AllgemeinDatenschutz

Zur Anordnung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) an Facebook

Veröffentlicht Lehrstuhl Prof. Heckmann

Zur Anordnung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) an Facebook

Am 14. Dezember wurden von Dr. Thilo Weichert, dem Landesbeauftragten für den Datenschutz Schleswig-Holstein und damit dem Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Anordnungen an das Unternehmen Facebook Inc. in den USA und an das Unternehmen Facebook Ltd. in Irland erlassen, die die beiden Unternehmen dazu auffordern, eine pseudonyme Nutzung des Netzwerks für alle Einwohner Schleswig-Holsteins zu gewährleisten (die Anordnung an das Unternehmen Facebook Inc. ist abrufbar unter https://www.datenschutzzentrum.de/facebook/20121214-anordnung-fb-inc.html; die Anordnung an das Unternehmen Facebook Ltd. ist abrufbar unter https://www.datenschutzzentrum.de/facebook/20121214-anordnung-fb-ltd.html).

Die beiden Anordnungen enthalten die folgenden Verpflichtungen:

1.
Von beiden Unternehmen muss die Wahlmöglichkeit zur Verfügung gestellt werden, sich im Rahmen der Registrierung mit seinen Echtdaten oder unter Verwendung eines Pseudonyms anmelden zu können.
2.
Dabei sind die Konten, bei deren Registrierung Echtdaten gar nicht oder nicht vollständig angegeben wurden und die infolgedessen gesperrt wurden, wiederzu entsperren.
3.
Ebenso müssen die Nutzer vor der Registrierung in einfacher, verständlicher und leicht zugänglicher Form über die Möglichkeit der pseudonymen Nutzung informiert werden.

Für die in Nr. 2 genannte Regelung wurde die sofortige Vollziehung unter anderem mit der Begründung angeordnet, dass die Nutzer durch die Sperrung ihrer Konten, die teilweise auch zu beruflichen Zwecken genutzt werden, nicht in der Lage sind, auf ihre gespeicherten Informationen zuzugreifen und somit auch die Ausübung ihres Berufs erheblich behindert werde (vgl. die Anordnung an das Unternehmen Facebook Inc. S. 6 f. und die Anordnung an das Unternehmen Facebook Ltd. S. 6).

Kommt Facebook binnen zwei Wochen der Anordnung nicht nach, so droht ein Zwangsgeld in Höhe von 20.000 Euro.

Gestützt werden die Anordnung auf § 13 Abs. 6 TMG, der dieDiensteanbieter dazu verpflichtet, die Nutzung von Telemedien anonym oder pseudonym zur Verfügung zu stellen. Zuerst stellt sich jedoch die Frage, ob deutsches Datenschutzrecht in diesem Fall überhaupt anwendbar ist.

Anwendbarkeit deutschen Datenschutzrechts

Bei sozialen Netzwerken, wie beispielsweise Facebook, handelt es sich um Telemedien i.S.d. § 1 Abs. 1 TMG, sodass die bereichsspezifischen Datenschutzvorschriften der §§ 11 ff. TMG denen des BDSG vorgehen (§ 1 Abs. 3 BDSG i.V.m. § 12 Abs. 4 TMG). Für die internationale Anwendbarkeit des TMG, für die § 3 TMG den Ausgangspunkt bildet, stellt § 1 Abs. 5 TMG deutlich heraus, dass das TMG keine neuen Kollisionsregeln schafft, sodass sich diese nach den allgemeinen Kollisionsregeln bestimmt. Zur Anwendung kommt somit § 1 Abs. 5 BDSG (vgl. hierzu ausführlich Jotzo,MMR 2009, 232, 234).

Bei der Bestimmung der Anwendbarkeit deutschen Datenschutzrechts ist dahingehend zu unterscheiden, ob sich die Niederlassung des Anbieters in einem Drittstaat (so bei der Facebook Inc. in den USA) oder in einem anderen EU/EWR-Mitgliedstaat (so bei der Facebook Ltd. in Irland) befindet.

Facebook Inc. in den USA

Nach § 1 Abs. 5 S. 2 BDSG findet dann deutschesDatenschutzrecht Anwendung, wenn  eine verantwortliche Stelle, deren Niederlassung sich in einem Drittstaat befindet, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Der Begriff „im Inland“ ist danach zu bestimmen, an wen sich die Leistung des im Drittstaat niedergelassenen Verantwortlichen richtet. Ist die Bereitstellung des Dienstes erkennbar auch an deutsche Nutzer gerichtet, beispielsweise durch eine Startseite in deutscher Sprache, so liegt eine Erhebung im Inland vor und deutsches Datenschutzrecht ist anwendbar (vgl. hierzu ausführlich Jotzo, MMR 2009, 232, 235 ff.).

