Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datenschutz International

Deutsches Datenschutzrecht gilt nicht für Facebook (OVG Schleswig-Holstein)

Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat mit Beschlüssen vom 22.04.2013  (Az.: 4 MB 10/13 und 4 MB 11/13) entschieden, dass das deutsche Datenschutzrecht nicht auf Facebook anwendbar ist.

Hintergrund der Entscheidung

Das Unabhängige Landeszentrum für Datenschutz (ULD), die für Schleswig-Holstein zuständige Datenschutzaufsichtbehörde, hatte mittels einer Anordnungsverfügung nach § 38 Abs. 5 Satz 1 Bundesdatenschutzgesetz (BDSG) gegenüber der Facebook Inc. und Facebook Ireland Ltd. u.a. angeordnet, den deutschen Nutzern zu ermöglichen, sich gemäß § 13 Abs. 6 Telemediengesetz (TMG) unter Angabe eines Pseudonyms registrieren zu können. Das Verwaltungsgericht (VG) Schleswig-Holstein entschied in erster Instanz, dass es sich bei der Facebook Ireland Ltd. um eine Niederlassung der Facebook Inc. mit Sitz in den USA im Sinne des Artikels 4 Abs. 1 lit. a) der EU-Richtlinie  95/46/EG (Datenschutzrichtlinie) handele und deshalb auf beide Unternehmen jeweils irisches Datenschutzrecht anzuwenden sei (Az. 8 B 60/12 und 8 B 61/12).

Anwendbarkeit deutschen Datenschutzrechts

Deutsches Datenschutzrecht findet auf ausländische Unternehmen in folgenden Fällen Anwendung:

Hat das ausländische Unternehmen seinen Sitz in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR), ist deutsches Datenschutzrecht nur anwendbar, wenn das Unternehmen personenbezogene Daten in Deutschland durch eine Niederlassung in Deutschland erhebt, verarbeitet oder nutzt. Andernfalls unterliegt das Unternehmen ausschließlich dem Datenschutzrecht seines Sitzstaates (§ 1 Abs. 5 Satz 1 BDSG).

Hat ein Unternehmen seinen Sitz außerhalb der EU/des EWR unterliegt es dem deutschem Datenschutzrecht, soweit es personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt (§ 1 Abs. 5 Satz 2 BDSG).

Die vorliegend relevante europarechtliche Grundlage für die Anwendbarkeit einzelstaatlichen Rechts ist Art. 4 Abs. 1 lit. a) Satz 1 der Datenschutzrichtlinie. Hiernach wendet jeder EU-Mitgliedsstaat sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Der Begriff der „Niederlassung“ ergibt sich aus Erwägungsgrund 19 der Datenschutzrechtlinie und setzt lediglich die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus, ohne dass es auf die Rechtsform ankommt.

Facebook Ireland Ltd. als Niederlassung der Facebook Inc.

Das OVG Schleswig-Holstein bestätigte die Auffassung des VG Schleswig-Holstein, dass die Facebook Ireland Ltd. eine Niederlassung der Facebook Inc. sei. Ausschlaggebend für das Gericht war, dass die Facebook Ireland Ltd. aktiv in die tatsächliche der Nutzerdaten einbezogen ist. Ob Facebook Ireland Ltd. selber verantwortliche Stelle, also „Herrin“ der Daten ist, spielt nach Auffassung des Gerichts für die Einstufung als Niederlassung keine Rolle, da es hierfür allein auf die bloße tatsächliche Tätigkeit der Datenverarbeitung ankomme. §  1 Abs. 5 Satz 2 BDSG finde daher keine Anwendung, da die Facebook Inc. selber keine Daten von außerhalb der EU erhebt.

Die Existenz der Facebook Germany GmbH mit Sitz in Hamburg sah das Gericht nicht als relevanten Anknüpfungspunkt für die Anwendbarkeit des deutschen Datenschutzrechts an, da diese nicht aktiv in die Datenverarbeitung einbezogen ist, sondern nur Anzeigenaquise und Marketing betreibt. Ebenso führe auch die Existenz eines in Deutschland ansässigen Auftragsdatenverarbeiters nicht zur Anwendbarkeit des deutschen Datenschutzrechts, da dieser datenschutzrechtlich als Teil der Facebook Ireland Ltd. anzusehen sei.

Die Feststellung des VG Schleswig-Holstein, dass Datenschutzrecht als zwingendes Recht gem. Artikel 9 Rom-I-Verordnung nicht der Rechtswahl zugänglich ist, hat das OVG Schleswig-Holstein nicht beanstandet, so dass die Wahl des deutschen Rechts in den Facebook-AGB für die Anwendung des deutschen Datenschutzrechts irrelevant ist.

Das ULD hat inzwischen angekündigt, die Entscheidungen des OVG Schleswig-Holstein zu akzeptieren und den in der Hauptsache eingelegten Widersprüchen der Facebook Inc. und Facebook Ireland Ltd. zu entsprechen.

Auswirkungen der Entscheidungen

Unternehmen, die außerhalb der EU bzw. des EWR angesiedelt sind, haben die Möglichkeit, durch tatsächliche Einbeziehung eines EU-Tochterunternehmens die Datenverarbeitung das innerhalb der gesamten EU für sie anwendbare Recht gezielt zu wählen.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu