VG Schleswig: Keine Bindung Facebooks an das deutsche Datenschutzrecht - Gründe, Konsequenzen und Optionen
Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, kurz ULD hat sich im vergangenen Jahr einen erbitterten „Kampf" mit dem sozialen Netzwerk Facebook geliefert, der stark an den biblischen Zweikampf des jungen David gegen den riesigen Krieger der feindlichen Philister, Goliath, erinnert (1. Sam 17). Im Vertrauen auf Gottes Hilfe tritt David dem gewaltigen Gegner entgegen und kann ihn mit seiner Steinschleuder besiegen. Im Vertrauen auf die Hilfe des deutschen Datenschutzrechts, zog auch das ULD in die Schlacht mit dem Internetriesen und suchte danach, diesen an die deutschen Vorgaben zum Schutz des Allgemeinen Persönlichkeitsrechts zu binden. Der Streit um den Facebook Like-Button und seine heimliche Kommunikation mit seinem Hersteller war (faktisch) zu Gunsten des ULD ausgegangen, denn zahlreiche deutsche Unternehmen hatte hieraufhin auf die sog. „2-Klick-Lösung" umgestellt, die den Like-Button zunächst deaktiviert und nur im Rahmen einer (bewussten) User-Interaktion „freischaltet". Ein weiterer Dorn im Auge des Datenschutzes war die von Facebookusern geforderte „Klarnamenpflicht". Facebook verlangt von Nutzern, ihre bürgerlichen Namen zu registrieren, keine Pseudonyme. Der Nutzer, der sich hieran nicht hält, dessen Konten werden gelöscht. Das ULD hielt dies für datenschutzwidrig; nach Ansicht der Kieler Datenschützer müssten alle Facebook-Nutzer die Möglichkeit haben, statt der Angabe echter Informationen zu ihrer Person auch unter einem Pseudonym im Sozialen Netzwerk zu agieren. Das ULD erließ deshalb eine entsprechende Anordnung, mit der der us-amerikanischen Facebook Inc. und der irischen Fcebool Ireland Ltd. aufgegeben wurde, die Kontolöschungen pseudonymisierter Nutzer rückgängig zu machen und zukünftig von der Klarnamenpflicht Abstand zu nehmen. Die hiergegen gerichtete Klage beider Unternehmen hatte vor dem VG Schleswig nunmehr (einstweilen) Erfolg (VG Schleswig, Beschlüsse vom 14.02.2013, Az. 8 B 61/12 und 8 B 60/12).
Hintergründe:
Nach § 13 Abs. 6 Telemediengesetz (TMG) haben Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese bereits im Jahre 1997 mit dem sog. Teledienstedatenschutzgesetz (TDDSG) eingeführte Verpflichtung soll nach der erklärten Zielsetzung des Gesetzgebers dem Grundsatz der Datenvermeidung und Datensparsamkeit dienen. Welche technischen Möglichkeiten dabei in Betracht kommen, ist von einer generellen, objektiven Sichtweise abhängig. Der Diensteanbieter soll jedoch nicht zu jedem möglichen technischen Angebot verpflichtet sein. Die Zumutbarkeit des Angebots setzt deshalb eine Grenze, bei der z. B. Größe und Leistungsfähigkeit des Diensteanbieters berücksichtigt werden können. Bestimmte technische Verfahren werden durch das Gesetz nicht vorgeschrieben. Für das Erfordernis der „Anonymität" ist die faktische Anonymität im Sinne von § 3 Abs. 6 BDSG ausreichend. Pseudonymes Handeln ermöglicht daher nicht anonymes, sondern quasi-anonymes Handeln. Ein Pseudonym kann daher ein Name oder eine Kurzbezeichnung sein, die aus sich heraus die Identität des Nutzers nicht preisgeben. Obgleich es sich bei den (datenschutzrechtlichen) Bestimmungen des TMG in §§ 11 bis 15a TMG um Umsetzungsakte in Bezug auf europäische Richtlinienvorgaben, genauer der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr handelt, ist der deutsche Gesetzgeber mit der Verpflichtung auf das Angebot anonymer oder zumindest pseudonymisierter Nutzung von Telemedienangeboten über die konkreten Richtlinien-Vorgaben hinaus gegangen. Entsprechende nationale Umsetzungsakte finden sich daher nicht in sämtlichen Mitgliedstaaten. Beispielsweise in Irland existiert eine generelle Pflicht zur Bereitstellung anonymer oder pseudonymisierter Nutzungsmöglichkeiten nicht.
Keine Anwendbarkeit deutschen Datenschutz-rechts auf Facebook
Das Soziale Netzwerk Facebook wird von der US-amerikanischen Facebook Inc. in Palo Alto betrieben. Für die europäischen Nutzer wurde eine „selbstständige" Niederlassung, die Facebook Ireland Ltd. in Dublin, Irland, errichtet. Neben dieser existiert in der Bundesrepublik die Facebook Germany GmbH, die nach Angaben der Konzernmutter ausschließlich im Bereich der Anzeigenaquise und im Bereich des Marketing tätig ist. Die Einzelheiten der vertraglichen Beziehungen der Gesellschaften untereinander sind zwischen dem ULD und Facebook bis zum heutigen Tage streitig. Das ULD sieht die Anwendung des § 13 Abs. 6 TMG jedoch jedenfalls auf Grund der Tatsache, dass mit der Facebook Germany GmbH eine deutsche Niederlassung begründet wurde, als gegeben an. Facebook selbst, sieht für ihr Angebot allein die Anwendung irischen Datenschutzrechts als möglich und zulässig an. Der Grund: Die Datenverarbeitung personenbezogener Daten werde - auf für deutsche Mitglieder - allein von der irischen Facebook Ireland Ltd. verantwortet; weder die deutsche Facebook Germany GmbH, noch die US-amerikanische Konzernmutter seinen in den Datenverarbeitungsvorgang (mit eigener Rechtsstellung) eingebunden. Da - wie beschrieben - eine Verpflichtung zur Anonymisierung oder zumindest Pseudonymisierung im irischen Datenschutzrecht nicht normiert worden sei, könne Facebook - auch bezogen auf die deutschen Nutzer - nicht zur Einrichtung derartiger Nutzungsmöglichkeiten „gezwungen" werden.
Die Entscheidung des VG Schleswig
Mit Beschlüssen vom 14.02.2013 gab das VG Schleswig dem Internetriesen recht und stellte (vorläufig) die Unanwendbarkeit des deutschen materiellen Datenschutzrecht gegenüber Facebook fest. Nach Ansicht des Verwaltungsgerichtes ergäben sich keine Anhaltspunkte dafür, Gegenteiliges anzunehmen, denn für die Datenverarbeitung sei allein die Facebook Ireland Ltd. verantwortlich, was nach den Vorgaben der europäischen Datenschutzrichtlinie zwangsläufig zu einer Anwendung irischen Datenschutzrechts führen müsse.
Nach § 1 Abs. 5 S. 1 BDSG findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, soweit dies nicht durch eine Niederlassung im Inland erfolgt. Gemäß Erwägungsgrund 19 der RL 95/46/EG setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedsstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Eine solche effektive und tatsächliche Ausübung datenschutzrelevanter Verarbeitungsvorgänge finde jedoch nicht in der Bundesrepublik, sondern ausschließlich in Irland statt.
Das ULD ist hier anderer Ansicht und sieht die Verantwortung der Facebook Germany GmbH auch bezogen auf die Verarbeitung personenbezogener Daten als gegeben an; insbesondere zweifelt das ULD an der eigenen Verantwortlichkeit der Facebook Ireland Ltd. und behauptet die Steuerung der Datenverarbeitung allein aus der Konzernzentrale in Palo Alto heraus. Wäre dem so, so käme in der Tat die Anwendung des deutschen Datenschutzrechts in Betracht. Hierfür sah das VG Schleswig jedoch keine Anhaltspunkte und sah sich vielmehr durch die Prüfungen der irischen Datenschutzbehörde in der Ansicht bestätigt, dass die Datenverarbeitung personenbezogener Nutzerdaten innerhalb der EU von der irischen Niederlassung verantwortet wird. Dann jedoch streitet das Nebeneinander von deutschem und irischem Datenschutzrecht für Irland; eine Anwendung der restriktiveren deutschen Bestimmungen scheidet aus.
