25. Februar 2013

Für Facebook gilt nicht das deutsche Datenschutzrecht

Das unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat seine Anordnung und Androhung von Zwangsgeld gegenüber Facebook zu Unrecht auf deutsches Datenschutzrecht gestützt. Dieses ist nicht anwendbar.

Bekanntlich gibt es in Europa ein unterschiedliches Datenschutzniveau, heißt, in Deutschland unterliegen Unternehmen anderen Datenschutzbestimmungen als beispielsweise in Irland. Die USA gehört dabei zu den Ländern mit dem geringsten Datenschutzniveau weltweit. Nicht zuletzt aus diesem Grund stellte sich in den vergangenen Jahren oftmals die Frage, ob für amerikanische Unternehmen, wie Google, Amazon und natürlich Facebook das deutsche Datenschutzgesetz Anwendung findet, nachdem diese Unternehmen ebenfalls auf dem deutschen Markt tätig sind und hier Leistungen anbieten. Oftmals ist es so, dass diese Unternehmen in Deutschland so genannte Marketing- und Vertriebsgesellschaften unterhalten.
Aber auch unter anderen Gesichtspunkten dürfte für deutsche Unternehmen interessant sein, ob die Datenverarbeitung auf Facebook dem deutschen Datenschutzrecht unterliegt oder nicht.

Das Verwaltungsgericht Schleswig-Holstein hat diese Frage in zwei Verfahren im einstweiligen Rechtsschutz „Facebook ./. ULD Schleswig-Holstein“ klar verneint.

Hintergrund:
Facebook verlangt von seinen Nutzern, dass sie bei ihrer Registrierung ihre tatsächlichen Daten (Klarnamen) wie Vorname, Nachname, E-Mail-Adresse und Geburtsdatum angeben. Stellt Facebook fest, dass ein Nutzer ein Konto unterhält, bei dessen Eröffnung nicht die wahren Nutzerdaten angegeben worden sind, so sperrt Facebook dieses Konto und macht letztlich die Sperrung von der Vorlage einer Ausweiskopie zur Identifizierung abhängig. Gestützt auf das Bundesdatenschutz- und Telemediengesetz erließ das ULD zwei Bescheide und gab Facebook auf, seinen Nutzern die Wahlmöglichkeit einzuräumen, im Rahmen ihrer Registrierung anstelle der Eingabe von den Klarnamen auch Pseudonyme verwenden zu dürfen. Darüber hinaus verlangte das ULD die gesperrten Konten von Nutzern, welche bei der Eröffnung des Accounts Pseudonyme angegeben hatten, zu entsperren. Außerdem wurde für den Fall der Nichtbeachtung ein Zwangsgeld i.H.v. 20.000,00EUR angedroht. Weiter wurde die sofortige Vollziehung angeordnet.

Zur Entscheidung:
Das Verwaltungsgericht hat in seinen Beschlüssen in beiden Verfahren die aufschiebende Wirkung wiederhergestellt.
Nach Auffassung des Gerichts habe das ULD eine Anordnung zu Unrecht auf das deutsche Datenschutzrecht gestützt, da dieses nicht anwendbar sei.

Nach der europäischen Datenschutzrichtlinie und dem Datenschutzgesetz findet das deutsche Recht keine Anwendung, wenn die Erhebung und Verarbeitung der personenbezogenen Daten durch eine Niederlassung in einem anderen Mitgliedsstaat der Europäischen Union stattfindet. Facebook Ltd. Hat zur Überzeugung des Gerichts glaubhaft gemacht, dass die in Deutschland ansässige Facebook Germany GmbH ausschließlich mit der Anzeigenakquise und dem Marketing befasst ist. Nach Auffassung des Gerichts erfüllt die Facebook Ireland Ltd. mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung im Sinne des deutschen Datenschutzgesetzes, sodass ausschließlich irisches Datenschutzrecht Anwendung finde.
Insgesamt seien daher die vom ULD erlassenen Anordnungen sowie die Androhung des Zwangsgeldes rechtswidrig gewesen.

Fazit:

Die Entscheidungen sind noch nicht rechtskräftig, das ULD hat angekündigt Rechtsmittel gegen die Beschlüsse einlegen zu wollen. Sollte diese Entscheidung bestätigt werden, so heißt das zumindest vorerst, dass die gesamte Datenverarbeitung auf Facebook dem irischen Datenschutzrecht unterliegt. Dies hätte höchstwahrscheinlich auch Auswirkungen auf die Auswertung der Daten auf Facebook zu Marketing- bzw. Werbezwecken. Auch wird derzeit in einigen Bereichen eine Störerhaftung deutscher Unternehmen im Hinblick auf Facebook bzw. die Datenverarbeitung auf Facebook diskutiert, auch hier müsste wohl die ein oder andere Frage anders beurteilt werden, wenn die Datenverarbeitung an sich rechtskonform ist, da sie nicht dem deutschen Datenschutzrecht unterliegt.

Ebenfalls interessant ist nun die auch aus Schleswig-Holstein erwartete Entscheidung zur Nutzung bzw. Haftung von Unternehmen für die Nutzung des Facebook „Like“-Buttons.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!