I.
Ausgangslage ^
Hintergrund des Verwaltungsverfahrens in Hamburg ist, laut der Pressemitteilung der Datenschutzbehörde, die Beschwerde einer Nutzerin, die ihr Konto bei Facebook unter einem Pseudonym geführt hat.1 Facebook hatte daraufhin das Konto gesperrt und die Betroffene aufgefordert, ihren echten Namen im Profil anzugeben. Gegen den Willen der Betroffenen änderte Facebook den Profilnamen vom Pseudonym in den wirklichen Namen. Die Betroffene sollte der Änderung zustimmen, damit das Konto wieder freigeschaltet wird. Der Hamburger Datenschützer fordert Facebook auf, die Sperrung des Nutzerkontos, die aufgrund der pseudonymen Nutzung vorgenommen wurde, aufzuheben. Daneben sieht der Datenschützer auch datenschutzrechtliche Vorgaben zum Umgang mit Ausweisdokumenten verletzt, da Facebook zudem eine Kopie eines Lichtbildausweises verlangte.
II.
Rechtliche Betrachtung ^
1.
Anwendbares Recht ^
Im Jahre 2013 hatten sowohl das Verwaltungsgericht als auch das Oberverwaltungsgericht Schleswig genau diese Frage verneint.2 Damals war das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein gegen die Klarnamenpflicht auf Facebook vorgegangen. Im Ergebnis jedoch ohne Erfolg.3 Nach Auffassung beider Verwaltungsgerichte war nämlich nicht deutsches, sondern irisches Datenschutzrecht anwendbar. Allein der europäische Hauptsitz von Facebook in Irland sei nämlich als die Niederlassung des für die Verarbeitung Verantwortlichen nach Art. 4 Abs. 1 Buchst. a DS-RL anzusehen, die im Rahmen ihrer Tätigkeiten die entsprechenden Datenverarbeitungsprozesse mit Blick auf deutsche Nutzer steuert.
In der Folgezeit ergingen in Deutschland jedoch auch entgegengesetzte Gerichtsentscheidungen, nach denen deutsches Datenschutzrecht auf Facebook sehr wohl Anwendung fände. So entscheid etwa das Kammergericht (KG) in Berlin,4 freilich in einem zivilrechtlichen Verfahren, dass die irische Niederlassung nicht für die Datenverarbeitungsprozesse mit Blick auf die Daten deutscher Kunden verantwortlich sei. Die letzte Entscheidungsbefugnis obliege, aufgrund der gesellschaftsrechtlichen Verbundenheit, stets der amerikanischen Mutter, der Facebook Inc. Da die Facebook Inc. unter anderem auch Cookies auf PCs von deutschen Nutzern einsetze, um personenbezogene Daten zu erheben, sei entsprechend den Vorgaben des Art. 4 Abs. 1 Buchst. c DS-RL allein deutsches Datenschutzrecht anwendbar. Die Facebook Inc. greife nämlich auf «Mittel» i.S.v. Art. 4 Abs. 1 Buchst. c DS-RL in Deutschland zurück. Dies seien die PCs der Nutzer. Daneben, so das KG, liege auch eine wirksame Rechtswahl zwischen Facebook und seinen Nutzern mit Blick auf das Datenschutzrecht vor.
Die Verwaltungsgerichte in Schleswig-Holstein verneinten damals richtigerweise die Möglichkeit einer freien Rechtswahl des Datenschutzrechts. Die Anwendbarkeit des jeweils einschlägigen nationalen Datenschutzrechts hängt nämlich allein von den Vorgaben der DS-RL bzw. den nationalen Umsetzungen des Art. 4 DS-RL ab. So geht auch der Generalanwalt am Europäischen Gerichtshof (EuGH), Cruz Villalón, in seinen Schlussanträgen zu einem aktuellen Vorabentscheidungsersuchen davon aus, dass Art. 4 Abs. 1 Buchst. a DS-RL diejenige Vorschrift darstellt, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt.5
In Deutschland existiert folglich derzeit eine Art Pattsituation. Zwei Obere Gerichte, einmal im Verwaltungsrechtsweg und einmal im Zivilrechtsweg, haben unterschiedlich zur Frage des anwendbaren Datenschutzrechts entschieden. Umso interessanter dürfte zum einen der Fortgang des nun in Hamburg angestoßenen Verfahrens sein, um eine weitere gerichtliche Entscheidung und Antwort in dieser Frage zu erhalten. Daneben ist derzeit ein Verfahren vor dem Bundesverwaltungsgericht in Leipzig anhängig, in dem es im Kern um die datenschutzrechtliche Verantwortlichkeit von Betreibern von Facebook-Fanpages geht und Facebook nicht direkt Partei des Rechtsstreits ist (Az. BVerwG 1 C 28.14). Auch hier könnte jedoch die Thematik des anwendbaren Rechts eine Rolle spielen.
Die Hamburger Behörde ist der Ansicht, dass nach der Entscheidung des EuGH in Sachen «Google Spain» im Mai 20146 die Antwort auf die Frage, welches Datenschutzrecht anwendbar ist, eindeutig ausfallen muss:
«Dabei kann sich Facebook auch nicht wieder auf den Standpunkt zurückziehen, dass für sie nur das irische Datenschutzgesetz maßgeblich sei. Diesen Ausweg hat der EuGH mit seiner Rechtsprechung zur Google Suchmaschine im vergangenen Jahr versperrt.»7
Diese Ansicht der Behörde kann man jedoch zumindest kritisch hinterfragen. Der EuGH begründete seine Entscheidung, dass für Google spanisches Datenschutzrecht anwendbar sei, auf der Grundlage eines anderen Sachverhaltes. Dort war nämlich unstreitig allein die Google Inc. mit Sitz in Amerika die für die Verarbeitung Verantwortliche. Es bestand also für betroffene Nutzer die Gefahr, dass möglicherweise europäisches Datenschutzrecht überhaupt nicht zur Anwendung gelangt, wenn man zu dem Ergebnis gekommen wäre, dass die spanische Niederlassung keinen Einfluss auf die Anwendbarkeit des Datenschutzrechts besitzt. Denn die spanische Niederlassung hatte ebenso unstreitig direkt nichts mit der Datenverarbeitung der Suchmaschine und insbesondere einer Personensuche zu tun.
«Insoweit ergibt sich insbesondere aus den Erwägungsgründen 18 bis 20 und Art. 4 der Richtlinie 95/46, dass der Unionsgesetzgeber vermeiden wollte, dass der gemäß der Richtlinie gewährleistete Schutz einer Person vorenthalten und umgangen wird, und deshalb einen besonders weiten räumlichen Anwendungsbereich vorgesehen hat.»
2.
Gesetzliche Pflicht, die pseudonyme Nutzung zu ermöglichen ^
Daneben stellt sich in dem Verwaltungsverfahren die Frage, ob Facebook tatsächlich dazu verpflichtet ist, seinen Nutzern eine pseudonyme Inanspruchnahme seines Dienstes zu ermöglichen. Die maßgebende Vorschrift, § 13 Abs. 6 TMG, ist im Vergleich zu anderen Mitgliedstaaten eine deutsche Besonderheit. Ausweislich der Gesetzgebungshistorie konkretisiert diese Vorschrift das Ziel der Datenvermeidung.9 Nach der Gesetzesbegründung ist Inhalt des Prinzips der Datenvermeidung, bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden können, die Erhebung und Verwendung personenbezogener Daten zu vermieden.10
§ 13 Abs. 6 TMG stellt diese gesetzliche Pflicht jedoch unter einen Verhältnismäßigkeitsvorbehalt. Die Pflicht besteht nur, soweit dies technisch möglich und für den Diensteanbieter auch zumutbar ist. Der Diensteanbieter soll also nicht zu jedem möglichen technischen Angebot verpflichtet sein.11 Inwieweit es nun, objektiv betrachtet, für Facebook technisch möglich und zumutbar erscheint, pseudonyme Nutzungsmöglichkeiten anzubieten, dürfte vor allem eine Frage auf tatsächlicher Ebene sein.
III.
Schluss ^
Dr. Carlo Piltz ist Rechtsanwalt in der Kanzlei JBB Rechtsanwälte in Berlin. Sein besonderer Beratungsfokus liegt im nationalen und internationalen Datenschutz- und IT-Recht. Piltz ist zudem zertifizierter Datenschutzbeauftragter (TÜV®) und betreibt das Blog http://www.delegedata.de/.
- 1 «Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar», abrufbar unter https://www.datenschutz-hamburg.de/news/detail/article/der-hamburgische-datenschutzbeauftragte-profilnamen-bei-facebook-frei-waehlbar.html (alle Internetquellen zuletzt besucht am 18. August 2015).
- 2 VG Schleswig, Beschluss vom 14. Februar 2013 – 8 B 60/12; OVG Schleswig, Beschluss vom 22. April 2013 – 4 MB 10/13.
- 3 Vgl. hierzu auch Piltz, Zieht Facebook den Kopf aus der Datenschutzschlinge?, abrufbar unter http://www.telemedicus.info/article/2520-Zieht-Facebook-den-Kopf-aus-der-Datenschutzschlinge.html.
- 4 KG, Urteil vom 24. Januar 2014 – 5 U 42/12.
- 5 Rechtssache C-230/14, Schlussanträge vom 25. Juni 2015, Rz. 23.
- 6 EuGH, Urteil vom 13. Mai 2014 – C-131/12.
- 7 «Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar», abrufbar unter https://www.datenschutz-hamburg.de/news/detail/article/der-hamburgische-datenschutzbeauftragte-profilnamen-bei-facebook-frei-waehlbar.html.
- 8 EuGH, Urteil vom 13. Mai 2014 – C-131/12, Rz. 54.
- 9 Drucksache des Deutschen Bundestags 13/7385 vom 9. April 1997, S. 23.
- 10 Drucksache des Deutschen Bundestags 13/7385 vom 9. April 1997, S. 22.
- 11 Drucksache des Deutschen Bundestags 13/7385 vom 9. April 1997, S. 23.