Schleswig-Holstein – Online.Spiele.Recht

VG Schleswig-Holstein: Deutsches Datenschutzrecht gilt für Facebook nicht.

Felix Hilgert — Mon, 11 Mar 2013 06:41:04 +0000

Mit Beschluss vom 14. Februar 2013 hat das VG Schleswig-Holstein entschieden, dass das deutsche Datenschutzrecht für die irische Facebook-Tochter, die das soziale Netzwerk in Europa betreibt, nicht gilt (Az. 8 B 60/12, Volltext).

Der als Hardliner bekannte Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hatte die Facebook Ireland Ltd. mit Sitz in Dublin per Bescheid angewiesen, Nutzerkonten freizuschalten, die Facebook wegen der Angabe falscher oder erfundener Namen und Profildaten gesperrt hatte. Nach den Nutzungsbedingungen von Facebook dürfen Profile nur unter dem echten Namen des jeweiligen Nutzers angelegt werden. In § 13 Abs. 6 des deutschen Telemediengesetzes (TMG) ist dagegen die Pflicht für Plattformbetreiber statuiert, eine anonyme oder pseudonyme Nutzung von Telemedien zu ermöglichen, wenn dies zumutbar ist.

Gegen den Bescheid und die darin enthaltene Zwangsgeldandrohung hat Facebook geklagt und beantragt, die aufschiebende Wirkung der Klage anzuordnen bzw. wiederherzustellen. Über diesen Antrag hatte das VG Schleswig-Holstein zu entscheiden.

Es stellt lapidar fest:

Für die genannte Anordnung findet das deutsche materielle Datenschutzrecht keine Anwendung.

Nach § 1 Abs. 5 S. 1 BDSG, der auch für die Datenschutzvorschriften des TMG gilt, findet deutsches Datenschutzrecht für Unternehmen, die ihren Sitz in anderen Mitgliedsstaaten der EU haben, nur dann Anwendung, wenn sie Daten durch eine Niederlassung im Inland erheben bzw. verarbeiten. Ist dies nicht der Fall, gilt das Datenschutzrecht des Sitzlandes.

Zwar gibt es eine Facebook Germany GmbH mit Sitz in Hamburg. Diese ist aber allein im Bereich der Akquise von Anzeigenkunden tätig und betreibt selbst nicht das soziale Netzwerk.

Der Standort der Server sei im Übrigen unerheblich, maßgeblich sei nur die tatsächliche Steuerung der Gesellschaft am Standort Dublin. Die Datenerhebung und -verarbeitung der Facebook Ireland Ltd. unterliegt damit, so die Richter, allein irischem Datenschutzrecht.

Den auf §§ 38 BDSG, 13 TMG gestützten Bescheid ordnet das VG Schleswig-Holstein aufgrund dieser Überprüfung im einstweiligen Rechtsschutz schon wegen der Nichtanwendbarkeit dieser Normen als rechtswidrig ein, so dass er auch schon vor dem endgültigen Urteil in der Sache nicht mehr vollstreckt werden kann.

Mit dem Beschluss, der die Rechtsauffassung des Gerichts deutlich erkennen lässt und daher schon eine Prognose ermöglicht, wie das Gericht im Hauptsacheverfahren wohl entscheiden wird, haben die Richter in erfreulich deutlicher Weise den Anwendungsbereich des deutschen Datenschutzrechts und dessen Grenzen im Hinblick auf die nationalen, aber letztlich durch Richtlinien weitgehend harmonisierten, Datenschutzrechten der übrigen EU-Mitgliedsstaaten klargestellt.

Offen bleibt dagegen die ebenfalls spannende Frage, ob es für ein soziales Netzwerk im Sinne des § 13 Abs. 6 TMG „zumutbar“ ist, die anonyme oder pseudonyme Nutzung zu ermöglichen. Wenn der Sinn des Netzwerks die Kontaktpflege und Außendarstellung tatsächlich existierender Personen ist, könnte dies durchaus zu verneinen sein, insbesondere bei eher professionell orientierten Plattformen wie LinkedIn oder Xing. Eine ähnliche Frage haben wir schon vor einiger Zeit im Blog beleuchtet.

Landtag kritisiert Datenschützer im Streit um Facebook [update]

Dr. Marc Störing — Thu, 01 Dec 2011 07:29:10 +0000

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD – kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

Thilo Weichert dislikes Facebook’s ‚Like‘

Konstantin Ewald — Sat, 20 Aug 2011 14:16:33 +0000

Wir befinden uns im Jahre 2011 n. Chr. Die ganze Welt ist von Facebook besetzt …die ganze Welt? Nein! Ein von unbeugsamen Galliern bevölkertes Dorf hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für Facebook, das als Besatzung in den befestigten Lagern Kiel, Dithmarschen, Elbmarschen und Holsteinische Schweiz liegt…

Angeführt wird der Widerstand vom Schleswig-Holsteinischen Datenschutzbeauftragten Thilo Weichert, der in einer am Freitag veröffentlichten Pressemeldung alle Schleswig-Holsteinischen Unternehmen und öffentliche Stellen auffordert, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Das Unabhängige Landeszentrum für Datenschutz (ULD) begründet dieses Aufforderung wie folgt:

Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Der Datenschutzbeauftragte erwartet, dass dieser Aufforderung bis Ende September 2011 Folge geleistet wird und kündigt für den Fall, dass Schleswig-Holsteinische Websitebetreiber ihre Fanpages bei Facebook online lassen oder auf der eigenen Website weiter „Gefällt mir“-Buttons belassen, Sanktionen an. Dies können bei Unternehmen beispielsweise Untersagungsverfügungen und Bußgelder von bis zu 50.000,- Euro sein.

