Zieht Facebook den Kopf aus der Datenschutzschlinge?
Ein Kommentar von Dr. Carlo Piltz.
Das zieht Kreise! Fast im Minutentakt erscheinen die Meldungen über Twitter: „Facebook unterliegt nicht deutschem Datenschutzrecht!” Die einen jubeln, die anderen schütteln den Kopf. War es das mit dem norddeutschen Engagement gegen den Internetriesen? Eine Anmerkung zu den Beschlüssen des VG Schleswig auf Basis der Pressemitteilung.
Rechtswahlfreiheit im Datenschutzrecht?
Das VG Schleswig lehnt zurecht die Möglichkeit einer freien Rechtswahl im Datenschutzrecht ab (entgegen etwa der Ansicht des LG Berlin, Urt. v. 6.3.2012 – 16 O 551/10). Zwar steht in den Nutzungsbedingungen von Facebook unter Nr. 17. 3 in Verbindung mit Nr. 16.1: „Diese Erklärung unterliegt deutschem Recht”. Dies hat jedoch für das Datenschutzrecht keine Bedeutung. Die öffentlich-rechtlichen Normen des Bundesdatenschutzgesetzes und des Telemediengesetzes stellen Eingriffsnormen dar, die jeder vertraglichen Vereinbarung vorgehen (Art. 9 Rom I-VO).
Wann greift deutsches Datenschutzrecht ein?
Entscheidend für die mögliche Anwendung deutschen Datenschutzrechts ist damit
§ 1 Abs. 5 BDSG in Verbindung mit seiner europarechtlichen Grundlage, Art. 4 der Datenschutzrichtlinie (95/46/EG, nachfolgend: DS-RL). Dieser hat zwei Anknüpfungspunkte: Die verantwortliche Stelle einerseits und die Niederlassung einer solchen andererseits.
Deutsches Datenschutzrecht ist nur bei Vorliegen der folgenden Konstellationen einschlägig:
1. eine in einem anderen Mitgliedstaat der EU oder des EWR belegene verantwortliche Stelle besitzt eine Niederlassung in Deutschland, die im Rahmen ihrer Tätigkeit die entscheidende Verarbeitung personenbezogener Daten ausführt (§ 1 Abs. 5 S. 1 2. HS BDSG, Art. 4 Abs. 1 lit a) DS-RL);
2. eine nicht in einem Mitgliedstaat der EU oder des EWR belegene verantwortliche Stelle besitzt zwar keine Niederlassung in einem Mitgliedstaat, die im Rahmen ihrer Tätigkeit die entscheidende Verarbeitung personenbezogener Daten ausführt (§ 1 Abs. 5 S. 2 BDSG, Art. 4 Abs. 1 lit c) DS-RL), greift aber zum Zwecke der Verarbeitung auf automatisierte oder nicht automatisierte Mittel zurück, die im Hoheitsgebiet der Bundesrepublik Deutschland belegen sind (Art. 4 Abs. 1 lit c) DS-RL).
Keine Verarbeitung personenbezogener Daten durch Facebook Germany GmbH
Zutreffend geht das VG Schleswig davon aus, dass die deutsche Niederlassung von Zuckerbergs Weltimperium in Hamburg (Facebook Germany GmbH) keine Rolle bei der Verarbeitung von personenbezogenen Daten deutscher Nutzer spielt. Diese kleine Einheit befasst sich mit Marketing- und Pressearbeit in Deutschland, ohne tatsächlichen Einfluss oder Entscheidungsmöglichkeiten bei der Verarbeitung personenbezogener Daten der deutschen Nutzer zu besitzen.
Facebook Ireland als entscheidende Niederlassung
Offen lies das Gericht explizit, ob Facebook Ireland allein, zusammen mit der Muttergesellschaft Facebook Inc. oder diese allein die verantwortliche Stelle für die Verarbeitung personenbezogener Daten deutscher Nutzer darstellt.
Denn das VG Schleswig sieht Facebook Ireland als Niederlassung in einem Mitgliedstaat an, die im Rahmen ihrer Tätigkeit die für die vorliegende Entscheidung relevante Verarbeitung personenbezogener Daten vornimmt. Damit sei keine der genannten Varianten einschlägig und es gelte allein das Datenschutzrecht des Mitgliedstaates Irland.
Die Argumente des VG Schleswig
Das Gericht stützt seine Sichtweise auf fogende Argumente:
Der Standort in Dublin stelle eine effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung dar (mit Verweis auf den Niederlassungsbegriff in Erwägungsgrund 19 der DS-RL). Es sei weiter davon auszugehen, dass die hier relevanten personenbezogenen Daten deutscher Nutzer im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden. Irisches Datenschutzrecht gelange schließlich über eine richtlinienkonforme Auslegung des § 1 Abs. 5 S. 2 BDSG i. V. m. Art. 4 Abs. 1 lit a) DS-RL zur Anwendung.
