Jusletter IT

Hintergrund des Verwaltungsverfahrens in Hamburg ist, laut der Pressemitteilung der Datenschutzbehörde, die Beschwerde einer Nutzerin, die ihr Konto bei Facebook unter einem Pseudonym geführt hat.¹ Facebook hatte daraufhin das Konto gesperrt und die Betroffene aufgefordert, ihren echten Namen im Profil anzugeben. Gegen den Willen der Betroffenen änderte Facebook den Profilnamen vom Pseudonym in den wirklichen Namen. Die Betroffene sollte der Änderung zustimmen, damit das Konto wieder freigeschaltet wird. Der Hamburger Datenschützer fordert Facebook auf, die Sperrung des Nutzerkontos, die aufgrund der pseudonymen Nutzung vorgenommen wurde, aufzuheben. Daneben sieht der Datenschützer auch datenschutzrechtliche Vorgaben zum Umgang mit Ausweisdokumenten verletzt, da Facebook zudem eine Kopie eines Lichtbildausweises verlangte.

Hinsichtlich seiner Anordnung, die pseudonyme Nutzung zuzulassen und die Sperrung des Nutzerkontos aufzuheben, beruft sich der Datenschutzbeauftragte auf das Telemediengesetz (TMG). Nach § 13 Abs. 6 TMG hat ein Diensteanbieter «die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist». Soziale Onlinenetzwerke wie Facebook stellen Telemedien dar. Ob die datenschutzrechtlichen Bestimmungen des TMG (§§ 11 ff. TMG) anwendbar sind, bestimmt sich jedoch nach § 1 Abs. 5 des Bundesdatenschutzgesetzes (BDSG). Diese Vorschrift wiederum beruht auf der europarechtlichen Vorgabe des Art. 4 Abs. 1 Richtlinie 95/46/EG (im Folgenden «DS-RL»).

Das Verwaltungsverfahren wirft einige interessante datenschutzrechtliche Fragen auf. Zum einen, ob die beanstandete Datenverarbeitung überhaupt deutschem Datenschutzrecht und damit dem TMG unterliegt. Zum anderen, wenn deutsches Datenschutzrecht anwendbar sein sollte, ob § 13 Abs. 6 TMG tatsächlich im konkreten Fall eine gesetzliche Pflicht für das soziale Netzwerk zum Angebot eines pseudonymen Nutzerkontos beinhaltet.

Ein zentraler Streitpunkt in einem sich möglicherweise an die Verwaltungsanordnung anschließenden Gerichtsverfahren vor dem Verwaltungsgericht Hamburg, dürfte die Frage sein, ob überhaupt deutsches Datenschutzrecht auf Facebook Anwendung findet.

Im Jahre 2013 hatten sowohl das Verwaltungsgericht als auch das Oberverwaltungsgericht Schleswig genau diese Frage verneint.² Damals war das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein gegen die Klarnamenpflicht auf Facebook vorgegangen. Im Ergebnis jedoch ohne Erfolg.³ Nach Auffassung beider Verwaltungsgerichte war nämlich nicht deutsches, sondern irisches Datenschutzrecht anwendbar. Allein der europäische Hauptsitz von Facebook in Irland sei nämlich als die Niederlassung des für die Verarbeitung Verantwortlichen nach Art. 4 Abs. 1 Buchst. a DS-RL anzusehen, die im Rahmen ihrer Tätigkeiten die entsprechenden Datenverarbeitungsprozesse mit Blick auf deutsche Nutzer steuert.

