neben Facebook selbst eine verantwortliche „Stelle“ im Sinne des Datenschutzrechts sind.

Den Vorwurf der Rechtswidrigkeit knüpft es sodann konkret an die Vorschrift des § 15 Abs. 3 TMG. Dort heißt es:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht […] hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Diese gesetzlichen Erfordernisse sieht das ULD als durch die Nutzer von Facebook-Fanpages bzw. Verwender des „Gefällt mir“-Buttons von Facebook (ein sog. Social Plugin) verletzt an, weil die Personen, die auf die entsprechenden Seiten bzw. Buttons klicken, zum einen nicht über ihr Widerspruchsrecht informiert werden, zum anderen aber auch Daten aus der Interaktion des Nutzers mit dem Angebot automatisiert weitergeleitet sowie bei Facebook gesammelt und ausgewertet werden.

STRUNK DIRKS + PARTNER Rechtsanwälte, eine Partnerschaftsgesellschaft von Rechtsanwälten mit Sitz in Kiel setzt Beratungsschwerpunkte im Informationstechnologie- und Medienrecht sowie im Gewerblichen Rechtsschutz. Die Kanzlei zählt neben Werbeagenturen, Webdesignern, Software-Programmierern, sonstigen „Internetschaffenden“ und Kreativen auch im Online-/ eCommerce-Bereich geschäftlich tätige Unternehmen aus Handel und Dienstleistung zu ihrem Mandantenkreis. Sie ist als Betreiberin einer eigenen Facebook-Fanpage aber ebenso selbst direkt von der Handlungsweise des ULD betroffen.

Da Facebook den Anbietern von Fanpages und (wegen der entsprechend ausgestalteten Funktionalität) auch den Verwendern des „Gefällt-mir“-Button – nicht die Wahl lässt, ob sie das vom ULD monierte Reichweitentool einsetzen oder nicht und eine Abschaltung der entsprechenden Reichweitenmessung nicht möglich ist, stellen die vollständige Deaktivierung der entsprechenden Fanpage bzw. die durchgängige Nichtverwendung des Social Plugins die einzige Möglichkeit dar, der Aufforderung des ULD gerecht zu werden.

Eine Verpflichtung hierzu besteht nach der durch die Partner unserer Kanzlei vertretenen Rechtsauffassung jedoch entgegen der Ansicht des ULD nicht.

Darüber hinaus halten wir die Vorgehensweise der Behörde in der von ihr konkret gewählten Form der Öffentlichkeitsarbeit für unzulässig, da sie sich hierbei außerhalb der ihr gesetzlich zustehenden Kompetenzen bewegt.

Die Grundzüge der wesentlichen rechtlichen Erwägungen, die wir dieser Einschätzung zugrunde legen, haben wir in der beigefügten Anlage zu dieser Mitteilung formuliert.

Wir möchten hierbei klarstellen, dass wir das Anliegen des ULD in der Sache grundsätzlich befürworten – nämlich den Anbieter Facebook zu einer Handhabung der Daten seiner deutschen Nutzer anzuhalten, die deren Grundrecht auf informationelle Selbstbestimmung im notwendigen Umfang gerecht wird. Auch wir sehen in der derzeitigen Praxis der Datensammlung und -weitergabe in die USA durch Facebook unter den verschiedensten Aspekten ein Problem.

Wir sind jedoch nicht der Auffassung, dass dieses globale Problem dadurch gelöst wird, dass die schleswig-holsteinische Landesdatenschutzbehörde trotz selbst eingestandener nicht vollständig ausermittelter Tatsachengrundlage und im vollen Bewusstsein einer in wesentlichen Teilen unklaren Rechtslage geschäftlich handelnden Facebook-Nutzern in ihrem Einzugsgebiet bei der Anwendung eines Bundesgesetzes unter Überschreitung ihrer Kompetenzen und ohne vorherige  Abstimmung mit den anderen Datenschutzbehörden der Länder öffentlich Bußgelder androht und faktisch als Mittäter von Rechtsverletzungen stigmatisiert, während im übrigen Deutschland munter weiter geklickt wird.

