Sobald es um Datenschutz geht, ist der Anbieter von sozialen Netzwerkdiensten Facebook nicht aus den Nachrichten wegzudenken. Vor dem Federal Court of Australia in Sydney läuft derzeit – im Jahre 2020 – ein Prozess gegen Facebook, bei dem es um Verstöße gegen Datenschutzbestimmungen im Zusammenhang mit dem Cambridge-Analytica-Skandal von 2018 geht. Bevor es überhaupt zu einer Verhandlung in der Hauptsache kommen konnte, hat die Facebook Inc. mit Sitz im kalifornischen Menlo Park jedoch in einem Verfahren der einstweiligen Anordnung (interlocutory hearing) bestritten, passiv legitimiert zu sein.Als richtige Beklagte wurde die Facebook Ireland Ltd mit Sitz in Dublin benannt. Das australische Gericht hat diesen Antrag jedoch im September 2020 abgewiesen.
Der Federal Court of Australia ist nicht etwa das höchste Gericht Australiens, sondern ist Australiens höchstem Gericht, dem High Court of Australia, nachgeordnet. Die Zuständigkeit des Federal Court of Australia wird im ersten Rechtszug (original jurisdiction) für Einzelfälle gesetzlich geregelt und betrifft laut Wikipedia insbesondere Bereiche des Bundesrechts wie Steuerrecht, Handelspraktiken, die Landrechte der Ureinwohner, geistiges Eigentum, Arbeitsrecht, Gesellschaftsrecht, Einwanderung und Insolvenzfälle (matters relating to taxation, trade practices, native title, intellectual property, industrial relations, corporations, immigration and bankruptcy).
Der Cambridge-Analytica-Skanal
Die hier gegenständliche Klage wurde von der australischen Datenschutzbeauftragten (Australian Information Commissioner) Angelene Falk angestrengt (Australian Information Commissioner gegen Facebook Inc & Facebook Ireland Limited, Aktenzeichen NSD246/2020). Laut einer Presseerklärung der Datenschutzbeauftragten vom 9. März 2020 ist folgender Klagegrund gegeben:
Die Datenschutzbeauftragte macht geltend, dass Facebook Inc. dafür verantwortlich ist, dass die personenbezogenen Daten von etwa 311.127 australischen Facebook-Nutzern verkauft wurden und dadurch die Nutzung der personenbezogenen Daten für verschiedene Zwecke, einschließlich der Erstellung eines Persönlichkeitsprofils zu politischen Zwecken, ermöglicht wurde. Die Facebook-Nutzer konnten mit dem Verkauf und der entsprechenden Nutzung keinesfalls rechnen und waren darüber auch nicht informiert (We claim these actions left the personal data of around 311,127 Australian Facebook users exposed to be sold and used for purposes including political profiling, well outside users’ expectations.)
Weiterhin wird in der Klageschrift (statement of claim) geltend gemacht, dass Facebook zwischen März 2014 und Mai 2015 die personenbezogenen Daten von australischen Facebook-Nutzern an den App-Dienst „This Is Your Digital Life“ weitergegeben habe und damit gegen den australischen Datenschutzgrundsatz Nr. 6 verstoßen habe. Die meisten betroffenen Nutzer hätten die genannte App nicht selbst installiert. Ihre personenbezogenen Daten seien vielmehr aufgrund einer Nutzung der App durch Freunde und Bekannte weitergegeben worden.
[The statement of claim lodged in the Federal Court today alleges that, from March 2014 to May 2015, Facebook disclosed the personal information of Australian Facebook users to This Is Your Digital Life, in breach of Australian Privacy Principle 6. Most of those users did not install the app themselves, and their personal information was disclosed via their friends’ use of the app.]
Dreizehn australische Datenschutzgrundsätze seit 2014
Die insgesamt 13 australischen Datenschutzgrundsätze (Privacy Principles) sind ein wesentlicher Bestandteil des australischen Datenschutzgesetz von 1988 (Privacy Act 1988). Ursprünglich galt Anhang 1 (Schedule 1), der den Wortlaut von Datenschutzgrundsätzen enthält, nur für Bundesbehörden und für von ihnen beauftragte Organisationen. Im Jahre 2000 wurde mit dem Anhang 3 (Schedule 3) ein ähnlicher Grundsätzekatalog auch für mittlere und große Unternehmen (einschließlich gemeinnütziger Organisationen) geschaffen. Im Jahre 2014 wurden diese beiden Bereiche dann unter dem Namen „Australian Privacy Principles (APPs)“ in Anhang 1 des Gesetzes vereinigt.
Grundsatz 6 lautet wie folgt:
Australischer Datenschutzgrundsatz 6: Nutzung oder Weitergabe von personenbezogenen Daten.
Nutzung oder Weitergabe:
6.1 Sofern eine Organisation, die den australischen Datenschutzgrundsätzen unterliegt („APP entity“), personenbezogene Daten über eine natürlichen Person besitzt, die für einen bestimmten Zweck erhoben wurden („ursprünglicher Zweck“), ist es dieser Organisation nicht gestattet, die betreffenden Daten zu anderen Zwecken zu nutzen oder weiterzugeben („Sekundärzweck“), es sei denn:
a) die betreffende natürliche Person hat der Nutzung oder Weitergabe der Daten zugestimmt oder
b) Absatz 6.2 oder 6.3 findet auf die Nutzung oder Weitergabe der Daten Anwendung.
[Australian Privacy Principle 6 — use or disclosure of personal information.
Use or disclosure:
6.1 If an APP entity holds personal information about an individual that was collected for a particular purpose (the primary purpose), the entity must not use or disclose the information for another purpose (the secondary purpose) unless:
a) the individual has consented to the use or disclosure of the information; or
b) subclause 6.2 or 6.3 applies in relation to the use or disclosure of the information.]
In Absatz 6.2 (subclause 6.2) werden vor allem Ausnahmen zu Absatz 6.1 geregelt, von denen insbesondere Spiegelstrich 2 (APP 6.2(a)) von Bedeutung ist: Ein Abweichen von der oben zitierten Regelung ist zulässig, falls „die natürliche Person billigerweise mit einer Sekundärnutzung oder -weitergabe rechnen kann und eine solche Nutzung oder Weitergabe mit dem ursprünglichen Zweck der Erhebung im Zusammenhang steht oder – im Falle von sensiblen Daten – eine solche Nutzung oder Weitergabe direkt mit dem ursprünglichen Zweck zusammenhängt. (The individual would reasonably expect the secondary use or disclosure, and that is related to the primary purpose of collection or, in the case of sensitive information, directly related to the primary purpose (APP 6.2(a)).
Vor allem über Freunde sind Daten abgeflossen
Die australische Datenschutzbeauftragte macht gemäß ihrer Presseerklärung weiter geltend, dass Facebook im genannten Zeitraum (März 2014 bis Mai 2015) keine angemessenen Maßnahmen ergriffen hat, um die personenbezogenen Daten der Facebook-Nutzer vor unberechtigter Weitergabe zu schützen. Damit habe Facebook gegen den australischen Datenschutzgrundsatz 11 („Schutz personenbezogener Daten“) verstoßen. (The statement of claim also alleges that Facebook did not take reasonable steps during this period to protect its users’ personal information from unauthorised disclosure, in breach of Australian Privacy Principle 11.)
In der Kurzfassung der Klageschrift (concise statement) vom 3. März 2020 wird außerdem geltend gemacht: „Sofern eine natürliche Person nicht in einem komplexen Verfahren ihre Einstellungen auf Facebook veränderte, wurden die personenbezogenen Daten der betreffenden Person automatisch (by default) an die App „This is Your Digital Life“ weitergegeben. Facebook hat die betroffenen australischen Personen nicht angemessen darüber informiert, auf welche Weise deren personenbezogene Daten weitergegeben werden würden. Facebook hat die betroffenen australischen Personen auch nicht angemessen darüber informiert, dass deren personenbezogene Daten möglicherweise an eine App weitergegeben werden könnten, die nicht von der betreffenden natürlichen Person, sondern von einem Freund oder einer Freundin installiert worden war.“ (Rn. 2)
[Unless those individuals undertook a complex process of modifying their settings on Facebook, their personal information was disclosed by Facebook to the “This is Your Digital Life” App by default. Facebook did not adequately inform the Affected Australian Individuals of the manner in which their personal information would be disclosed, or that it could be disclosed to an app installed by a friend, but not installed by that individual.]
