Niederlage einer deutschen Datenschutzbehörde in Streit mit Facebook: Deutsches Datenschutzrecht nicht anwendbar

Das Schleswig-Holsteinische Verwaltungsgericht (VG) hat in zwei Eilverfahren entschieden, dass deutsches Datenschutzrecht bei der Verarbeitung von Daten deutscher Facebook-Nutzer auf die amerikanische Facebook Inc. bzw. die europäische Niederlassung Facebook Ireland Ltd. (zusammen Facebook) keine Anwendung findet (Beschlüsse vom 14. Februar 2013, Az. 8 B 60/12 und 8 B 61/12). Stattdessen soll irisches Recht gelten. Von Verena Grentzenberg

Dem Verfahren liegt ein Streit um den Klarnamenzwang von Facebook zugrunde: Nach deutschem Telemediengesetz (TMG) müssen Webangebote auch unter einem Pseudonym genutzt werden können, jedenfalls „soweit dies [für den Anbieter] möglich und zumutbar ist“ (§ 13 Abs. 6 Satz 1 TMG). Das irische Datenschutzrecht kennt hingegen offenbar keine entsprechende Verpflichtung.

Die als streitbar bekannte Datenschutzbehörde Schleswig-Holsteins (das sogenannte Unabhängige Landeszentrum für Datenschutz, kurz ULD) hatte gegenüber Facebook unter Berufung auf das TMG Anordnungen erlassen, mit denen die beiden Unternehmen unter Androhung eines Zwangsgeldes verpflichtet wurden, eine Nutzung des sozialen Netzwerkes auch unter Pseudonym zuzulassen. Außerdem wurde der Sofortvollzug angeordnet. Damit hatte der Widerspruch von Facebook gegen die Anordnungen keine aufschiebende Wirkung mehr. Das VG hat diese aufschiebende Wirkung nunmehr wieder hergestellt.

Damit muss Facebook die Anordnungen des ULD (derzeit) nicht umsetzen, sondern kann zunächst die Klärung der Rechtsfragen im Hauptsacheverfahren abwarten.

Interessant an den Beschlüssen des VG ist, dass dieses der Argumentation Facebooks folgt, ausschließlich irisches Datenschutzrecht sei anwendbar. Das Gericht ist dabei im Rahmen seiner summarischen Prüfung dem Vortrag Facebooks gefolgt, wonach die für die deutschen Nutzer des Angebots relevanten Entscheidungen über die Verarbeitungsvorgänge bei der irischen Facebook Ireland Ltd. erfolgen, während die deutsche Facebook Germany GmbH lediglich mit Anzeigenaquise und Marketing befasst sei. Damit wäre nach den Regelungen der Europäischen Datenschutzrichtlinie (95/46/EG) bzw. des Bundesdatenschutzgesetzes (§ 1 Abs. 5 BDSG) ausschließlich irisches Datenschutzrecht anwendbar.

Für Websitebetreiber mit Unternehmenssitz in Deutschland, die Facebook Plug-Ins wie z. B. den „Gefällt-mir“-Button in ihr Angebot einbinden, oder für deutsche Unternehmen, die eine Fanpage bei Facebook eingerichtet haben, ändert sich durch die Beschlüsse des VG nichts: Auf sie ist deutsches Datenschutz- bzw. Wettbewerbsrecht unstreitig anwendbar. Daher sollten in typischen Problembereichen möglichst datenschutzsensible Lösungen gewählt werden. Für Social Plug-Ins etwa empfiehlt sich eine Programmierung, die Daten erst dann an Facebook überträgt, wenn der Nutzer dem – nach entsprechender Information – explizit zugestimmt hat (z. B. die sogenannte „Zwei-Klick-Lösung“ von Heise, nähere Informationen dazu unter heise.de). Fanpages sollten ein Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar halten.

Weitere Informationen zum Streit mit Facebook hat das ULD bereitgestellt.

Update 15. September 2014

Das ULD teilte auf Anfrage mit, dass es in dieser Sache kein Hauptsacheverfahren betrieben hat. Die Beschlüsse sind damit rechtskräftig.

Kommentare sind geschlossen.