Editorial : Facebook und die Datenschutzaufsicht : aus der RDV 2/2016, Seite 55 bis 56
In Hamburg ging es kürzlich wieder um die Zuständigkeit der Datenschutzaufsicht über Facebook. Die AGB des Dienstes in Deutschland schreiben Klarnamenpflicht vor. Facebook schloss eine deutsche Nutzerin mit Pseudonym aus. Die Hamburger Aufsicht verpflichtete Facebook dazu, das Konto zur Nutzung unter Pseudonym wieder zu öffnen. Dagegen wehrte sich Facebook vor dem Verwaltungsgericht und gewann. Die Sache gehöre nach Irland. Das Ergebnis ist unbefriedigend, weil der Fall in der Luft hängen bleibt.
Die (EU-Datenschutz-Grundverordnung) DS-GVO ändert das. Es wird eine Zusammenarbeit der Aufsichtsbehörden erforderlich, wenn grenzüberschreitende Datenverarbeitung vorliegt. Wie wird sie ablaufen? Facebook verarbeitet Daten in ganz Europa und Nutzer in allen Mitgliedsstaaten sind betroffen. Wenn die streitige Datenverarbeitung in der irischen Hauptniederlassung erfolgt, liegt die Federführung in Irland. In allen anderen EU-Staaten ist die Aufsicht aber auch betroffen, denn dort leben FacebookNutzer.
Also ist Irland federführend und wird aus Hamburg unterrichtet. Die irische Aufsicht wird das Verfahren in der Regel weiterführen. Sie übermittelt dann alle zweckdienlichen Informationen und einen Beschlussentwurf zur Stellungnahme an die anderen betroffenen Behörden.
Hat nach vier Wochen keine der betroffenen Behörden Einspruch gegen den Standpunkt der irischen Aufsicht einlegt, wird er verbindlich für alle.
Legt eine der betroffenen Aufsichtsbehörden Einspruch ein, kann sich die federführende Behörde dem anschließen. Sie leitet den anderen betroffenen Behörden den entsprechend überarbeiteten Beschlussentwurf dann zu.
Wenn die federführende Behörde aber auf ihrer Position beharrt, herrscht Streit unter den Aufsichtsbehörden. Um diesen zu lösen, wird es das Kohärenzverfahren geben. In dessen Rahmen wird der Fall dem Europäischen Datenschutzausschuss zugeleitet. Ihm gehören Vertreter aller nationalen Aufsichtsbehörden an. Dort wird verbindlich darüber entschieden, ob die Klarnamenpflicht bei Facebook gegen die DS-GVO verstößt. Dazu hat der Ausschuss maximal zwei Monate Zeit. Den endgültigen Beschluss fasst dann die federführende Aufsichtsbehörde auf Grundlage der Vorgaben des Datenschutzausschusses. Sie macht ihn auch bekannt.
Dieses Verfahren ist aufwendig, aber es ist nötig, um den Standpunkt der Aufsicht schafft wegen der Fristen innerhalb weniger Monate Rechtsklarheit. Und wenn Facebook meint, der Ausschuss liegt bei der Klarnamenpflicht falsch? Dann kontrolliert ihn der EuGH, denn ein Unternehmen kann gegen den Beschluss des Datenschutzausschusses im Wege des Individualrechtsschutzes vorgehen (Art. 263 Abs. 4 AEUV). Der Beschluss des Datenschutzausschusses ist nämlich ein Unionsrechtsakt, der ohne weitere Durchführungsmaßnahmen in private Rechte eingreift (Erwägungsgrund 113 der DSGVO). Endgültigen Rechtsfrieden, gibt es also auch nach der DS-GVO erst, wenn der EuGH entschieden hat.
Rolf Schwartmann
Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)