Konsequenzen:
Das ULD hat bereits Beschwerde zum zuständigen OLG Schleswig angekündigt. Sollte auch dieses die Ansichten des VG Schleswig teilen, wären die Aktivitäten Facebooks datenschutzrechtlich zukünftig allein an den Vorgaben des irischen Datenschutzrechts zu messen. Das unterschiedliche Schutzniveau beider Länder in Punkto Datenschutz verdeutlicht die Notwendigkeit einer (geplanten) Vereinheitlichung des Datenschutzrechts in Europa, wie sie im Rahmen der EU-Datenschutzverordnung aktuell diskutiert wird. Bis dahin könnte die Entscheidung des VG Schleswig dem sog. „Forum-Shopping" im Datenschutzrecht Vorschub leisten. Unternehmen könnten verleitet sein, ihre Datenverarbeitungsvorgänge in Mitgliedstaaten zu verlagern, die ein geringeres Schutzniveau vorsehen und damit mehr Gestaltungsmöglichkeiten für die Datenverarbeitung bieten. Diese Gefahr ist zweifelsohne gegeben, sie ist in einem vereinten Europa jedoch hinzunehmen und zu akzeptieren. Was im Rahmen des Gesellschaftsrechts bereits Gang und Gebe ist, muss auch für den Bereich des Datenschutzrechts gelten. Die Gestaltung nach dem „günstigsten" Rechtssystem ist daher weder missbräuchlich, noch sonst wie untersagt.
Gleichwohl, auch dies hebt das VG Schleswig deutlich hervor, ist den deutschen Datenschutzbehörden in dieser Konsequenz nicht jeglicher Handlungsspielraum genommen. „Klarstellend sei hervorgehoben, dass die Kompetenzen des Antragsgegners als KontrollsteIle im Sinne von Art. 28 RL 95/46/EG bzw. Aufsichtsbehörde gemäß § 38 Abs. 1 S. 1 BDSG betreffend die Einhaltung des irischen Datenschutzrechtes von vorliegender Entscheidung nicht betroffen ist.", heißt es insoweit in den Gründen der Beschlüsse vom 14.02.2013. Nach § 38 Abs. 1 BDSG sind die deutschen Aufsichtsbehörde auch zur Kontrolle der Ausführung des irischen Datenschutzrechtes berufen, soweit deutsche Nutzer hiervon betroffen sind. Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz fest, so ist sie weiterhin befugt, die Betroffenen hierüber zu unterrichten und den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen (Irlands) anzuzeigen.
Fraglich ist jedoch, ob die verantwortlichen Stellen in diesem Zusammenhang auch zur umfassenden Auskunftspflicht gegenüber den deutschen Aufsichtsbehörden verpflichtet sind, wie sie in § 38 Abs. 2 BDSG normiert ist. Das VG Schleswig selbst, spricht ausdrücklich (nur) von § 38 Abs. 1 S. 1 BDSG, so dass durchaus fraglich erscheint, wie weit die Befugnisse der deutschen Aufsichtsbehörden in Konstellationen „a al Facebook" reichen. In diesem Zusammenhang hatte das ULD mehrfach die mangelnde Kooperations- und Auskunftsbereitschaft Facebooks kritisiert. Richtig dürfte jedoch sein, auch § 38 Abs. 3 BDSG in diesem Falle zur Anwendung zu bringen, wie sonst sollte eine angemessene Kontrolle zu garantieren sein. Andernfalls wäre die Aufsichtsbehörde darauf beschränkt, den Aussagen der verantwortlichen Stelle einfach „Glauben" zu schenken, eine effektive Kontrolle wäre faktisch ausgeschlossen. Wird die Anwendbarkeit des BDSG von der verantwortlichen Stelle mithin bestritten und/oder die Einhaltung bestimmter ausländischer Datenschutzvorgaben behauptet, muss der Aufsichtsbehörde die Möglichkeit verbleiben, die Behauptungen zu überprüfen (so auch OLG Celle, RDV 1995, 244 f; Petri, in: Simitis (BDSG), 11. Aufl. 2011, § 38 Rn. 34). Zum Zwecke dieser Überprüfung muss die Auskunftspflicht nach § 38 Abs. 3 BDSG jedoch aufrechterhalten bleiben.
Anders gilt jedoch für die Betretungsrechte gem. § 38 Abs. 4 BDSG. Soweit hier Kontrollen am Sitz der verantwortlichen Stelle und damit im Ausland durchgeführt werden, wird dies allein im Wege der Amtshilfe möglich und zulässig sein.
Juliane Kazemi