Anlage zur Presse-Information vom 26.08.2011:

Rechtliche Bewertung des Vorgehens des ULD

I.

Das ULD behauptet in seinen in Bezug genommenen Veröffentlichungen durchgängig, dass hinsichtlich sämtlicher Tatbestandsmerkmale, auf die es einen Gesetzesverstoß der betroffenen Facebook-Nutzer stützen will, eine in allen Teilen eindeutige Gesetzeslage vorläge.

Dem ist nicht so:

1) In Fällen, in denen die Besucher einer Webseite mit „Gefällt-mir“-Button keine Facebook-Mitglieder sind, werden allenfalls die IP-Adresse und ggf. auch sog. Cookies übermittelt. Hierin eine i.S.d. BDSG tatbestandsmäßige Datenübermittlung zu sehen, lässt sich nur vertreten, wenn man davon ausgeht, dass die automatisierte Übermittlung einer IP-Adresse oder eines Cookies stets ein personenbezogenes Datum i.S.d. § 3 Abs. 1 BDSG, also die Übermittlung von „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ ist.

Die Rechtslage hierzu ist seit Jahren unklar und in der ständigen Diskussion. Selbstverständlich ist das auch im ULD bekannt. Sowohl die bislang damit befassten Gerichte als auch die übrigen Juristen arbeiten sich argumentativ hier an der zweiten Alternative des § 3 Abs. 1 BDSG ab, ob nämlich die abstrakte, wenn auch u.U. höchst aufwendig zu bewerkstelligende Möglichkeit (etwa erst über einen richterlichen Anordnungsbeschluss, der den Internetprovider zur Auskunft verpflichtet) eines Rückbezugs ausreichend ist, um annehmen zu dürfen, dass mit Hilfe der Datenerhebung eine natürliche Person „bestimmbar“ wird.

Dies wird von Gegenstimmen und einigen Gerichten vielfach als zu weitgehend betrachtet und IP-Adressen und Cookies dementsprechend nicht als personenbezogene Daten angesehen.

So hat etwa das OLG Hamburg erst kürzlich (Beschluß vom 3. November 2010 – Az: 5 W 126/10) festgestellt: „Dass das Ermitteln der IP-Adressen nach deutschem Datenschutzrecht rechtswidrig sein könnte, ist nicht ersichtlich, da bei den ermittelten IP-Adressen ein Personenbezug mit normalen Mitteln ohne weitere Zusatzinformationen nicht hergestellt werden kann.“

Die öffentlichkeitswirksam durch Pressemitteilung und Arbeitspapier verbreitete Auffassung des ULD hierzu gibt also keineswegs den rechtlichen status quo wieder. Die Behauptung, die Rechtslage sei insoweit eindeutig, ist sachlich schlicht falsch, jedenfalls irreführend.

Wir vertreten hierzu die Ansicht, dass die Bewertung des Tatbestandsmerkmals „bestimmbar“ sachgerechter Weise anhand eines relativen Maßstabs und einer einschränkenden Auslegung erfolgen muss.

Dementsprechend teilen wir im hier zu betrachtenden Anwendungsbereich die auch in der Entscheidung des OLG Hamburg anklingende Auffassung, dass ein i.S.d. BDSG hinreichend konkreter Personenbezug zu dem betroffenen Nutzer nicht schon bereits dadurch erzeugt wird, dass es objektiv auf irgendeine Weise möglich wäre, dass irgendjemand die fraglichen Daten mit der Person des Nutzers in direkten Zusammenhang bringen kann. Abzustellen ist vielmehr auf die konkreten Umstände der jeweiligen Datenerhebung, insbesondere die individuell unterschiedlichen tatsächlichen Kenntnisse, Mittel und Möglichkeiten der jeweiligen verantwortlichen  Stelle i.S.d. §  3  Abs.  7  BDSG.

