Internet-Law

Onlinerecht und Bürgerrechte 2.0

4.5.15

Gilt für Twitter (künftig) tatsächlich irisches Datenschutzrecht?

Vor ca. zwei Wochen meldete Heise, dass Twitter irische Datenschutzstandards gewählt hätte, bei ZDNet heißt es, Twitter habe sich dem irischem Datenschutzgesetz unterstellt.

Was hat es damit auf sich und gilt für Twitter im Verhältnis zu deutschen Nutzern des Dienstes tatsächlich irisches Datenschutzrecht?

Twitter hat eine Aktualiserung seiner Datenschutzrichtlinie und seiner AGB mitgeteilt, verbunden mit dem Hinweis, dass man durch die Weiterbenutzung des Dienstes nach dem 18.05.2015 diese Änderungen akzeptieren würde. In der Mitteilung von Twitter heißt es:

Wenn Du außerhalb der USA lebst, werden Dir unsere Dienste nun von Twitter International Company, unserem Unternehmen mit Sitz in Dublin (Irland), bereitgestellt. Twitter International Company ist dafür verantwortlich, Deine Account-Informationen nach dem irischen Datenschutzgesetz zu verwalten, das auf der Europäischen Datenschutzrichtlinie basiert.

In der aktualisierten Datenschutzrichtlinie von Twitter heißt es dazu:

Wenn Sie außerhalb der Vereinigten Staaten leben, ist für Ihre Daten die Twitter International Company verantwortlich, ein irisches Unternehmen mit eingetragenem Geschäftssitz unter der Adresse The Academy, 42 Pearse Street, Dublin 2, Ireland.

Interessanterweise enthalten die AGB von Twitter eine Rechts- und Gerichtsstandswahl, wonach das recht des Staates Kalifornien gelten soll und als Gerichtsstand San Francisco vereinbart werden soll. Diese Rechts- und Gerichtsstandswahl ist außerhalb des kaumännischen Verkehrs gegenüber Verbrauchern unwirksam. Bei der Rechtswahl wird man davon auszugehen haben, dass eine solche im Datenschutzrecht bereits nach Art. 9 Abs. 1 Rom I-VO unzulässig ist. Sie dürfte gegenüber Verbrauchern jedenfalls an Art. 6 Abs. 2 S. 2 Rom I-VO scheitern. Die Gerichtsstandsvereinbarung verstößt gegen Art. 16, 17 EuGVVO.

Was nun die angebliche Geltung des irischen Datenschutzrechts anbelangt, ist die Entscheidung des EuGH zu den Löschpflichten von Google zu beachten. Der EuGH führt dort (Erwägungsgrund 18, 19) u.a. folgendes aus:

Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.

Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

Hieraus wird einerseits ebenfalls klar, dass eine Rechtswahl kaum in Betracht kommt und, dass die nationalen Datenschutzregelungen gelten, wenn eine Niederlassung in einem Mitgliedsstaat, egal in welcher Rechtsform, existiert. In Bezug auf Google hat es der EuGH ausreichen lassen, dass eine Zweigniederlassung vorhanden ist, die  für die Vermarktung von Werbung zuständig ist.

Twitter unterhält in Deutschland eine Zweigniederlassung, nämlich die Twitter Germany GmbH, die den Zweck hat, das Marketing und den Verkauf von Online Werbeprodukten der Twitter Inc. zu fördern und zu unterstützen. Man wird deshalb davon auszugehen haben, dass die Grundsätze der EuGH-Rechtsprechung auch Twitter anzuwenden sind.

Twitter unterhält damit eine relevante zweigniederlassung im Sinne der Datenschutzrichtlinie mit der Folge, dass Twitter (auch) deutsches Datenschutzrecht zu beachten hat. Sowohl die Twitter Inc. als auch die Twitter GmbH können daher vor deutschen Gerichten wegen Verletzung datenschutzrechtlicher Vorschriften des deutschen Datenschutzrechts in ANspruch genommen werden.

posted by Stadler at 14:01