In der Folgezeit ergingen in Deutschland jedoch auch entgegengesetzte Gerichtsentscheidungen, nach denen deutsches Datenschutzrecht auf Facebook sehr wohl Anwendung fände. So entscheid etwa das Kammergericht (KG) in Berlin,⁴ freilich in einem zivilrechtlichen Verfahren, dass die irische Niederlassung nicht für die Datenverarbeitungsprozesse mit Blick auf die Daten deutscher Kunden verantwortlich sei. Die letzte Entscheidungsbefugnis obliege, aufgrund der gesellschaftsrechtlichen Verbundenheit, stets der amerikanischen Mutter, der Facebook Inc. Da die Facebook Inc. unter anderem auch Cookies auf PCs von deutschen Nutzern einsetze, um personenbezogene Daten zu erheben, sei entsprechend den Vorgaben des Art. 4 Abs. 1 Buchst. c DS-RL allein deutsches Datenschutzrecht anwendbar. Die Facebook Inc. greife nämlich auf «Mittel» i.S.v. Art. 4 Abs. 1 Buchst. c DS-RL in Deutschland zurück. Dies seien die PCs der Nutzer. Daneben, so das KG, liege auch eine wirksame Rechtswahl zwischen Facebook und seinen Nutzern mit Blick auf das Datenschutzrecht vor.

Die Verwaltungsgerichte in Schleswig-Holstein verneinten damals richtigerweise die Möglichkeit einer freien Rechtswahl des Datenschutzrechts. Die Anwendbarkeit des jeweils einschlägigen nationalen Datenschutzrechts hängt nämlich allein von den Vorgaben der DS-RL bzw. den nationalen Umsetzungen des Art. 4 DS-RL ab. So geht auch der Generalanwalt am Europäischen Gerichtshof (EuGH), Cruz Villalón, in seinen Schlussanträgen zu einem aktuellen Vorabentscheidungsersuchen davon aus, dass Art. 4 Abs. 1 Buchst. a DS-RL diejenige Vorschrift darstellt, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt.⁵

In Deutschland existiert folglich derzeit eine Art Pattsituation. Zwei Obere Gerichte, einmal im Verwaltungsrechtsweg und einmal im Zivilrechtsweg, haben unterschiedlich zur Frage des anwendbaren Datenschutzrechts entschieden. Umso interessanter dürfte zum einen der Fortgang des nun in Hamburg angestoßenen Verfahrens sein, um eine weitere gerichtliche Entscheidung und Antwort in dieser Frage zu erhalten. Daneben ist derzeit ein Verfahren vor dem Bundesverwaltungsgericht in Leipzig anhängig, in dem es im Kern um die datenschutzrechtliche Verantwortlichkeit von Betreibern von Facebook-Fanpages geht und Facebook nicht direkt Partei des Rechtsstreits ist (Az. BVerwG 1 C 28.14). Auch hier könnte jedoch die Thematik des anwendbaren Rechts eine Rolle spielen.

Die Hamburger Behörde ist der Ansicht, dass nach der Entscheidung des EuGH in Sachen «Google Spain» im Mai 2014⁶ die Antwort auf die Frage, welches Datenschutzrecht anwendbar ist, eindeutig ausfallen muss:

«Dabei kann sich Facebook auch nicht wieder auf den Standpunkt zurückziehen, dass für sie nur das irische Datenschutzgesetz maßgeblich sei. Diesen Ausweg hat der EuGH mit seiner Rechtsprechung zur Google Suchmaschine im vergangenen Jahr versperrt.»⁷

Diese Ansicht der Behörde kann man jedoch zumindest kritisch hinterfragen. Der EuGH begründete seine Entscheidung, dass für Google spanisches Datenschutzrecht anwendbar sei, auf der Grundlage eines anderen Sachverhaltes. Dort war nämlich unstreitig allein die Google Inc. mit Sitz in Amerika die für die Verarbeitung Verantwortliche. Es bestand also für betroffene Nutzer die Gefahr, dass möglicherweise europäisches Datenschutzrecht überhaupt nicht zur Anwendung gelangt, wenn man zu dem Ergebnis gekommen wäre, dass die spanische Niederlassung keinen Einfluss auf die Anwendbarkeit des Datenschutzrechts besitzt. Denn die spanische Niederlassung hatte ebenso unstreitig direkt nichts mit der Datenverarbeitung der Suchmaschine und insbesondere einer Personensuche zu tun.

Der EuGH führt in seiner Urteilsbegründung aus:⁸

«Insoweit ergibt sich insbesondere aus den Erwägungsgründen 18 bis 20 und Art. 4 der Richtlinie 95/46, dass der Unionsgesetzgeber vermeiden wollte, dass der gemäß der Richtlinie gewährleistete Schutz einer Person vorenthalten und umgangen wird, und deshalb einen besonders weiten räumlichen Anwendungsbereich vorgesehen hat.»

