Das Verwaltungsgericht (VG) Schleswig-Holstein hat zwei Entscheidungen gefällt, die weitreichende Folgen für Internet-Unternehmen haben könnten, welche ihren Hauptsitz nicht in Europa haben, aber europäische Kunden bedienen.
In zwei Beschlüssen vom 14. Februar (Az.: 8 B 60/12 und 8 B 61/12) hat das Gericht entschieden, dass das deutsche Datenschutzrecht weder auf die US-amerikanische Facebook Inc. noch auf deren europäische Tochtergesellschaft, die Facebook Ireland Ltd., Anwendung findet. Aufgrund der bestehenden Niederlassung in Irland unterliege die Datenverarbeitung im Rahmen des sozialen Netzwerks allein irischem Datenschutzrecht.
Anlass für die Entscheidungen war eine Auseinandersetzung zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Facebook Inc. bzw. Facebook Ireland Ltd. wegen der Änderung der Facebook-Nutzungsbedingungen. Nach der geänderten Fassung müssen die Mitglieder für ihre Profile ihre echten Namen verwenden. Das ULD erließ daraufhin Anordungsverfügungen gegen die Facebook Inc. und die Facebook Ireland Ltd., in denen beiden Gesellschaften aufgegeben wurde, Facebook-Mitgliedern in Schleswig-Holstein weiterhin zu erlauben, sich unter einem Pseudonym anzumelden, und Profile zu entsperren, welche wegen der Nutzung von Pseudonymen gesperrt worden waren. Das ULD hat sich in den Anordnungsverfügungen auf § 13 Abs. 6 Telemediengesetz (TMG) berufen. Hiernach sind Anbieter von Telemediendiensten verpflichtet, ihren Nutzern die Möglichkeit einzuräumen, den angebotenen Dienst anonym oder unter einem Pseudonym zu nutzen, soweit dies technisch möglich und zumutbar ist.
Die Facebook Inc. und die Facebook Ireland Ltd. haben gegen diese Anordnungsverfügungen einstweiligen Rechtsschutz beantragt. Das VG Schleswig-Holstein sah die Anordungsverfügungen als rechtswidrig an, weil es das deutsche Datenschutzrecht nicht auf die Verarbeitung personenbezogener Daten deutscher Facebook-Mitglieder für anwendbar hält.
Nach Auffassung des Gerichts führt die Wahl deutschen Rechts in den Facebook-Nutzungsbedingungen nicht zur Anwendbarkeit deutschen Datenschutzrechts, weil datenschutzrechtliche Bestimmungen zwingende Vorschriften i.S.d. Art. 9 Rom-I VO seien und deshalb nicht unter die freie Rechtswahl nach Art. 3 Rom-I VO fallen könnten. In diesem Punkt wich das VG Schleswig-Holstein von einer Entscheidung des Landgerichts Berlin ab, das die Wahl deutschen Datenschutzrechts in den Facebook-Nutzungsbedingungen akzeptierte (Urteil vom 06.03.2012, Az.: 16 O 551/10 – “Freundefinder”).
Zudem lehnte das Gericht die Anwendbarkeit deutschen Datenschutzrechts aufgrund gesetzlicher Regelungen (§ 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) sowie Art. 4 der EU-Datenschutzrichtline) ab. Gem. § 1 Abs. 5 BDSG ist das deutsche Datenschutzrecht nicht anwendbar, wenn eine verantwortliche Stelle in einem anderen Mitgliedstaat der EU personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, außer wenn dies durch eine Niederlassung in Deutschland erfolgt. Deutsches Datenschutzrecht ist hingegen anwendbar, wenn eine nicht in der Europäischen Union ansässige verantwortliche Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt (§ 1 Abs. 5 BDSG).
Nach Auffassung des Gerichts handelt es sich bei der Facebook Ireland Ltd. um eine Niederlassung der Facebook Inc. im Sinne des Art. 4 Abs. 1 lit. a) der EU-Datenschutzrichtlinie, da sie ihren Sitz innerhalb der EU (Dublin) hat, sie die einzige Niederlassung im Facebook-Konzern ist, welche Kontrolle über personenbezogene Daten von Facebook Mitgliedern außerhalb Nordamerikas hat, und sie über ausreichend Personal (über 400 Mitarbeiter) und Ausstattung verfügt, um auch tatsächlich und effektiv Kontrolle über den Umgang mit den Daten auszuüben. Aufgrund dieser Tatsachen kam das Gericht zu dem Ergebnis, dass die Facebook Ireland Ltd. eine verantwortliche Stelle mit Sitz in einem EU Mitgliedsstaat ist.
Dies hat folgende Konsequenzen:
- Die Facebook Ireland Ltd. ist lediglich verpflichtet, irisches Datenschutzrecht einzuhalten, solange sie nicht personenbezogene Daten mittels einer Niederlassung in Deutschland erhebt, verarbeitet oder nutzt.
- Die Facebook Inc. unterliegt ebenfalls nur irischem Datenschutzrecht, weil sie personenbezogene Daten deutscher Facebook-Mitglieder ausschließlich mittels der Facebook Ireland Ltd. erhebt, verarbeitet und nutzt.
Das ULD argumentierte, dass das deutsche Datenschutzrecht aufgrund der Existenz der Facebook Germany GmbH mit Sitz in Hamburg sowie der Einschaltung der Akamai Technologies GmbH mit Sitz in Bayern Anwendung finden sollte. Das VG Schleswig-Holstein vertrat jedoch die Auffassung, dass die Facebook Germany GmbH lediglich für Marketing verantwortlich und nicht in die Verarbeitung personenbezogener Daten im Rahmen des sozialen Netzwerkes eingebunden sei. Akamai verarbeite personenbezogene Daten lediglich im Rahmen einer Auftragsdatenverarbeitung für die Facebook Ireland Ltd. Beides führe daher nicht zur Anwendbarkeit deutschen Datenschutzrechts.
Die Entscheidung ist nicht rechtskräftig, das ULD hat bereits angekündigt, Rechtsmittel einzulegen.