Internet-Law

Onlinerecht und Bürgerrechte 2.0

18.8.11

Gilt deutsches Datenschutzrecht für Facebook überhaupt?

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

posted by Stadler at 17:41  

18 Comments

  1. Ah, danke für die Arbeit.

    Comment by vera — 18.08, 2011 @ 17:50

  2. Danke für die Arbeit und Darstellung!

    Facebook, Google und Co. müssen sich demnach auch an den §13 (6) TMG halten und die Nutzung anonym oder unter Pseudonym zulassen, oder?

    Comment by Florian — 18.08, 2011 @ 17:59

  3. Das klingt ja alles einleuchtend, aber woher bezieht Deutschland das Recht, per Gesetz Jurisdiktion über Personen zu beanspruchen, die niemals deutschen Boden betreten haben?

    Kann demzufolge bspw. Saudi-Arabien auch Gesetze erlassen, dass Frauen in TV-Sendungen, die in Saudi-Arabien über Satellit empfangen werden können, grundsätzlich verschleiert sein müssen, und müssten deutsche TV-Sender sich daran halten?

    Und wozu brauchen wir überhaupt ein Fluggastdatenabkommen, wenn die USA doch einfach einseitig ein Gesetz verabschieden könnten, dass alle Fluggesellschaften mit Landeerlaubnis in den USA verpflichtet, die Daten rauszurücken?

    Die Logik erschließt sich mir nicht ganz. Meiner Meinung nach ist die Datenverarbeitung bei Facebook einfach überhaupt kein „grenzüberschreitender Sachverhalt“, sondern findet ausschließlich in den USA statt. Jegliche Versuche des deutschen Gesetzgebers, das anders zu definieren, z.B. danach ob sich „der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt“, und damit in andere Jurisdiktionen hinein zu regieren, sind eigentlich als Piraterie einzustufen.

    Comment by BurkhardHH — 18.08, 2011 @ 18:32

  4. Ich will ja das Interesse am Datenschutz derjenigen nicht anzweifeln, die solche Diskussionen pflegen. Allerdings geht es mir ähnlich wie BurkhardHH: was sind denn die rein praktischen Konequenzen? Ohne Durchsetzungsmöglichkeiten bleiben die meisten Erklärungen reichlich akdemischer Natur. Facebook könnte auf eine europäische Niederlassung gut verzichten. Marketing und Vertrieb lassen sich auch von den USA aus organisieren. Und egal, ob man dann die Gesetzeslage in der EU oder Deutschland für relevant hält oder nicht, sie wird sich nicht gerade einfach durchsetzen lassen. Ggf. ist die Durchsetzung sogar unmöglich. Facebook bräuchte auf Klagen in DE oder einem anderen Staat der EU nämlich nicht zu reagieren. Klagen in den USA müssten auf der Grundlage amerikanischen Rechts erfolgen und wären eines mit Sicherheit: ziemlich teuer.

    Comment by M. Boettcher — 18.08, 2011 @ 18:56

  5. Du schreibst: „Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.“

    Da fehlt ein „Nicht-„, oder? Im „Nicht-EU-Ausland“ möchte man meinen.

    Comment by Alexander Schestag — 18.08, 2011 @ 19:20

  6. @Alex Schestag: Nein, der Satz ist so gemeint. Die Idee hinter dieser etwas merkwürdigen Konstruktion ist von der Vorstellung getragen, dass innerhalb der EU ein einheitliches Datenschutzniveau gilt, weshalb man auch das Recht des anderen EU-Staates anwenden kann.

    Wenn die Datenverarbeitung z.B. in den USA stattfindet – also in einem Land mit geringerem Datenschutzniveau, soll das deutsche bzw. europäische Datenschutzrecht dann wieder gelten, wenn sich die Datenverarbeitung im EU-Raum auswirkt. Wenn also von außerhalb der EU Daten in der EU erhoben werden, gilt das nationale Recht des betroffenen EU-Mitgliedsstaates.

    Comment by Stadler — 18.08, 2011 @ 20:49

  7. @BurkhardHH:
    Das Recht reklamiert Deutschland bzw. die EU deshalb für sich, weil sich das Verhalten von Facebook unmittelbar in Deutschland auswirkt. Das ist grundsätzlich nicht ungewöhnlich und wird von den USA andersherum – bei anderen Sachverhalten – auch so praktiziert.

    Comment by Stadler — 18.08, 2011 @ 20:52

  8. Dass die USA auch gerne ihre Normen im Rest der Welt durchsetzen möchten, ist klar. Aber entweder folgt daraus, dass man sich als Betreiber eines Internet-Angebots immer an die Gesetze *aller* Staaten halten muss – also auch Saudi-Arabien, Iran, China, etc. – oder man proklamiert eine Überlegenheit der eigenen Gesetze über dem Rest der Welt, was schon was imperialistisches hat. Und ich glaube doch nicht, dass irgendwer hier der Meinung ist, man dürfe aus Deutschland kein Webangebot an Syrer richten, das in Syrien verboten wäre.

    Die einzige Lösung unter Wahrung der Souveränität aller Staaten kann daher meiner Meinung nach nur sein, dass man sich nicht in die Belange anderer Länder einmischt und die Wirkung der eigenen Gesetze auf Vorgänge beschränkt, die auch physisch auf dem eigenen Territorium stattfinden.

    Comment by BurkhardHH — 18.08, 2011 @ 21:05

  9. Hat letztlich keine Auswirkung auf die Ausführungen, aber woher kommt die Erkenntnis, dass Norwegen, als Nicht-EU Land die Datenschutzrichtlinie umgesetzt hat?

    Comment by Phil — 18.08, 2011 @ 22:40

  10. Eine Suchanfrage im Xing fördert eine beträchtliche Anzahl von Personen zutage, die in Deutschland und Irland für Facebook arbeiten.
    Wer die Inhalte der verschiedenen Tätigkeiten kennt weiß, dass diese ohne die massive Verarbeitung personenbezogener Daten am jeweiligen Arbeitsplatz vor Ort in Deutschland oder Irland nicht auszuführen wären.
    Diese Datenverarbeitung ist ein valider Anknüpfungspunkt für länderspezifisches Datenschutzrecht.
    Ob es aber die Welt voranbringt, die europäische/deutsche Datenschutz-Regulitis auf innovative Projekte wie Facebook auszudehnen, bezweifle ich.

    Comment by Peter Hense — 19.08, 2011 @ 09:23

  11. Ich möchte meinen Facebook-Account löschen – nachhaltig. Also lieber mit einem Schreiben, in dem ich um die Löschung aller Daten, auch in Backups, bitte – als das per vorgesehenem Mausklick zu tun.

    Nach Deiner Ausführung müsste ich ja Facebook nach BDSG auch auffordern können, mich über alle über mich gespeicherten Daten zu unterrichten. Richtig?

    Gibt’s da schon Musterschreiben?

    Comment by wetter — 19.08, 2011 @ 11:49

  12. Sehr gut! Erwähnenswert wären mE auch die einschlägigen Stellungnahmen der Artikel-29-Datenschutzgruppe:
    Stellungnahme 8/2010 zum anwendbaren Recht: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf und andere zB Stellungnahme 1/2010 sowie Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke.

    Comment by Markus Kastelitz — 19.08, 2011 @ 12:32

  13. @Florian:
    Herr Stadler schreibt oben: „…dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft…“

    Nach dem ist das Telemediengesetz NICHT anwendbar auf Facebook, Google+, Twitter und co., also auch nicht §13 (6) TMG.

    Diese sozialen Netzwerke hätten also keine Pflicht anonyme oder pseudonyme Nutzung zuzulassen.

    Vorausgesetzt ich habe alles richtig verstanden. ;-)

    Comment by Musenrössle — 19.08, 2011 @ 19:13

  14. Mal ne einfache Frage: Sollte ich als Blogbetreiber jetzt den Like-Button drin lassen oder nicht. Was die Möglichkeit einer Abmahnung angeht….

    Comment by mnass — 19.08, 2011 @ 19:57

  15. Ich denke, dass Author inlandische Mittel falsh versteht. Ich fand dass solche Definition zu breit und nicht logish sowie nicht Richtlienien konform ware. Data processing Mitel sollte man verstehen als die wo data controller speichert gesammelten Daten und nicht data subjects PC wo daten sind nicht kontrolierbar bei data controller. Bei cookies technich das ist anders, cookies sind bei data controler gesteurtn, deswegen koonte man inlandishes Recht vieleicht anwenden, aber bei facebook ich glaube nicht.

    Comment by Paulius — 19.08, 2011 @ 23:13

  16. Ich habe ein kleines Paper mit einer technischen Analyse passend zu diesem Thema veroeffentlicht:

    Datenschutz und Usertracking
    – eine technische Analyse

    Download:
    http://kechel.de/downloads/kechel_usertracking_2011.pdf

    Vielleicht geben die darin beschriebenen technischen Moeglichkeiten noch ein bisschen Hilfestellung fuer die rechtliche Bewertung dieses Themas.

    Comment by Jan Kechel — 3.12, 2011 @ 23:37

  17. Phil,
    Norwegen ist Teil des Europäischen Wirtschaftsraums und setzt Europäische Richtlinien regelmässig um, hat sich hierzu sogar vertraglich verpflichtet. Dass es kein Mitgliedsstaat der EU ist bewirkt in der Praxis lediglich, dass es an Erarbeitung und Beschluss der Richtlinien nicht beteiligt ist.

    Comment by Frank Burgdörfer — 18.01, 2012 @ 14:48

  18. Mit der Entscheidung des VG Schleswig vom 14.02.2013 denke ich hat sich diese Frage erübrigt nehme ich an?

    Zudem meine ich die hier dargestellte „Rechtswahl“ in den Nutzungsbedingungen würde letztendlich gegen das Verbot der Rechtswahl aus Rom-II-VO schließen?

    Lasse mich gerne eines Besseren belehren.

    Comment by C. — 20.03, 2013 @ 15:43

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.