Das Verwaltungsgericht Schleswig-Holstein äußert sich in einem ersten Beschluss.
Seit längerem verpflichtet Facebook seine Nutzer, sich unter ihrem Klarnamen anzumelden und verwehrt diesen damit die Möglichkeit, das soziale Netzwerk pseudonym zu nutzen. Wie ernst Facebook diesen Klarnamenzwang nimmt, zeigt sich daran, dass in der Vergangenheit Nutzeraccounts, die gegen diesen verstießen, gesperrt wurden.
Hiergegen ging das Unabhängige Landeszentrum für Datenschutz (ULD) als Datenschutzaufsichtsbehörde des Landes Schleswig-Holstein vor und erließ eine Anordnung, nach der Facebook verpflichtet sei, alle Nutzerkonten von schleswig-holsteinischen Bürgern zu entsperren, die ausschließlich wegen des Verstoßes gegen den Klarnamenzwang gesperrt wurden. Zur Begründung führte das ULD an, dass der von Facebook verordnete Klarnamenzwang gegen § 38 Abs. 5 S. 1 BDSG i.V.m. § 13 Abs. 6 TMG verstoße.
Hier ein Auszug der entsprechenden Normen:
- 38 Abs. 5 S. 1 BDSG: Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen.
- 13 Abs. 6 TMG: Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
Gegen diese Anordnung des ULD, die rechtlich einen behördlichen Verwaltungsakt darstellt, legte Facebook Rechtsmittel vor dem Schleswig-Holsteinischen Verwaltungsgericht ein.
Dieses entschied am 14. Februar per Beschluss darüber, ob Facebook verpflichtet ist, die betroffenen Nutzerkonten sofort – also ohne aufschiebende Wirkung – zu entsperren oder den Ausgang des Hauptsacheverfahrens abwarten darf. In diesem Rahmen stellte das Verwaltungsgericht in einer summarischen Prüfung fest, dass das deutsche Datenschutzrecht keine Anwendung finde und die Anordnung des ULD daher rechtswidrig sei. Interessant ist dabei die Begründung des Verwaltungsgerichts, die auch für die noch ausstehende endgültige Entscheidung Signalwirkung haben dürfte.
Wie begründet das Verwaltungsgericht seinen Beschluss?
Nach Ansicht des Verwaltungsgerichts findet deutsches Datenschutzrecht keine Anwendung, da Facebook keine für die Datenverarbeitung relevante Niederlassung in Deutschland habe, sondern die Datenverarbeitung durch eine Niederlassung in Irland zumindest mitverantwortet wird. Die Zuständigkeitsregelungen des deutschen Bundesdatenschutzgesetzes würden nach § 1 Abs. 5 BDSGdemnach die Anwendbarkeit irischen Datenschutzrechts vorsehen.
Hieran ändert nach Ansicht des Verwaltungsgerichts auch die Tatsache nichts, dass in den Nutzungsvereinbarungen von Facebook die Anwendbarkeit deutschen Rechts vereinbart sei. Eine solche Rechtswahl sei zwar für zivilrechtliche Regelungen möglich, nicht jedoch für die Anwendbarkeit des Datenschutzrechts.
Auch die Tatsache, dass in Deutschland das Unternehmen Facebook Germany GmbH existiert, ändere an der Einschätzung nichts, da dieser Umstand für die rechtliche Bewertung nicht relevant sei. So habe Facebook vorgetragen, dass für die Datenverarbeitung der nordamerikanischen Nutzer die Facebook Inc. mit Sitz in den USA verantwortlich sei und für die restlichen Nutzer die Facebook Niederlassung in Irland. Die in Rede stehende Facebook Germany GmbH sei lediglich für Anzeigenakquise und Marketing zuständig, nicht aber mit Datenverarbeitungsprozessen betraut.
Selbst die Beauftragung von Unternehmen mit Sitz in Deutschland führe nicht zu einer Anwendbarkeit des deutschen Datenschutzrechts, sofern diese nur als Auftragsdatenverarbeiter für Facebook Irland tätig sind.
Stellungnahme:
Die Prüfung des Verwaltungsgerichts im Hinblick auf die Zuständigkeitsnormen des BDSG erscheinen auf den ersten Blick schlüssig. Für die Entscheidung im Hauptsacheverfahren wird es darauf ankommen, ob die Verantwortlichkeiten zwischen Facebook Deutschland, USA und Irland tatsächlich so gestaltet sind, wie vom Verwaltungsgericht im jetzigen Eilverfahren angenommen:
Sollte sich im Hauptverfahren ergeben, dass Facebook Irland nicht für die Datenverarbeitung verantwortlich ist, sondern ausschließlich Facebook USA, wäre mangels europäischer Niederlassung deutsches Datenschutzrecht anwendbar. Auch die Einschaltung der deutschen Unternehmen, die Datenverarbeitungen im Auftrag von Facebook durchführen, wird in diesem Rahmen vermutlich noch im Detail geprüft werden müssen – insbesondere ob Facebook Irland oder Facebook USA Weisungen erteilt und wer genau Vertragspartner geworden ist.
Denkbar ist auch, dass die Verantwortlichkeit der Facebook Germany GmbH näher hinterfragt wird. Sollte sich hier ergeben, dass die Facebook Germany GmbH an der Datenverarbeitung beteiligt ist, läge eine Niederlassung in Deutschland vor und deutsches Datenschutzrecht wäre anwendbar.
Möglicherweise wird das Verwaltungsgericht im Hauptsacheverfahren auch noch detaillierter prüfen, wie die Regelungen der §§ 2a, 3 Telemediengesetz die Frage des anwendbaren Rechts beeinflussen.
Das Verwaltungsgericht selbst hat in seinem Beschluss klargestellt, dass es dem ULD in seiner Eigenschaft als Aufsichtsbehörde freisteht, die Einhaltung des irischen Datenschutzrechts zu prüfen.
Welche Auswirkungen hat der jetzige Beschluss des Verwaltungsgerichts?
Auf die in einem anderen Verfahren vor dem Schleswig-Holsteinischen Verwaltungsgericht zu behandelnde Frage, ob die Nutzung von Facebook Fanpages und Like Buttons durch Unternehmen mit Sitz in Schleswig-Holstein zulässig ist oder nicht (wir berichteten), hat der jetzige Beschluss nach unserer derzeitigen Einschätzung keine Auswirkungen. Denn in diesen Verfahren wird die Anwendbarkeit des deutschen Datenschutzrechts dann zu bejahen sein, wenn den Unternehmen, die Facebook für die eigene Präsentation nutzen, eine Mitverantwortung an der dadurch ausgelösten Datenverarbeitung attestiert wird. Es bleibt daher bei unseren Empfehlungen, was Unternehmen beachten sollten, die Facebook trotz der unklaren Rechtslage nutzen.
Mit Blick auf die vorgeschlagene EU-Datenschutzverordnung (wir berichteten) zeigt sich, dass eine weitere Harmonisierung der datenschutzrechtlichen Vorschriften auf europäischer Ebene im vorliegenden Fall verhindert hätte, dass die Regelungen verschiedener Mitgliedstaaten so weit voneinander entfernt liegen können.