Entscheidung in Sachen Datenweitergabe zwischen WhatsApp und Facebook

Verwaltungsgericht Hamburg, 13 E 5912/16

Der Hamburger Datenschutzbeauftragte Johannes Caspar hatte es Facebook im vergangenen Jahr untersagt, personenbezogene Daten deutscher WhatsApp-Nutzer zu erheben. Gegen die Verwaltungsanordnung ging Facebook vor dem Verwaltungsgericht vor. Das Verwaltungsgericht Hamburg hat jetzt entschieden, dass Facebook nur bei dem Vorliegen einer Einwilligung die jeweiligen Daten deutscher WhatsApp-Nutzer verwenden darf. 

Über den damaligen Paukenschlag bzw. die Verwaltungsanordnung des Datenschutzbeauftragten des Landes Hamburg gegenüber Facbook vom 27.09.2016 haben wir bereits berichtet.

Die damalige Verwaltungsanordnung durch den Hamburgischen Beauftragten für Datenschutz, Johannes Caspar, untersagt es Facebook, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Ebenso sollten bereits übermittelte Daten gelöscht werden.

Das Verwaltungsgericht entschied, dass Facebook die bereits erhobenen Daten nicht löschen muss und eine Löschung entsprechend auch nicht zu dokumentieren hat. Trotzdem darf Facebook aber auch künftig keine personenbezogenen Daten von deutschen Whatsapp-Nutzern ohne deren Einwilligung nutzen.

Die Entscheidung des Verwaltungsgerichts wurde im Rahmen eines Eilrechtsverfahrens getroffen. Insofern hat das Gericht offen gelassen, ob überhaupt deutsches Datenschutzrecht gegen die in Irland ansässige Firma Anwendung findet und die Anordnung des Datenschutzbeauftragten somit rechtmäßig ist.

 

Die mit Spannung erwartete Entscheidung in der Hauptsache steht noch aus.

Im Folgenden finden Sie den Beschluss des Verwaltungsgerichts Hamburg vom 24. April im Volltext.

 

Verwaltungsgericht Hamburg

Beschluss

24.04.2017

Az.: 13 E 5912/16

In der Verwaltungsrechtssache

Facebook Ireland Limited,

– Antragstellerin –

Prozessbevollmächtigte(r): – ,

g e g e n

Freie und Hansestadt Hamburg, vertreten durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit,

– Antragsgegnerin –

Prozessbevollmächtigte(r): – ,

 

hat das Verwaltungsgericht Hamburg, Kammer 13, am 24. April 2017 durch

beschlossen:

 

Die Anordnung der sofortigen Vollziehung der Ziffer 2 und Ziffer 3 der Anordnung der Antragsgegnerin vom 23. September 2016 wird aufgehoben.

Im Übrigen wird der Antrag abgelehnt.

Die Kosten des Verfahrens trägt die Antragstellerin.

 

(Rechtsmittelbelehrung)

 

Gründe:

I.

Die Antragstellerin begehrt die aufschiebende Wirkung ihres Widerspruchs gegen eine datenschutzrechtliche Anordnung der Antragsgegnerin.

Die Antragstellerin mit Sitz in Dublin, Irland, gehört dem Facebook-Konzern an.

Muttergesellschaft des Facebook-Konzerns ist die Facebook Inc. mit Sitz in den USA. Sie betreibt das Facebook Netzwerk für Nutzer in den USA und Kanada. Facebook ist ein globales soziales Netzwerk, das von ca. 1,71 Milliarden Nutzern weltweit für private und berufliche Zwecke genutzt wird. Es eröffnet Privatpersonen die Möglichkeit, auf elektronischem Wege mit Freunden, Bekannten, Familien, Gruppen und sonstigen Kontakten in Verbindung zu bleiben.

Die irische Antragstellerin ist der internationale Hauptsitz von Facebook. Sie ist die einzige Stelle, die das Facebook-Netzwerk für alle Nutzer außerhalb der USA und Kanada bereitstellt und betreibt. Die Antragstellerin beschäftigt mehr als 1.200 Mitarbeiter in Dublin. Die Antragstellerin bestimmt über das „Ob“ und „Wie“ der Datenverarbeitung von Facebook-Nutzern in der Europäischen Union. Sie ist allein für die datenschutzrechtlichen Belange ihrer Nutzer innerhalb der Europäischen Union einschließlich der Entscheidungen über Art und Umfang der Verarbeitung von Daten dieser Nutzer im Sinne der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt der Europäischen Gemeinschaften, L 281 vom 23.11.1995, S. 31-50 (Richtlinie 95/46/EG) verantwortlich.

Dem Facebook-Konzern gehört auch die im Jahr 2009 gegründete deutsche Facebook Germany GmbH an. Diese hat ca. 70 Mitarbeiter in zwei Geschäftsstellen in Hamburg und Berlin. Die Facebook Germany GmbH erbringt im Auftrag der Antragstellerin lokale Marktunterstützungsleistungen für Werbekunden der Antragstellerin in Deutschland. Sie verkauft selbst aber keine Werbeleistungen an deutsche Kunden. Die Facebook Germany GmbH unterhält ein Team für auf den deutschen Markt ausgerichtete Öffentlichkeits- und Public Relations-Arbeit. In die Erhebung oder Verarbeitung von Daten der Nutzer des Facebook-Dienstes oder die beabsichtigte Erhebung und Verarbeitung von WhatsApp-Daten durch die Antragstellerin ist die Facebook Germany GmbH nicht involviert.

Sowohl die Antragstellerin als auch die Facebook Germany GmbH sind rechtlich selbständige Töchter der Facebook Inc. und somit Schwestergesellschaften mit den beschriebenen unterschiedlichen Aufgabengebieten.

Im Jahr 2014 übernahm Facebook Inc. die in den USA ansässige WhatsApp Inc., die innerhalb der Europäischen Union nicht über eine physische Präsenz verfügt.

Der Dienst WhatsApp basiert auf dem seit 2009 angebotenen mobilen Anwendungsprogramm (App) WhatsApp-Messenger, das für verschiedene Smartphone-Betriebssysteme verfügbar ist. Es handelt sich um einen kostenlosen Instant-Messaging-Dienst, über den Nutzer zwischen zwei Personen oder in Gruppen Nachrichten austauschen können. Mittlerweile ist auch der Austausch von Bild-, Video- und Ton-Dateien oder Dokumenten sowie das internetbasierte Telefonieren über WhatsApp möglich.

Die WhatsApp Inc. erhebt von seinen Nutzern verschiedene Daten wie deren Telefonnummer, bestimmte Geräteinformationen (z.B. Plattforminformation und App-Version), die „Zuletzt online“-Angaben, das WhatsApp-Account-Anmeldedatum sowie, wenn von den Nutzern angegeben, deren Profilnamen, Profilbild und Statusnachricht. Von Nutzern, die ausdrücklich zustimmen, werden auch Adressbuchdaten erhoben. Die über WhatsApp versendeten Nachrichten sind Ende-zu-Ende verschlüsselt, d.h. die zu übertragenden Daten werden auf Senderseite ver- und erst beim Empfänger wieder entschlüsselt. WhatsApp hat demzufolge keinen Zugriff auf die Nachrichteninhalte. Die Nachrichteninhalte werden lediglich vorübergehend gespeichert, um die Übermittlung an den Empfänger zu ermöglichen.

Seit der Übernahme im Jahr 2014 ist WhatsApp Inc. Teil der FacebookUnternehmensgruppe. Dabei greift WhatsApp Inc. zum Teil auf die Facebook Infrastruktur zu, um ihre Geschäftstätigkeit und Dienste zu verbessern. Sie operiert jedoch weiterhin als eigenständiger Dienst unabhängig vom Netzwerk Facebook.

Am 25. August 2016 gab WhatsApp Inc. eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt. Die Antragstellerin beabsichtigt, aufgrund dieser Aktualisierung bestimmte WhatsApp-Daten für die Zwecke „Network/Security“, „Business Intelligence Analytics“ und „Facebook Ads/Products zu erheben. Derzeit erhebt und speichert sie keine personenbezogenen Daten deutscher WhatsApp-Nutzer zu eigenen Zwecken als für die Verarbeitung Verantwortliche. Die Aktualisierung der Nutzungsbedingungen setzte das für die Nutzung von WhatsApp bestehende Mindestalter von zuvor 16 Jahren auf 13 Jahre herab.

Seit dem 25. August 2016 werden alte WhatsApp-Nutzer, d.h. Bestandskunden, über die Aktualisierung beim Aufrufen ihrer WhatsApp-Messenger-App wie folgt informiert:

(Abb. 1)

Der Hinweis eröffnet den Nutzern drei Möglichkeiten: So können sie erstens der Aktualisierung durch Betätigung der Schaltfläche „Zustimmen“ direkt zuzustimmen. Zweitens ist es ihnen möglich, über die Schaltfläche „Nicht jetzt“ die Entscheidung, ob sie zustimmen wollen, bis zu 30 Tage zurückstellen und in dieser Zeit WhatsApp zu den alten Bedingungen weiternutzen. Nach Ablauf der 30 Tage verschwindet die Schaltfläche „Nicht jetzt“, sodass die Nutzer nun abschließend entscheiden müssen, ob sie den aktualisierten WhatsApp-Bedingungen zustimmen oder den Dienst nicht weiter nutzen möchten. Drittens können die Nutzer die Schaltfläche „Lesen“ oder das abgesetzte Feld am unteren Rand des Hinweises „Lesen Sie mehr über die wesentlichen Updates unserer Nutzungsbedingungen und Datenschutzrichtlinie“ betätigen.

Wählen die Nutzer die dritte Option, gelangen sie auf eine zweite Seite mit weiterführenden Informationen zu der Aktualisierung. Diese Seite ist wie folgt aufgebaut:

(Abb. 2)

Im oberen Teil des Bildschirms können die Nutzer die WhatsApp-Bedingungen lesen. Alternativ können sie diese durch einen Klick auf das Symbol in der oberen rechten Ecke des Bildschirms auch herunterladen oder sich per E-Mail zukommen lassen.

Die WhatsApp-Bedingungen sind in fünf Abschnitte gegliedert. Diese Abschnitte sind fett markiert und können durch Herunterscrollen an die entsprechende Stelle im Text aufgerufen werden. Die einzelnen Abschnitte sind „Wesentliche Updates“ (siehe obiger Screenshot), „Nutzungsbedingungen“, „Datenschutzrichtlinie“, „IP-Richtlinie“ und „Cookies“.

Unter dem Punkt „Wesentliche Updates“ finden sich dem im obigen Screenshot zu sehenden hervorgehobenen Unterpunkt „Informationen, die einfacher zu verstehen sind“ unmittelbar nachfolgend, d.h. sich an die Worte „wie WhatsApp Call und WhatsApp für Web und Desktop“ anschließend, die folgenden Ausführungen:

„Wir sind 2014 Facebook beigetreten. WhatsApp ist jetzt ein Teil der Facebook-Unternehmensgruppe. Unsere Datenschutzrichtlinie erklärt, wie wir zusammenarbeiten, um Dienste und Angebote für dich zu verbessern, z. B., indem Spam über die Apps hinweg bekämpft wird, Produktvorschläge gemacht werden und relevante Angebote und Werbung auf Facebook gezeigt wird. Nichts, was du auf WhatsApp teilst, inklusive deiner Nachrichten, Fotos und Account-Informationen, wird für andere sichtbar auf Facebook oder einer anderen App unserer Familie von Apps geteilt. Nichts, was du in diesen Apps postest, wird für andere sichtbar auf WhatsApp geteilt.“

