×

Rückruf vereinbaren

Ihre Nachricht an uns

Startseite
/
Urteile
/
Datenschutzrecht
/
Schleswig-Holsteinisches VG: Aufschiebende Wirkung bei Freigabe-Verfügung bezüglich gesperrter Nutzerkonten ULD gegen Facebook (Beschl. v. 14. Februar 2013; Az.: 8 B 61/12)

Leitsätzliches

1. Im Datenschutzrecht besteht grundsätzlich keine Möglichkeit zur Rechtswahl.
2. Die Anwendbarkeit deutschen Datenschutzrechts richtet sich nach dem Sitz der verantwortlichen Stelle.

 

 

SCHLESWIG-HOLSTEINISCHES Verwaltungsgericht

Beschluss

Entscheidung vom 14. Februar 2013

Az.: 8 B 61/12

1. Die aufschiebende Wirkung des Widerspruches der Antragstellerin vom 19.12.2012 gegen die Anordnung I.2. des Bescheides vom 14.12.2012 des Antragsgegners wird wiederhergestellt.

2. Die aufschiebende Wirkung des Widerspruches der Antragstellerin vom 19.12.2012 gegen die Regelung III. des Bescheides vom 14.12.2012 des Antragsgegners wird angeordnet.

3. Der Antragsgegner trägt die Kosten des Verfahrens.

4. Der Streitwert wird auf 20,000,-- € festgesetzt.

Gründe

Die Antrage gemäß § 80 Abs. 5 VwGO sind zulässig und begründet.

Die Anträge sind zulässig, insbesondere statthaft.

Hinsichtlich der Verpflichtung unter I.2. des Bescheides vom 14.12.2012 ordnete der Antragsgegner unter II. den Sofortvollzug an, so dass ein Widerspruch gemäß § 80 Abs. 2 S, 1 Nr. 4 VwGO keine aufschiebende Wirkung hat. Vorläufiger Rechtsschutz ist somit nach § 80 Abs. 5 VwGO mit einem Antrag auf Wiederherstellung der aufschiebenden Wirkung zu erlangen.

Hinsichtlich der Zwangsgeldandrohung in III. des Bescheides vom 14.12.2012 als Vollzugsmaßnahme besteht keine aufschiebende Wirkung eines Widerspruches (§ 80 Abs. 2 Nr. 3 bzw. S, 2 VwGO iVm § 248 Abs. 1 S. 2 LVwG Schieswig-Hoistein). so dass vorläufiger Rechtsschutz gemäß § 80 Abs. 5 VwGO über einen Antrag auf Anordnung der aufschiebenden Wirkung zu erreichen ist.

Das Rechtsschutzbedürfnis für die Anträge ist gegeben, da der Bescheid vom 14.12.2012 gegenüber der Antragstellerin wirksam geworden ist. Es erfolgte eine ordnungsgemäße Zustellung im Ausland qomäß § 154 Abs. 1 Nr. 1 LVwG. Danach ist eine Zustellung im Ausland durch Einschreiben mit Rückschein möglich, soweit die Zustellung von Dokumenten unmittelbar durch die Post völkerrechtlich zulässig ist. Letzteres ist der Fall, da die USA eine Zustellung von Verwaltungsakten durch deutsche Behörden auf ihrem Territorium duldet (zu den Völkerrechtlichen Voraussetzungen vgl.: VG Düsseldorf, Beschluss vom 27.05,2011 - 27 L 1602/10 -, Juris m.w.N., dort auch zur Zulässigkeit der Verwendung der deutschen Sprache bei ausländischen Adressaten).

Die Anträge gemäß § 80 Abs. 5 VwGO sind auch begründet.

Die gerichtliche Entscheidung nach § 80 Abs. 5 VwGO ergeht regelmäßig auf der Grundlage einer umfassenden Interessenabwägung, Gegenstand der Abwägung sind das Aufschubinteresse der Antragstellerin einerseits und das öffentliche Interesse an der Vollziehung des streitbefangenen Verwaltungsaktes andererseits. Im Rahmen dieser Interessenabwägung können auch Erkenntnisse über die Rechtmäßigkeit oder Rechtswidrigkeit des Verwaltungsaktes, der vollzogen werden soll, Bedeutung erlangen, allerdings nicht als unmittelbare Entscheidungsgrundlage, sondern als in die Abwägung einzustellende Gesichtspunkte,

Nach der im vorliegenden Verfahren nur möglichen summarischen Überprüfung der Sachund Rechtslage ergibt sich, dass die auf § 38 Abs. 5 S. 1 BDSG iVm § 13 Abs. 6 TMG gestützte Anordnung in I.2. des Bescheides vom 14.12.2012 auf Entsperrung von Konten unter www.f...com registrierter (natürlicher) Personen in Schleswig-Holstein, die ausschließlich und alleine wegen des Grundes der Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, rechtswidrig ist.

Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.

Eine Wirksame Rechtswahl des deutschen materiellen Datenschutzrechts liegt nicht vor. Soweit in den Nutzungsbedingungen vom 11.12.2012, die zwischen der Facebock Ireland Ltd. und den deutschen Nutzern vereinbart werden, unter Nr. 17.3 in Verbindung mit Nr. 16.1 hinsichtlich der "Erklärung der Rechte und Pflichten" (Nutzungsbedingungen) bestimmt wird, dass diese Erklärung oeutschem Recht unterliegt, wird damit die Anwendbarkeit deutschen materiellen Datenschutzrechtes nicht begründet.

Nach Art. 3 Abs. 1 S. 1 der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) unterliegt ein zivil rechtlicher Vertrag dem von den Parteien gewählten Recht, wobei jedoch diese Verordnung nicht auf Eingriffsnormen im Sinne des Art. 9 Rom I-VO Anwendung findet Um solche handelt es sich jedoch bei den öffentlich-rechtlichen Datenschutzregelungen des Bundesdatenschutzgesetzes und des Telemediengesetzes (vgl. eine Rechtswahlfreiheit für das Datenschutzrecht ablehnend: Piltz, Rechtswahlfreiheit im Datenschutzrecht? , K & R 2012, 640 ff.; a. A.: LG Berlin, Urteil vom 06.03.2012 - 16 O 551/10 -, K & R 2012, 300; Polenz, Die Datenverarbeitung durch und via F... auf dem Prütstanc, VuR 2012, 207 ff.). Die Anwendung deutschen öffentlich-rechtlichen Datenschutzrechtes steht nicht zur Disposition der Vertragsparteien.

Für die im Zusammenhang mit der Anordnung I.2. des Bescheides vom 14.12,2012 stehende Verarbeitung personenbezogener Daten ergibt Sich nach § 1 Abs. 5 BDSG in Verbindung mit Art. 4 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RL 95/46/EG), dass deutsches materielles Datenschutzrecht keine Anwendung findet, sondern vielmehr irisches materielles Datenschutzrecht zur Anwendung gelangt.

Nach § 1 Abs. 5 S. 1 BOSG findet das BOSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Nach § 1 Abs. 5 S. 2 BDSG findet das BDSG Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einern anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.

Nach § 3 Abs. 7 BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Die Regelung in § 1 Abs. 5 BDSG stellen eine (unvollkommene) Umsetzung von Art. 4 RL 95/46/EG dar.

Nach Art. 4 Abs. 1 a) RL 95/46/EG wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedsstaates besitzt. Wenn der Verantwortriche eine Niederfassung im Hoheitsgebiet mehrerer Mitgliedsstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen, die im jeweils anwendbaren einzelstaatlichen Rechts festgelegten Verpflichtungen einhält.

Nach Art. 4 Abs. 1 c) RL 95/46/EG wendet jeder Mitgliedsstaat seine Vorschriften auf alle Verarbeitungen personenbezogener Daten an, die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedsstaates belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der europäischen Gemeinschaft verwendet werden.

Nach Art. 2 d) RL 95/46/EG bezeichnet der Ausdruck "für die Verarbeitung Verantwortliche" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Gemäß Erwägungsgrund 19 der RL 95/46/EG setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedsstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.

Die Anwendbarkeit deutschen materiellen Datenschutzrechtes für die Anordnung I.2. des Bescheides vom 14.12.2012 folgt nicht über § 1 Abs. 5 S, 1 BDSG iVm Art. 4 Abs. 1 a) RL 95/46/EG aufgrund der Existenz der F... Germany GmbH in Hamburg.

Nach glaubhaftem Vortrag der Tochtergesellschaft der Antragstellerin - der F... Ireland Ltd. - im Parallelverfahren 8 B 60/12 ist die F... Germany GmbH lediglich im Bereich der Anzeigenaquise und im Bereich des Marketing tätig. Eine Verarbeitung personenbezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten registrierten Nutzer von F... findet dort nicht statt, so dass insoweit keine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Niederlassung im Sinne des Art. 4 Abs. 1 a) RL 96/46/EG vorliegt. § 1 Abs. 5 S. 1 BDSG ist richtlinienkonform dahingehend auszulegen, dass die Anwendbarkeit des Bundesdatenschutzgesetzes nach dieser Vorschrift bei Vorhandensein einer Niederlassung der verantwortlichen Stelle im Inland sich nur soweit erstreckt, wie die Verarbeitung personenbezogener Daten durch die Niederlassung in Rede steht. Mit der im Rahmen von I.2. des Bescheides vom 14.12,2012 relevanten Verarbeitung personenbezogener Daten hat die F... Germany GmbH jedoch offenbar nichts zu tun. Diese Annahme steht in Einklang mit den Ausführungen des irischen Datenschutzbeauftragten in dem die F... Ireland Ltd. betreffenden Report of Audit vom 21.12.2012 (Anhang 4, S. 213) betreffend die Struktur europäischer Niederlassungen (www.dataprotection.ie). Danach ist die F... Ireland Ltd. sogar die einzige Niederlassung der Antragstellerin mit Kontrolle über die Nutzerdaten von nicht nordamerikanischen Nutzern. Andere regionale Niederlassungen in Europa sind danach nicht in die Kontrolle von Nutzerdaten der nicht nordamerikanischen Nutzer von F... eingebunden (vgl. Irischer Datenschutzbeauftragter, Report of Audit, 21.12.2011, Seite 213 und 215).

Ebenso wenig folgt eine Anwendung des deutschen Datenschutzrechts bezüglich der in Regelung 1.2, des Bescheides vom 14.12.12 genannten Datenverarbeitung aus der Nutzung sog. Content Delivery Networks (CDN) - hier der Firma Akamai und deren in Deutschland ansässige Tochtergesellschaft Akamai Technologies GmbH in Unterföhring. Diese Gesellschaft ist aus o.g. Gründen keine Niederlassung iSd Art. 4 Abs. 1 a) RL 96/46/EG der Antragstellerin, die im Rahmen ihrer Tätigkeit die hier relevanten Daten verarbeitet.

Für das vorstehend gefundene Ergebnis, dass mangels Vorhandenseins einer für die streitgegenständliche Verarbeitung personenbezogener Daten relevanten inländischen Niederlassung die Vorschriften des § 1 Abs. 5 S. 1 BDSG und Art. 4 Abs. 1 a) RL 95/46/EG nicht zur Anwendbarkeit deutschen Datenschutzrechtes führen, ist ohne Belang, wo die für die relevante Verarbeitung personenbezogener Daten verantwortliche Stelle im Sinne des § 1 Abs. 5 und § 3 Abs. 7 BDSG bzw. der für die Verarbeitung Verantwortliche im Sinne des Art. 4 Abs. 1 und Art. 2 d) Richtlinie 9S/46/EG belegen ist. Nach Auffassung der Antragstellerin ist ausschließlich ihre Tochtergesellschaft F... Ireland Ltd., mit Sitz in Irland, verantwortliche Stelle, während nach Auffassung des Antragsgegners F... Ireland Ltd. "mitverantwortliche Stelle" (Bescheid vom 14.12.12, Regelung I.) bzw. die Antragstellerin alleinige verantwortliche Stelle bzw. für die Verarbeitung Verantwortliche ist.

