BAG: Datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten

Mit Beschluss vom 3.2.2014 (Az.: 10 AZB 77/13) hat das Bundesarbeitsgericht (BAG) entschieden, dass ein datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten geltend gemacht werden kann, wenn die personenbezogenen Daten im Zusammenhang mit einem Arbeitsverhältnis stehen.

Der Kläger, als früherer Arbeitnehmer der Beklagten, begehrte von dieser Auskunft über bei ihr zu seiner Person gespeicherte Daten (§ 34 BDSG), nachdem über seine Tätigkeit und die Beendigung des Arbeitsverhältnisses in mehreren Nachrichtenportalen berichtet wurde.

Das Landesarbeitsgericht hatte den Rechtsweg zu den Arbeitsgerichten noch für unzulässig erklärt.

Das BAG sah den Rechtsweg jedoch für eröffnet an. § 2 Abs. 1 Nr. 4 Buchst. a ArbGG erweitere die Zuständigkeit der Arbeitsgerichte auf bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern über Ansprüche, die mit dem Arbeitsverhältnis in rechtlichem oder unmittelbar wirtschaftlichem Zusammenhang stehen. Hier beruhe der datenschutzrechtliche Auskunftsanspruch auf dem ehemaligen Arbeitsverhältnis und sei durch dieses bedingt. Denn das Auskunftsverlangen des Klägers beruhe auf einer Berichterstattung gerade über dieses Arbeitsverhältnis und die Form seiner Beendigung. Der Anspruch beziehe sich damit auf personenbezogene Daten, die nach § 32 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt wurden. Somit bestehe der erforderliche rechtliche Zusammenhang mit dem Arbeitsverhältnis. Welche Motive dem Anspruch zugrunde liegen sei ebenso unerheblich, wie die Tatsache, dass der Anspruch nach § 34 BDSG auch auf anderen Rechtswegen geltend gemacht werden könne.

Das bin ich nicht! – Gedanken zum Profiling

Wenn wir im Rahmen des Profilings analysiert werden, dann nutzen Unternehmen oder Behörden nicht nur Daten, die sich direkt auf uns beziehen. Denn dies würde einfach eine personenbezogene Abwägung anhand bestimmter Kriterien darstellen (Herr X verdient 1.000 €, also bekommt er den Kredit nicht; Frau Y ist eine Frau, also bekommt sie keine Werbung für Rasierwasser angezeigt, etc.). Auf diese Weise kann natürlich auch ein Profil angelegt werden. Dies besteht jedoch aus von der betroffenen Person stammenden bzw. direkt aus diesen abgeleiteten Daten.

Der Sinn des Profilings liegt darin, aus einer Masse an Daten von verschiedenen Personen bestimmte Muster und Merkmale herauszufiltern, die man dann auf eine Person oder eine Personengruppe übertragen kann – freilich mit dem Risikofaktor einer gewissen Ungenauigkeit – die aber vorher dieser Person oder Personengruppe nicht zugeordnet waren. Meist geht es dabei um Vorhersagen und Wahrscheinlichkeitsprognosen. Es findet also auf der Grundlage gemeinsamer Merkmale die Analyse statt.

Aus einer Menge an Daten wird versucht, diese Gemeinsamkeiten von Personen zu erkennen und von diesen wiederum eine bestimmte, bisher noch nicht bestehende, also neue Information abzuleiten. Die Geburt eines neuen personenbezogenen Datums (vorausgesetzt, die Datenverarbeitung findet mit solchen Daten statt).

Dieses personenbezogene Datum wurde nicht durch den Betroffenen direkt bereitgestellt, es wurde auch nicht über Dritte dem für die Verarbeitung Verantwortlichen zugeleitet. Es entsteht auf der Grundlage von bestimmten Formeln und Vorhersagen. Es entsteht nicht an der Quelle, der es dann jedoch zugeordnet wird.

Die Folge ist, dass der Betroffene natürlich nicht weiß, welche neuen Informationen ihm zugeordnet werden. So kann mit der Zeit ein Online-Ich entstehen, welches entweder sehr genau mit dem Offline-Ich übereinstimmt (da die Vorhersagen und Wahrscheinlichkeitsberechnungen richtig lagen) oder aber erheblich von dem Offline-Ich abweicht.

Diese Situation, die man meines Erachtens nicht von vornherein als negativ brandmarken sollte, hält in Bezug auf das Datenschutzrecht interessante Fragen bereit:

  • Wie sieht es mit dem Grundsatz der Datengenauigkeit (Art. 6 (1) d) RL 95/46/EG) aus? Was wenn die Vorhersagen und das neue Merkmal fehlerhaft sind? Wer kann dies prüfen?
  • Wie weit reicht der Auskunftsanspruch des Betroffenen nach § 34 BDSG? (siehe zu dieser Diskussion etwa die Anmerkungen von Thomas Stadler und Daniel Schätzle zu einem Urteil des BGH in Bezug auf den Anspruch gegen die SCHUFA). Benötigen wir einen „automatischen” Auskunfts- oder Informationsanspruch? Ein Hinweis, „Ihnen wurde ein neues Merkmal zugeordnet“?
  • Handelt die verantwortliche Stelle nach „Treu und Glauben“ (Art. 6 (1) a) RL 95/46/EG), wenn sie veraltete Daten für die Rechenprozesse nutzt? Besteht eine Kontrollpflicht zur Aktualisierung? („wenn nötig, auf den neuesten Stand gebracht werden“, Art. 6 (1) d) RL 95/46/EG) Wann wird das „nötig“? Muss ich den Betroffenen jeden Tag fragen, ob die Daten noch aktuell sind?

Man kann nun ansetzen und versuchen, auf diese Fragen Antworten nach geltendem Recht zu finden. Da knirscht und knarzt es wohl gewaltig. Da das Datenschutzrecht derzeit aber vor einer großen Reform steht, sollten wir uns auch überlegen, wie wir in Zukunft mit Techniken wie dem Profiling (an sich einem schlichten und für sich genommen neutralen Datenverarbeitungsprozess) umgehen wollen und diese Chance nutzen. Wichtig erscheint es, die Transparenzpflichten voranzutreiben. Dem Betroffenen muss verdeutlicht werden, was geschieht und wie es geschieht. Soweit wie möglich proaktiv. Dass uns neue Attribute zugeteilt werden, muss per se keine negativen Auswirkungen haben. Auch in der realen Welt teilen wir anderen Menschen stets bestimmte Attribute zu…auch diese können ungenau oder falsch sein. Zudem sollten Auskunfts- und Löschansprüche das halten, was sie versprechen, nämlich zu informieren und falsche Daten zu entfernen, jedoch keine Einladung darstellen, sein Online-Ich zum Mr. Perfect zurecht zu kürzen.

Europarat: Abgeordnete fordern besseren Schutz der Bürger im Internet

Am 11. März hat der Ausschuss für Kultur, Wissenschaft, Bildung und Medien der Parlamentarischen Versammlung des Europarates einen Bericht des deutschen Bundestagsabgeordneten Axel Fischer zur Verbesserung des Schutzes der Nutzer und der Sicherheit im Internet angenommen („Improving user protection and security in cyberspace“ PDF).

Der Bericht enthält sowohl den Entwurf eines Entschlusses als auch den Entwurf einer Empfehlung der Parlamentarischen Versammlung des Europarates. Über beide Entwürfe werden am 9. April in Straßburg verhandelt.

Entwurf eines Entschlusses

Mit der Verabschiedung des Entschlusses würde die Parlamentarische Vollversammlung kein bindendes Recht schaffen, jedoch ihre Position in Bezug auf das Thema Datenschutz, Überwachung und Privatheit im Internet zum Ausdruck bringen. Einige Kernpunkte, die in dem Entschluss angeprangert und auch gefordert werden:

  • Das Vertrauen der Bürger in Internetdienste wurde durch die Enthüllungen und Informationen über Eingriffe in ihre privaten Daten durch europäische und amerikanische Behörden und auch private Unternehmen erschüttert
  • Alle Mitgliedstaaten sind aufgefordert in Zusammenarbeit mit der Internetwirtschaft eine weltweite Initiative zur Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets zu starten
  • Mitgliedstaaten sollen unter anderem folgende Prinzipien effektiv umsetzen und achten:
  1. das Privatleben, die Korrespondenz und die persönlichen Daten müssen auch online geschützt sein
  2. das Abfangen, die Überwachung, die Profilbildung und das Speichern persönlicher Daten durch öffentliche Stellen und Unternehmen ist nur aufgrund einer gesetzlichen Grundlage erlaubt und verstößt nicht gegen Art. 8 EMRK
  3. Mitgliedstaaten besitzen eine positive Rechtspflicht gegenüber ihren Bürgern, diese vor dem Abfangen, Überwachen der Profilbildung und der Speicherung ihrer persönlichen Daten zu schützen
  • Internetzugangs- und Diensteanbieter sollten automatisch Verschlüsselungstechniken einsetzen
  • Gesetzestreue Internetnutzer haben das Recht auf Anonymität
  • Cloud-Computing-Anbieter sollten die Schutzstandards für Nutzer nicht dadurch umgehen, dass sie ihre Datenzentren in „schwächere“ Rechtssysteme verlagern
  • Mitgliedstaaten sollten gesetzliche Grundlagen zur Regulierung von Online-Spiele-Anbietern schaffen; hierbei sollte dasjenige Recht anwendbar sein, in dem sich der Nutzer befindet, auf den der Dienst ausgerichtet ist
  • Betroffene müssen die Möglichkeit effektiven Rechtsschutzes besitzen

Entwurf einer Empfehlung

Der Entwurf für eine Empfehlung enthält konkrete Forderungen der Parlamentarischen Versammlung an das Ministerkomitee, die von jenem auch beantwortet werden müssen. Einige der Kernpunkte sind hier:

  • Als besonders dringliche Angelegenheit die derzeit stattfindende Überarbeitung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) abzuschließen
  • Über-europäische Bestrebungen zur Internationalisierung der ICANN zu unterstützen und zu koordinieren
  • Beobachterstaaten einzuladen, mit den Mitgliedstaaten aktiv bei der Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets mitzuwirken

Die beiden Entwürfe, die noch durch eine Begründung des Berichterstatters Fischer begleitet werden, finden teilweise sehr deutliche und klare Worte, wenn es um die erforderlichen Maßnahmen zum Schutz der Internetnutzer geht. Insbesondere der klare Hinweis auf eine staatliche Schutzpflicht oder ein Recht auf Anonymität sind durchaus bemerkenswert. Es bleibt jedoch abzuwarten, ob die Parlamentarische Versammlung im April die Entwürfe auch ohne Änderungen übernimmt.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe zur Videoüberwachung

Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine Orientierungshilfe für den rechtskonformen Einsatz zum Betrieb privater Videoüberwachungsanlagen veröffentlicht (“Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, PDF).
Die Orientierungshilfe soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben dabei einzuhalten sind. Entscheidende Vorschrift ist dabei § 6b BDSG.

Folgende Voraussetzungen sind nach dem Hinweis der Datenschützer bei der Videoüberwachung öffentlich zugänglicher Räume zu beachten:

  • Zweck der Videoüberwachung: bereits vor Einsatz der Videoüberwachung ist das verfolgte Ziel zu konkretisieren. Berechtigte Interessen können ideeller, wirtschaftlicher oder auch rechtlicher Natur sein. Notwendig sind jedoch konkrete Tatsachen, die am besten dokumentiert werden (z. B. Straftaten).
  • Geeignetheit und Erforderlichkeit der Videoüberwachung: Ebenfalls vor der Inbetriebnahme der Kamera ist zu prüfen, ob die Überwachung geeignet und erforderlich ist, um das festgelegte Ziel zu erreichen. “Die Erforderlichkeit einer Videoüberwachung kann nur dann bejaht werden, wenn der beabsichtigte Zweck nicht genauso gut mit einem anderen (wirtschaftlich und organisatorisch) zumutbaren, in die Rechte des Betroffenen weniger eingreifenden, Mittel erreicht werden kann“.
  • Beachtung der schutzwürdigen Interessen des Betroffenen: Die schutzwürdigen Interessen der betroffenen Personen dürfen diejenigen des Betreibers nicht überwiegen. Erforderlich ist daher eine Abwägung der gegenüberstehenden Interessen. “Maßstab der Bewertung ist das informationelle Selbstbestimmungsrecht als besondere Ausprägung des Persönlichkeitsrechts auf der einen und der Schutz des Eigentums oder der körperlichen Unversehrtheit auf der anderen Seite“.
  • Maßnahmen vor Einrichtung: Zudem muss vor Inbetriebnahme der konkrete Zweck der Videoüberwachung schriftlich festgelegt werden und es sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG). Ebenfalls ist eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, wenn “bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist“.
  • Hinweispflicht: Zudem ist nach § 6b Abs. 2 BDSG der Umstand der Beobachtung und die jeweils verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen. Hierzu bieten sich etwas Schilder oder graphische Symbole an.

Weitere Hinweise geben die Datenschutzbehörden auch zu der Durchführung der Videoüberwachung und der damit einhergehenden Datenverarbeitung an sich, wie etwa zur Speicherdauer und zur Unterrichtungspflicht. Zudem informiert die Orientierungshilfe zu besonderen Konstellationen wie den Einsatz von Webcams oder die Videoüberwachung von Beschäftigten.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema “Internet der Dinge” geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Das Internet der Dinge und Deutschlands Chance

In der digitalen Wirtschaft werden derzeit grundsätzlich zwei Trends der Zukunft diskutiert. Big Data und das Internet der Dinge, wobei beide Bereiche meines Erachtens nicht strikt voneinander zu trennen sind. Beide Entwicklungen enormes Potential für Deutschland und Europa.

Big Data
Big Data, also die Entwicklung des stetigen Wachstums der weltweiten Datenmassen und die Frage nach dem Umgang mit diesen Datenbergen, darf man wohl als eine logische Entwicklung des technischen Fortschritts einer stetig wachsenden Weltbevölkerung bezeichnen. Immer mehr Menschen nutzen das Internet, ja wachsen mit diesem als gegebene Normalität auf. Sei es über den PC, das Handy oder das Tablet. In den Entwicklungsländern nutzen jedoch derzeit nur 31% der Bevölkerung das Internet (Zahlen für 2013 der International Telecommunication Union der Vereinten Nationen). Das Datenaufkommen dürfte daher auch künftig nicht geringer werden.

Man kann sich nun natürlich fragen, wie man mit dieser Tatsache umgeht und ob man ihr positiv oder skeptisch gegenübersteht. Dabei geht es bereits um so fundamentale Fragen, wie etwa derjenigen der Datensparsamkeit im Datenschutzrecht. Sehen wir Daten als „Gefahr“ an und möchten wir ihre Entstehung im Keim ersticken bzw. regulieren oder erkennen wir ein Potential des wirtschaftlichen und gesellschaftlichen Wohlstandes und lassen die Daten sprudeln. Unternehmen und auch Regierungen dürften grundsätzlich ein großes Interesse an Daten und auch an einem Mehr an Daten besitzen. Ebenso wie die Wissenschaft und Forschung. In welchem Schritt des Lebenszyklus eines Datums man regulierend eingreifen möchte, ist wohl vor allem zu Beginn weniger eine rechtliche, als vielmehr eine ideologische Frage. Hier treffen dann auch kulturelle Unterschiede in der Welt aufeinander. Über die tatsächliche rechtliche Ausgestaltung der Vorgaben der Datennutzung, kann man sich auch trefflich streiten. Wichtig erscheint mir jedoch, dass man auf Grundlage der tatsächlichen Fakten und Entwicklungen das Recht schafft und anpasst.

Internet der Dinge
Das Internet der Dinge, also die Verknüpfung von immer mehr Gegenständen in eigenen Netzwerken oder mit dem Internet selbst, ist meines Erachtens ein ebenso nachvollziehbarer Trend. Bisher waren es das Mobiltelefon, der Laptop und das Tablet. Jedoch sollen in Zukunft nun auch andere Alltags- und Haushaltsgegenstände in den Genuss der Digitalisierung kommen. Hierfür gibt es mehrere Schlagwörter: Smart Home, Smart Car, Wearable Technology etc. Uhren, Armbänder, Brillen, aber auch der Fernseher, die Waschmaschine oder der Kühlschrank, ja teilweise auch die Kleidung selbst. Und nicht zuletzt, des Deutschen liebsten Spielzeug, das Auto. All diese Gegenstände werden Daten erzeugen (wenn man nicht gesetzlich vorschreiben möchte, dass sie es nicht dürfen) und damit ebenfalls zum Wachstum des weltweiten Datenflusses beitragen.

Deutschlands Chance
Diese beiden Entwicklungen vollziehen sich bereits derzeit und werden es, in größerem Umfang, auch in der Zukunft tun. Ob wir wollen oder nicht. Man betrachte nur die Technikaffinität in Amerika oder Asien. Die Frage für Deutschland und für Europa darf meines Erachtens nicht sein „Wollen wir da mitmachen?“, sondern „Wie können wir hier führend werden?“. Denn in den letzten Wochen und Monaten ist auch auf politischer Ebene die Erkenntnis gereift, dass Deutschland, das weltweite als Sinnbild für hervorragende Produkte, Industrietechnik und Ingenieurarbeit gilt, im Bereich der Digitalisierung ins Hintertreffen geraten ist. Große Internetkonzerne haben keine deutschen Wurzeln.

Bundeskanzlerin Merkel konstatierte am Wochenende: „Wohlstand wird nur auf dem Erdteil entstehen, wo auch die neuesten Produkte hergestellt werden“ und „Wir werden die Standards für den Umgang mit Daten mit Sicherheit nicht setzen können, wenn wir die Technologie nicht beherrschen“.

Und hier sehe ich gerade für unsere deutsche Wirtschaft eine enorme Chance. Deutschland ist bekannt für seine hochqualitativen, weltweit gefragten Produkte, auch wenn die Exporte 2013 zurückgingen. Wenn sich nun das Internet mit den „normalen“ Produkten verbindet, dann besitzt die deutsche Wirtschaft doch hervorragende Startvoraussetzungen, um diesen Trend mit zu prägen. Denn die „offline“ Grundprodukte werden bereits hier produziert. Und das erfolgreich. Für die Wirtschaft muss es nun darum gehen, diese vorhandenen Waren dem Internet der Dinge anzupassen, in diese Entwicklung zu investieren und ihnen digitales Leben einzuhauchen. Eigentlich müssten in jedem Industrie- und auch Zuliefererbetrieb, der an der Fertigung von Endkundenprodukte beteiligt ist, bereits Entwicklungen anlaufen, um die Möglichkeiten der Vernetzung zu erforschen und zu implementieren. Unternehmen sollten Think-Tanks und Start-Ups unterstützen, die auf diesem Gebiet arbeiten.