Unter dem Punkt „Datenschutzrichtlinie“, zu dem die Nutzer auch durch Betätigung des entsprechenden Links gelangen können, findet sich nach den Unterpunkten „Informationen, die wir sammeln“, „Verwendung deiner Informationen durch uns“, „Informationen, die du teilst bzw. die wir teilen“ der Unterpunkt „Verbundene Unternehmen“. Dort heißt es:

„Wir gehören seit 2014 zur Facebook-Unternehmensgruppe [Hyperlink]. Als Teil der Facebook-Unternehmensgruppe erhält WhatsApp Informationen von den Unternehmen dieser Unternehmensgruppe und teilt Informationen mit ihnen. Wir können mithilfe der von ihnen erhaltenen Informationen und sie können mithilfe der Informationen, die wir mit ihnen teilen, unsere Dienste sowie ihre Angebote betreiben, bereitstellen, verbessern, verstehen, individualisieren, unterstützen und vermarkten. Dazu gehört auch die Unterstützung bei der Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen. Facebook und die anderen Unternehmen in der Facebook-Unternehmensgruppe können Informationen von uns auch verwenden, um deine Erlebnisse in ihren Diensten, wie Vorschläge zu unterbreiten (beispielsweise Freunde oder Verbindungen oder interessante Inhalte) und um relevante Angebote und Werbeanzeigen zu zeigen. Deine WhatsApp-Nachrichten werden nicht für andere sichtbar auf Facebook geteilt. Tatsächlich wird Facebook deine WhatsAppNachrichten nicht für irgendeinen anderen Zweck nutzen, als uns beim Betreiben und bei der Bereitstellung unserer Dienste zu unterstützen.

Erfahre mehr [Hyperlink] über die Facebook-Unternehmensgruppe und ihre Datenschutzpraktiken, indem du ihre Datenschutzrichtlinien liest.“

Die unterstrichenen Hyperlinks führen auf eine Unterseite der Homepage facebook.com, auf der neben der Facebook Inc. und der Antragstellerin weitere unterschiedliche Unternehmen der Facebook-Unternehmensgruppe aufgelistet werden.

Für neue Nutzer, die WhatsApp erst seit dem 25. August 2016 gebrauchen, gilt das obige Zustimmungsverfahren nicht. Vielmehr erscheint bei ihnen nach dem Herunterladen des WhatsApp-Messenger und vor der Registrierung der folgende Willkommensbildschirm:

(Abb. 3)

Hier haben die Nutzer zwei Möglichkeiten: Sie können das Feld „Zustimmen und Fortfahren“ betätigen und den WhatsApp-Messenger unmittelbar nutzen. Ein Klick auf den Link „WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie“ zeigt dem neuen Nutzer hingegen die Bedingungen in der oben dargestellten Art und Weise (siehe Screenshot „Wesentliche Updates“) an. Die Antragstellerin beabsichtigt, aufgrund dieser Aktualisierung bestimmte WhatsAppDaten für die Zwecke „Network/Security“, „Business Intelligence Analytics“ und „Facebook Ads/Products“ zu erheben. WhatsApp Inc. plant, die Daten zunächst an die Facebook Inc. weiterzugeben, die als Aufttragsdatenverarbeiterin die Daten für Datenverarbeitungen für die Antragstellerin zu deren Zwecken verwenden und zur Verfügung stellen soll. WhatsApp Inc. plant im Einzelnen die Weitergabe der folgenden Daten an Facebook Inc.:

  • · die Telefonnummer des Nutzers
  • · bestimmte Geräteinformationen (z.B. die Plattforminformation und die AppVersion)
  • · „Zuletzt online“-Angaben, d.h. der Zeitstempel, der nachvollzieht, wann die App zuletzt durch den Nutzer geöffnet wurde
  • · das WhatsApp-Account-Anmeldedatum

Am 1. September 2016 wandte sich die Antragsgegnerin anlässlich der Aktualisierung der Nutzungsbedingungen per E-Mail an die Antragstellerin. Dabei bat die Antragsgegnerin um die Beantwortung verschiedener Fragen, u.a., welche Daten Facebook von WhatsApp pro Nutzer auf welcher Rechtsgrundlage erhalte.

Am 20. September 2016 antwortete die Antragstellerin der Antragsgegnerin per E-Mail mit dem Dokument „WhatsApp Terms of Service and Privacy Policy Update: Briefing Document for the Office of the Irish Data Protection Commissioner“. Dabei handelt es sich um ein Informationsdokument für die irische Datenschutzbehörde, in dem Einzelheiten über das Update dargestellt werden.

Mit Bescheid vom 23. September 2016 untersagte die Antragsgegnerin der Antragstellerin die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange eine der Antragstellerin durch den jeweiligen Betroffenen erteilte und den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliege (Ziffer 1). Unter Ziffer 2 ordnete die Antragsgegnerin für den Fall, dass in Ziffer 1 genannte Daten durch die Antragstellerin ohne Einwilligung erhoben und gespeichert worden sein sollten, die Löschung dieser Daten in einer den Anforderungen des § 3 Abs. 4 Nr. 5 BDSG entsprechenden Weise an. Weiter verpflichtete die Antragsgegnerin die Antragstellerin, die zu der Umsetzung der unter Ziffer 1 und Ziffer 2 genannten Verpflichtungen erforderlichen technischen und organisatorischen Maßnahmen sowie die hierfür zu erteilenden Weisungen gegenüber ihren Auftragsdatenverarbeitern, insbesondere der Facebook Inc., zu dokumentieren und die Dokumentation der Antragsgegnerin nach Ablauf spätestens einer Woche nach Bestandskraft des Bescheids vorzulegen (Ziffer 3). Unter Ziffer 4 ordnete die Antragsgegnerin die sofortige Vollziehung der Anordnung an.

Zur Begründung führte die Antragsgegnerin aus, auf die Antragstellerin sei nach § 1 Abs. 5 BDSG i.V.m. Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG deutsches Datenschutzrecht anwendbar. Denn es handele sich bei der Facebook Germany GmbH um eine Niederlassung der für die Datenverarbeitung verantwortlichen Antragstellerin, die sie bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterstütze. Dies sei nach der Rechtsprechung des Europäischen Gerichtshofes ausreichend, um das Vorliegen des Tatbestandsmerkmals „im Rahmen der Tätigkeiten“ i.S.d. Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG anzunehmen.

Die formellen Voraussetzungen zum Erlass der Anordnung würden vorliegen. Die sachliche Zuständigkeit der Antragsgegnerin ergebe sich aus § 38 Abs. 5 Satz 1 BDSG, ihre örtliche aus § 3 Abs. 1 Nr. 2 HmbVwVfG. Die erforderliche Anhörung nach § 28 Abs. 2 Nr. 1 HmbVwVfG sei durch die E-Mail vom 1. September 2016 erfolgt. Überdies könne von einer weiteren Anhörung nach § 28 Abs. 2 Nr. 1 HmbVwVfG wegen des überwiegenden öffentlichen Interesses abgesehen werden.

Die Erhebung und Speicherung personenbezogener Daten deutscher WhatsApp-Nutzer verstoße gegen § 4 Abs. 1 BDSG. Es existiere keine Rechtsgrundlage, auf der die Antragstellerin die Erhebung und Speicherung der Daten stützen könne. So fehle es bereits an einer Einwilligung der WhatsApp-Nutzer gegenüber der Antragstellerin. Nach dem hier anwendbaren „Doppeltürmodell“ müsse eine Einwilligung nämlich nicht nur gegenüber der übermittelnden Stelle, d.h. WhatsApp, sondern auch gegenüber der empfangenden Stelle, d.h. der Antragstellerin, vorliegen. Überdies seien die gegenüber WhatsApp getätigten Einwilligungen aufgrund von Verstößen gegen § 4a Abs. 1 BDSG unwirksam. So hätten die betroffenen WhatsApp-Nutzer keine freie Wahl bezüglich der Entscheidung über die Erhebung und Speicherung der Daten durch die Antragstellerin, weil sie dem nur durch die Löschung ihres Kontos bei WhatsApp entgehen könnten. Zudem würden die Nutzer von WhatsApp nicht hinreichend informiert, weil mit der „opt-out“-Möglichkeit der Eindruck erweckt werde, sie könnten die Datenübertragung stoppen. Überdies fehle es an einer zweifelsfreien, den Zweck und Umfang der Übermittlung hinreichend bestimmten Erklärung der Betroffenen, weil die verwendete Erklärung zu unbestimmt sei und Umfang, Empfänger und Zweck der vorgesehenen Übermittlung und damit der Erhebung durch die Antragstellerin nicht erkennen lasse. Da die Erklärung in die Änderung der Nutzungsbedingungen integriert sei, fehle es zudem an der erforderlichen besonderen Hervorhebung. Die vorgesehene Warn- und Hinweisfunktion sei nicht erfüllt.

Es gebe für die Datenerhebung und Datenspeicherung auch keine gesetzliche Rechtfertigung. So stehe der Übermittlung zu Werbezwecken § 28 Abs. 3 BDSG entgegen. Da die betroffenen Daten nicht zu den Listendaten i.S.d. § 28 Abs. 3a BDSG gehören würden, käme nur eine Einwilligung als Rechtfertigung in Betracht. Das Einwilligungsverfahren sei aber aus den genannten Gründen unrechtmäßig. Eine Erhebung zu den weiteren Zwecken sei ebenfalls nicht von § 28 Abs. 1 Nr. 2 BDSG gedeckt. Es stünden dem berechtigten Interesse der Antragstellerin insoweit hinreichend konkrete Anhaltspunkte für die Annahme entgegenstehender Interessen der betroffenen deutschen WhatsApp-Nutzer gegenüber. So würden die Nutzer WhatsApp auch nach dem Erwerb durch Facebook im Jahr 2014 in der Erwartung nutzen, dass die Daten nicht an Dritte weitergegeben oder zu Werbezwecken genutzt werden, zumal Vertreter von Facebook dies entsprechend bestätigt hätten. Überdies werde solchen Nutzern, die nicht zugleich Facebook-Nutzer seien, durch die Antragstellerin ein Rechtsverhältnis zu dem Unternehmen aufgezwungen, obwohl sie dadurch keinen Vorteil erhielten.

Ziffer 2 der Anordnung beruhe auf § 35 Abs. 2 Nr. 1 BDSG und konkretisiere die gesetzliche Verpflichtung zur Löschung von unzulässig erhobenen personenbezogenen Daten.

Ziffer 3 der Anordnung habe seine Rechtsgrundlage in §§ 38 Abs. 3, 11 Abs. 4 Nr. 2 BDSG.

