19. November 2013 - Wenden Sie sich doch einfach an Irland ...

Datenschutzaufsicht in Deutschland für Facebook nicht zuständig!

Sie haben einen Facebook-Account und rufen ihn über www.facebook.de auf? Und Sie glauben, dann müsse für Ihren Account auch deutsches Datenschutzrecht gelten? Dann haben Sie die Rechnung ohne das BDSG und die EG-Datenschutz-Richtlinie gemacht! Denn daraus ergibt sich, dass in diesem Fall irisches Datenschutzrecht gilt. So jedenfalls das Oberverwaltungsgericht Schleswig-Holstein. Sie glauben, das müsse ein schlechter Witz sein? Lesen Sie, wie das Gericht auf diese Idee kommt!

Thinkstock-DreamCursor
Facebook und deutsches Datenschutzrecht: Keine "Like"-Beziehung (Bild: Thinkstock/DreamCursor)

Facebook ist kein einheitliches Unternehmen

„Facebook“ als ein einheitliches weltweites Unternehmen gibt es nicht. Unter anderem existieren die folgenden rechtlich selbstständigen Gesellschaften:

  • Facebook Inc. mit Sitz in Palo Alto/USA, dessen Vorstand Mark Zuckerberg ist
  • Facebook Ireland Ltd mit Sitz in Dublin/Irland
  • Facebook Germany GmbH mit Sitz in Hamburg/Deutschland

Die Abkürzung „Inc.“ steht dabei für „Incorporated“, die Abkürzung „Ltd“ für „Limited“. Beide Begriffe bedeuten vom Grundsatz her in etwa dasselbe wie „mit beschränkter Haftung“. Beide Gesellschaften sind also rechtlich gesehen so etwas Ähnliches wie eine deutsche GmbH.

facebook.de leitet auf facebook.com um

Sobald Sie www.facebook.de aufrufen, finden Sie sich auf der Seite www.facebook.com wieder – die meisten Nutzer achten darauf allerdings nicht. Dass es dabei aber nicht nur um eine EDV-technische Frage geht, macht der vorliegende Fall deutlich.

Facebook möchte nur Echtdaten haben

Irgendwann im Jahr 2012 begann Facebook, die Konten von Personen, die auf www.facebook.com registriert sind, zu sperren, wenn sie bei der Registrierung ihre Echtdaten gar nicht oder nur unvollständig angegeben und stattdessen zum Beispiel einen Fantasienamen benutzt hatten.

Das hält das ULD für rechtswidrig

Darin sah das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine Verletzung deutschen Datenschutzrechts. Deshalb erließ es am 14. Dezember 2012 einen Bescheid gegen Facebook Inc. in Palo Alto/USA und forderte das Unternehmen dazu auf, die Accounts von Personen aus Schleswig-Holstein, die nur aus diesem Grund gesperrt worden waren, zu entsperren.

Das ULD erlässt eine Anordnung gegen Facebook USA

Dabei verfügte das ULD, dass diese Anordnung sofort vollziehbar ist. Eine solche Anordnung hat zunächst einmal zur Folge, dass Rechtsbehelfe (Widerspruch oder Klage zum Verwaltungsgericht) des Unternehmens keine aufschiebende Wirkung haben, also zumindest zunächst völlig wirkungslos sind.

Dagegen wehrt sich Facebook Inc. und beantragt zunächst, dass das Gericht die aufschiebende Wirkung des von Facebook eingelegten Widerspruchs anordnet. Sofern das Gericht diesem Antrag entsprechen sollte, hätte dies zur Folge, dass Facebook die Anordnung so lange nicht beachten muss, bis über den Widerspruch entschieden ist.

Das Verwaltungsgericht hatte als erste Instanz die aufschiebende Wirkung angeordnet. Dagegen richtet sich die Beschwerde, über die das Oberverwaltungsgericht nun zu entscheiden hat.

Das Oberverwaltungsgericht hält dies für unzulässig

Das Oberverwaltungsgericht kommt zu dem Ergebnis, dass die Entscheidung der ersten Instanz zutreffend war und dass der Widerspruch von Facebook aufschiebende Wirkung hat.