Legt man diesen zutreffenden Maßstab an die hier zu betrachtende Problematik an, kann keine Rede davon sein, dass es etwa bei Verwendung eines „Gefällt-mir“-Buttons zur Erhebung oder Übermittlung personenbezogener Daten kommt.

2) Es erscheint in diesem Zusammenhang darüber hinaus auch zweifelhaft, ob tatsächlich überhaupt eine tatbestandsmäßige Handlung durch den Verwender von Fanpage oder „Gefällt mir“-Button vorgenommen wird:

Der Webseitenbetreiber, der einen „Gefällt mir“-Button in sein Angebot integriert, erhebt nämlich weder selbst Daten, noch erfolgt die etwaige Übermittlung von Daten des Nutzers, die dieser durch den Button-Aufruf eventuell an Facebook übermittelt, in irgendeiner (gar von ihm beeinflussbaren) Form über ihn oder seine Internetpräsenz. Entsprechend und erst recht gilt das für den Anbieter einer Fanpage.

Dann aber fehlt es bereits an einer Datenverarbeitung im Sinne des BDSG durch ihn selbst.

Auch dem ULD ist das sehr wohl bewusst, heißt es doch im Arbeitspapier (5.2.3, S. 17):

„Eine direkte Datenerhebung und –speicherung durch den Webseitenbetreiber erfolgt nicht. Dies ändert jedoch nichts an der Verantwortlichkeit des Webseitenbetreibers, der durch die Gestaltung seiner Website die Datenweitergabe an FB initiiert und damit in der Hand hat.“

Es geht also um die Begründung seiner datenschutzrechtlichen Verantwortung. Zu der führt das ULD im Arbeitspapier (5.2, S. 15/16) zuvor zunächst zutreffend aus:

„Verantwortliche Stelle ist gemäß § 3 Abs. 7 BDSG die Stelle, die „personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“, bzw. nach Art. 2 Buchst. d) S. 1 EU-DSRL die Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Und es konkretisiert an gleicher Stelle auch den Prüfungsmaßstab:

Bei der Bestimmung der Verantwortlichkeit sind nicht allein die rechtlichen, sondern auch die tatsächlichen Umstände entscheidend. Verantwortlich ist danach, wer maßgeblich die inhaltlichen Entscheidungen über die Art, den Umfang und vor allem Zweck der Datenverarbeitung trifft. Diese Interpretation entspricht dem Verständnis der Artikel-29-Datenschutzgruppe zur Auslegung des Begriffes „Verantwortliche Stelle“ gemäß Art. 2 Buchst. d) der europäischen Datenschutzrichtlinie 95/46/EG (EU-DSRL).“

An dieser Stelle hätte die Prüfung des ULD eigentlich enden können. Denn sein Haftungskonstrukt ist bei Anlegung der vorstehenden Maßstäbe schon auf der Grundlage der eigenen Feststellungen der Behörde abzulehnen:

Es ist nicht nachvollziehbar, wie das ULD auf der Grundlage der von ihm selbst beschriebenen Abläufe und dabei auch beklagten Intransparenz der Datenflüsse bzw. Nutzerinformationen im Netzwerk Facebook davon ausgehen kann, dass der Fanpage- oder Button-Verwender hier in irgendeiner Form „mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet“ oder gar „maßgeblich die inhaltlichen Entscheidungen über die Art, den Umfang und vor allem Zweck der Datenverarbeitung“ treffen kann.

Es ist gerade nicht der Betreiber der Webseite bzw. der Fanpage, der die Kontrolle darüber hat, welche Daten wann und in welchem Umfang von Facebook erhoben werden. Er hat lediglich seine Entscheidung für das „ob“ der Einbindung eines Social Plugins bzw. die Nutzung von Fanpages getroffen.

Ob und ggf. in welcher Weise und in welchem Ausmaß durch Facebook eine Datenerhebung und –auswertung erfolgt, liegt nicht nur vollständig außerhalb seines Einflußbereichs, sondern tatsächlich – so ja auch das ULD – außerhalb seiner Kenntnis.

Seine Kontrolle beschränkt sich also darauf, das von Facebook zur Verfügung gestellte Social Plugin bzw. die Fanpage zu nutzen – oder halt nicht. Von einer irgend gearteten relevanten (Mit-)Steuerung des Prozesses der Datenverarbeitung kann daher keine Rede sein. Dies jedoch wäre notwendige Voraussetzung für eine Haftungsbegründung.

Eine Haftung des Nutzers von Fanpage bzw. „Gefällt-mir“-Buttons als „verantwortliche Stelle“ i.S.d. § 3 Abs. 7 BDSG ist demnach nicht gegeben.

II.

Das ULD ist – auch nach eigenem Selbstverständnis – für seinen Bereich eine oberste Landesbehörde. Dementsprechend muss es sich auch daran messen lassen, ob es sich verwaltungs- und verfassungsrechtlich danach verhält. Dies ist nicht der Fall:

Zunächst ist festzustellen, dass das ULD im Rahmen seiner Pressemitteilung nicht nur die Webseiten- bzw. Fanpageanbieter zum Deaktivieren der entsprechenden Dienste auffordert, sondern mit der Formulierung:

„Den Nutzerinnen und Nutzern im Internet kann das ULD nur den Ratschlag geben, ihre Finger vom Anklicken von Social-Plugins wie dem „Gefällt mir“-Button zu lassen und keinen Facebook-Account anzulegen […]“

auch zum allgemeinen Boykott von Facebook durch sämtliche Internetnutzer aufruft.

Mit seinen Veröffentlichungen greift das ULD u.a. in die Grundrechte der betroffenen Nutzer ein, die Facebook geschäftlich nutzen.

Einschlägige Normen, die hier berührt werden, sind insbesondere Art. 12 Abs. 1 Grundgesetz (GG) – Berufsausübung, Art. 14 Abs. 1 – Eigentum (Recht am eingerichteten und ausgeübten Gewerbebetrieb) sowie Art. 3 Abs. 1 GG – Gleichheitsgrundsatz (unter dem Aspekt der Verletzung der Wettbewerbsneutralität) sowie ggf. Art. 2 Abs. 1 GG – Handlungsfreiheit.

Da Grundrechte betroffen sind, gilt der grundgesetzlich verankerte sog. Gesetzesvorbehalt, so dass für das konkrete Handeln der Behörde eine  gesetzliche  Rechtsgrundlage erforderlich  ist.

In der Gesamtschau der Veröffentlichungen vom 19.08.2011 liegt nach Art und Ausmaß eine Form der Öffentlichkeitsarbeit, die dem ULD nicht zusteht, da es hierfür weder eine gesetzliche Grundlage gibt, noch die von der verfassungsrechtlichen Rechtsprechung definierten Voraussetzungen vorliegen, unter denen die Behörde ausnahmsweise zu einer marktbezogenen Information der Öffentlichkeit bzw. sog. „behördlichen Warnung“ berechtigt wäre:

1) Wie bereits von HÄRTING (Öffentlichkeitsarbeit einer Landesbehörde, online veröffentlicht am 22.08.2011 bei computerundrecht.de) aufgezeigt, existiert für die Öffentlichkeitsarbeit des ULD keine gesetzliche Eingriffsnorm:

„§ 43 LDG SH weist dem ULD zwar die Beratung der Bürgerinnen und Bürger über Fragen des Datenschutzes als „Serviceaufgabe“ zu, ist jedoch nicht als Norm ausgestaltet, die das ULD zu Grundrechtseingriffen legitimiert. Als Eingriffsnorm gegenüber nicht-öffentlichen Stellen kommt allein § 38 BDSG in Verbindung mit § 39 Abs. 2 LDG SH in Betracht. Nach § 38 Abs.1 BDSG ist die ULD zwar befugt, bei datenschutzrechtlichen Verstößen den Betroffenen zu informieren. Eine Veröffentlichungsbefugnis ist § 38 Abs. 1 BDSG jedoch nicht zu entnehmen.

