Gerade habe ich – nicht ohne technische Klimmzüge – meine Tweets datenschutzfreundlich in das Blog eingebunden. Da meldet heise online, dass Twitter das irische Datenschutzrecht gewählt haben soll. Doch ist das möglich? Kann man uns das geliebte BDSG wegnehmen? Meines Erachtens nein – denn die Rechnung wurde ohne den EuGH gemacht.
Änderung der Datenschutzrichtlinien – irische Gesellschaft soll Vertragspartner werden und verantwortliche Stelle sein
Tatsächlich hat Twitter im Zuge der Ankündigung neuer Datenschutzrichtlinien seinen Nutzern außerhalb der USA mitgeteilt, dass Ihnen die Twitter-Dienste ab dem 18. Mai nicht länger von der US-Mutter Twitter Inc., sondern von der Twitter International Company mit Sitz in Dublin zur Verfügung gestellt werden. Damit folgt Twitter dem Beispiel von LinkedIn und Facebook, die ihre europäischen Nutzer ebenfalls formal von Irland aus betreuen.
Neben Steuersparmodellen (Stichwort “Double Irish Sandwich“) lockt die US-Konzerne auch das mehr oder weniger offensiv beworbene Konzept von Irland als europäischem “Data Protection Hub”. Denn es ist ein offenes Geheimnis, dass die Bereitschaft der irischen Ausichtsbehörde zur Durchsetzung der europäischen Datenschutzstandards im Vergleich aller Mitgliedstaaten eher am unteren Ende der Skala rangiert. Doch geht das Modell des One-Stop-Shop, wonach für alle Aktivitäten in Europa nur das Recht der (irischen) Hauptniederlassung maßgeblich sein soll, im Datenschutzrecht auf?
[Anmerkung: Für die folgende Analyse unterstelle ich der Einfachheit halber zwei Dinge – obwohl man diese durchaus bezweifeln kann -, nämlich
- dass der Austausch des Vertragspartners der Twitter-Nutzer und die Änderung der AGB/Datenschutzrichtlinien zivilrechtlich wirksam sind, und
- dass die irische Tochtergesellschaft trotz ihrer vollständigen gesellschaftsrechtlichen und technologischen Abhängigkeit von der amerikanischen Mutter tatsächlich wie behauptet die alleinige Kontrolle über die Verarbeitung der Daten europäischer Nutzer ausübt.]
Die Anwendungsvorschriften der EU-Datenschutzrichtlinie
Die Anwendbarkeit des Bundesdatenschutzgesetzes ist eigentlich in § 1 Abs. 5 BDSG geregelt. Mit dessen Auslegung müssen wir uns hier aber nicht aufhalten – die Norm ist für die Rechtsfindung letztlich nur hinderlich. Sie ist schwer verständlich, weil sie das in der EU-Richtlinie vorgegebene Konzept unnötig auf den Kopf stellt und zu allem Überflüss auch noch andere Begrifflichkeiten benutzt. Soweit dies zu Abweichungen von der EU-Richtlinie führt, muss § 1 Abs. 5 BDSG aber ohnehin durch Auslegung richtlinienkonform gemacht werden. Daher kann und sollte man in puncto “internationale Anwendbarkeit” direkt mit der EU-Richtlinie arbeiten.
Welches nationale Datenschutzrecht auf einen Datenverarbeitungsvorgang Anwendung findet, gibt Art. 4 Abs. 1 a) der EU-Datenschutzrichtlinie wie folgt vor:
Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält; […]
Die Idee hinter dieser Vorschrift wird als “modifiziertes Sitzlandprinzip” oder besser “Niederlassungsprinzip” bezeichnet. Denn sie beantwortet die Frage, ob eine bestimmte Datenverarbeitung unter – z.B. – das deutsche Datenschutzrecht fällt, danach, ob diese Verarbeitung im Rahmen der Tätigkeiten einer deutschen Niederlassung der verantwortlichen Stelle stattfindet.
Berliner Twitter-Tochter als Anknüpfungspunkt für deutsches Recht
Und hier wird es spannend. Denn Twitter verfügt mit der Twitter Germany GmbH über eine Berliner Konzerntochter. Diese ist ausweislich einer kurzen Internetrecherche für “den Aufbau des Geschäfts in Deutschland” zuständig und beschäftigt u.a. Sales Executives – vermutlich zur Vermarktung von Werbung, ggf. statistischen Daten etc. Führt dies zur Anwendbarkeit des BDSG auf die Verarbeitung der Daten von Twitter-Nutzern in Deutschland?
Nach der EU-Richtlinie müsste es sich dafür zunächst um eine Niederlassung des für die Verarbeitung Verantwortlichen handeln, also eine Niederlassung – im Sinne der EU-Richtlinie – der irischen Twitter International Company. Hiervon ist wohl auszugehen. Denn selbst, wenn die deutsche GmbH gesellschaftsrechtlich nur eine Schwester der irischen Gesellschaft sein sollte (und keine von ihr kontrollierte Tochter), sprechen gute Gründe dafür, sie unter den Niederlassungsbegriff zu fassen. Dieser ist nach der Richtlinie weit zu verstehen.