Somit ist bei Datenerhebungen und -verarbeitungen durch das Unternehmen Facebook Inc. deutsches Datenschutzrecht anwendbar.

Facebook Ltd. in Irland

Gemäß § 1 Abs. 5 S. 1 BDSG ist deutsches Datenschutzrecht dann nicht anwendbar, wenn eine in einem EU/EWR-Mitgliedsstaat niedergelassene verantwortliche Stelle Daten im Inland erhebt. Werden Daten durch das Unternehmen Facebook Ltd. erhoben, so findet daher nur irisches, jedoch kein deutsches Datenschutzrecht Anwendung.

Eine Ausnahme enthält § 1 Abs. 5 S. 1 BDSG a.E., wenn die Datenerhebung und -verarbeitung durch eine Niederlassung im Inland vorgenommen werden. Die Niederlassung von Facebook in Hamburg beschäftigt sich ausschließlich mit Marketingaufgaben, sodass die Ausnahme des § 1 Abs. 5 S. 1 BDSG a.E. hier nicht eingreift.

Zusammenarbeit der beiden Unternehmen?

Daher stellt sich bei der Anwendbarkeit deutschenDatenschutzrechts vor allem die Frage, ob eine Zusammenarbeit der beiden Unternehmen besteht. Werden die Daten ausschließlich durch die Niederlassung in Irland verarbeitet, so findet auch ausschließlich irisches Datenschutzrecht Anwendung. Werden jedoch die Daten durch beide Unternehmen verarbeitet, so ist deutsches Datenschutzrecht anwendbar.

Gerade in dieser Frage unterscheiden sich die Stellungnahme von Facebook und die Position des ULD. Während Facebook angibt, dass nur das Unternehmen Facebook Ltd. in Irland für die Datenverarbeitung verantwortlich ist, ist das ULD der Auffassung, dass beide Unternehmen für die Klarnamenpolitik verantwortlich sind (vgl. die Pressemitteilung, ULD erlässt Verfügungen gegen Facebook wegen Klarnamenpflicht, abrufbar unter https://www.datenschutzzentrum.de/presse/20121217-facebook-klarnamen.htm).

Aufgrund dieser entgegenstehenden Auffassungen kann die Anwendbarkeit deutschen Datenschutzrechts nicht genau festgestellt werden.

Weitere Probleme der Anordnungen

Geht man von einer Anwendbarkeit deutschen Datenschutzrechts aus, so ergeben sich zudem noch weitere Probleme aufgrund der Tatsache, dass die Anordnungen auf § 13 Abs. 6 TMG gestützt werden.

Zum einen verpflichtet § 13 Abs. 6 TMG die Diensteanbieternur dahingehend, eine anonyme oder pseudonyme Nutzung bereitzustellen. Die Möglichkeit einer pseudonymen Nutzung besteht jedoch auch trotz der Regelung, sich mit seinen Echtdaten zu registrieren. Denn die Verpflichtung, dass der Vertragsschluss nur anonym erfolgt, ist von § 13 Abs. 6 TMG gerade nicht erfasst (vgl. hierzu Stadler, ZD 2011, 57, 58).

Zum anderen könnte die Pflicht zur anonymen oder pseudonymen Nutzung auch einen Widerspruch zu der Impressumspflicht nach § 5 TMG oder § 55 RStV darstellen. Nach der Rechtsprechung stellen Händlerprofile auf eBay ein eigenes Telemedium dar (vgl. beispielsweise OLG Düsseldorf, MMR 2008, 682), sodass dies auch für Profile in sozialen Netzwerken anzunehmen ist. Eine Impressumspflicht besteht daher nach § 55 Abs. 1 RStV nur dann nicht, wenn das Angebot ausschließlich persönlichen oder familiären Zwecken dient. Dies ist schon dann nicht der Fall, wenn innerhalb des sozialen Netzwerks Informationen für die Allgemeinheit veröffentlicht werden. Nichtsdestotrotz kann die Verpflichtung der anonymen oder pseudonymen Nutzung nicht dadurch ausgehebelt werden, dass der Nutzer sowieso ein Impressum vorhalten müsse, da es auch Möglichkeiten gibt, die Informationen nur für einen bestimmten Personenkreis zu begrenzen (vgl. hierzu ausführlich Stadler,ZD 2011, 57, 58 f.).