Der Datenschutzbeauftragte kündigt zudem an, das Facebook-Angebot weiter analysieren zu wollen, um die technische und rechtliche Analyse des ULD, die zu der aktuellen Pressemitteilung geführt hat, fortzuschreiben.

Nach unserem Kenntnisstand hat sich bislang noch kein weiterer Landesdatenschutzbeauftragter dieser neuen Gangart angeschlossen. Wir werden dies weiter verfolgen.

JMStV-Reform gescheitert – ein Rückschlag für den Online-Jugendschutz

Konstantin Ewald — Thu, 16 Dec 2010 15:09:14 +0000

In einer wohl beispiellosen Aktion haben heute die Landesparlamente von Nordrhein-Westfalen und Schleswig-Holstein die geplanten Änderungen zum Jugendmedienschutzstaatsvertrag (JMStV) kurz vor dem für den 1.1.2011 geplanten Inkrafttreten gestoppt und damit die intensiv diskutierte Online-Jugendschutzreform scheitern lassen. Während in NRW das Landesparlament geschlossen gegen den neuen JMStV stimmte, versuchte sich Schleswig Holstein im Windschatten von NRW dadurch zu profilieren, dass man heute verkündete, den JMStV nicht länger parlamentarisch behandeln zu wollen.

Diese Entwicklung ist das i-Tüpfelchen auf eine absurd anmutende politische Diskussion: Schon vor der Entscheidung in NRW hatten sich einige Landtagsfraktionen in teilweise donnernden Pressemitteilungen gegen den neuen JMStV ausgesprochen, im selben Moment jedoch aus politischer Rücksichtnahme für dessen Unterzeichnung gestimmt. In NRW hatte der damals amtierende Ministerpräsident Rüttgers den neuen JMStV bereits am 10.6.2010 unterzeichnet. Gleichwohl entschloss sich die CDU-Landtagsfraktion nun einen Tag vor der Abstimmung zur Ablehnung des neuen JMStV. Die anderen Fraktionen folgten plötzlich der ablehnenden Haltung. Und da dann einmal der Anfang gemacht war entschieden sich nun auch die Fraktionen von CDU und FDP im schleswig-holsteinischen Landtag, den JMStV nicht länger diskutieren zu wollen und von der heute anstehenden parlamentarischen Tagesordnung zu nehmen. Auch dies bedeutet ein faktisches Nein zum neuen JMStV.

Damit bleibt es einstweilen bei den bestehenden Jugendschutzregelungen. Die unterscheiden sich von dem jetzt gekippten Staatsvertrag übrigens in vielerlei Hinsicht nicht so deutlich, wie aus dem Lager der Vertrags-Gegner in den letzten Wochen und Monaten häufig zu lesen war. Die Pflicht für bestimmte gewerbliche Anbieter, einen Jugendschutzbeauftragten zu bestellen, gibt es zum Beispiel bereits seit 2003. Neu wäre nur die Verpflichtung gewesen, diesen Beauftragten im (ebenfalls ohnehin vorgeschriebenen) Impressum des Angebots zu nennen. Auch bestand bereits nach dem alten JMStV für Anbieter die Pflicht, sich Gedanken über die Alterseinstufung ihrer Inhalte zu machen und entsprechende technische oder organisatorische Maßnahmen zu ergreifen.

Wie es konkret in dem Gesetzgebungsverfahren weiter gehen soll, bleibt zum heutigen Zeitpunkt unklar.

Aus unserer Sicht (update: mit der wir nicht allein sind) wurde dem Online-Jugendschutz damit ein Bärendienst erwiesen. Der reformierte JMStV bedeutete ein Bekenntnis zum und eine Stärkung des Prinzips der regulierten Selbst-Regulierung. Erste – jedenfalls aus rechtlicher Sicht neuerlich absurd anmutende – Stellungnahmen zum Scheitern des JMStV lassen befürchten, dass mit den nun notwendigen neuen politischen Debatten über den JMStV auch dieses gut funktionierende Grundprinzip in Frage gestellt werden könnte und stattdessen ein Mehr an staatlicher Regulierung Einzug in den Jugendschutz halten könnte.

Jenseits dieses sehr fundamentalen Punktes bedeutet die Ablehnung des JMStV vor allem aber auch ein Scheitern der Option zur eigenverantwortlichen Alterskennzeichnung durch die Contentanbieter. Hierbei handelte es um die aus unserer Sicht wesentliche Neuerung im System des Online-Jugendschutzes. Waren Online-Anbieter bislang gezwungen zwischen den beiden in der Praxis wenig praktikablen Alternativen ‚Sendezeitbeschränkung‘ oder‘ technische Zugangsbarriere‘ zu wählen, hätten sie mit dem System der Alterskennzeichnung nun ein neues für die Online-Welt zeitgemäßes Tool zur Realisierung des Jugendschutzes zur Verfügung gestellt bekommen.

Wir stimmen der vielfach geäußerten Kritik, dass der neue JMStV handwerklich schlecht gemacht war und viele Fragen leider offen ließ, ausdrücklich zu. Im Sinne eines effizienten und vor allem praktikablen Online-Jugendschutzes wäre es jedoch aus unserer Sicht ratsam gewesen, den JMStV zum 1.1.2011 in Kraft treten zu lassen, um ihn sodann weiter zu debattieren und weiter zu entwickeln anstelle den JMStV vollständig scheitern zu lassen. Zeit zur Debatte bestand schließlich genug.