Der Erlass der Anordnung sei auch ermessensfehlerfrei. Die Anordnung untersage nicht die Erhebung und Speicherung der Daten an sich. Vielmehr werde der Antragstellerin aufgegeben, durch die Schaffung eines Einwilligungsverfahrens die Rechtmäßigkeitsanforderungen des europäischen und deutschen Datenschutzrechts zu erfüllen. Somit bleibe das zwischen § 38 Abs. 5 Satz 1 und Satz 2 BDSG bestehende Stufenverhältnis gewahrt. Die Anordnung sei zweckmäßig, weil sie zur Wahrung der Betroffenenrechte die notwendige Rechtssicherheit und durch die Dokumentationsverpflichtung die erforderliche Transparenz über die Beachtung der datenschutzrechtlichen Vorschriften gewährleiste. Die Anordnung sei auch verhältnismäßig. Insbesondere sei sie erforderlich, weil ein milderes gleichwirksames Mittel zur Wahrung und Durchsetzung der datenschutzrechtlichen Vorgaben nicht ersichtlich sei. Außerdem sei die Anordnung angemessen. Sowohl das Geschäftsmodell der Antragstellerin als auch der Geschäftszweck des Dienstes blieben weiterhin bestehen. Zudem zeige die Anordnung einen Weg auf, wie eine datenschutzkonforme Zweckerreichung möglich sei.

Im Interesse der Betroffenen sei die Anordnung der sofortigen Vollziehung nach § 80 Abs. 2 Nr. 4 VwGO angezeigt. Sobald die Erhebung der Daten durch die Antragstellerin erfolgt sei, sei die Beeinträchtigung der Betroffenen final. Aufgrund der Ankündigung von WhatsApp, bis spätestens zum 6. Oktober 2016 von allen Nutzern die Erlaubnis zur Übermittlung der Daten eingeholt zu haben, sei zeitgleich mit der Erhebung der streitgegenständlichen Daten zu rechnen. Ein Zuwarten mit der Vollziehung der Anordnung bis zur Unanfechtbarkeit des Bescheides würde erhebliche Beeinträchtigungen der Persönlichkeitsrechte der Betroffenen verursachen. Es könne nämlich nicht ausgeschlossen werden, dass nach der Erhebung und Speicherung der Daten unverzüglich mit der Auswertung und Analyse der erhobenen personenbezogenen Daten begonnen und damit eine Vertiefung des Eingriffs in Persönlichkeitsrechte der Betroffenen verursacht werde. Die Anordnung beeinträchtige die Interessen der Antragstellerin hingegen nur im geringen Maße. Sie sei technisch, tatsächlich und rechtlich in der Lage, auch kurzfristig die Einwilligung der Betroffenen einzuholen und damit die Vorgaben der Anordnung zu vollziehen. Im Ergebnis sei ein besonderes und überwiegendes Vollziehbarkeitsinteresse gegeben, sodass ausnahmsweise die Anordnung der sofortigen Vollziehung der Anordnung geboten sei.

Am 27. September 2016 legte die Antragstellerin Widerspruch ein.

Am 19. Oktober 2016 hat die Antragstellerin einen Antrag auf Wiederherstellung der aufschiebenden Wirkung ihres Widerspruchs gestellt. Die Antragsgegnerin könne ihre Anordnung nicht auf deutsches Datenschutzrecht stützen und sei international nicht zuständig. Vielmehr sei irisches Datenschutzrecht anwendbar und die irische Datenschutzbehörde zuständig. Denn die irische Antragstellerin habe als für die Verarbeitung Verantwortliche und Hauptsitz von Facebook innerhalb der Europäischen Union die engste Verbindung mit der streitgegenständlichen Erhebung und Speicherung. Allein hierauf komme es an. Dies ergebe die richtlinienkonforme Auslegung des § 1 Abs. 5 Satz 1 BDSG, der der Umsetzung der zugrundeliegenden europäischen Richtlinienvorschrift, Art. 4 Richtlinie 95/46/EG, diene. So unterliege nach Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG ein bestimmter grenzüberschreitender Datenverarbeitungsvorgang nicht dem Recht mehrerer unterschiedlicher Mitgliedstaaten, sondern nur dem Recht eines Mitgliedstaates. Wenn der für die Verarbeitung Verantwortliche Niederlassungen in unterschiedlichen Mitgliedstaaten habe, sei dies das Recht desjenigen Mitgliedstaates, in dem die Hauptniederlassung des für die Verarbeitung Verantwortlichen ansässig sei, die mit der jeweiligen Datenverarbeitung die engste Verbindung habe. Der Europäische Gerichtshof habe in der Rechtssache Google Spain und Google (EuGH, Urt. v. 13.5.2014, C-131/12, juris) zwar die Verarbeitung „im Rahmen der Tätigkeiten“ einer Niederlassung weit ausgelegt und dies in den Rechtssachen Weltimmo (EuGH, Urt. v. 1.10.2015, C-230/14, juris) und Amazon (EuGH, Urt. v. 28.7.2016, C-191/15, juris) auch bestätigt. Danach sei nicht erforderlich, dass die Verarbeitung „von“ der betroffenen Niederlassung selbst ausgeführt werde, vielmehr reiche es aus, wenn die Niederlassung die Aufgabe habe, für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine und diesen Verkauf selbst zu sorgen. Diese Auslegung sei auf den hiesigen Fall aber nicht übertragbar. Denn es handele sich hier um einen Binnenmarktfall. Hier finde EU- Datenschutzrecht unstreitig Anwendung und der Schutz der Grundrechte sei garantiert. Wäre ein bestimmter Datenverarbeitungsvorgang dem Recht mehrerer Mitgliedstaaten unterstellt, würden die Rechte und Freiheiten der Antragstellerin unverhältnismäßig eingeschränkt, weil sie eine Vielzahl von nationalen Datenschutzgesetzen mit unterschiedlichen Ausprägungen beachten müsste. Auch das Kammergericht Berlin gehe davon aus, dass die Datenverarbeitung der Antragstellerin nicht deutschem Recht unterliege. Dies zeige eine Verfügung des Kammergerichts Berlin vom 7. März 2017 in einem Verfahren des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen die Antragstellerin (Az. 5 U 155/14).