Im Fall von Facebook existiert jedoch gerade eine europäische Hauptniederlassung des Unternehmens. Man möchte sich den Vorgaben des europäischen Binnenmarktes nicht entziehen, sondern den Vorteil des harmonisierten europäischen Datenschutzrechts in Anspruch nehmen und eben nach irischem Recht beurteilt werden. Von einem Vorenthalten oder Umgehen des Schutzes, kann hier also keine Rede sein. Sollte irisches Recht Anwendung finden, so würde sich die Datenverarbeitung nämlich mittelbar an den Vorgaben der DS-RL messen lassen müssen.

Daneben stellt sich in dem Verwaltungsverfahren die Frage, ob Facebook tatsächlich dazu verpflichtet ist, seinen Nutzern eine pseudonyme Inanspruchnahme seines Dienstes zu ermöglichen. Die maßgebende Vorschrift, § 13 Abs. 6 TMG, ist im Vergleich zu anderen Mitgliedstaaten eine deutsche Besonderheit. Ausweislich der Gesetzgebungshistorie konkretisiert diese Vorschrift das Ziel der Datenvermeidung.⁹ Nach der Gesetzesbegründung ist Inhalt des Prinzips der Datenvermeidung, bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden können, die Erhebung und Verwendung personenbezogener Daten zu vermieden.¹⁰

§ 13 Abs. 6 TMG stellt diese gesetzliche Pflicht jedoch unter einen Verhältnismäßigkeitsvorbehalt. Die Pflicht besteht nur, soweit dies technisch möglich und für den Diensteanbieter auch zumutbar ist. Der Diensteanbieter soll also nicht zu jedem möglichen technischen Angebot verpflichtet sein.¹¹ Inwieweit es nun, objektiv betrachtet, für Facebook technisch möglich und zumutbar erscheint, pseudonyme Nutzungsmöglichkeiten anzubieten, dürfte vor allem eine Frage auf tatsächlicher Ebene sein.

Für eine Zumutbarkeit kann etwa sprechen, dass gerade ein Weltkonzern wie Facebook die technischen Ressourcen und wirtschaftlichen Möglichkeiten besitzt, eine solche Nutzungsmöglichkeit vorzusehen. Hiergegen lässt sich argumentieren, dass es dem Geschäftsmodell des Dienstes (Freunde, Bekannte, Familie etc. zu finden und mit ihnen in Kontakt zu treten) nicht entsprechen würde und damit unzumutbar wäre, wenn Nutzer unter Pseudonymen handeln könnten. Im Ergebnis ist der Ausgang des Streits über die Frage, ob eine pseudonyme Nutzungsmöglichkeit vorzusehen ist, daher wohl offen.

Mit Interesse wird man den weiteren Fort- und späteren Ausgang des Verfahrens in Hamburg verfolgen können. Anzumerken ist freilich, dass dieser Streit (zumindest zum Teil) schon in naher Zukunft nur noch rechtshistorische Bedeutung haben wird, wenn nämlich die derzeit zwischen Europäischer Kommission, Europäischem Parlament und dem Rat der Europäischen Union verhandelte Europäische Datenschutz-Grundverordnung in Kraft tritt. Als europäische Verordnung wird sie unmittelbar in jedem Mitgliedstaat gelten und nationale Regelungen zum Datenschutz, die ihren Vorgaben entgegenstehen oder nicht durch entsprechende Öffnungsklauseln gedeckt sind, ersetzen. Eine dem § 13 Abs. 6 TMG entsprechende Vorschrift, die Nutzung von Telemedien unter Pseudonym anzubieten, findet sich in der Datenschutz-Grundverordnung jedoch nicht.

---

 

Dr. Carlo Piltz ist Rechtsanwalt in der Kanzlei JBB Rechtsanwälte in Berlin. Sein besonderer Beratungsfokus liegt im nationalen und internationalen Datenschutz- und IT-Recht. Piltz ist zudem zertifizierter Datenschutzbeauftragter (TÜV®) und betreibt das Blog http://www.delegedata.de/.