Nach der Europäischen Datenschutzrichtlinie und dem Bundesdatenschutzgesetz findet das deutsche Recht keine Anwendung, sofern die Erhebung und Verarbeitung von personenbezogenen Daten durch eine Niederlassung in einem anderen Mitgliedstaat der Europäischen Union stattfindet. Eine dennoch zu Unrecht auf das deutsche Datenschutzrecht gestützte Anordnung ist rechtswidrig.
So das Schleswig-Holsteinische Oberverwaltungsgericht in zwei Verfahren des vorläufigen Rechtsschutzes mit denen Facebook USA und die europäische Niederlassung Facebook Irland die Wiederherstellung der aufschiebenden Wirkung seiner Widersprüche gegen zwei Bescheide des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein begehrt hat. Facebook verlangt von seinen Nutzern, dass sie bei ihrer Registrierung ihre wahren Daten (Vorname, Nachname, E-Mail-Adresse, Geschlecht und Geburtsdatum) angeben. Bei Benutzern, welche ein Konto erhalten hatten und bei der Registrierung nicht ihre korrekten Namen angegeben haben, sperrt Facebook deren Konten und macht die Entsperrung von der Vorlage der Kopie eines amtlichen Lichtbildausweises zur Identifizierung abhängig. Mit den auf das Bundesdatenschutzgesetz und das Telemediengesetz gestützten Bescheiden war Facebook aufgegeben worden, seinen Nutzern die Wahlmöglichkeit einzuräumen, im Rahmen ihrer Registrierung anstelle der Eingabe von Echtdaten auch Pseudonyme anzugeben. Ferner wurde Facebook unter Anordnung der sofortigen Vollziehung aufgegeben, die wegen der Nichtangabe oder unvollständigen Angabe der Echtdaten gesperrten Daten zu entsperren. Für den Fall der Nichtbeachtung wurde ein Zwangsgeld in Höhe von 20.000 Euro angedroht. Gegen die Bescheide hat Facebook Widerspruch eingelegt und einen Antrag auf Wiederherstellung der aufschiebenden Wirkung gestellt.
Nach Auffassung des Schleswig-Holsteinischen Oberverwaltungsgerichts erweise sich bei der hier vorzunehmenden summarischen Prüfung die Anordnung der Entsperrung der Konten als rechtswidrig. Das Datenschutzzentrum habe seine Anordnung zu Unrecht auf das deutsche Datenschutzrecht gestützt. Dieses sei jedoch nicht anwendbar. Nach der Europäischen Datenschutzrichtlinie und dem Bundesdatenschutzgesetz finde das deutsche Recht keine Anwendung, sofern die Erhebung und Verarbeitung von personenbezogenen Daten durch eine Niederlassung in einem anderen Mitgliedstaat der Europäischen Union stattfinde. Dies sei hier der Fall: Die Facebook Ltd. Ireland erfülle mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung in diesem Sinne mit der Folge, dass ausschließlich irisches Datenschutzrecht Anwendung finde. Die Facebook Germany GmbH hingegen sei ausschließlich im Bereich der Anzeigenaquise und des Marketing tätig. Daher sei sowohl die Anordnung der Entsperrung als auch die Zwangsgeldandrohung rechtswidrig.
Daher hat das Schleswig-Holsteinische Oberverwaltungsgericht den Anträgen von Facebook stattgegeben und in beiden Verfahren die aufschiebende Wirkung wiederhergestellt.
Schleswig-Holsteinisches Oberverwaltungsgericht, Beschlüsse vom 14. Februar 2013 – 8 B 60/12 und 8 B 61/12