Weiter meint die Antragsgegnerin, selbst wenn deutsches Datenschutzrecht anwendbar und die Antragsgegnerin zuständig sein sollte, sei die Anordnung nicht rechtmäßig. Sie sei formell rechtswidrig. Die Antragsgegnerin sei örtlich nicht zuständig, weil es sich bei der Facebook Germany GmbH nicht um eine Betriebsstätte der Antragstellerin handele. Ferner fehle es an der nach § 28 Abs. 1 HmbVwVfG erforderlichen Anhörung. Eine Anhörung sei nicht durch das Auskunftsersuchen vom 1. September 2016 erfolgt. Auch sei die Anhörung nicht wegen besonderer Dringlichkeit verzichtbar. Eine Nachholung der Anhörung nach § 45 Abs. 1 Nr. 3 HmbVwVfG sei nicht möglich, weil eine selbstkritische Reflektion der Entscheidung durch die Antragsgegnerin ausgeschlossen sei. Auch materiell sei die Anordnung rechtswidrig. Die Antragsgegnerin habe das zweistufige Verfahren nach § 38 Abs. 5 BDSG nicht eingehalten. Es handele sich um eine Untersagungsanordnung nach § 38 Abs. 5 Satz 2 BDSG und nicht, wie von der Antragsgegnerin angenommen, nach § 38 Abs. 5 Satz 1 BDSG. Diese werde bereits durch den Wortlaut der Anordnung „Der Facebook Ireland Ltd. wird untersagt …“ deutlich. Dem stehe auch nicht die Einschränkung entgegen, dass die Untersagung nur gelte, „soweit und solange eine […] den Anforderungen des § 4a BDSG entsprechende Einwilligung nicht vorliegt“. Die Antragsgegnerin habe nämlich keinen Versuch unternommen, die von ihr kritisierte Datenerhebung zu korrigieren oder Mängel zu beseitigen, was zunächst erforderlich sei.

Weiter meint die Antragstellerin, die geplante Datenerhebung und -speicherung sei jedenfalls rechtmäßig. Sie beruhe auf einer sowohl nach irischem als auch nach deutschem Recht wirksamen datenschutzrechtlichen Einwilligung der WhatsApp- und FacebookNutzer. Die WhatsApp-Nutzer würden im Rahmen des Aktualisierungsverfahrens transparent und vollständig über den Datenaustausch mit der Antragstellerin, die damit verbundenen Zwecke und die Nutzung der Daten durch die Antragstellerin informiert. Das „Doppeltürmodell“ sei nicht anwendbar. Die von den WhatsApp-Nutzern gegenüber WhatsApp erklärte Einwilligung legitimiere daher nicht nur die Übertragung von WhatsApp-Daten durch WhatsApp, sondern spiegelbildlich die Entgegennahme dieser Daten, also die mit der Anordnung angegriffene Erhebung und Speicherung durch die Antragstellerin. Denn die Einwilligung in die Weitergabe durch Übermittlung umfasse notwendigerweise auch immer die Einwilligung in die Erhebung und Speicherung durch den Empfänger. Überdies sei die Datenerhebung und -speicherung durch die Antragstellerin auf Grundlage einer Abwägung der betroffenen Interessen nach Art. 7 lit. f) Richtlinie 95/46/EG bzw. § 28 Abs. 1 BDSG gerechtfertigt. Die Antragsgegnerin habe es versäumt, zwischen den einzelnen Zwecken der geplanten Datenerhebung zu differenzieren. Bei diesen Zwecken „Network/Security“, „Business Intelligence Analytics“ und „Facebook Ads/Products“ würden jeweils die Interessen der Antragstellerin überwiegen. Die von der Antragsgegnerin vorgetragene Begründung eines überwiegenden Nutzerinteresses sei widersprüchlich bzw. basiere auf einem falschen Sachverhaltsverständnis. Die Antragstellerin beabsichtige die Erhebung nur in dem Umfang, in dem dies jeweils konkret notwendig sei.

