Nutzer und Behörden gegen Facebook : Von der Machtlosigkeit im Datenschutzdschungel

Eigentlich hat nach europäischem Datenschutzrecht jedermann Anspruch auf Auskunft über seine Daten. Jeder darf erfahren, welche seiner Daten zu welchen Zwecken gespeichert sind und an wen sie weitergegeben wurden. Die Auskunft muss ohne unzumutbare Verzögerung und übermäßige Kosten erteilt werden. Der Anspruch richtet sich gegen die speichernde Stelle, also oft gegen das Unternehmen, das die Daten verarbeitet und speichert.
Ein einheitliches europäisches Datenschutzrecht, das unmittelbar gölte, gibt es indes nicht. Die Vorgaben der Europäischen Union (EU) mussten vielmehr von den Mitgliedstaaten erst in nationales Recht umgesetzt werden. Daher existieren in allen Mitgliedstaaten zumindest mehr oder weniger vergleichbare Auskunftsrechte - auch in Deutschland und Österreich.

Was bedeutet das für die Daten von Facebook? Das amerikanische Unternehmen hat ausweislich seines deutschen Impressums einen europäischen Sitz in Irland. "Facebook Ireland Limited" lautet die Firmenbezeichnung. Des Weiteren betreibt das Soziale Netzwerk eine Geschäftsstelle in Hamburg. Allerdings ist es für Facebook-Nutzer außerhalb Irlands wenig erfolgversprechend, sich gegenüber Facebook auf Rechte nach nationalem, also etwa dem deutschen, Datenschutzrecht zu berufen. Facebook vertritt die Auffassung, dass es ausschließlich dem irischen Datenschutzrecht unterliegt. Teilweise soll Facebook Auskünfte auch mit Hinweis auf Geschäftsgeheimnisse und dem "Geistigen Eigentum“ verweigert haben.

Irland, Deutschland, USA – Welches Datenschutzrecht gilt?

Ein europäisches Datenschutzrecht gibt es also nicht. Es gibt nationale Gesetze. Die Frage jedoch, ob die Ansicht von Facebook, ausschließlich irischem Recht zu unterliegen, zutreffend ist, lässt sich nicht leicht beantworten. In Bezug auf Deutschland würde sich die Situation wie folgt darstellen: Das deutsche Datenschutzrecht gilt grundsätzlich, wenn Daten in Deutschland erhoben und verarbeitet werden.

Werden Daten von deutschen Facebook-Nutzern in Deutschland erhoben, gilt daher zunächst grundsätzlich das nationale Datenschutzrecht. Ausnahmsweise gilt das deutsche Recht jedoch nicht, wenn die Datenverarbeitung durch ein Unternehmen erfolgt, das in einem anderen Mitgliedstaat der EU ansässig ist. Diese muss dann ausschließlich das Datenschutzrecht des anderen Mitgliedstaats anwenden. Unternehmen, die unionsweit Daten erheben, sollen sich nämlich nur mit dem Datenschutzrecht ihres jeweiligen Sitzlandes auseinandersetzen müssen. Damit soll den Konzernen die Anwendung von datenschutzrechtlichen Bestimmungen erleichtert und verhindert werden, dass eine Vielzahl verschiedener nationaler Datenschutzgesetze berücksichtigt werden müssen.

Diese Erleichterung greift aber wiederum nicht, wenn ein Unternehmen neben seinem Hauptsitz in einem Mitgliedsstaat in einem weiteren Mitgliedstaat eine Niederlassung betreibt und diese Zweigstelle ebenfalls Daten verarbeitet. Es findet dann das Datenschutzrecht des Sitzlands und zusätzlich das nationale Recht des Mitgliedstaates der Niederlassung Anwendung. Es gibt also eine Ausnahme von der Ausnahme. Die Juristen sprechen gerne von einer Rückausnahme.

Hamburger Niederlassung zwingt zu deutschem Recht, oder nicht?

