Webshoprecht.de
Verwaltungsgericht Schleswig Beschluss vom 14.02.2013 - 8 B 60/12 - Zur Anwendung nichtdeutschen Datenschutzrechts auf Facebook
VG Schleswig vom 14.02.2013: Zur Anwendung nichtdeutschen Datenschutzrechts auf Facebook
Das Verwaltungsgericht Schleswig (Beschluss vom 14.02.2013 - 8 B 60/12 und 8 B 61/12) hat entschieden:
Nach der im Eilverfahren nur möglichen summarischen Überprüfung der Sach- und Rechtslage ergibt sich, dass die auf deutsches Datenschutzrecht gestützte Anordnung auf Entsperrung von Konten auf Facebook registrierter (natürlicher) Personen in Schleswig-Holstein, die ausschließlich und alleine wegen des Grundes der Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, rechtswidrig ist. Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung. Für Tätigkeoiten von Facebook in Bezug auf deutsche Nutzer findet irisches Datenschutzrecht Anwendung.
Siehe auch Facebook und der Datenschutz undDatenschutz
Gründe:
Die Anträge gemäß § 80 Abs. 5 VwGO sind zulässig und begründet.
Die Anträge sind zulässig, insbesondere statthaft.
Hinsichtlich der Verpflichtung unter I.2. des Bescheides vom 14.12.2012 ordnete der Antragsgegner unter II. den Sofortvollzug an, so dass ein Widerspruch gemäß § 80 Abs. 2 S. 1 Nr. 4 VwGO keine aufschiebende Wirkung hat. Vorläufiger Rechtsschutz ist somit nach § 80 Abs. 5 VwGO mit einem Antrag auf Wiederherstellung der aufschiebenden Wirkung zu erlangen.
Hinsichtlich der Zwangsgeldandrohung in III. des Bescheides vom 14.12.2012 als Vollzugsmaßnahme besteht keine aufschiebende Wirkung eines Widerspruches (§ 80 Abs. 2 S. 1 Nr. 2 bzw. S. 2 VwGO iVm § 248 Abs. 1 S. 2 LVwG Schleswig-Holstein), so dass vorläufiger Rechtsschutz gemäß § 80 Abs. 5 VwGO über einen Antrag auf Anordnung der aufschiebenden Wirkung zu erreichen ist.
Das Rechtsschutzbedürfnis für die Anträge ist gegeben, da der Bescheid vom 14.12.2012 gegenüber der Antragstellerin wirksam geworden ist. Es erfolgte eine ordnungsgemäße Zustellung im Ausland gemäß § 154 Abs. 1 Nr. 1 LVwG. Danach ist eine Zustellung im Ausland durch Einschreiben mit Rückschein möglich, soweit die Zustellung von Dokumenten unmittelbar durch die Post völkerrechtlich zulässig ist. Letzteres ist der Fall, da die Republik Irland eine Zustellung von Verwaltungsakten durch deutsche Behörden auf ihrem Territorium duldet (zu den völkerrechtlichen Voraussetzungen vgl. VG Düsseldorf, Beschluss vom 27.05.2011 - 27 L 1602/10 -, Juris m.w.N., dort auch zur Zulässigkeit der Verwendung der deutschen Sprache bei ausländischen Adressaten).
Die Anträge gemäß § 80 Abs. 5 VwGO sind auch begründet.
Die gerichtliche Entscheidung nach § 80 Abs. 5 VwGO ergeht regelmäßig auf der Grundlage einer umfassenden Interessenabwägung. Gegenstand der Abwägung sind das Aufschubinteresse der Antragstellerin einerseits und das öffentliche Interesse an der Vollziehung des streitbefangenen Verwaltungsaktes andererseits. Im Rahmen dieser Interessenabwägung können auch Erkenntnisse über die Rechtmäßigkeit oder Rechtswidrigkeit des Verwaltungsaktes, der vollzogen werden soll, Bedeutung erlangen, allerdings nicht als unmittelbare Entscheidungsgrundlage, sondern als in die Abwägung einzustellende Gesichtspunkte.
Nach der im vorliegenden Verfahren nur möglichen summarischen Überprüfung der Sach- und Rechtslage ergibt sich, dass die auf § 38 Abs. 5 S. 1 BDSG iVm § 13 Abs. 6 TMG gestützte Anordnung in I.2. des Bescheides vom 14.12.2012 auf Entsperrung von Konten unter www.f..com registrierter (natürlicher) Personen in Schleswig-Holstein, die ausschließlich und alleine wegen des Grundes der Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, rechtswidrig ist.
Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.
Eine wirksame Rechtswahl des deutschen materiellen Datenschutzrechts liegt nicht vor.
Soweit in den Nutzungsbedingungen der Antragstragstellerin vom 11.12.2012 unter Nr. 17.3 in Verbindung mit Nr. 16.1 hinsichtlich der "Erklärung der Rechte und Pflichten" (Nutzungsbedingungen) bestimmt wird, dass diese Erklärung deutschem Recht unterliegt, wird damit die Anwendbarkeit deutschen materiellen Datenschutzrechtes nicht begründet.
Nach Art. 3 Abs. 1 S. 1 der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) unterliegt ein zivilrechtlicher Vertrag dem von den Parteien gewählten Recht, wobei jedoch diese Verordnung nicht auf Eingriffsnormen im Sinne des Art. 9 Rom I-VO Anwendung findet. Um solche handelt es sich jedoch bei den öffentlich-rechtlichen Datenschutzregelungen des Bundesdatenschutzgesetzes und des Telemediengesetzes (vgl. eine Rechtswahlfreiheit für das Datenschutzrecht ablehnend: Piltz, Rechtswahlfreiheit im Datenschutzrecht?, K & R 2012, 640 ff.; a. A.: LG Berlin, Urteil vom 06.03.2012 - 16 O 551/10 -, K & R 2012, 300; Polenz, Die Datenverarbeitung durch und via F. auf dem Prüfstand, VuR 2012, 207 ff.). Die Anwendung deutschen öffentlich-rechtlichen Datenschutzrechtes steht nicht zur Disposition der Vertragsparteien.
Für die im Zusammenhang mit der Anordnung I.2. des Bescheides vom 14.12.2012 stehende Verarbeitung personenbezogener Daten ergibt sich nach § 1 Abs. 5 BDSG in Verbindung mit Art. 4 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RL 95/46/EG), dass deutsches materielles Datenschutzrecht keine Anwendung findet, vielmehr für die entsprechenden Tätigkeiten der Antragstellerin in Bezug auf deutsche Nutzer von F. irisches materielles Datenschutzrecht zur Anwendung gelangt.
Nach § 1 Abs. 5 S. 1 BDSG findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Nach § 1 Abs. 5 S. 2 BDSG findet das BDSG Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.
Nach § 3 Abs. 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Die Regelung in § 1 Abs. 5 BDSG stellen eine (unvollkommene) Umsetzung von Art. 4 RL 95/46/EG dar.
Nach Art. 4 Abs.1 a) RL 95/46/EG wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedsstaates besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedsstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen, die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.
Nach Art. 4 Abs. 1 c) RL 95/46/EG wendet jeder Mitgliedsstaat seine Vorschriften auf alle Verarbeitungen personenbezogener Daten an, die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedsstaates belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der europäischen Gemeinschaft verwendet werden.
Nach Art. 2 d) RL 95/46/EG bezeichnet der Ausdruck "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Gemäß Erwägungsgrund 19 der RL 95/46/EG setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedsstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.
Entgegen der Auffassung des Antragsgegners ergibt sich die Anwendbarkeit deutschen materiellen Datenschutzrechtes für die Anordnung I.2. des Bescheides vom 14.12.2012 nicht über § 1 Abs. 5 S. 1 BDSG iVm Art. 4 Abs. 1 a) RL 95/46/EG aufgrund der Existenz der F. Germany GmbH in Hamburg.
Nach dem glaubhaften Vortrag der Antragstellerin ist die F. Germany GmbH im Bereich der Anzeigenakquise und im Bereich des Marketing tätig. Eine Verarbeitung personenbezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten registrierten Nutzer von F. findet dort nicht statt, so dass insoweit keine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Niederlassung im Sinne des Art. 4 Abs. 1 a RL 96/46/EG vorliegt. § 1 Abs. 5 S. 1 BDSG ist richtlinienkonform dahingehend auszulegen, dass die Anwendbarkeit des Bundesdatenschutzgesetzes nach dieser Vorschrift bei Vorhandensein einer Niederlassung der verantwortlichen Stelle im Inland sich nur soweit erstreckt, wie die Verarbeitung personenbezogener Daten durch die Niederlassung in Rede steht. Mit der im Rahmen von I.2. des Bescheides vom 14.12.2012 relevanten Verarbeitung personenbezogener Daten hat die F. Germany GmbH jedoch offenbar nichts zu tun. Diese Annahme steht in Einklang mit den Ausführungen des irischen Datenschutzbeauftragten in dem die Antragstellerin betreffenden Report of Audit vom 21.12.2012 (Anhang 4, S. 213) betreffend die Struktur europäischer Niederlassungen (www.dataprotection.ie). Danach ist die Antragstellerin sogar die einzige Niederlassung mit Kontrolle über die Nutzerdaten von nicht nordamerikanischen Nutzern. Andere regionale Niederlassungen in Europa sind danach nicht in die Kontrolle von Nutzerdaten der nicht nordamerikanischen Nutzer von F. eingebunden (vgl. Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, Seite 213 und 215).
Für das vorstehend gefundene Ergebnis, dass mangels Vorhandenseins einer für die streitgegenständliche Verarbeitung personenbezogener Daten relevanten inländischen Niederlassung die Vorschriften des § 1 Abs. 5 S. 1 BDSG und Art. 4 Abs. 1 a) RL 95/46/EG nicht zur Anwendbarkeit deutschen Datenschutzrechtes führen, ist ohne Belang, wo die für die relevante Verarbeitung personenbezogener Daten verantwortliche Stelle im Sinne des § 1 Abs. 5 und § 3 Abs. 7 BDSG bzw. der für die Verarbeitung Verantwortliche im Sinne des Art. 4 Abs. 1 und Art. 2 d) Richtlinie 95/46/EG belegen ist. Nach Auffassung der Antragstellerin ist ausschließlich sie selbst, mit Sitz in Irland, verantwortliche Stelle, während nach Auffassung des Antragsgegners die Antragstellerin neben der Muttergesellschaft F. Inc. (USA) verantwortliche Stelle bzw. für die Verarbeitung Verantwortlicher ist.
Auch die Regelungen des § 1 Abs. 5 S. 2 BDSG iVm. Art. 4 Abs. 1 c) RL 95/46/EG, die eine verantwortliche Stelle außerhalb der EU bzw. des EWR voraussetzen, führten vorliegend nicht zur Anwendbarkeit deutschen materiellen Datenschutzrechts.
Die Frage, ob die Antragstellerin allein, neben F. Inc. (USA) oder gar F. Inc. (USA) allein verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bzw. für die Verarbeitung Verantwortlicher im Sinne von Art. 2 d) RL 95/46/EG ist, kann auch in Anwendung der Vorschriften des § 1 Abs. 5 S. 2 BDSG und des Art. 4 Abs. 1 c) RL 95/46/EG letztendlich dahinstehen, da jedenfalls am Sitz der Antragstellerin eine Niederlassung der verantwortlichen Stelle bzw. des für die Verarbeitung Verantwortlichen vorliegt, die im Rahmen ihrer Tätigkeit die hier relevante Verarbeitung personenbezogener Daten vornimmt, mit der Folge der ausschließlichen Anwendbarkeit materiellen irischen Datenschutzrechtes gemäß Art. 4 Abs. 1 a) RL 95/46/EG.
Die Antragstellerin erfüllt mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen für die Annahme des Vorhandenseins einer Niederlassung in Irland. Es liegt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG vor (vgl. zur Ausstattung und Tätigkeit der Einrichtung in Dublin: Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, S. 25).
Es ist auch davon auszugehen, dass die hier relevanten personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden. Als Verarbeitung personenbezogener Daten ("Verarbeitung") ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verarbeitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten zu verstehen (Art. 2 b) RL 95/46/EG).
Es bestehen keine Zweifel, dass in diesem Sinne eine Verarbeitung personenbezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten Nutzer im Rahmen der Tätigkeit dieser Niederlassung ausgeführt wird. Der Standort der Daten, insbesondere der Standort des Servers, ist weder für den Begriff "Niederlassung" noch dafür ausschlaggebend, ob die Verarbeitung personenbezogener Daten "im Rahmen der Tätigkeit" der Niederlassung stattfindet (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 16, www.ec.europa.eu; vgl. Weichert, Datenschutz bei Internetveröffentlichungen, VuR 2009, 323 326). Daher erfüllte die Einrichtung in Dublin auch dann die durch Art. 4 Abs. 1 a) RL 95/46/EG an eine relevante Niederlassung gestellten Anforderungen, wenn die Server sich ausschließlich in den USA befänden (vgl. zur örtlichen Lage der Server: Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, S. 26: "All of these servers are currently situated in data centres in the United States.").
Wenn der für die Verarbeitung personenbezogener Daten Verantwortliche eine relevante Niederlassung in einem Mitgliedsstaat der EU besitzt und dessen nationales Recht daher gemäß Art. 4 Abs. 1 a) RL 95/46/EG Anwendung findet, ist Art. 4 Abs. 1 c) RL 95/46/EG nicht anwendbar (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 23 f.). Die Tatsache, dass ein für die Verarbeitung Verantwortlicher, der außerhalb der EU bzw. EWR niedergelassen ist, im Mitgliedsstaat A, in dem er keine Niederlassung hat, Mittel verwendet, kann folglich nicht die Anwendbarkeit des Rechts dieses Mitgliedsstaates auslösen, falls der für die Verarbeitung Verantwortliche bereits eine Niederlassung im Mitgliedsstaat B hat und die personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet (Art.-29-Datenschutzgruppe, a.a.O., S. 24).
In diesem Sinne ist auch die dem Art. 4 Abs. 1 a) RL 95/46/EG nachgebildete Regelung in § 1 Abs. 5 S. 2 BDSG richtlinienkonform auszulegen. Danach soll das BDSG Anwendung finden, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat in der Europäischen Union oder in einem anderen Vertragsstaat des EWR belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Diese Vorschrift kann keine Anwendung finden, wenn die verantwortliche Stelle eine Niederlassung in einem anderen Mitgliedstaat der EU bzw. in einem anderen Vertragsstaat des EWR hat, die im Rahmen ihrer Tätigkeit die (relevanten) personenbezogenen Daten verarbeitet. Soweit man der Ansicht wäre, der Rahmen richtlinienkonformer Interpretation des § 1 Abs. 5 S. 2 BDSG sei insoweit überschritten, wäre der Regelung des Art. 4 Abs. 1 a) RL 95/46/EG der Vorrang einzuräumen (vgl. zum Vorrang des Gemeinschaftsrechts: EuGH, Urteil vom 09.03.1978, C-106/77, Simmenthal, Juris).
Nach alledem ist für die von der Antragstellerin im Rahmen der Tätigkeit der Niederlassung in Irland durchgeführte Verarbeitung personenbezogener Daten des in I.2. des Bescheides vom 14.12.2012 genannten Personenkreises ausschließlich irisches materielles Datenschutzrecht anzuwenden. Die streitgegenständliche Regelung in I.2 des Bescheides vom 14.12.2012, die auf § 38 Abs. 5 S. 1 BDSG iVm § 13 Abs. 6 TMG gestützt ist, ist daher rechtswidrig.
Klarstellend sei hervorgehoben, dass die Kompetenzen des Antragsgegners als Kontrollstelle im Sinne von Art. 28 RL 95/46/EG bzw. Aufsichtsbehörde gemäß § 38 Abs. 1 S. 1 BDSG betreffend die Einhaltung des irischen Datenschutzrechtes von vorliegender Entscheidung nicht betroffen ist.
Angesichts der vorstehenden Ausführungen zur Rechtswidrigkeit der streitgegenständlichen Anordnung ist auch unter Berücksichtigung der berechtigten Interessen der von Kontensperrungen Betroffenen die Interessenabwägung im Rahmen des § 80 Abs. 5 VwGO dahingehend vorzunehmen, dass die aufschiebende Wirkung wiederhergestellt wird.
Dem entspricht es, hinsichtlich der unter III. des Bescheides vom 14.12.2012 erfolgten Zwangsgeldandrohung die aufschiebende Wirkung anzuordnen.
Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.
Der Streitwert ist gemäß §§ 52 Abs. 1, 53 Abs. 2 Nr. 2 GKG festgesetzt worden.