Das begründet es mit verschiedenen Gesichtspunkten. Den Kern der Argumentation bildet jedoch die Feststellung, dass deutsches Datenschutzrecht in diesem Fall gegenüber Facebook überhaupt nicht anwendbar ist. Um die Argumentation des Gerichts zu verstehen, sollte man sich zunächst einmal vor Augen halten, welche relativ komplizierten Grundsätze für die Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) gelten:

Das BDSG gilt für Unternehmen in Deutschland

  • Als Grundsatz ist festgelegt, dass das BDSG für alle „nicht-öffentlichen Stellen“ gilt, die in Deutschland personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erheben, verarbeiten oder nutzen (§ 1 Abs. 2 Nr. 3 BDSG).
  • Sollte also Facebook Deutschland GmbH die Daten der deutschen Account-Inhaber erheben, verarbeiten oder nutzen, bestünde kein Zweifel daran, dass das BDSG anwendbar wäre.

Es gilt aber nicht für Unternehmen in anderen EU-Staaten

  • Der geschilderte Grundsatz spielt allerdings dann keine Rolle, wenn eine nach BDSG verantwortliche Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, die ihrerseits in einem anderen Mitgliedstaat der Europäischen Union „gelegen“ ist. In diesem Fall gilt das BDSG vielmehr ausdrücklich nicht (§ 1 Abs. 5 Satz 1 erster Halbsatz BDSG).
  • Sofern die Erhebung, Verarbeitung oder Nutzung durch Facebook Ireland Ltd. und nicht durch Facebook Deutschland erfolgen sollte, wäre das BDSG daher nicht anwendbar. Stattdessen wäre vom irischen Datenschutzrecht auszugehen. Es weicht in durchaus relevanten Punkten vom deutschen Datenschutzrecht ab.

Für Niederlassungen von Unternehmen aus anderen EU-Staaten gilt das BDSG jedoch wieder

  • Sollte jedoch eine verantwortliche Stelle, die in einem anderen Mitgliedstaat der Europäischen Union gelegen ist, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nicht unmittelbar vom anderen Mitgliedstaat aus, sondern „durch eine Niederlassung im Inland“, also durch eine Niederlassung in Deutschland vornehmen, ist das BDSG wiederum anwendbar (§ 1 Abs. 5 Satz 1 zweiter Halbsatz BDSG).
  • Sofern Facebook Deutschland GmbH als eine Niederlassung von Facebook Ireland Ltd. anzusehen wäre und für Facebook Ireland GmbH personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, wäre das BDSG also anwendbar.

Das BDSG gilt ferner, wenn ein Unternehmen außerhalb der EU ansässig ist

  • Das BDSG wäre ebenfalls anwendbar, falls personenbezogene Daten in Deutschland erhoben, verarbeitet oder genutzt werden und die hierfür verantwortliche Stelle nicht in einem Mitgliedstaat der Europäischen Union „gelegen“ ist (§ 1 Abs. 5 Satz 2 BDSG).
  • Wäre es also so, dass Facebook Inc., also die in den USA ansässige Gesellschaft, die Daten in Deutschland erheben, verarbeiten oder nutzen würde, ohne in Deutschland oder einem anderen Mitgliedstaat der Europäischen Union eine Niederlassung zu haben, wäre das BDSG anwendbar.

Das EU-Recht verlangt so komplizierte Regelungen

Dieses Regelungsgeflecht erscheint kompliziert und ist es gewiss auch, musste jedoch aufgrund der Vorgaben der EU-Datenschutzrichtlinie so eingeführt werden. Letztlich ist es der Versuch, die Zuständigkeitsgebiete der unterschiedlichen nationalen Datenschutzaufsichtsbehörden europaweit sinnvoll abzugrenzen.

Im Ergebnis ist das BDSG vorliegend nicht anwendbar

Hinsichtlich der entscheidenden Fakten hält das Gericht Folgendes fest:

Facebook Deutschland verarbeitet keine Daten

  • Facebook Germany GmbH wird nur im Bereich der Anzeigenakquise und des Marketings tätig, verarbeitet selbst also keine personenbezogenen Daten von deutschen Facebook-Nutzern. Damit gilt das BDSG für die GmbH von Facebook Deutschland nicht, weil es an der Verarbeitung personenbezogener Daten fehlt.

Facebook Ireland dagegen sehr wohl

  • Facebook Ireland Ltd. verarbeitet dagegen solche personenbezogenen Daten. Dies ist aus Sicht des Gerichts glaubhaft dargelegt. Die Gesellschaft in Irland verfügt über 400 Mitarbeiter und entsprechende EDV-Einrichtungen. Damit ist diese Gesellschaft als die Stelle anzusehen, die für die Verarbeitung der Daten zumindest teilweise verantwortlich ist. Somit ist hierfür irisches Datenschutzrecht anwendbar.

Dass viele Daten Richtung USA wandern, stört nicht

  • Dabei genügt es, dass die Gesellschaft im Hinblick auf die Verarbeitung der Daten einzelne Tätigkeiten ausübt. Es ist nicht erforderlich, dass alle Vorgänge rund um die Daten in Irland stattfinden.
  • Sollte ein Teil dieser Vorgänge also bei Facebook Inc. in den USA stattfinden, führt dies nicht dazu, dass das BDSG anwendbar wäre. Dies wäre nur der Fall, wenn alle Vorgänge in den USA stattfinden würden, ohne dass in der Europäischen Union zumindest eine Niederlassung von Facebook Inc. (USA) vorhanden ist. Denn dann lägen die Voraussetzungen von § 1 Abs. 5 Satz 2 BDSG vor.

Zuständig auch für deutsche Facebook-Nutzer ist die irische Datenschutzaufsicht

Mit anderen Worten: Selbst wenn das irische Datenschutzrecht noch so lasch sein sollte, findet das BDSG auf die Daten deutscher Facebook-Nutzer keine Anwendung, solange Facebook klug genug ist, zumindest einen Teil dieser Daten in Irland zu verarbeiten oder zu nutzen.

Erst wenn Facebook keinerlei Niederlassung/Tochtergesellschaft in der Europäischen Union hätte und alle Daten unmittelbar in den USA verarbeiten oder nutzen würde, käme deutsches Datenschutzrecht zur Anwendung. Eine solche Situation wird Facebook jedoch mit Sicherheit vermeiden.

Die Regelungen des BDSG spielen deshalb keine Rolle

Im Ergebnis kommt es somit auf die Frage, ob Facebook nach deutschem Recht Accounts sperren darf, falls deren Inhaber nicht alle Echtdaten angeben, gar nicht an. Da deutsches Recht von vornherein nicht anwendbar ist, hat weder die Datenschutzaufsichtsbehörde Schleswig-Holstein noch irgendeine andere der Aufsichtsbehörden in Deutschland die Möglichkeit, Anordnungen auf der Basis deutschen Rechts gegenüber Facebook zu erlassen.

Die Position deutscher Facebook-Nutzer ist damit schwach

Für die deutschen Facebook-Nutzer ist diese Situation ungünstig. Selbstverständlich wäre es möglich, dass sie sich an die irische Datenschutzaufsicht wenden. Dann stellt sich allerdings bereits das Problem der Sprache, da die irische Aufsichtsbehörde nicht verpflichtet ist, Beschwerden anzunehmen, die in Deutsch abgefasst sind. Insofern führt die geschilderte Rechtslage dazu, dass der Schutz für deutsche Facebook-Nutzer schon aus diesem Grund geschwächt wird.

Der Beschluss des Oberverwaltungsgerichts Schleswig-Holstein vom 22.4.2013 mit dem Aktenzeichen 4 MB 11/13.

Einige interessante Ergänzungen bietet ein weiterer Beschluss des Gerichts vom 22.4.2013 mit dem Aktenzeichen 4 MB 10/13.

Klicken Sie hier für die Pressemitteilung des ULD zu diesen Entscheidungen

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 25 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln