OVG Schleswig-Holstein: Für Facebook ist deutsches Datenschutzrecht nicht anwendbar

 Mit Beschlüssen vom 22.04.2013 entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) auf Beschwerden des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen Beschlüsse des Verwaltungsgerichts (VG) Schleswig, dass auf die Datenverarbeitung bei Facebook auch in Bezug auf deutsche Nutzer nicht deutsches, sondern ausschließlich irisches Datenschutzrecht anwendbar sei (Az. 4 MB 10/13, 4 MB 11/13). Damit wurde die vorläufige Vollstreckbarkeit der ULD-Verfügungen gegen Facebook Inc./USA und Facebook Ireland Ltd., gemäß dem deutschen Telemedienrecht eine anonyme oder pseudonyme Nutzung zuzulassen, rechtskräftig aufgehoben. Begründet wurde dies vom OVG damit, dass Facebook Ireland Ltd. eine Niederlassung von Facebook in Europa darstellt, nicht aber die Facebook Germany GmbH, die nur in den Bereichen der Anzeigenakquise und des Marketing für den Konzern tätig sei.

Der nicht anfechtbare Beschluss des OVG hat zur Folge, dass gegenüber Facebook direkt deutsches Datenschutzrecht nicht angewendet werden kann. Der Leiter des ULD Thilo Weichert zeigt sich über die Beschlüsse enttäuscht: „Das Gericht erlaubt es, dass durch geschickte interne Organisation in einem IT-Konzern die Anwendbarkeit des strengen deutschen Datenschutzrechts ausgehebelt wird. Bedauerlich ist auch, dass die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen wurde. Für Nutzende und deutsche Unternehmen, die sich an den deutschen Datenschutzstandards halten müssen, ist es schwer zu verstehen, weshalb ein Angebot für den deutschen Markt diese Standards ignorieren darf. Wir müssen diese Entscheidung aber akzeptieren und werden deshalb den Widersprüchen von Facebook gegen unsere Verfügungen im Hauptsacheverfahren entsprechen.

So bedauerlich die OVG-Entscheidungen für den Datenschutz auch sein mögen, sie haben eine obergerichtliche Aussage in der stark umstrittenen Rechtsfrage gebracht, welches Datenschutzrecht bei internationalen sozialen Netzwerken anwendbar ist. Seit Dezember 2011 ist weiterhin vor dem VG Schleswig die Rechtsfrage anhängig, ob zumindest für deutsche Stellen, die über Facebook Fanpages betreiben, das deutsche Datenschutzrecht anwendbar ist. Hierzu enthalten die OVG-Beschlüsse keine Aussagen. Es ist zu hoffen, dass diese Verfahren zügig in Angriff genommen werden, um weitere Rechtsklarheit zu erhalten.

Die OVG-Beschlüsse sollten von der Politik als Signal verstanden werden, dass auf europäischer Ebene mit der derzeit diskutierten Datenschutz-Grundverordnung nicht nur ein hoher Datenschutzstandard festgeschrieben, sondern auch dessen Durchsetzbarkeit sichergestellt werden muss. Anderenfalls wird Facebook weiterhin versuchen, sich durch organisatorische Tricks einer wirksamen Datenschutzkontrolle zu entziehen. Wir erleben derzeit, dass sich internationale IT-Unternehmen durch eine ausgeklügelte interne Organisation der Zahlung von Steuern entziehen. Die Politik muss verhindern, dass sich neben Steueroasen auch Datenschutzoasen – also Bereiche ohne effektive Datenschutzkontrolle – entwickeln.“

Quelle: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 24.04.2013

Über das richtige „Maß“ beim Datenschutz

Gleich zu Beginn, damit ich nicht falsch verstanden werde: Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und ein „anständiges“ Datenschutzmanagement betreiben.

In der Praxis kommt mir aber immer wieder unter, dass quasi mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für die Akzeptanz des Datenschutzes sehr abträglich.

Beispiel:

Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem. § 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein größeres, gar international agierendes Unternehmen. In diesem Fall – ich war mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt (Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und „was sich die Herren in Berlin dabei nur gedacht haben“. Meine Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch kaum möglich sein.

Schlecht für die Akzeptanz des Datenschutzes.

Genauso unverständlich – weil es letztendlich nur für Frust sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet (wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich „Personal“), pauschal überall Anforderungen wie in einem „Hochsicherheitsbereich“ anlegt.

Klar dient es auf den ersten Blick dem Datenschutz, wenn ich beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise beim Serverraum?

Das soll nicht bedeuten, dass man „alles durchgehen lassen“ sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit Augenmaß zu differenzieren.

Meine Auffassung von der Funktion des Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet werden können – ich nenne das den „gelebten“ Datenschutz.

Das reine „Anordnen“ von möglicherweise noch im Einzelfall unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft nicht akzeptiert wird. Und das ist schlecht.

Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit – auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen „Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der erforderlichen Fachkunde eines Datenschutzbeauftragten).

Und nochmals um Missverständnisse zu vermeiden: Es geht bei diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen sind.

Das hierfür benötigte Fingerspitzengefühl zeichnet den „guten“ Datenschutzbeauftragten aus.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe