Wer Internetdienste anbietet, muss sich bei grenzüberschreitenden Datenflüssen an die Datenschutzregeln aus welchem Staat halten? Das internationale Datenschutzrecht bzw. die EU-Datenschutzrichtlinie sind hier heranzuziehen. Das Kammergericht Berlin hat jetzt entschieden, anwendbares Recht bei Facebook gegenüber deutschen Nutzern sei deutsches Datenschutzrecht. Damit trifft das Kammergericht Berlin für internationale Internetkonzerne wie Facebook, Google und Co. allerdings eine andere Entscheidung als das Oberverwaltungsgericht Schleswig, welches annimmt, bei Facebook gelte irisches Datenschutzrecht.
Anders als das OVG Schleswig kommt das Kammergericht in seinem Urteil vom 24.01.2014 zur Anwendung deutschen Datenschutzrechts, indem es u.a. unter Berufung auf die europäische Datenschutzrichtlinie darauf abstellt, ob sich Facebooks US-amerikanische Muttergesellschaft zur Datenverarbeitung bestimmter „Mittel“ in Deutschland bedient. Das Gericht nimmt an, durch den Einsatz von Cookies auf dem PC inländischer Nutzer setze die US-amerikanische Mutter solche Mittel ein. Weiter rechnet das Gericht die Datenverarbeitungsanlagen des beauftragten deutschen Internet Providers der amerikanischen Mutter als eigene in Deutschland verwendete Mittel zu.
Das Kammergericht sah anders als das OVG Schleswig auch nicht etwa in der Tätigkeit der europäischen Tochtergesellschaft in Irland die Anwendung irischen Datenschutzrechts als begründet an. Nach Ansicht des Kammergerichts hatte die europäische Tochter keine eigene effektive und tatsächliche Datenverarbeitung gegenüber ihrer amerikanischen Mutter mittels eigener Datenverarbeitungsanlagen und eigenem Personal dargetan. Weiter trage Facebook Ireland Ltd. nicht die Verantwortung für die Datenverarbeitung, da es ihr als 100%ige Tochter an der tatsächlichen Entscheidungsmacht fehle.
Darüber hinaus entschied das Kammergericht anders als das OVG Schleswig, Facebook und der Nutzer hätten ohnehin wirksam die Anwendung deutschen Datenschutzrechts gewählt. Dass die Geltung öffentlichen Rechts nicht vertraglich vereinbart werden könne, stünde dem nicht entgegen, weil das deutsche Datenschutzrecht zumindest auch privatrechtliche Regeln enthalte (wie zB den gesetzlich vorgesehenen Schadensersatzanspruch des Nutzers).
Die Revision wurde nicht zugelassen.
Fazit
Das Urteil des Kammergerichts stellt eine weitere Entscheidung in der Debatte dar, welches Datenschutzrecht auf die Erbringung von Internetdiensten internationaler Konzerne (für Google siehe die Entscheidung des LG Berlin) Anwendung findet. Die Rechtsprechung der (Ober)Gerichte ist nicht einheitlich und es bleibt abzuwarten, wie weitere Gerichte entscheiden werden.
Artikel als PDF speichern