Kritische Anmerkungen
Grundsätzlich gilt, dass die Existenz einer Niederlassung in der EU bzw. dem EWR die Anwendung von Art. 4 Abs. 1 lit a) DS-RL nur auf ihre spezifische Tätigkeit auslöst. Eine in einem Drittstaat (etwa den USA) gelegene verantwortliche Stelle kann daher über Art. 4 Abs. 1 lit c) DS-RL an deutsches Datenschutzrecht gebunden sein, wenn sie eine für die jeweilige Datenverarbeitung „nicht relevante“ Niederlassung in dem Mitgliedstaat besitzt – die also im Rahmen anderer Tätigkeiten personenbezogene Daten verarbeitet (Art. 29 Datenschutzgruppe, WP 179, S. 24).
Folgende Gründe sprechen dafür, dass Facebook Ireland zumindest nicht für alle Datenverarbeitungsvorgänge verantwortlich ist, die deutsche Nutzer betreffen:
Erstens: Der irische Datenschutzbeauftrage besuchte im Rahmen seines Audits von Mitte Dezember 2011 die Facebook Inc. in den USA, um sich mit Führungskräften zu treffen, „welche Rollen und Verantwortlichkeiten besitzen, welche den Einfluss auf den Bereich der Einhaltung der europäischen Datenschutzrechts haben können”. Wozu dieser Aufwand, wenn angeblich allein Facebook Ireland die Kontrolle über die Nutzungsdaten nicht nordamerikanischer Nutzer besitzt?
Zweitens: Zudem geht der irische Datenschutzbeauftragte in seinem Bericht davon aus, dass leitende Angestelle von Facebook Ireland eine wesentliche Rolle („substantial role”) in Bezug auf den Umgang mit Nutzungsdaten besitzen, jedoch eben keine alleinige.
Drittens: Reglungen in Verträgen (etwa den Nutzungsbedingungen von Facebook) zur Verantwortlichkeit können, neben den entscheidenden tatsächlichen Umständen, nur Indizwirkung entfalten. Ansonsten stünde eine Verschiebung der Verantwortlichkeiten im Belieben der Parteien.
Viertens: Nach dem Bericht des irischen Datenschutzbeauftragten werden Produkte und Funktionen von Entwicklern in den USA hergestellt und durch juristische Abteilungen außerhalb Irlands begutachtet. Diese Features könnten dann zum Einsatz kommen, ohne dass sie den Anforderungen des europäischen Datenschutzrechts entsprechen. Ein populäres Beispiel hierfür war die, mittlerweile
für Deutschland eingestellte, automatische Gesichtserkennung. Verwendet Facebook Ireland die ihr aus den USA vorgebenen Funktionen lediglich, ohne Einfluss auf deren Funktionsweise und eintretende Datenverarbeitungsprozesse zu haben, so muss ihre alleinige Entscheidungsbefugnis in Bezug auf den Umgang mit Nutzungsdaten zumindest kritisch hinterfragt werden.
Ergebnis
Datenverarbeitung ist ein Prozess, der von außen nicht einsehbar in den Servern abläuft. Eine rechtliche Beurteilung der Tätigkeit und die Frage nach der Verantwortlichkeit von Facebook Ireland mutet ohne ausreichende Kenntnis aller relevanten Umstände dem berühmten Stochern im Nebel an. Deutlich wird dies in der Entscheidung des VG Schleswig, wenn das Gericht ausführt, dass „davon auszugehen” ist, dass die relevanten personenbezogenen Daten im Rahmen der Tätigkeit von Facebook Ireland verarbeitet werden.
Facebook lockert die Schlinge des deutschen Datenschutzrechts um seinen Hals. Aufgrund der bereits angekündigten Beschwerde durch das ULD, der im vorläufigen Rechtsschutz allein vorgenommenen summarischen Prüfung und dem möglichen Hauptsacheverfahren bleibt jedoch abzuwarten, ob der Knoten endgültig platzt.
Meldung zu den Beschlüssen auf Telemedicus.
Telemedicus zu den Verfügungen des ULD.
internet-law.de zur Frage, ob Facebook deutschem Datenschutzrecht unterliegt.
Dr. Carlo Piltz ist Referendar in Berlin. Er promovierte zu sozialen Netzwerken im Internet: „Soziale Netzwerke im Internet – Eine Gefahr für das Persönlichkeitsrecht?”
Siehe auch: Rechtswahlfreiheit im Datenschutzrecht?, K&R 2012, 640
