Internet-Law

Onlinerecht und Bürgerrechte 2.0

18.8.11

Gilt deutsches Datenschutzrecht für Facebook überhaupt?

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

posted by Stadler at 17:41