Nach § 38 Abs. 5 Satz 1 BDSG ist die ULD berechtigt, Maßnahmen zur Beseitigung festgestellter Rechtsverstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anzuordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann  die ULD die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen (§ 38 Abs. 5 Satz 2 BDSG). Veröffentlichungsbefugnisse ergeben sich aus § 38 Abs. 5 BDSG nicht.“

2) Ebenfalls bei HÄRTING (a.a.O.) sind sowohl die Voraussetzungen dargestellt, unter denen das  Bundesverfassungsgericht auch ohne legitimierende Eingriffsnorm die marktbezogene Öffentlichkeitsarbeit einer staatlichen Behörde für zulässig hält, als auch die Gründe, aus denen diese Voraussetzungen im Fall des ULD nicht vorliegen. Wir teilen die dortigen Einschätzungen inhaltlich und geben sie daher nachfolgend auszugsweise hier wieder:

„Wegen des großen Informationsbedürfnisses der Öffentlichkeit, das heutzutage in Fragen des Datenschutzes feststellbar ist, kann sich das ULD bei seiner „Kampagne“ auf eine legitimierende staatliche Aufgabe berufen. 

Fraglich ist allerdings, inwieweit das ULD die Zuständigkeitsordnung beachtet:

„Datenschutzrechtliche Bewertung der Reichweitenanalyse  durch  Facebook“ lautet die Überschrift des Arbeitspapiers. Im Mittelpunkt der Aktivitäten des ULD steht ein amerikanisches Unternehmen, das in Hamburg ein Vermarktungsbüro unterhält. Weshalb eine schleswig-holsteinische Landesbehörde für die kritische Untersuchung der Aktivitäten dieses Unternehmens zuständig sein soll, ist nicht ohne Weiteres ersichtlich. 

Erhebliche Zweifel bestehen auch an der Richtigkeit und Sachlichkeit der Informationen, die das ULD verbreitet:

•  Unklarkeit der Rechtslage:  Das Arbeitspapier, die Pressemitteilung und die Interviewäußerungen erwecken den Eindruck, dass das geltende Datenschutzrecht eindeutige Antworten auf die Fragen gibt, die im Zusammenhang mit den Facebook-Fanseiten und dem „Gefällt mir“-Button gestellt werden. Schon wegen der nicht zu leugnenden Unzulänglichkeiten des geltenden Datenschutzrechts kann es jedoch keine eindeutigen Antworten geben. Hinzu kommt, dass Grundannahmen, die das ULD seiner Stellungnahme zugrunde liegt, im datenschutzrechtlichen Schrifttum kontrovers diskutiert werden, ohne dass dies in den Äußerungen des ULD auch nur ansatzweise zum Ausdruck kommt.

•  Irrelevanz des Facebook-Marktwerts: Das Sachlichkeitsgebot ist klar verletzt, wenn sich der Leiter des ULD in der Pressemitteilung, wie  folgt, zitieren lässt: „Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.“

 Der (angebliche) „Marktwert“ von Facebook steht offenkundig in keinem sachlichen Zusammenhang zu den Rechtsfragen, zu denen sich das Arbeitspapier verhält. Und das „Abschieben“ einer datenschutzrechtlichen Verantwortung impliziert den Vorwurf einer bewussten Nachlässigkeit, ohne dass sachliche Gründe für einen solchen Vorwurf ersichtlich sind.

•  Irreführender Marktvergleich: Vollständig unsachlich und in besonderem Maße fragwürdig ist auch der an einen Boykottaufruf grenzende Hinweis auf „europäische und andere Social Media, die den Schutz der Persönlichkeitsrechte der Internet-Nutzenden ernster nehmen.“ Der Leiter der ULD behauptet nicht, „andere Social Media“ mit derselben Hartnäckigkeit untersucht zu haben. Der vergleichenden Wertung fehlt somit jegliche sachliche Grundlage.

3) Zu den vorstehend angesprochenen Aspekten ist aus unserer Sicht Folgendes zu ergänzen:

Facebook-Fanpages bieten unstreitig mittlerweile einen wichtigen Vertriebskanal für Dienstleistungen, Handel, Werbung sowie Marken- und Imagebildung. Nicht nur Unternehmen und Berater, die ihre Tätigkeit schwerpunktmäßig im Medien-und IT-Bereich entfalten, können auf Aktivitäten im Bereich Social Media mittlerweile kaum mehr verzichten. Es sind daneben ganze Geschäftsmodelle neu entstanden, die in wesentlichem Maße darauf angewiesen sind, dass die unter Facebook zur Verfügung gestellten Networking-Tools eingesetzt werden können.

Die Aktion des ULD wirkt sich vor diesem Hintergrund unmittelbar auf geschäftliche Aktivitäten bzw. deren Rahmenbedingungen aus und beeinträchtigt so den fairen Wettbewerb. Hierin liegt eine Verletzung des Gleichheitsgebots aus Art. 3 Abs. 1 GG:

Das ULD nimmt unter Berufung auf § 45 Abs. 1 des Landesdatenschutzgesetzes Schleswig-Holstein Aufgaben einer (obersten) Landesbehörde wahr. Dem entsprechend erstrecken sich seine Befugnisse lediglich auf Adressaten in Schleswig Holstein. In Schleswig-Holstein ansässige Unternehmen stehen aber regelmäßig in bundesweiten Wettbewerb mit ihren Mitbewerbern.

Die Tatsache, dass das ULD bei der Ausführung eines im gesamten Wirtschaftsraum der Bundesrepublik Deutschland für alle Wettbewerber geltenden Gesetzes hier partiell gegen geschäftliche Aktivitäten von Unternehmen aus Schleswig-Holstein vorgeht, beinhaltet dabei eine Verletzung der Wettbewerbsneutralität.

Zwar mag dahingehend argumentiert werden, dass sich die hoheitliche Gewalt des ULD gegenüber allen Adressaten im nördlichsten Bundesland gleich entfaltet, jedoch darf dabei nicht übersehen werden, dass die entsprechende Vergleichsgruppe sich wegen der genannten Wettbewerbssituation auf das gesamte Bundesgebiet erstreckt.

Derartige Wertungen sind auch für das ULD zu berücksichtigen. Es hat sich aus unserer Sicht daher jedenfalls mit den übrigen Landesdatenschutzbeauftragten abzustimmen, was nach den eigenen Darstellungen im Rahmen der Pressemitteilung sowie Aussagen an der Aktion beteiligter Mitarbeiter im Vorfeld nicht geschehen ist. Bislang ist ein ähnliches Vorpreschen anderer Datenschutzaufsichtsbehörden auch nicht bekannt geworden.

Wenn die Behörde schon selbst zutreffend erkennt: „Eine umfassende Analyse ist einer kleinen Datenschutzbehörde wie dem ULD mit einem Wurf nicht möglich“, muss sie davon Abstand nehmen, irgendwelche Maßnahmen loszutreten, ohne zuvor zu Ende gedacht oder aber sich mit den übrigen Landesbehörden auf ein gemeinsames Vorgehen verständigt zu haben.

Denn bei der Anwendung des Telemediengesetzes geht es um die Auslegung von Bundesrecht. Dessen behördliche Handhabung gegenüber den Rechtsunterworfenen kann sich – insbesondere im geschäftlichen Bereich – nicht nach der Zufälligkeit richten, ob der Anbieter seinen Sitz noch in Norderstedt oder schon in Schnelsen hat.

