Rechtsnormen: § 1 Abs. 5 Satz 1 BDSG; Art. 4 Abs. 1 RL 46/95
Mit Beschluss vom 14.02.2013 (Az. 8 B 60/12, 8 B 61/12) hat das VG Schleswig in zwei Verfahren des vorläufigen Rechtsschutzes entschieden, dass Facebook Kontensperrungen von deutschen Nutzern wegen mangelnder Eingabe persönlicher Daten nicht aufheben muss, da das deutsche Datenschutzrecht vorliegend keine Anwendung finde.
Zum Sachverhalt:
Facebook zielt mit seinen Anträgen auf die Wiederherstellung der aufschiebenden Wirkung seiner Widersprüche gegen zwei Bescheide des Schleswig-Holsteinischen Unabhängigen Landeszentrums für Datenschutz (ULD) ab. Hintergrund der Bescheide ist, dass Facebook von seinen Nutzern im Rahmen der Registrierung die wahrheitsgemäße Nennung der persönlichen Daten (Name, Vorname, E-Mail-Adresse, Geburtsdatum und Geschlecht) verlangt. Konten von Benutzern, die bei Registrierung entgegen der von Facebook festgelegten Voraussetzungen ihre persönlichen Daten nicht wahrheitsgemäß angaben, wurden bis zur Vorlage einer Kopie des amtlichen Lichtbildausweises zwecks Identifizierung gesperrt. Das ULD verlangt von Facebook, seinen Nutzern eine Wahlmöglichkeit zwischen der Eingabe von Echtdaten und Pseudonymen zu lassen. Auch seien alle Kontensperrungen wegen einer mangelnden Angabe persönlicher Daten sofort aufzuheben. Das Landesamt droht Facebook für den Fall der Nichtbeachtung ein Ordnungsgeld iHv 20000 Euro an. Hiergegen legte Facebook fristgerecht Widerspruch ein und stellte den Antrag auf Wiederherstellung der aufschiebenden Wirkung.
Das Gericht entschied nun zugunsten des „Social Mediums“ und stellte antragsgemäß die aufschiebende Wirkung wieder her.
Nach Ansicht des Gerichts sei die Anordnung der sofortigen Entsperrung der Nutzerkonten rechtswidrig, da das deutsche Datenschutzrecht, auf das die Anordnung gestützt sei, hier keine Anwendung finde. Gemäß der EU-Datenschutzrichtlinie finde das deutsche Datenschutzrecht keine Anwendung, wenn die Erhebung und Verarbeitung personenbezogener Daten im EU-Ausland stattfinde. Vorliegend sei genau das der Fall, da die Facebook Ltd. Ireland mit der Verarbeitung betraut sei und somit irisches Recht Anwendung finde. Die deutsche Facebook-Tochter sei lediglich für Marketingaufgaben zuständig, mit der Verarbeitung personenbezogener Daten habe sie aber nichts zu tun.
Weiter führt das Gericht zu Begründung aus:
„Entgegen der Auffassung des Antragsgegners ergibt sich die Anwendbarkeit deutschen materiellen Datenschutzrechtes tür die Anordnung I.2. des Bescheides vom 14.12.2012 nicht über § 1 Abs. 5 S. 1 BDSG iVm Art. 4 Abs. 1 a) RL 95/46/EG aufgrund der Existenz der F… Germany GmbH in Hamburg. Nach dem glaubhaften Vortrag der Antragstellerin ist die Facebock Germany GmbH im Bereich der Anzeigenaquise und im Bereich des Marketing tätig. Eine Verarbeitung personenbezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten registrierten Nutzer von F… findet dort nicht statt, so dass insoweit keine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Niederlassung im Sinne des Art. 4 Abs. 1 a) RL 96/46/EG vorliegt. § 1 Abs. 5 S. 1 BDSG ist richtlinienkonform dahingehend auszulegen, dass die Anwendbarkeit des Bundesdatenschutzgesetzes nach dieser Vorschrift bei Vorhandensein einer Niederlassung der verantwortlichen Stelle im Inland sich nur soweit erstreckt, wie die Verarbeitung personenbezogener Daten durch die Niederlassung in Rede steht. Mit der im Rahmen von I.2. des Bescheides vom 14.12.2012 relevanten Verarbeitung personenbezogener Daten hat die F… Germany GmbH jedoch offenbar nichts zu tun. Diese Annahme steht in Einklang mit den Ausführungen des irischen Datenschutzbeauftragten in dem die Antragstellerin betreffenden Report of Audit vom 21.2.2012 (Anhang 4, S. 213) betreffend die Struktur europäischer Niederlassungen (www.dataprotection.ie). Danach ist die Antragstellerin sogar die einzige Niederlassung mit Kontrolle über die Nutzerdaten von nicht nordamerikanischen Nutzern. Andere regionale Niederlassungen in Europa sind danach nicht in die Kontrolle von Nutzerdaten der nicht nordamerikanischen Nutzer von Facebock eingebunden (vgl. Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, Seite 213 und 215). Für das vorstehend gefundene Ergebnis, dass mangels Vorhandenseins einer für die streitgegenständliche Verarbeitung personenbezogener Daten relevanten inländischen Niederlassung die Vorschriften des § 1 Abs. 5 S. 1 BDSG und Art. 4 Abs. 1 a) RL 95/46/EG nicht zur Anwendbarkeit deutschen Datenschutzrechtes führen, ist ohne Belang, wo die für die relevante Verarbeitung personenbezogener Daten verantwortliche Stelle im Sinne des § 1 Abs. 5 und § 3 Abs. 7 BDSG bzw. der für die Verarbeitung Verantwortliche im Sinne des Art. 4 Abs. 1 und Art. 2 d) Richtlinie 95/46/EG belegen ist. Nach Auffassung der Antragstellerin ist ausschließlich sie selbst, mit Sitz in Irland, verantwortliche Stelle, während nach Auffassung des Antragsgegners die Antragstellerin neben der Muttergesellschaft Facebock Inc. (USA) verantwortliche Stelle bzw. für die Verarbeitung Verantwortlicher ist. Auch die Regelungen des § 1 Abs. 5 S. 2 BDSG iVm. Art. 4 Abs. 1 c) RL 95/46/EG, die eine verantwortliche Stelle außerhalb der EU bzw. des EWR voraussetzen, führten vorliegend nicht zur Anwendbarkeit deutschen materiellen Datenschutzrechts. Die Frage, ob die Antragstellerin allein, neben Facebock Inc. (USA) oder gar Facebock Inc. (USA) allein verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bzw. für die Verarbeitung Verantwortlicher im Sinne von Art. 2 d) RL 95/46/EG ist, kann auch in Anwendung der Vorschriften des § 1 Abs. 5 S. 2 BDSG und des Art. 4 Aos. 1 c) RL 95/46/EG letztendlich dahinstehen, da jedenfalls am Sitz der Antragstellerin eine Niederlassung der verantwortlichen Stelle bzw. des für die Verarbeitung Verantwortlichen vorliegt, die im Rahmen ihrer Tätigkeit die hier relevante Verarbeitung personenbezogener Daten vornimmt, mit der Folge der ausschließlichen Anwendbarkeit materiellen irischen Datenschutzrechtss gemäß Art. 4 Abs. 1 a) RL 95/46/EG. Die Antragstellerin erfüllt mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen für die Annahme des Vorhandenseins einer Niederlassung in Irland. Es liegt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG vor (vgl. zur Ausstattung und Tätigkeit der Einrichtung in Dublin: Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, S. 25). Es ist auch davon auszugehen, dass die hier relevanten personen bezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden. Als Verarbeitung personenbezogener Daten (“Verarbeitung”) ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verarbeitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten zu verstehen (Art. 2 b) RL 95/46/EG). Es bestehen keine Zweifel, dass in diesem Sinne eine Verarbeitung personenbezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten Nutzer im Rahmen der Tätigkeit dieser Niederlassung ausgeführt wird. Der Standort der Daten, insbesondere der Standort des Servers, ist weder für den Begriff “Niederlassung” noch dafür ausschlaggebend, ob die Verarbeitung personenbezogener Daten “im Rahmen der Tätigkeit” der Niederlassung stattfindet (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 16, www.ec.europa.eu; vgl. Weichert, Datenschutz bei Internetveröffentlichungen, VuR 2009, 323 326). Daher erfüllte die Einrichtung in Dublin auch dann die durch Art 4 Abs. 1 a) RL 9S/46/EG an eine relevante Niederlassung gestellten Anforderungen, wenn die Server sich ausschließlich in den USA befänden (vgl. zur örtlichen Lage der Server: Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, S. 26: “All of these servers are currently situated in data centres in the United States.”). Wenn der für die Verarbeitung personenbezogener Daten Verantwortliche eine relevante Niederlassung in einem Mitgliedsstaat der EU besitzt und dessen nationales Recht daher gemäß Art. 4 Abs. 1 a) RL 95/46/EG Anwendung findet, ist Art. 4 Abs. 1 c) RL 95/46/EG nicht anwendbar (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 23 f.). Die Tatsache, dass ein für die Verarbeitung Verantwortlicher, der außerhalb der EU bzw. EWR niedergelassen ist, im Mitgliedsstaat A, in dem er keine Niederlassung hat, Mittel verwendet, kann folglich nicht die Anwendbarkeit des Rechts dieses Mitgliedsstaates auslösen, falls der für die Verarbeitung Verantwortliche bereits eine Niederlassung im Mitgliedsstaat B hat und die personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet (Art.-29-Datenschutzgruppe, a.a.O., S. 24). In diesem Sinne ist auch die dem Art. 4 Abs, 1 a) RL 95/46/EG nachgebildete Regelung in § 1 Abs. 5 S. 2 BDSG richtlinienkonforrn auszulegen. Danach soll das BDSG Anwendung finden, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat in der Europäischen Union oder in einem anderen Vertragsstaat des EWR belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Diese Vorschrift kann keine Anwendung finden, wenn die verantwortliche Stelle eine Niederlassung in einem anderen Mitgliedstaat der EU bzw. in einem anderen Vertragsstaat des EWR hat, die im Rahmen ihrer Tätigkeit die (relevanten) personenbezogenen Daten verarbeitet. Soweit man der Ansicht wäre, der Rahmen richtlinienkonformer Interpretation des § 1 Abs. 5 S. 2 SDSG sei insoweit überschritten, wäre der Regelung des Art. 4 Abs. 1 a) RL 95/46/EG der Vorrang einzuräumen (vgl. zum Vorrang des Gemeinschaftsrechts: EuGH, Urteil vom 09.03.1978, C-106/77, Simmenthal, Juris).
Nach alledem ist für die von der Antragstellerin im Rahmen der Tätigkeit der Niederlassung in Irland durchgeführte Verarbeitung personenbezogener Daten des in I.2. des Bescheides vom 14.12.2012 genannten Personenkreises ausschließlich irisches materielles Datenschutzrecht anzuwenden. Die streitgegenständliche Regelung in I.2 des Bescheides vom 14.12.2012, die auf § 38 Abs. 5 S. 1 BDSG iVm § 13 Abs. 6 TMG gestützt ist, ist daher rechtswidrig.“
Kommentar:
Dem ULD steht binnen zwei Wochen das Rechtsmittel der Beschwerde beim OVG Schleswig zu.