Es mag sein, dass wir die Digitalisierung verschlafen haben und aufholen müssen. Doch der Trend, hin zu einer vernetzten Produktwelt, in der nicht nur die „Modeprodukte“ wie Mobiltelefone oder Tablets, die aus anderen Ländern importiert werden, sondern eben auch Produkte der Industrieparadedisziplinen der deutschen Wirtschaft (Stichwort: Auto), eine wesentliche Rolle spielen, gibt uns gerade diese Möglichkeit der Aufholens. Und auch des Setzens von Standards. In meinen Augen hält das Internet der Dinge enormes Potential für Deutschland und Europa bereit. Das sollten wir nicht verschlafen.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Gutachten: Keine Fehler der Kommission beim Auswahlverfahren des neuen europäischen Datenschutzbeauftragten

Wie im Januar in den Medien berichtet wurde, lief am 16.1.2014 die Amtszeit des bisherigen europäischen Datenschutzbeauftragten (Peter Hustinx) und auch seines Stellvertreters aus, ohne dass ein geeigneter Nachfolger gefunden werden konnte. Hustinx hat sich bereit erklärt, bis Oktober kommissarisch im Amt zu bleiben. Bis dahin soll ein neues Bewerbungs- und Auswahlverfahren durchgeführt werden.
Die Ablehnung aller Bewerber durch die Kommission hat in der Öffentlichkeit für Kritik gesorgt, zumal sich unter den Kandidaten (teils ehemalige) Leiter und Stellvertreter europäischer Datenschutzbehörden befanden.

Auf Statewatch.org wurde nun ein Gutachten des juristischen Dienstes (PDF) des europäischen Parlaments veröffentlicht, welches sich mit dem rechtlichen Vorgehen der Europäischen Kommission im Rahmen des Auswahlverfahrens des europäischen Datenschutzbeauftragten befasst. Ich möchte nachfolgend nur auf einige Eckpunkte des Papiers eingehen.

  • Allein die europäische Kommission besitzt die Kompetenz zur Eröffnung des Auswahlverfahrens. Ebenso obliegt es ihr allein dieses Verfahren zu beenden, wenn keine geeigneten Kandidaten gefunden wurden, die dem Rat und dem Parlament zur Wahl vorgeschlagen werden können. Rat und Parlament müssen und dürfen insoweit nicht formell zustimmen.
  • Wenn Bewerber die in der Ausschreibung aufgestellten Kriterien nicht erfüllen (und diese Kriterien im Einklang mit den Vorgaben der hier relevanten Verordnung 45/2001 (PDF) stehen), dann muss die Kommission diese Kandidaten nicht auf die Vorschlagsliste setzen.
  • Die Verordnung 45/2001 gibt in Art. 42 Abs. 2 zwei zwingend zu erfüllende Merkmale vor (kein Zweifel an Unabhängigkeit und herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben), die jedoch in der öffentlichen Ausschreibung durch die Kommission weiter umschrieben werden können.
  • Der Kommission fällt zudem ein Ermessen zu, welche weiteren Merkmale sie als Voraussetzungen aufstellt. Diese müssen sich freilich im Rahmen der groben Vorgaben der Verordnung 45/2001 halten und insbesondere an den zukünftigen Aufgaben des europäischen Datenschutzbeauftragten orientieren (Art. 44 bis 47).
  • Im vorliegenden Fall (des erfolglos durchgeführten Bewerbungs- und Auswahlverfahrens) hat die Kommission diese Vorgaben beachtet und ihr Ermessen nicht überschritten.
  • Zudem hat die Kommission das Parlament vor der Veröffentlichung der Stellenausschreibung konsultiert und in Bezug auf die aufgestellten Anforderungen wurden von Seiten des Parlaments keine Bedenken geäußert.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun?