Der Fall "Facebook“ weist zunächst eine solche Zweigstelle auf. Im Februar 2010 hatte das Zuckerberg-Imperium am Rödingsmarkt in Hamburg eine Niederlassung eröffnet. Datenschützer freuten sich bereits über ihre Chance, das Unternehmen unter das Regime des deutschen Datenschutzrechts zu stellen. Doch Facebook behauptet, dass von dem Hamburger Sitz nur Vertrieb und Marketing für Deutschland gesteuert würden und keine Datenverarbeitung erfolge. Deutsches Datenschutzrecht sei daher nicht anwendbar.

Träfe dies zu, könnten sich deutsche Nutzer zur Durchsetzung ihrer Auskunftsansprüche tatsächlich nur auf das irische, nicht jedoch auf das deutsche Datenschutzrecht berufen. Entsprechendes dürfte für Österreich gelten. Davon abgesehen hat Facebook in seinen Nutzungsbedingungen festgelegt, dass Ansprüche von Nutzern außerhalb der USA gegen Facebook in Irland zu richten seien.

Mit dem pauschalen Hinweis auf Geschäftsgeheimnisse kann die Erteilung der Auskunft von Facebook allerdings nicht verweigert werden. Das Recht, Auskunft über seine eigenen Daten zu verlangen, gehört zu den wesentlichen Rechten, die das europäische Datenschutzrecht jedermann garantiert. Dieses Recht kann nur eingeschränkt werden, wenn es sich bei den Daten um Geschäftsgeheimnisse von Facebook handeln würde, was stark zu bezweifeln ist. Außerdem müsste das Geheimhaltungsinteresse von Facebook das Informationsinteresse überwiegt. Auch dafür bestehen keine greifbaren Anhaltspunkte.

Aus Deutschland ist Facebook beim Datenschutz fast unangreifbar

Da Facebook sich wohl zu Recht auf die ausschließliche Anwendbarkeit irischen Rechts beruft, sind den Behörden anderer Mitgliedstaaten die Hände gebunden, selbst wenn Facebook gegen das in Irland geltende Recht verstößt. Deutsche Behörden würden deutlich aggressiver gegen Facebook vorgehen, als dies derzeit in Irland der Fall zu sein scheint. Wieder einmal zeigt sich, dass die EU bis zu einer vollständigen Harmonisierung des Datenschutzrechts noch einen weiten Weg vor sich hat.

Auch deshalb hat das Datenschutzzentrum Schleswig-Holstein angekündigt, gegen deutsche Facebook-Fanseitenbetreiber und Verwender von Like-Buttons vorzugehen. Facebook soll damit indirekt angehalten werden, den Datenschutz zu verbessern und insbesondere detailliert offenzulegen, was mit welchen Daten passiert, wozu diese genutzt und an wen sie weitergegeben werden. Dass das Vorgehen deutscher Datenschutzbehörden im EU-Vergleich einen Wettbewerbsnachteil für deutsche Unternehmen begründet, scheinen die Behörden in Kauf zu nehmen.

Auch die Europäische Kommission will handeln. Alsbald wird der Entwurf für eine Reform des europäischen Datenschutzrechts erwartet, der auch Vorschriften zum Datenschutz in sozialen Netzwerken vorsehen soll. Parallel dazu wird seitens der Politik versucht, Facebook durch freiwillige Selbstverpflichtungen zu einem datenschutzkonformen Handeln zu bewegen. Ob eine solche Selbstverpflichtung ausreicht, wird sich zeigen.

Die Autoren Marc L. Holtorf (Partner) und Anne Britta Haas (Senior Associate) sind als Rechtsanwälte im Düsseldorfer Büro der internationalen Sozietät Clifford Chance tätig. Ihre Schwerpunkte sind das IT- und Datenschutzrecht sowie der Gewerbliche Rechtsschutz.

 

Mehr auf LTO.de:

"Like"-Button im Visier von Datenschützern: Wenn Facebook zum Fallstrick wird

Social Media im Hörsaal: Mit Facebook in die Vorlesung

Comicbilder bei Facebook: Das Urheberrecht im Profil