Update – (Vorläufige) Niederlage einer deutschen Datenschutzbehörde in Streit mit Facebook: Deutsches Datenschutzrecht nicht anwendbar

Das Oberverwaltungsgericht (OVG) Schleswig hat am 22. April 2013 in zwei – unanfechtbaren – Beschlüssen (Az. 4 MB 10/13 und 11/13) die Beschwerden des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) gegen die Beschlüsse des Verwaltungsgerichts, dass deutsches Datenschutzrecht bei der Verarbeitung von Daten deutscher Facebook-Nutzer auf die amerikanische Facebook Inc. bzw. die europäische Niederlassung Facebook Ireland Ltd. keine Anwendung findet, zurückgewiesen. Damit bleibt es bis zur Entscheidung des Gerichts im Hauptsacheverfahren bei der aufschiebenden Wirkung der Klagen von Facebook gegen die entsprechenden Anordnungen des ULD vom Dezember 2012. Weitere Informationen finden sich auf der Website des OVG; die Meinung des ULD hierzu ist hier abrufbar. Unsere Analyse der Beschlüsse des Verwaltungsgerichts vom 14. Februar 2013 finden Sie hierVon Verena Grentzenberg

Update 5. Mai 2015 – Laut Kammergericht Berlin gilt für Facebook deutsches Datenschutzrecht

Im Gegensatz zum OVG Schleswig ist das Kammergericht (KG) Berlin der Auffassung, beim Betrieb des sozialen Netzwerks müsse deutsches Datenschutzrecht beachtet werden (Urteil vom 24.1.2014, Az. 5 U 42/12, nicht rechtskräftig). Diese abweichende Einschätzung beruht in erster Linie auf einer anderen Sachverhaltsbewertung: Das Gericht geht davon aus, dass die Datenverarbeitung im Zusammenhang mit dem Netzwerk auch in Europa von der amerikanischen Facebook Inc. kontrolliert werde und nicht von der europäischen Facebook Ireland Ltd. Bei einer 100%igen Tochtergesellschaft könne die Datenverarbeitung durch die Muttergesellschaft nicht als Auftragsdatenverarbeitung für die Tochter eingestuft werden.

Diese Bewertung eröffnet tatsächlich Raum für die Anwendung deutscher Datenschutzbestimmungen: Gemäß Artikel 4 der Europäischen Datenschutzrichtlinie (95/46/EG) gilt das jeweilige nationale Datenschutzrecht, wenn eine für die Datenverarbeitung verantwortliche Stelle (1) ihren Sitz in einem Drittstaat ohne angemessenes Datenschutzniveau – wie etwa den USA – hat und (2) bei der Datenverarbeitung auf automatisierte oder nicht automatisierte Mittel im Inland zurückgreift. Für die zweite Voraussetzung reichte dem Gericht, dass das Netzwerk Cookies auf den Rechner deutscher Nutzer platziert. Einen weiteren Hinweis auf die Verantwortlichkeit der Facebook Inc. sahen die Richter darin, dass im Ergebnis die amerikanische und nicht die irische Gesellschaft einen Internetprovider mit der Verarbeitung von Daten deutscher Nutzer beauftragt hatte.

Kommentare sind geschlossen.