Mit Urteil vom 24.01.2014 (Az. 5 U 42/12 (hier als PDF)) hat das Kammergericht (KG) die Berufung von Facebook im Streit mit dem VZBV um die Zulässigkeit des Freunde-Finders zurückgewiesen (hier die Pressemitteilung). Das Urteil ist nun im Volltext verfügbar und der Inhalt dürfte durchaus für Diskussionen sorgen. Denn das KG bestätigt die Auffassung des Landgerichts Berlin (Az. 16 O 551/10), wonach im europäischen Datenschutzrecht eine Rechtswahl zwischen den Parteien möglich ist. Selbst ohne eine solche Rechtswahl fände vorliegend jedoch deutsches Datenschutzrecht Anwendung, da nicht Facebook Irland, sondern vielmehr die Muttergesellschaft in Amerika allein die verantwortliche Stelle der Datenverarbeitung sei. Da diese nicht in Europa sitze, jedoch auf die Daten von Nutzern in Deutschland zurückgreife, gelte deutsches Datenschutzrecht.

Die Frage des anwendbaren Datenschutzrechts ist freilich nur die (wenn auch notwendig) zu prüfende Vorstufe, um zu einer Beurteilung der Rechtmäßigkeit des Freunde-Finders an sich zu gelangen. Ich möchte mich nachfolgend jedoch auf diese Vorfrage beschränken, denn ihre Beantwortung ist besonders vor dem Hintergrund interessant, dass sowohl das VG (Az.: 8 B 60/12; 8 B 61/12) als auch das OVG Schleswig (Az.: 4 MB 10/13) die Anwendbarkeit deutschen Datenschutzrechts abgelehnt haben. Wir haben also in Deutschland nun zwei Obergerichte, die hier unterschiedlicher Auffassung sind. Man sollte meines Erachtens zudem beachten, dass es bei dieser Frage nicht um „Facebook“-Bashing gehen darf, sondern diese Thematik vielmehr für jeglichen internationalen Anbieter von Dienstleistungen im Internet von Interesse ist.

Anwendbares Recht nach der EU-Datenschutz-Richtlinie
Das Kammergericht geht in seiner Entscheidung zunächst auf die im BDSG zum anwendbaren Recht festgeschriebenen Grundsätze (§ 1 Abs. 5 BDSG und deren europarechtliche Grundlage in Art. 4 RL 1995/46/EG, (DS-RL)) ein. Die Vorgaben aus der DS-RL sind als eine angestrebte Vollharmonisierung des Datenschutzrechts zu verstehen, zumindest soweit die entsprechende Vorschrift inhaltlich unbedingt und hinreichend genau ist.
Diese Voraussetzungen sind für Art. 4 DS-RL erfüllt. Richtigerweise stellt das KG fest, das die Vorschriften zum anwendbaren Recht „zum Kernbereich dieser Richtlinie“ gehören. Das KG erläutert dann zunächst die beiden möglichen Varianten, die als Anknüpfungspunkt des anzuwendenden Datenschutzrechts in Frage kommen. Einmal in Art. 4 Abs. 1 lit. a DS-RL der Sitz der verantwortlichen Stelle, wenn diese sich innerhalb der EU befindet oder nach Art. 4 Abs. 1 lit. c DS-RL der Anknüpfungspunkt des „Zurückgreifens“ auf in einem Mitgliedstaat belegene Mittel, wenn die verantwortliche Stelle der Datenverarbeitung nicht in der EU oder dem EWR sitzt.

Verantwortliche Stelle außerhalb der EU
Das KG beginnt seine Prüfung mit der Variante des Art. 4 Abs. 1 Lit. c DS-RL. Und hier wird das Urteil nun interessant und weicht von den oben angeführten Entscheidungen der Gerichte in Schleswig-Holstein ab. Denn das KG geht davon aus, dass nicht die Europazentrale von Facebook in Irland für die Datenverarbeitung deutscher Nutzer verantwortlich ist, sondern allein die Muttergesellschaft in den USA.

Ebenso werden die u?ber den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.

Diese Feststellung des Gerichts ist erforderlich, um in den Anwendungsbereich von Art. 4 Abs. 1 lit. c DS-RL zu gelangen. Denn wenn die irische Niederlassung verantwortlich wäre, so würde Art. 4 Abs. 1 lit. a DS-RL eingreifen und irisches Datenschutzrecht zur Anwendung kommen (in diesem Sinne hatten die Gerichte in Schleswig-Holstein entschieden). Übereinstimmend mit der Ansicht der Art. 29 Datenschutzgruppe (Stellungnahme WP 179) geht das KG dann davon aus, dass auf „automatisierte oder nicht automatisierte Mittel“ zurückgegriffen wird, wenn Cookies auf einem PC platziert und hierdurch personenbezogene Daten erhoben werden. Das KG nimmt diese Konstellation für Facebook USA an. Facebook USA setze Cookies auf Rechnern von deutschen Nutzern und greife daher auf „Mittel“ in Deutschland zurück. Daher gelte deutsches Datenschutzrecht. Zudem sieht das KG (sozusagen alternativ) den Auftragsdatenverarbeiter des Konzerns, der einer Niederlassung in Deutschland besitzt, als ein „Mittel“ an, auf das Facebook USA zurückgreift. Auch deshalb gelte deutsches Datenschutzrecht.