Auch die Regelungen des § 1 Abs. 5 S, 2 8DSG iVm. Art. 4 Abs. 1 c) RL 95/46(EG, die eine verantwortliche Stelle außerhalb der EU bzw. des EWR voraussetzen, führten vorliegend nicht zur Anwendbarkeit deutschen materiellen Datenschutzrechts.

Die Frage, ob die Antragstellerin allein, neben Facebock Ireland Ltd. oder gar die F... Ireland Ltd. allein verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bzw, für die Verarbeitung Verantwortlicher im Sinne von Art. 2 d) RL 95/46/EG ist, kann auch in Anwendung der Vorschriften des § 1 Abs. 5 S. 2 BDSG und des Art. 4 Abs. 1 c) RL 95/46/EG letztendlich dahinstehen, da jedenfalls am Sitz der F... Ireland Ltd. eine Niederlassung der verantwortlichen Stelle bzw. des für die Verarbeitung Verantwortlichen vorliegt, die im Rahmen ihrer Tätigkeit die hier relevante Verarbeitung personenbezogener Daten vornimmt, mit der Folge der ausschließllchsn Anwendbarkeit materiellen irischen Datenschutzrechtes gemäß Art. 4 Abs. 1 a) RL 9S/46/EG.

Die Facebock Ireland Ltd. erfüllt mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen tür die Annahme des Vorhandenseins einer Niederlassung in Irland. Es liegt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG vor (vgl. zur Ausstattung und Tätigkeit der Einrichtung in Dublin: Irischer Datenschutzbeauftragter, Report ot Audit, 21.12.2011, S. 25).

Es ist auch davon auszugehen, dass die hier relevanten personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet werden. Als Verarbeitung personenbezogener Daten ("Verarbeitung") ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verarbeitung oder jede andere Form der Bereitstellung, die Kombination oder die VerknÜpfung sowie das Sperren, Löschen oder Vernichten zu verstehen (Art. 2 b) RL 95/46/EG).

Es bestehen keine Zweifel, dass in diesem Sinne eine Verarbeitung personen bezogener Daten der in I.2. des Bescheides vom 14.12.2012 genannten Nutzer im Rahmen der Tätigkeit dieser Niederlassung ausgeführt wird. Der Standort der Daten, insbesondere der Standort des Servers, ist weder für den Begriff "Niederlassung" noch dafür ausschlaggebend, ob die Verarbeitung personenbezogener Daten "im Rahmen der Tätigkeit" der Niederlassung stattfindet (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 16, www.ec.europa.eu; vgl. Weichert, Datenschutz bei Internetveröffentlichungen, VuR 2009, 323 326). Daher erfüllte die Einrichtung in Dublin auch dann die durch Art. 4 Abs, 1 a) RL 95/46/EG an eine relevante Niederlassung gestellten Anforderungen, wenn die Server sich ausschließlich in den USA befanden (vgl. zur örtlichen Lage der Server: Irischer Datenschutzbeauftragter, Report of Audit, 21,12.2011, S. 26: "All of these servers are currently situated in data centres in the United States.")

Wenn der für die Verarbeitung personenbezogener Daten Verantwortliche eine relevante Niederlassung in einem Mitgliedsstaat der EU besitzt und dessen nationales Recht daher gemäß Art. 4 Abs. 1 a) RL 95/46/EG Anwendung findet, ist Art. 4 Abs. 1 c) RL 95/46/EG nicht anwendbar (Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht vom 16.12.2010, S. 23 f.). Die Tatsache, dass ein für die Verarbeitung Verantwortlicher, der außerhalb der EU bzw. EWR niedergelassen ist, im Mitgliedsstaat A, in dem er keine Niederlassung hat, Mittel verwendet, kann folglich nicht die Anwendbarkeit des Rechts dieses Mitgliedsstaates auslösen, falls der für die Verarbeitung Verantwortliche bereits eine Niederlassung im Mitgliedsstaat B hat und die personenbezogenen Daten im Rahmen der Tätigkeit dieser Niederlassung verarbeitet (Art.-29-Datenschutzgruppe, a.a.O., S. 24).

