Das Schleswig-Holsteinische Verwaltungsgericht (8 B 60/12 und 8 B 61/12) hat im Zuge des Eilrechtsschutzes festgestellt, dass deutsche Datenschutzbehörden für Facebook nicht zuständig sind. Dabei hat das Verwaltungsgericht folgenden Sachverhalt angenommen:
Die Facebook Ltd. Ireland erfülle mit dem dort vorhandenen Personal und den dortigen Einrichtungen alle Voraussetzungen einer Niederlassung in diesem Sinne mit der Folge, dass ausschließlich irisches Datenschutzrecht Anwendung finde. Die Facebook Germany GmbH hingegen sei ausschließlich im Bereich der Anzeigenaquise und des Marketing tätig.
Unter dieser Voraussetzung käme deutsches Datenschutzrecht nicht zur Anwendung, sondern irisches Datenschutzrecht. Dies ergibt sich insoweit wohl u.a. aus der europäischen Datenschutz-Richtlinie (Richtlinie 95/46/EG), dort Artikel 4. Dementsprechend ist bei einer Niederlassung der verarbeitenden Stelle in einem Mitgliedsstaat der EU die Anwendbarkeit des dortigen Datenschutzrechts eröffnet. Sofern es also dabei bleibt, dass in einem anderen Mitgliedsstaat die Niederlassung von Facebook bezüglich der Datenverarbeitung erkannt wird, ist diese Entscheidung wohl korrekt.
Auch wenn es sich um eine Entscheidung im Zuge des Eilrechtsschutzes handelt, wo nur summarisch alles geprüft wird, gehe ich davon aus, dass es bei der Entscheidung inhaltlich bleiben wird.
Update: Es gab eine kurzzeitige erste Fassung dieses Artikels, in der die Entscheidung falsch dargestellt wurde und die Zuständigkeit der Behörde in Frage gestellt wurde. Dies ist natürlich falsch, selbstverständlich ist die nationale Aufsichtsbehörde zuständig (was in der Entscheidung auch noch einmal ausdrücklich klar gestellt ist, insofern ist Artikel 28 der Datenschutzrichtlinie auch zu beachten), die Frage ist vielmehr, welches Recht anwendbar ist. Ich bitte, die Problematik richtig zu erfassen und entschuldige den Fehler der ersten Fassung der dem Zeitdruck beim Abfassen geschuldet war.
Hinweis: