OVG Schleswig-Holstein v. 22.04.2013, Az.: 4 MB 11/13 – Klarnamenzwang ULD gegen Facebook Inc., zur Anwendbarkeit des deutschen Datenschutzrechts

1. Die Beschwerde des Antragsgegners gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts – 8. Kammer – vom 14. Februar 2013 wird zurückgewiesen.

2. Der Antragsgegner trägt die Kosten des Beschwerdeverfahrens.

3. Der Wert des Streitgegenstandes wird für das Beschwerdeverfahren auf 20.000,- Euro festgesetzt.

 

Gründe:

Die zulässige Beschwerde ist nicht begründet Die Beschwerdebegründung, die allein Gegenstand der Prüfung durch den Senat ist (§ 146 Abs. 4 S. 6 VwGO), stellt das Ergebnis des angefochtenen Beschlusses nicht in Frage,

I. Die Antragstellerin begehrt die Wiederherstellung der aufschiebenden Wirkung ihres Widerspruchs vom 19. Dezember 2012 gegen die mit Sofortvollzug versehene Anordnung unter I. Ziff. 2 des Bescheides des Antragsgegners vom 14. Dezember 2012, Konten unter www.facebook.com registrierter (natürlicher) Personen aus Schleswig-Holstein, die ausschließlich und allein wegen des Grundes der Nichtangabe oder nicht vollständigen Angabe ihrer Echtdaten bei der Registrierung gesperrt wurden, zu entsperren. Weiter begehrt sie die Anordnung der aufschiebenden Wirkung ihres Widerspruchs, soweit unter Hl. des Bescheides vom 14. Dezember 2012 für den Fall der Nichtbefolgung der Anordnung ein Zwangsgeld angedroht wird.

Das Verwaltungsgericht hat den Anträgen stattgegeben, weil die Anordnung der Entsperrung auf der Grundlage des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit § 13 Abs, 6 TMG durch den Antragsgegner rechtswidrig sei. Das deutsche materielle Datenschutzrecht finde keine Anwendung. Maßgeblich sei vielmehr das materielle irische Datenschutzrecht, Dies begründet das Verwaltungsgericht damit, dass die Tochtergesellschaft der Antragstellerin, Facebook Ireiand Ltd., jedenfalls eine Niederlassung der für die hier in Rede stehende Verarbeitung personenbezogener Daten verantwortlichen Stelle Im Sinne der §§ 1 Abs. 5 S. 1, 3 Abs. 7 BDSG sowie der Art. 2 d), 4 Abs. 1 u. 2 RL 95/46/EG, wenn nicht sogar insoweit die alleinige verantwortliche Stelle sei.

Facebook Ireland Ltd. erfülle mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen Einrichtungen die Voraussetzungen für die Annahme des Vorhandenseins einer Niederlassung in Irland. Es liege die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG vor. Es bestünden keine Zweifel, dass eine Verarbeitung im Sinne des Art. 2 b) RL 95/46/EG der Daten der in I. Ziff. 2 des Bescheides vom 14. Dezember 2012 genannten Nutzer Im Rahmen der Tätigkeit in der Niederlassung ausgeführt werde. Der Standort der Daten, Insbesondere der Standort des Servers, sei weder für den Begriff „Niederlassung“ noch dafür ausschlaggebend, ob die Verarbeitung personenbezogener Daten Jm Rahmen der Tätigkeit“ in der Niederlassung stattfinde.

Nach § 1 Abs. 5 S. 1 BDSG finde das Bundesdatenschutzgesetz keine Anwendung, sofern eine in einem anderen Mitgliedstaat der EU belegene verantwortliche Stelle perso- nenbezogene Daten im Inland erhebe, verarbeite oder nutze, es sei denn, dies erfolge durch eine Niederlassung im Inland.

Die Anwendbarkeit deutschen materiellen Datenschutzrechts folge nicht aus § 1 Abs. 5 S. 1 BDSG in Verbindung mit Art. 4 Abs. 1 a) RL 95/46/EG wegen der Existenz der Facebook Germany GmbH mit Sitz in Hamburg, Die Facebook Germany GmbH werde nach dem glaubhaften Vortrag der Facebook Ireiand Ltd. im Parallelverfahren 8 B 60/12 lediglich im Bereich der Anzeigenakquise und im Bereich des Marketing tätig. Da dort eine Verarbeitung personenbezogener Daten der in I. Ziff. 2 des Bescheides vom 14. Dezember 2012 genannten registrierten Nutzer von Facebook nicht stattfinde, sei sie auch (insoweit) keine Niederlassung Im Sinne des § 1 Abs. 5 S. 1 BDSG. Entsprechendes gelte im Hinblick auf die Datenverarbeitung durch die Nutzung sogenannter Content Delivery Networks (CDN), hier der Firma Akamai und deren in Deutschland ansässigen Tochtergesellschaft. Diese Gesellschaft werde ebenfalls nicht im Bereich der hier relevanten Datenverarbeitung tätig.

Mangels Vorhandensein einer für die streitgegenständliche Verarbeitung personenbezogener Daten relevanten inländischen Niederlassung sei für die Nichtanwendbarkeit deutschen Datenschutzrechts nach § 1 Abs. 5 S, 1 BDSG und Art. 4 Abs. 1 a RL 95/46/EG ohne Belang, wo die verantwortliche Stelle im Sinne des §§ 1 Abs. 5 und 3 Abs. 7 BDSG bzw. der für die Verarbeitung Verantwortliche im Sinne der Art. 2 d) und 4 Abs. 1 RL 95/46/EG belegen sei.

Auch die Regelungen des § 1 Abs. 5 S, 2 BDSG in Verbindung mit Art. 4 Abs. 1 c) RL 95/46/EG, die eine verantwortliche Stelle außerhalb der EU bzw. des EWR voraussetzen, führten vorliegend nicht zur Anwendbarkeit deutschen materiellen Datenschutzrechts. Auch insoweit könne dahinstehen, ob die Antragstellerin allein, neben Facebook Ireland Ltd. oder gar Facebook Ireland Ltd. allein verantwortliche Stelle sei, weil Facebook Ireland Ltd. jedenfalls eine Niederlassung der verantwortlichen Stelle bzw. des Verantwortlichen sei, die die hier relevante Verarbeitung personenbezogener Daten vornehme, mit der Folge der ausschließlichen Anwendbarkeit materiellen irischen Datenschutzrechtes gemäß Art. 4 Abs. 1 a) RL 95/46/EG. Die dem Art. 4 Abs, 1 a) (gemeint ist wohl c) RL 95/46/EG nachgebildete Regelung des § 1 Abs. 5 S. 2 BDSG sei richtlinienkonform dahingehend auszulegen, dass das BDSG Anwendung finden solle, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat in der EU oder in einem anderen Vertragsstaat des EWR belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Diese Vorschrift könne keine Anwendung finden, wenn die verantwortliche Stelle eine Niederlassung in einem anderen Mitgliedstaat der EU bzw. im EWR habe, die im Rahmen ihrer Tätigkeit die (relevanten) personenbezogenen Daten verarbeite.

Aus diesem Grunde scheide eine Anwendung des § 1 Abs. 5 S. 2 BDSG bzw. Art. 4 Abs. c RL 95/46/EG auch aus, soweit der Antragsgegner auf die Dienste der Fa. Akamai abstelle.