Erforderlich ist lediglich “die Ausübung einer Tätigkeit mittels einer festen Einrichtung”. Auf die Rechtsform kommt es nicht an, auch eine Agentur genügt (s. Erwägungsgrund 18 der EU-Richtlinie). Da anzunehmen ist, dass die deutsche Tochter vor allem Werbekunden akquiriert, die gerade deutsche bzw. europäische Twitter-Nutzer als Zielgruppe haben, dürften ihre Geschäfte sogar überwiegend im Zusammenhang mit dem zukünftig von der irischen Twitter International Company verantworteten Teil des Social-Media-Dienstes stehen. Insoweit ist davon auszugehen, dass die irische Twitter-Gesellschaft über die Twitter Deutschland GmbH “Tätigkeiten” ausübt. Hierfür spricht auch, dass das Handelsregister einen in Dublin ansässigen Prokuristen ausweist.
Grundsätze des EuGH-Urteils “Google Spain” auf Twitter übertragbar
Ist die Twitter Germany GmbH demnach eine Niederlassung der irischen Twitter-Gesellschaft, so kommt es weiter darauf an, ob die Verarbeitung der Daten deutscher Twitter-Nutzer “im Rahmen der Tätigkeiten” der deutschen Niederlassung stattfindet. Auch hierfür sprechen gute Argumente.
Zwar spricht auf den ersten Blick gegen diese Annahme, dass die Twitter Germany GmbH vermutlich nicht direkt am Kerngeschäft von Twitter, d.h. dem Kurznachrichtendienst, beteiligt ist. Es ist plausibel, dass sie keine personenbezogenen Daten von Twitter-Nutzern verarbeitet. Unter ganz ähnlichen Umständen hatte das OVG Schleswig-Holstein noch 2013 entschieden, dass die “Existenz der ausschließlich im Bereich Anzeigenakquise und Marketing tätigen” Hamburger Niederlassung von Facebook nicht zur Anwendbarkeit deutschen Datenschutzrechts auf das soziale Netzwerk führe. Denn die Verarbeitung der Daten der Nutzer finde nicht im Rahmen der deutschen Niederlassung statt.
Jedoch ist die Rechtsprechung des OVG Schleswig-Holstein – nach Meinung führender Datenschutzexperten – 2014 durch das Urteil-EuGH “Google Spain” überholt worden. Denn der EuGH legt darin den Begriff “im Rahmen der Tätigkeiten” sehr weit aus:
[D]iese Wendung [kann] im Hinblick auf das Ziel der RL 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden (vgl. entspr. EuGH, EU:C:2011:474 Rn. 62 u. 63 – L’Oréal SA).
Der EuGH entschied daher, dass die Verarbeitung der Daten von spanischen Google-Nutzern auch “im Rahmen der Tätigkeiten” der spanischen Google-Niederlassung stattfindet, obwohl diese mit der Suchmaschine selbst nichts zu tun hat, sondern nur mit der Werbekundenakquise:
Unter solchen Umständen sind nämlich die Tätigkeiten des Suchmaschinenbetreibers und die seiner Niederlassung in dem betreffenden Mitgliedstaat untrennbar miteinander verbunden, da die die Werbeflächen betreffenden Tätigkeiten das Mittel darstellen, um die in Rede stehende Suchmaschine wirtschaftlich rentabel zu machen, und die Suchmaschine gleichzeitig das Mittel ist, das die Durchführung dieser Tätigkeiten ermöglicht.
Dies ist ersichtlich auf Twitter übertragbar. Auch die Datenverarbeitung für den Kurznachrichtendienst findet in diesem Sinne “im Rahmen der Tätigkeiten” der Twitter Germany GmbH statt.
Einwenden könnte man allenfalls, dass der EuGH zu einer weiten Auslegung motiviert wurde hat, weil im Fall Google Spain die verantwortliche Konzernmutter Google Inc. in den USA saß. Bei einer engen Auslegung hätte daher die Anwendung europäischen Datenschutzrechts überhaupt in Frage gestanden (spanisches Recht hätte dann allenfalls noch über Art. 4 Abs. 1 c der EU-Richtlinie angewendet werden können, anderenfalls amerikanisches Recht). – Das mag stimmen. Es ändert aber nichts an der im Ergebnis weiten Begriffsauslegung durch den EuGH. Der Gerichtshof hat diese Auslegung nicht davon abhängig gemacht, dass die verantwortliche Stelle außerhalb der EU sitzt. Vielmehr sind seine Norm-Auslegungen grundsätzlich für alle Anwendungsfälle gedacht – es ist ja gerade der Sinne des EuGH-Vorlageverfahrens, Auslegungsfragen verbindlich zu klären. Daher ist diese Auslegung ohne weiteres auch auf Fälle anwendbar, in denen die verantwortliche Stelle in einem anderen Mitgliedstaat sitzt (z.B. wie bei Twitter in Irland). Zumal sich ernsthaft die Frage stellt, ob nicht auch die laxe Anwendung des irischen Rechts durch die dortige Aufsicht das Grundrecht auf Privatsphäre ebenso gefährdet wie die Geltung US-amerikanischen Rechts.
Ergebnis
Im Ergebnis dürfte Twitter daher irisches Datenschutzrecht nicht wählen können (jedenfalls nicht ohne seine Niederlassung in Deutschland zu schließen). Vielmehr muss sich der Konzern bei der Verarbeitung der Daten von Twitter-Nutzern aus Deutschland an das Bundesdatenschutzgesetz halten.
UPDATE: Der Kollege Thomas Stadler kommt in einem interessanten Blogbeitrag auf internet-law.de zu demselben Ergebnis.