Hinzu kommt, dass hier auch erhebliche Zweifel an der Beachtung des Grundsatzes  der  Verhältnismäßigkeit bestehen: Eine behördliche  Äußerung darf  nicht  außer  Verhältnis zum dem mit ihr vorhersehbar verbundenen Schaden stehen.

Genau dies steht jedoch im Hinblick auf die betroffenen Unternehmen zu befürchten, denn diese werden trotz unklarer Rechtslage und uneinheitlicher Behördenpraxis genötigt, entweder sehr kurzfristig ihre – u.U. gut eingeführten und sorgfältig gepflegten repräsentativen Fanpages zu deaktivieren und sich auf einen Schlag von einer häufig vier- oder gar fünfstelligen Nutzerzahl abzukoppeln oder mit dem durch die Öffentlichkeitsarbeit des ULD begründeten Ansehensverlust – und der Aussicht auf einen möglicherweise folgenden  Bußgeldbescheid zu leben.

Zu betonen ist, dass nicht erst das in Aussicht gestellte weitere Vorgehen des ULD aus unserer Sicht den Verstoß begründet:

Nach unserer Rechtsauffassung ist bereits die Ankündigung eines entsprechenden Vorgehens durch das ULD wegen des faktischen Drucks unzulässig, der hierdurch (und die öffentliche Erklärung, wer die entsprechenden Werkzeuge nutze, verhalte sich rechtswidrig) erzeugt wurde.

Allein durch die Inaussichtstellung von Bußgeldern in deutlich fünfstelliger Höhe haben bereits die Äußerungen des ULD aus der vergangenen Woche Eingriffscharakter: Nicht wenige Betreiber von Facebook-Fanpages werden bereits hierdurch dazu gebracht werden, ihre Aktivitäten einzustellen oder – so unsere Kenntnis – haben dies sogar bereits getan.

Hinzu kommt die Wirkung auf die Öffentlichkeit, die auf der Grundlage der ULD-Veröffentlichung künftig jeden Anbieter einer Seite, auf der die inkriminierten Tools verwendet werden, ohne hinreichenden sachlichen Grund als unseriös betrachten muss.

Zudem ist zu berücksichtigen, dass sich auch der an die Internetnutzer bezüglich der Nutzung von Facebook gerichtet Boykott-Aufruf unmittelbar auf die geschäftlichen Aktivitäten der o.a. Unternehmen auswirkt.

Last but not least: Aus unserer Sicht überschreitet das ULD hier auch insoweit seine Kompetenz, als es nicht Aufgabe einer Aufsichtsbehörde sein kann, Rechtsmeinungen per Pressemitteilung in den Raum zu stellen.

Entsprechendes gilt für die Untersuchung der Frage, ob Teilnahmebedingungen eines Anbieters den zivilrechtlichen Anforderungen an wirksame allgemeine Geschäftsbedingungen genügen. Dies zu beurteilen ist nicht Sache einer Datenschutzbehörde.

Die behördliche Kompetenz beschränkt sich in diesem Bereich darauf, Entscheidungen darüber zu treffen, ob im Einzelfall Maßnahmen ergriffen oder unterlassen werden.

Allein dies würde auch den Betroffenen den Weg zu einer gerichtlichen Klärung öffnen.

Gerade weil die Rechtslage wegen der systemimmanenten Lücken der geltenden Datenschutzbestimmungen hinsichtlich wesentlicher Tatbestandsmerkmale uneinheitlich beurteilt und kontrovers diskutiert wird,  verbietet es sich jedoch, den Kampf, den die Behörde ausweislich der Aussagen ihres Leiters Thilo Weichert gegenüber heise online offenbar gegen Facebook führen will (“Wir werden die Eskalation suchen und dazu das gesamte Instrumentarium nutzen.”) gegen die Nutzer auszutragen.

 

7 Antworten zu “Warum der Kreuzzug des ULD gegen die Facebook-User rechtswidrig ist…