Demgegenüber macht die Beschwerde im Wesentlichen geltend: Das Verwaltungsgericht habe unzutreffend angenommen, dass Facebook Ireland Ltd. eine Niederlassung der Facebook Inc. im datenschutzrechtlichen Kontext sei. Es seien keine Feststellungen dazu getroffen worden, ob die Facebook Ireland Ltd. tatsächlich personenbezogene Daten verarbeite. Facebook Ireland Ltd, habe keinen steuernden Einfluss auf die Verarbeitung der hier relevanten personenbezogenen Daten. Voraussetzung für das Vorliegen einer Niederlassung im Sinne von Art. 4 der RL 95/46/EG sei, dass die wesentlichen Entscheidungen für die Verarbeitung personenbezogener Daten zumindest Im Bereich der Niederlassung von dieser Stelle festgelegt und umgesetzt werden müssten. Die Geschäftspolitik von Facebook werde jedoch ausschließlich durch die Facebook Inc. bestimmt. Es bestünden keine Anhaltspunkte dafür, dass die Facebook Ireland Ltd. gegenüber der Konzernmutter, der Facebook Inc., Weisungen zur Verarbeitung der personenbezogenen Daten erteilen dürfe und die Datenverarbeitung durch die Facebook Ireland Ltd. kontrolliert werde. Nach den Erfahrungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der Gruppe „europe-facebook“ des Justizministers von Baden- Württemberg und des Amtsgerichts Reutlingen sei eine aktive Einbeziehung von Facebook Ireland Ltd. in Tätigkeiten, in deren Rahmen personenbezogene Daten verarbeitet würden, nicht erfolgt. Im Bericht des irischen Datenschutzbeauftragten erfolge keine juristische Beurteilung der Frage der datenschutzrechtlichen Verantwortlichkeit der Facebook Ireland Ltd. nach Art. 2 d) RL 95/46/EG. Abschließend führt der Antragsgegner in seiner Beschwerdebegründung in diesem Zusammenhang aus, weder für die Facebook Ireland Ltd. noch für die Facebook Germany GmbH habe auf der Basis der vorhandenen Informationen eine Beurteilung vorgenommen werden können, ob es sich um eine Niederlassung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG handele.

Nach Erhalt der Beschwerdebegründung unter Beifügung unter anderem der Anlagen 10 und 11 („Data Transfer and Processing Agreement’‘ und „Data Hosting Services Agreement“) ergänzt der Antragsgegner seine Beschwerdebegründung im Wesentlichen wie folgt: Es sei keine vollständige Übernahme des von der EU-Kommission nach Maßgabe von Art. 20 Abs. 2 und 4 der RL 95/46/EG überwiegend vorgegebenen Vertragstextes aus den Standardvertragsklauseln erfolgt, weshalb die vertragliche Vereinbarung nicht als Grundlage für diesen Datentransfer dienen könne. Darüber hinaus fehlten nach wie vor konkrete Anhaltspunkte dafür, dass zwischen der Beschwerdegegnerin und der Facebook Ireland Ltd. tatsächlich eine Auftragsdatenverarbeitung stattfinde. Die bloße Vorlage eines Vertrages sei dafür nicht ausreichend. Die strenge Weisungsgebundenheit müsse durch Einzelweisungen der Facebook Ireland Ltd. an die Beschwerdegegnerin und eine entsprechende Umsetzung der Weisungen belegbar sein. Die Beschwerdegegnerin müsste anhand zwingender Steuerungsmöglichkeiten und durch die Bestimmung der Geschäftspolitik darlegen können, dass sie allein über die Zwecke und Mittel der Datenverarbeitung entscheide, was schlicht nicht erfolgt und nicht der Fall sei,

 

II. Dieses Vorbringen vermag der Beschwerde nicht zum Erfolg zu verhelfen.

Für den Senat steht außer Zweifel, dass Facebook Ireland Ltd. jedenfalls eine Niederlassung im Sinne des Erwägungsgrundes 19 der RL 95/46/EG ist. Danach setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates lediglich die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Der Begriff der Niederlassung ist mithin weit gefasst (s. Dammann in Simitis, BDSG, Komm., 7. Aufl., § 1 Rn. 203). Dass Facebook Ireland Ltd. mit ihrem am Standort Dublin vorhandenen Personal (400 Personen) und den dortigen festen Einrichtungen die Voraussetzungen des 19. Erwägungsgrundes der RL 95/46/EG erfüllt, ist offensichtlich. Von einer Niederlassung wäre danach nur dann nicht auszugehen, wenn an dem Standort keine menschliche Tätigkeit stattfände, das heißt nur ferngesteuerte EDV-Systeme, wie z.B. Server, vorhanden wären oder die Geschäftsstätte eine mobile wäre (Dammann, a.a.O.).

Eine andere Frage ist, ob eine Niederlassung (auch) verantwortliche Stelle im Sinne der §§ 1 Abs, 5 S. 1, 3 Abs, 7 BDSG bzw. Art. 2 d) S. 1, 4 Abs. 1 a) RL 95/46/EG ist oder – allein dies ist für die Anwendbarkeit deutschen Rechts entscheidend – ob eine Niederlassung die hier relevanten personenbezogenen Daten erhebt, verarbeitet oder nutzt. Der Antragsgegner bestreitet in seiner Beschwerdebegründung zunächst sowohl, dass Facebook Ireland Ltd. überhaupt aktiv in Tätigkeiten einbezogen wird, in deren Rahmen personenbezogene Daten verarbeitet werden, als auch die diesbezügliche Verantwortlichkeit von Facebook Ireland Ltd. mit Nichtwissen wegen fehlender Unterlagen und ohne hinreichend zu differenzieren. Dass zwischen der Verantwortlichkeit für die Verarbeitung und der Verarbeitung als solcher zu unterscheiden ist, legt bereits der Wortlaut der einschlägigen Regelungen nahe. Nach § 1 Abs. 5 1. HS BDSG findet das Bundesdatenschutzgesetz (ausnahmsweise) keine Anwendung, sofern eine in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum (EWR-Staat) belegene verantwortliche Stelle personenbezogene Daten Im Inland erhebt, verarbeitet oder nutzt. Nach § 1 Abs. 5 S, 1 2. HS BDSG gilt dies nicht (Rückausnahme), wenn dies (das heißt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) durch eine Niederlassung im Inland erfolgt. Die Verwendung unterschiedlicher Begrifflichkeiten, verantwortliche Stelle einerseits und Niederlassung anderseits, spricht für eine Differenzierung, zumal sich auch die Begriffsbestimmungen wesentlich unterscheiden. Sowohl das Bundesdatenschutzgesetz als auch die Vorschriften der RL 95/46/EG definieren nur den Begriff der verantwortlichen Stelle, nicht den der Niederlassung. Eine Definition des Begriffs der Niederlassung findet sich nur im 19. Erwägungsgrund der RL 95/46/EG. Nach § 3 Abs. 7 BDSG ist „verantwortliche Stelle“ jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag vornehmen lässt. „Für die Verarbeitung Verantwortlicher“ ist nach Art. 2 d) RL 05/46/EG die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke oder Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Beiden Begriffsbestimmungen ist gemein, dass „verantwortliche Stelle“ bzw. der .für die Verarbeitung Verantwortliche“ nur eine Stelle sein kann, die „Herrin“ der Daten ist. Die Auftragsdatenverarbeitung reicht demnach für die Annahme der Verantwortlichkeit nicht aus. Der 19. Erwägungsgrund der Richtlinie 95/46/EG stellt dagegen – wie ausgeführt – für den Begriff der Niederlassung allein auf die Tätigkeit und im datenschutzrechtlichen Kontext auf die bloße Tätigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ab. Für das Bundesdatenschutzgesetz ist daher davon auszugehen, dass eine Niederlassung zumindest in der Rege) keine (eigene) verantwortliche Stelle darstellt, weil die dafür von der Richtlinie geforderte Kompetenz über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu entscheiden, bei Niederlassungen nicht generell unterstellt werden kann (s. Dammann, a.a.O., Rn. 205). Allerdings wird auch die Auffassung vertreten, dass aus der Wendung „dies erfolgt durch“ (in 2. HS des § 1 Abs. 5 S. 1) folge, dass die Niederlassung selbst die verantwortliche Stelle sein müsse (Dammann, a.a.O., Rn. 201). Dies erscheint allerdings aus den oben genannten Gründen mehr als fraglich.

Jedenfalls hat das Verwaltungsgericht ausdrücklich entschieden, dass es für die Nichtanwendbarkeit deutschen Datenschutzrechts nach § 1 Abs. 5 S. 1 BDSG und Art. 4 Abs. 1 a) der RL 95/46/EG ohne Belang sei, wo die verantwortliche Stelle belegen sei und demzufolge, ob die Antragstellerin alleinige verantwortliche Stelle sei (S. 6 des BA). Gegen diese Rechtsauffassung wendet sich die Beschwerde nicht Sie stellt lediglich in Frage, dass Facebook Ireland Ltd. verantwortliche Stelle Ist und die Antragstellerin nur im Auftrag von Facebook Ireland Ltd. Daten verarbeitet. Darauf kommt es aber nach der vom Antragsgegner nicht angegriffenen Rechtsauffassung des Verwaltungsgerichts nicht an.

Die Behauptung, Facebook Ireland Ltd. sei nicht aktiv in die Verarbeitung der hier relevanten personenbezogenen Daten einbezogen, wird ebenfalls mit Nichtwissen und unzureichenden Nachweisen zur Weisungsgebundenheit der Antragstellerin als Auftragsdatenverarbeiterin begründet Die Ausführungen hierzu und die wiedergegebenen Erfahrungen anderer Institutionen beziehen sich nicht auf die Verarbeitung personenbezogener Daten als solche, sondern auf die Verantwortlichkeit, das heißt auf die Kontrolle der Daten durch die Antragstellerin und ihre alleinige Entscheidungsbefugnis über die Verarbeitung, Für den Senat steht – nach seinem gegenwärtigen Erkenntnisstand – fest, dass seit dem 28. August 2009 für deutsche Nutzer die Seite https://www.facebook.de und die über diese Seite zur Verfügung gestellten Dienste von der Facebook Ireland Ltd. (und nicht mehr von Facebook Inc.) angeboten werden und Facebook Ireland Ltd. und die Facebook Inc. mit Wirkung vom 15. Dezember 2010 das „Data Transfer and Processing Agreement“ geschlossen haben. Davon geht im übrigen auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit aus (s. S. 5 seiner Anordnung vom 21. September 2012). Dieses Agreement legt gemäß Buchstabe B fest, dass die Facebook Ireland Ltd. hinsichtlich „bestimmter“ Datenkategorien (certain categories) „hauptsächlich bezüglich der Kontaktinformationen der registrierten Nutzer“ (primarily contact information relating to registered users) die verantwortliche Stelle ist. Auch wenn Nutzer, die sich bis zum 28. August 2009 registriert haben oder sich registrieren wollten, aber wegen nicht vollständiger Angaben ihrer Echtdaten bei der Registrierung gesperrt wurden, nicht aktiv im Hinblick auf die Änderung der Vertragsbedingungen und den Wechsel des Vertragspartners eingebunden wurden, ändert dies nichts daran, dass jedenfalls nunmehr Facebook Ireland Ltd. für die Sperrung bzw. die vom Antragsgegner angeordnete Entsperrung von Nutzerkonten die zuständige, wenn nicht gar verantwortliche Stelle ist. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit vertritt die Auffassung, dass der Abschluss des Data Transfer and Processing Agreement die datenschutzrechtliche Verantwortung für die Erhebung, Verarbeitung und Nutzung von Bilddateien und die Erstellung der biometrischen Templates der Facebook Inc. nicht verändert habe, weil die rein rechtliche Zuweisung der Verantwortung an eine Stelle ohne entsprechende tatsächliche Übertragung der Einflussmöglichkeiten keine datenschutzrechtliche Verantwortung begründe. Auch die ergänzende Beschwerdebegründung stellt auf die tatsächliche und nicht die – nach ihrer Meinung darüber hinaus unzureichende – vertraglich vereinbarte Verantwortlichkeit ab. Im vorliegenden Fall geht es nicht um die mit den Bilddateien verbundene Gesichtserkennung, insbesondere aber – wie ausgeführt – nicht um die datenschutzrechtliche Verantwortlichkeit, sondern – ausgehend von der vom Antragsgegner nicht in Frage gestellten Rechtsauffassung des Verwaltungsgerichts – um die Frage der jedenfalls Einbeziehung in die tatsächliche Datenverarbeitung. Auch der Irische Datenschutzbeauftragte ist zu dem Ergebnis gelangt, dass Facebook Ireland Ltd. die einzige Stelle und rechtlich das Unternehmen innerhalb der Facebook Gruppe ist, das Nutzerdaten von nicht nordamerikanischen Nutzern kontrolliert (Anhang 4, S. 213 des Report of Audit vom 21.12.2012: Jt is the only office, and legal entity, within the facebook group with control over non – North American user data“). Demnach unterscheidet sich Facebook Ireland Ltd. wesentlich von der Facebook Germany GmbH in Hamburg, die ausschließlich im Bereich der Anzeigenakquise und im Bereich Marketing tätig ist und zudem unter der Kontrolle von Facebook Ireland Ltd. operiert (Anhang 4, S. 215 des Reports of Audit vom 21.12.2012). Das Verwaltungsgericht hat dazu zu Recht entschieden, dass an die Existenz von Facebook Germany über die Rückausnahme des § 1 Abs, 5 S. 1 2. HS BDSG die Anwendung deutschen Datenschutzrechts nicht geknüpft werden kann. Dass der irische Datenschutzbeauftragte keine juristische Beurteilung der datenschutzrechtlichen Verantwortung von Facebook Ireland Ltd. vorgenommen habe, ist zum einen eine Unterstellung und zum anderen für die Frage der Zuständigkeit für die Verarbeitung der Nutzerdaten, insbesondere die Sperrung und Entsperrung von Benutzerkonten, irrelevant.

Nach alledem lassen sich der Beschwerde keine durchgreifenden Bedenken dagegen entnehmen, dass zum Tätigkeitsbereich der Facebook Ireland Ltd. die hier relevante Verarbeitung personenbezogener Daten gehört. Der Antragsgegner setzt sich auch mit seiner Beschwerdebegründung in Widerspruch zu seinen Ausführungen im streitgegenständlichen Bescheid. Danach (B a)) soll Facebook Inc. zwar die verantwortliche Stelle für die Sperrung von Nutzerkonten sein, aber dabei mit Facebook Ireland Ltd. kooperieren. Ein Einbezogensein von Facebook Inc. in die hier relevante Datenverarbeitung wird demnach angenommen. Außerdem bezeichnet der Antragsgegner in seiner gegen Facebook Ireland Ltd. getroffenen im Wesentlichen gleichlautenden Anordnung selben Datums diese ausdrücklich als neben Facebook Inc. auch verantwortliche Stelle.

Ist demnach davon auszugehen, dass die Anwendung deutschen Datenschutzrechts nach § 1 Abs. 5 S. 1 BDSG ausgeschlossen ist, findet § 1 Abs. 5 S. 2 BDSG, der Art. 4 Abs, 1 c RL 95/46/EG umsetzt, keine Anwendung. Diese Regelung greift nur, wenn der für die Verarbeitung Verantwortliche im Hoheitsgebiet der EU bzw. des EWR keine Präsenz hat, die als Niederlassung im Sinne von Art, 4 Abs. 1 a) der Richtlinie (den der § 1 Abs. 5 S. 1 BDSG umsetzt) angesehen werden kann (Stellungnahme 8/2010 zum anwendbaren Recht WP 179, S. 23). Eines Eingehens auf den Beschwerdevortrag zur Nichtberücksichtigung der Datenverarbeitung durch die Fa. Akamai und der Direkterhebung von personenbezogenen Daten durch Facebook Inc. über technische Mittel bedarf es daher nicht.