In diesem Sinne ist au eh die dem Art. 4 Abs. 1 a) RL 95/46/EG nachgebildete Regelung in § 1 Abs. 5 S. 2 BDSG richtlinienkonform auszulegen. Danach soll das BDSG Anwendung finden, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat in der Europäischen Union oder in einem anderen Vertragsstaat des EWR belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Diese Vorschrift kann keine Anwendung finden, wenn die verantwortliche Stelle eine Niederlassung in einem anderen Mitgliedstaat der EU bzw. in einem anderen Vertragsstaat des EWR hat, die im Rahmen ihrer Tätigkeit die (relevanten) personenbezogenen Daten verarbeitet. Soweit man der Ansicht wäre, der Rahmen richtlinienkonformer Interpretation des § 1 Abs. 5 S. 2 BDSG sei insoweit überschritten, wäre der Regelung des Art. 4 Abs. 1 a) RL 95/46/EG der Vorrang einzuräumen (vgl. zum Vorrang des Gemeinschaftsrechts: EuGH, Urteil vom 09,03.1978, C-106/77, Simmenthal, Juris).

Aus diesen Gründen scheidet eine Anwendung des § 1 Abs. 5 S. 2 BDSG bzw, Art. 4 Abs. 1 c) RL 95/46/EG auch aus, soweit der Antragsgegner auf die Dienste der Fa. Akamai abstellt und damit auf Mittel, die innerhalb der Bundesrepublik Deutschland belegen sind. Denn insofern erscheint es nach dem Vortrag der Antragstellerin nicht zweifelhaft, dass die Fa. Akamai in Deutschland im Auftrag der F... Ireland Ltd., d.h, der hier relevanten Niederlassung der Antragstellerin nach Art. 4 Abs. 1 a) RL 95/46/EG, tätig wird. Davon scheint auch der Antragsgegner in seiner Datenschutzrechtlichen Bewertung der Reichweitenanalyse durch F... (19. August 2011, S. 17) auszugehen. Erkenntnisse, die eine gegenteilige Beurteilung zu ließen, legt der Antragsgegner nicht vor.

Nach alledem ist für die im Rahmen der Tätigkeit der Niederlassung der Antragsstellerin in Irland durchgeführte Verarbeitung personenbezogener Daten des in I.2. des Bescheides vom 14.12.2012 genannten Personenkreises ausschließlich irisches materielles Datenschutzrecht anzuwenden. Die streitgegenständliche Regelung in 1.2 des Bescheides vom 14.12.2012, die auf § 38 Abs. 5 S. 1 BDSG iVm § 13 Abs. 6 TMG gestützt ist, ist daher rechtswidrig.

Klarstellend sei hervorgehoben, dass die Kompetenzen des Antragsgegners als Kontrollstelle im Sinne von Art. 28 RL 95/46/EG bzw. Aufsichtsbehörde gemäß § 38 Abs. 1 S. 1 BDSG betreffend die Einhaltung des irischen DatenSChutzrechtes von vorliegender Entscheidung nicht betroffen ist.

Angesichts der vorstehenden Ausführungen Zur Rechtswidrigkeit der streitgegenständlichen Anordnung ist auch unter Berücksichtigung der berechtigten Interessen der von Kontensperrungen Betroffenen die Interessenabwägung im Rahmen des § 80 Abs. 5 VwGO dahingehend vorzunehmen, dass die aufschiebende Wirkung wiederhergestellt wird.

Dem entspricht es, hinsichtlich der unter III. des Bescheides vom 14.12.2012 erfolgten Zwangsgeldandrohung die aufschiebende Wirkung anzuordnen.

Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO.

Der Streitwert ist gemäß §§ 52 Abs. 1, 53 Abs. 2 Nr. 2 GKG festgesetzt worden.