Gericht: Zustellung an Facebook USA kann erfolgen
Am 6. Mai 2020 hat Facebook Inc. (auch „Facebook USA“ genannt) vor Gericht den Antrag gestellt, der australischen Datenschutzbeauftragten zu untersagen, die entsprechenden Schriftsätze (legal documents) an Facebook USA zustellen zu lassen. Das Gericht hatte zuvor in einer vorhergehenden Entscheidung einer solchen Zustellung zugestimmt. Als Begründung wurde von Facebook angegeben, dass Facebook USA in Australien nicht geschäftlich tätig sei. Sämtliche Geschäfte dort würden von Facebook Irland (Facebook Ireland Ltd) betrieben.
Am 14. September 2020 hat das Federal Court of Australia durch Richter Thomas Thawley nun (laut Presseerklärung der Datenschutzbeauftragten) entschieden, dass die australische Datenschutzbeauftragte glaubhaft dargelegt habe (had established a prima facie case), dass Facebook USA in Australien tätig sei und dort im streitgegenständlichen Zeitraum (März 2014 und Mai 2015) personenbezogene Daten erhoben und besessen habe. Gegen Facebook USA sei ein Verfahren zulässig; die Klage könne auch außerhalb Australiens (also in den USA) zugestellt werden.
[Justice Thawley was satisfied that the Commissioner had established a prima facie case that Facebook Inc was carrying on business in Australia, and was collecting and holding personal information in Australia at the relevant time. […] the Court held the matters were sufficiently arguable to justify service outside of Australia and subjecting Facebook Inc to proceedings in Australia.]
Facebook Irland ist lediglich Auftragnehmer
Bereits am 23. April 2020 hatte das Federal Court of Australia entschieden, dass Facebook Irland lediglich als Auftragnehmer von Facebook USA in Australien tätig sei. Das Gericht kam auf Basis der vorliegenden Unterlagen zu dem Schluss, 1) dass der Vertrag der australischen Nutzer zwar mit Facebook Irland zustandekam, wobei sich dieses Unternehmen selbst als Verantwortlicher (data controller) (für Datenschutz, vergleichbar im Sinne der DSGVO) für australische Facebook-Nutzer bezeichnete, und 2) dass Facebook Irland jedoch die Dienstleistung für die australischen Nutzer im Auftrag von Facebook USA erbracht hat.
[The prima facie case arises from material which is capable of supporting the conclusion that: (1) Australian users contracted with Facebook Ireland, which described itself as the “data controller for Australian Facebook users”; (2) Facebook Ireland provided the Facebook service to Australian users as agent for Facebook Inc.]
Was Facebook USA zu befürchten hat, wenn es zusätzlich zu Facebook Irland (letztlich eine hundertprozentige Tochtergesellschaft von Facebook USA) als Beklagter benannt wird, habe ich den verschiedenen Kommentaren im Internet nicht entnehmen können. Ein Artikel im Sydney Morning Herald scheint davon auszugehen, dass Facebook USA zunächst mit „Winkelzügen“ versucht habe, der Datenschutz-Klage zu entgehen (a bid to dodge a privacy lawsuit).
Der australische Blogger und Rechtsanwalt Peter A. Clarke, der sich mit diesem Fall befasst hat, meint jedoch, dass die vom Gericht im gesamten Verfahren angewandten Kriterien von „ungeheuer großer Bedeutung“ seien, da es nur wenige australische Präzedenzfälle im Bereich Datenschutz und kaum bedeutende Präzedenzfälle in Bezug auf das australische Datenschutzgesetz von 1988 gebe (Given the corpus of privacy law is small[,] and that relating to the Privacy Act is even less significant[,] the approach taken by the Federal Court in this case will be of outsized importance.)
Große Technologieunternehmen haben – in der Regel zur eigenen Steueroptimierung – überall auf der Welt Tochterunternehmen gegründet Auch für Juristen außerhalb Australiens ist die Auffassung des Federal Court of Australia zur Verteilung der Verantwortlichkeit zwischen Tochterunternehmen und der jeweiligen Muttergesellschaft sicher interessant.
Edward Viesel
Hinweis: Die Originalzitate wurden aus Gründen der besseren Lesbarkeit in der Regel ohne Hinzufügen von Auslassungszeichen gekürzt oder angepasst. Außerdem kann im Einzelfall der Numerus an den deutschen Text angepasst worden sein. Im Falle von Unklarheiten nehmen Sie bitte Bezug auf die im Text verlinkten Originaldokumente.