Auch wenn es nach dem Beschwerdevortrag darauf nicht ankommt, sei zur Rechtsauffassung des Verwaltungsgerichts, dass es für die Nichtanwendbarkeit deutschen Datenschutzrechtes nach § 1 Abs. 5 S. 1 BDSG und Art. 4 Abs. 1 a) RL 95/46/EG ohne Belang sei, wo die verantwortliche Stelle belegen sei, folgendes ausgeführt:

Nach dem Wortlaut des § 1 Abs. 5 S. 1 BDSG ist Voraussetzung für die Nichtanwendbarkeit des Bundesdatenschutzgesetzes, dass eine in einem anderen Mitgliedstaat der EU belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt usw. Dies könnte dahingehend verstanden werden, dass die verantwortliche Stelle selbst ihren Sitz in einem EU- oder EWR Staat haben muss. Eine solche Auslegung wäre aber nicht richtlinienkonform. Während das Bundesdatenschutzgesetz in § 1 Abs. 5 S. 1, ausgehend vom Territorialprinzip, den Fall der Nichtanwendbarkeit deutschen Datenschutzrechts regelt und demzufolge § 1 Abs. 5 S. 2 BDSG in der Gesetzesbegründung (s. Dammann, a.a.O., Rn. 216) als lediglich deklaratorische Regelung bezeichnet wird, bestimmt Art. 4 Abs, 1 a) RL 95/46/EG positiv, dass einzelstaatliches Recht auf alle Verarbeitungen personenbezogener Daten anzuwenden ist, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet des Mitgliedstaats besitzt. Art. 4 Abs. 1 c) RL 95/46/EG findet nur Anwendung, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der Gemeinschaft niedergelassen Ist. Maßgebend ist danach für die Anwendbarkeit materiellen Rechts nicht der Sitz der verantwortlichen Stelle, sondern der Sitz der Niederlassung (s. auch Dammann, a.a.O., Rn. 203). Hat der für die Verarbeitung Verantwortliche – hier möglicherweise allein Facebook Inc. – nur eine für die Verarbeitung der hier relevanten personenbezogenen Daten zuständige Niederlassung in der EU bzw. im EWR, findet nur das Recht, das sich nach dem Ort der Niederlassung bestimmt, Anwendung (s. Stellungnahme 8/2010 zum anwendbaren Recht WP 179, S. 12 und Beispiel 5 auf S. 20 f).

Das Verwaltungsgericht hat mithin zutreffend entschieden, dass die auf § 13 Abs. 6 TMG gestützte Anordnung des Antragsgegners wegen Nichtanwendbarkeit deutschen materiellen Datenschutzrechts offensichtlich rechtswidrig ist und deshalb den Anträgen der Antragstellerin stattzugeben war. Dass nach irischem Datenschutzrecht die Anordnung rechtmäßig und der Antragsgegner auf dieser Grundlage für ihren Erlass zuständig ist, legt die Beschwerde nicht ansatzweise dar. Dass die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) im Erwägungsgrund 9 als zu berücksichtigendes Ziel die Beschränkung der Verarbeitung personenbezogener Daten auf das erforderliche Mindestmaß und die Verwendung anonymer und pseudonymer Daten bezeichnet, reicht hierfür nicht aus.

Die Kostenentscheidung folgt aus § 154 Abs. 2 VwGO, die Festsetzung des Streitwertes beruht auf den §§ 53 Abs. 2, 52 Abs, 1 GKG.

Dieser Beschluss ist unanfechtbar (§ 152 Abs. 1 VwGO, §§ 68 Abs. 1 S. 5, 66 Abs. 3 S. 3 GKG).