Diese Ansicht halte ich im Ergebnis für vertretbar. Manche europäische Datenschutzbehörden sehen sogar die eigenen Niederlassungen von außereuropäischen Unternehmen als solche „Mittel“ an. Was jedoch leider in dem Urteil etwas zu kurz kommt ist die, meines Erachtens gerade im Datenschutzrecht erforderliche, Differenzierung der verschiedenen Datenverarbeitungsvorgänge. Natürlich ist es möglich, dass Facebook USA Cookies einsetzt und hierüber Daten verarbeitet. Doch darf man damit nicht die kompletten Datenverarbeitungsvorgänge eines Weltkonzerns über einen Kamm scheren. Es scheint doch durchaus möglich, dass etwa für einen Verarbeitungsprozess die Muttergesellschaft, für einen anderen jedoch eine europäische Niederlassung verantwortlich ist. Wer für welchen Verarbeitungsvorgang verantwortlich ist, muss freilich auf einer tatsächlichen Ebene ermittelt bzw. vorgetragen werden.

Verantwortliche Stelle innerhalb der EU
In einem nächsten Schritt prüft das KG, ob nicht eventuell die Niederlassung in Irland doch als verantwortliche Stelle anzusehen sei und daher irisches Recht Anwendung finden würde (Art. 4 Abs. 1 lit. a DS-RL; falls dem so seien sollte, dann wäre die Vorschrift es Art. 4 Abs. 1 lit. c DS-RL quasi „gesperrt“. Daher hätte man sicherlich auch zunächst die Voraussetzungen von Art. 4 Abs. 1 lit. a DS-RL prüfen können). Und mit Blick auf die irische Niederlassung stellt das KG fest:

„Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt.“

Das KG legt, wie eigentlich in dem gesamten Urteilsabschnitt zum anwendbaren Recht, richtigerweise die Bestimmung des § 1 Abs. 5 S. 1 BDSG richtlinienkonform aus. Nach dieser Vorschrift gilt grundsätzlich das Datenschutzrecht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle belegen ist. Für das KG muss jedoch hinzukommen, dass die Datenverarbeitungsvorgänge auch „effektiv und tatsächlich” dort ausgeführt werden. Diese Voraussetzung sieht es hier nicht als erfüllt an.

Auch diese Ansicht ist meines Erachtens grundsätzlich richtig. Die Art. 29 Datenschutzgruppe spricht in ihren Stellungnahmen in diesem Zusammenhang gerne von der „relevanten Niederlassung“. Es kommt im Rahmen der Prüfung des Art. 4 Abs. 1 lit. a DS-RL entscheidend darauf an, inwieweit eine europäische Niederlassung als verantwortliche Stelle angesehen werden kann. Für diese Prüfung ist von entscheidender Bedeutung, welche tatsächlichen Einflussmöglichkeiten sie auf den jeweiligen Verarbeitungsprozess besitzt.
Das Vorbringen von Facebook in dem Prozess konnte das KG nicht überzeugen.

„Die Beklagte trägt nur vor, sie sei alleinige Vertragspartnerin aller Facebook Nutzer außerhalb Nordamerikas. … Eine eigene effektive und tatsächliche Datenverarbeitung (mittels eigener Datenverarbeitungsanlagen und eigenem Personal) wird damit nicht dargetan. … Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“

Es kommt also entscheidend auf die dargelegten, tatsächlichen Gegebenheiten an. Anders als in den Prozessen in Schleswig-Holstein konnte Facebook das KG jedoch nicht davon überzeugen, für die relevanten Vorgänge allein verantwortlich zu sein.

Im Ergebnis ist die Entscheidung des KG hinsichtlich dieses Komplexes daher konsequent. Als unbeteiligter Betrachter von außen lässt sich nur schwer beurteilen, ob man aufgrund des tatsächlichen Vorbringens nicht auch zu einem anderen Ergebnis hätte kommen können.

Rechtswahl
In einem weiteren Teil stützt sich das KG nun alternativ darauf, dass zudem eine wirksame Rechtswahl in Bezug auf deutsches Datenschutzrecht vorliege.

Insoweit überzeugt mich das Urteil jedoch nicht. Ich hatte bereits hier im Blog einmal zu der Möglichkeit einer Rechtswahl im Datenschutzrecht Stellung genommen.

Dass eine Rechtswahl möglich sei, begründet das KG damit, dass das BDSG unter anderem auch Privatrecht enthalte, wenn Ansprüche der Betroffenen (etwa auf Löschung oder Schadenersatz) auf Vorschriften wie §§ 4, 28 BDSG verweisen. Es ist in der Tat nicht unumstritten, inwieweit das BDSG nun (rein) öffentlich-rechtlich oder privatrechtlich oder gemischt zu qualifizieren ist.

Unabhängig davon sehe ich jedoch die, wie auch vom KG hervorgehoben, entscheidende Vorschrift des Art. 4 DS-RL nicht als eine solche des Privatrechts an, die zur Disposition der Parteien steht. Diese kann daher auch nicht durch eine Rechtswahl der Parteien „umgangen“ werden. Der Gesetzgeber wollte vielmehr eindeutig regeln, wann welches Datenschutzrecht gilt. Es lässt sich hier sicherlich darüber streiten, ob Art. 4 DS-RL bzw. die deutsche Umsetzung in § 1 Abs. 5 BDSG, nun eine international-privatrechtliche Eingriffsnorm darstellt oder etwa eine Sonderanknüpfung. Was jedoch beiden Qualifizierungen gemeinsam ist, ist der Ausschluss der Möglichkeit einer freien Rechtswahl.

Das KG bezieht sich in seiner Begründung vor allem auf die AGB von Facebook. Dort sei festgeschrieben, dass die Erklärung deutschem Recht unterliege. Meines Erachtens muss man hier jedoch strikt differenzieren. Es ist zwar möglich, das Vertragsrecht in internationalen Konstellationen grundsätzlich frei zu wählen (es sei denn es greifen Ausnahmen ein, wie etwa der Schutz für Verbraucher). Diese freie Rechtswahl bezieht sich meiner Meinung nach jedoch nicht auf das Datenschutzrecht. Denn allein Art. 4 DS-RL bzw. die jeweilige nationale Umsetzung soll vorgeben, welches Recht Anwendung findet. Dies kann in der Praxis freilich zu der Situation führen, dass in Bezug auf eine AGB-Prüfung deutsches Recht Anwendung findet (insoweit greift die Schutzausnahme für Verbraucher). Innerhalb dieser AGB-Prüfung kann jedoch das zugrunde zu legende Recht, von dem mittels der AGB eventuell abgewichen wird, durchaus ein ausländisches Datenschutzrecht sein. Herr Dr. Redeker hat dies in einem Blogbeitrag auf CR-Online ebenso dargestellt.

Auch die Art. 29 Datenschutzgruppe hat in ihrer Stellungnahme zu Apps (WP 202, S. 9) zu einer möglichen Rechtswahl im Datenschutzrecht klare Worte gefunden:

Es ist wichtig, dass App-Entwickler wissen, dass die beiden Richtlinien insofern zwingende Vorschriften darstellen, als die Rechte natürlicher Personen nicht übertragbar sind und keinem vertraglichen Verzicht unterliegen. Das bedeutet, dass die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann.

Das KG geht in seiner Begründung leider auch nicht auf die Vorgaben der für internationale Sachverhalte und die Bestimmung des anzuwenden Rechts entscheidenden Verordnungen (Rom I und Rom II) ein. Es begründet die Entscheidung mit seiner Ansicht der freien Wahl hinsichtlich des „privatrechtlichen Teils“ des deutschen Datenschutzrechts. Dass hier deutsches und nicht etwa irisches Datenschutzrecht zur Anwendung gelangt, mache

vorliegend auch Sinn. Denn in Ziff. 1 der Nutzungsbedingungen stellt die Beklagte ausdru?cklich klar, wie wichtig ihr die Privatsphäre des Nutzers und der Schutz seiner Daten sind. Mit der Vereinbarung auch des deutschen Datenschutzrechts nimmt sie den Nutzern in Deutschland einen Teil der Sorgen, indem sie die in Deutschland insoweit geltenden und diesen Nutzern vertrauten Maßstäbe auch fu?r sich zu Grunde legt.

So sehr ich den Gedanken verstehe, dass es für deutsche Nutzer besser erscheinen mag, wenn deutsches Datenschutzrecht anwendbar ist, so wenig überzeugt mich jedoch das voran gestellte Zitat als eine rechtliche Begründung einer wirksamen Rechtswahl im Datenschutzrecht.

Ausblick
Und nun? Man wird abwarten müssen, ob Facebook auch gegen das Urteil des KG vorgeht. Da wir jedoch nun zwei konträre Entscheidungen zum anwendbaren Datenschutzrecht auf Facebook und auch zu den grundsätzlichen rechtlichen Möglichkeiten einer Rechtswahl im Datenschutzrecht haben, wäre im Sinne der Rechtssicherheit eine höchstrichterliche Klärung sicherlich wünschenswert.