Zu dem Zweck „Network/Security“ trägt die Antragstellerin vor, die Antragstellerin und WhatsApp würden hochentwickelte Systeme betreiben, um die Sicherheit ihrer jeweiligen Plattformen und Nutzer zu gewährleisten und diese gegen zahlreiche Bedrohungen wie Spam, Viren, Hassbotschaften, Veröffentlichung von Kindesmissbrauch oder die Vorbereitung von terroristischen Aktivitäten zu schützen. Die Antragstellerin deaktiviere jährlich Millionen von Accounts innerhalb der Europäischen Union, die im Zusammenhang mit schädlichen Verhaltensweisen stünden. Im Falle von WhatsApp seien die für die Identifizierung der Täter zur Verfügung stehenden Mittel limitiert, weil WhatsApp nur begrenzte Kategorien von Daten über seine Nutzer speichere und aufgrund der Ende-zu-EndeVerschlüsselung der Nachrichten keinen Zugang zu Nachrichteninhalte habe. Die Datenerhebungen seien insbesondere erforderlich, um die Daten- und Nutzersicherheit von beiden Diensten, d.h. WhatsApp sowie Facebook, durch effektiveren Schutz gegen Spam, Belästigungen, Übergriffe auf Minderjährige, Terrorismus zu verbessern. So sollen z.B. Täter und mit schädlichen Verhaltensweisen in Verbindung stehende Accounts, die in einer der Apps der Facebook- Familie entdeckt werden, über alle Apps hinweg überprüft und ggf. deaktiviert werden. Grundsätzlich solle zur Identifizierung böswilliger Nutzer, die Verstöße gegen Regeln bei WhatsApp oder Facebook begangen haben, zwar die Family Device ID, d.h. die für mobiles Endgerät erstellte Nummer, herangezogen werden. Es gebe aber Konstellationen, in denen die Family Device ID zur Identifizierung nicht ausreichend sei, z.B., wenn das gleiche Gerät innerhalb des Facebook-Dienstes durch mehrere Accounts zusätzlich zur WhatsApp Nutzung gebraucht werde. Die von WhatsApp zu erhebenden Daten, d.h. die Telefonnummern der WhatsApp-Nutzer, bestimmte Geräteinformationen (z.B. Plattforminformationen und die App- Version), die „Zuletzt online“- Angaben sowie des WhatsApp-Account-Anmeldedatum, könnten bei der Zuordnung helfen. Als weiteres Beispiel der geplanten Datennutzung nennt die Antragstellerin die Vereinfachung der Verifizierung potentiell gefährdeter oder kompromittierter Accounts. So könnten die Sicherungssysteme von Facebook bei einem Login Versuch auf Facebook Anomalien entdecken. In diesem Fall könnte die Antragstellerin nun Daten wie den Netzwerkanbieter eines zugeordneten WhatsApp-Accounts vergleichen und so eine Prüfung ermöglichen, ob eine unautorisierte Person involviert sei. Damit verbunden verlange die Antragstellerin in Fällen, in denen ein Login-Versuch zu dem Facebook Dienst erfolge und ein Account durch die Antragstellerin als potentiell beeinträchtigt markiert werde, zusätzliche Bestätigungen der Identität, bevor der Zugang zum Account gewährt werde. Wenn solch ein Account einem WhatsApp-Account zugeordnet sei, beabsichtige die Antragstellerin, die Bestätigungsnachricht via SMS an diesen WhatsApp-Account zu senden, um zu verifizieren, ob der Nutzer echt sei. Ohne die streitgegenständliche Anordnung hätte die Antragstellerin die beabsichtigten Verwendungen der Daten der WhatsApp-Nutzer vorangetrieben, sodass die entsprechenden Sicherheitsmaßnahmen im ersten Quartal 2017 in Deutschland eingeführt worden wären. Die gegenwärtig geplanten Anwendungsfälle seien zudem nicht abschließend. Vielmehr könnten die Antragstellerin und WhatsApp weitere Sicherheitsfunktionen entwickeln, die einen Austausch von Daten in bestimmten Umfang erforderlich machen würden.

Zu dem Zweck „Business Intelligence Analytics“ trägt die Antragstellerin vor, sie verfolge mit der Datenerhebung verschiedene Geschäftsinformations- und Analysefunktionen, z.B. die Deduplizierung von Nutzer-Accounts. Zudem sei die genaue Ermittlung der Anzahl der „Unique User“ für die interne Produktentwicklung und Produktpriorisierung relevant und ein wichtiger Aspekt für die Berichterstattung der Antragstellerin gegenüber Investoren und der Aufsichtsbehörde. Um diesen Zweck zu erreichen, könnte WhatsApp Telefonnummern und andere Nutzungsinformationen, z.B. die „Zuletzt online“- Angaben, an Facebook Inc. übermitteln. Durch die Auswertung der Daten könnte u.a. ermittelt werden, welcher Prozentsatz der Nutzer gleichzeitig bei WhatsApp und der Antragstellerin registriert sei, welche gemeinsamen Nutzer im Tagesdurchschnitt bei dem einen oder andern Dienst aktiver seien und welche relativen Wachstumsraten der Dienste sich über die Zeit ergäben.

Zu dem Zweck „Facebook Ads/Products“ trägt die Antragstellerin vor, die beabsichtigte Datenerhebung würde insoweit vor allem drei Funktionen ermöglichen: Zunächst würde sie die Account-Wiederherstellung auf Facebook erleichtern, indem z.B. eine Authentifizierung über WhatsApp möglich wäre. Zudem würde die Datenerhebung die „Personen, die du vielleicht kennst“-Vorschläge optimieren. So könnten die Telefonnummern von WhatsApp-Nutzern die Antragstellerin bei der Unterbreitung zielgenauer Freundesvorschläge zum Zwecke der Verbindung auf Facebook unterstützen. Des Weiteren ermögliche die Datenerhebung optimierte Werbeanzeigen und Anzeigenauswertungen. So würden Facebook-Nutzer mit größerer Wahrscheinlichkeit Werbeanzeigen, die für sie bestimmt seien, von Unternehmen, für die sie sich bereits interessieren, erhalten.

Schließlich rügt die Antragstellerin, die Antragsgegnerin habe ihr Ermessen fehlerhaft ausgeübt. Denn die Anordnung untersage auch Maßnahmen, die ohne Einwilligung rechtmäßig seien, z.B. nach Art. 7 lit. f) Richtlinie 95/46/EG bzw. Art. 28 Abs. 1 BDSG. Sie verbiete allgemein jegliche Erhebung von WhatsApp-Daten zu jeglichen Zwecken, soweit sie nicht auf einer wirksamen Einwilligung beruhen. Sie schließe umfassend aus, dass die Antragstellerin zukünftig irgendeine Datenverarbeitung vornehmen könne, die auf eine andere rechtliche Grundlage als eine Einwilligung gestützt werden könnte. Die Antragsgegnerin hätte vermeintliche Datenschutzrechtsverstöße ebenso effektiv unterbinden können, indem sie angeordnet hätte, WhatsApp-Daten dürften nicht ohne irgendeine tragende rechtliche Rechtfertigung erhoben oder gespeichert werden. Aufgrund der begrenzten WhatsApp-Daten, deren Erhebung beabsichtigt sei, der Tatsache, dass WhatsAppNutzer ausreichend Zeit für eine bewusste und wohlabgewogene Entscheidung gehabt hätten und dem Umstand, dass die Antragstellerin in ihrer erfolgreicher wirtschaftlicher und technischer Entwicklung beeinträchtigt sei, hält sie den angeordneten Sofortvollzug nicht für gerechtfertigt.

Die Antragstellerin beantragt,

die aufschiebende Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage gegen die Anordnung vom 23. September 2016 wiederherzustellen.

Die Antragsgegnerin beantragt,

den Antrag abzulehnen.

Die Antragsgegnerin hält weiterhin deutsches Datenschutzrecht für anwendbar. Aus der Entscheidung in der Rechtssache Amazon ergebe sich in einer Zusammenschau mit den Entscheidungen des Europäischen Gerichtshofes in den Rechtssachen Weltimmo und Google Spain und Google (jeweils EuGH, a.a.O.), dass auch in der vorliegenden Fallkonstellation, also wenn eine außerhalb des Unionsrechts ansässige Muttergesellschaft zwei Niederlassungen in der Europäischen Union habe, für den Begriff „im Rahmen der Tätigkeiten“ im Sinne des Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG eine weite Auslegung geboten und mithin deutsches Recht anzuwenden sei. Die Antragsgegnerin beruft sich hierzu auf Ausführungen des Europäischen Gerichtshofes, wonach die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ einer Niederlassung im Sinne des Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG nicht verlange, dass die in Rede stehende Verarbeitung personenbezogener Daten „von“ der betreffenden Niederlassung selbst ausgeführt werden müsse. Für ihre Meinung spreche auch die veröffentlichte aktualisierte Stellungnahme der Artikel-29-Datenschutzgruppe der Europäischen Kommission zum anwendbaren Recht vom 16. Dezember 2015 („Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain“, vgl. S. 7 Ziff. 4 Abs. 2: “…the national laws of each such establishments will apply”). Überdies würde die Meinung der Antragstellerin, dass das nationale Recht nach dem Kriterium der engsten Verbundenheit mit der streitgegenständlichen Datenverarbeitung zu bestimmen sei, dazu führen, dass immer diejenige Niederlassung maßgeblich wäre, die die Daten tatsächlich verarbeite. Der Anwendungsbereich von Art. 4 Abs. 1 lit. a) Satz 2 Richtlinie 95/46/EG wäre künftig dann nicht mehr eröffnet, wenn die verantwortliche Stelle innerhalb der Europäischen Union niedergelassen sei, auch wenn die Hauptdienstleistung mit der Tätigkeit der Niederlassung untertrennbar verbunden sei. Auch betreffe die streitgegenständliche Verfügung nicht ein- und denselben Datenverarbeitungsvorgang, weil nur Daten von Nutzern mit der Telefonnummernvorwahl +49 erfasst seien.

Der angegriffene Bescheid sei formell und materiell rechtmäßig. Die örtliche Zuständigkeit ergebe sich aus § 3 Abs. 2 Nr. 2 HmbVwVfG, weil der europarechtliche Begriff der Niederlassung zugrunde zu legen sei. Die Anordnung sei auf der Grundlage von § 38 Abs. 5 Satz 1 BDSG erfolgt. Das von der Antragstellerin durchgeführte Einwilligungsverfahren sei wegen mangelnden Informationen und mangelnder Bestimmtheit unwirksam. Es fehle somit an einer bewussten Zustimmung der Betroffenen. Zudem seien die Zustimmungen nicht freiwillig. Denn die Situation zwinge die Nutzer faktisch dazu, sich mit dem Zugriff auf ihre jeweils verlangten Daten einverstanden zu erklären.

Eine fehlerhafte Ermessensausübung liege nicht vor. Die Antragstellerin sei durch die Anordnung nicht gehindert, Daten von WhatsApp-Nutzern zu erheben, solange sie die verfassungsmäßigen Rechte der Betroffenen und die sich aus diesem ergebenen gesetzlichen Beschränkungen des europäischen und deutschen Datenschutzrechts beachte.

Die Anordnung der sofortigen Vollziehung sei rechtmäßig. Die Erhebung und Speicherung der Daten ohne rechtliche Grundlage würden einen in Umfang und Schwere gravierenden Verstoß darstellen. Bei offenen Erfolgsaussichten falle die vorzunehmende Interessenabwägung zugunsten der Antragsgegnerin aus. Bis zur Entscheidung in Hauptsache sei ein unwiederbringlicher wirtschaftlicher Schaden der Antragstellerin nicht zu befürchten, während durch die Datenerhebung die 35millionenfache Verletzung des Rechts auf informationelle Selbstbestimmung drohe.

II.

Der Antrag auf die Wiederherstellung der aufschiebenden Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Er ist zulässig, insbesondere nach § 80 Abs. 5 Satz 1, 2. Alternative i. V. m. § 80 Abs. 2 Satz 1 Nr. 4 VwGO statthaft, aber nur zum geringen Teil begründet. Der Antrag ist teilweise begründet, soweit er die Anordnung der sofortigen Vollziehung hinsichtlich der Ziffern 2 und 3 betrifft (1.). Im Übrigen, d.h. hinsichtlich der Ziffer 1, ist der Antrag unbegründet (2.).

1. Die Anordnung der sofortigen Vollziehung ist hinsichtlich der Ziffern 2 und 3 der Anordnung formell rechtswidrig, weshalb sie aufzuheben ist. Insoweit fehlt es an der gemäß § 80 Abs. 3 Satz 1 VwGO erforderlichen Begründung.

Die Auslegung des angefochtenen Bescheides ergibt, dass sämtliche unter Ziffer 1 bis 3 getroffenen Anordnungen für sofort vollziehbar erklärt worden sind. Dies folgt aus dem Wortlaut und der systematischen Stellung der Ziffer 4, der keine Einschränkung des angeordneten Sofortvollzugs in Bezug auf die vorstehenden Ziffern 1 bis 3 enthält. Vielmehr wurde die sofortige Vollziehung „dieser Anordnung“ angeordnet. Nichts anderes ergibt sich aus dem Sinn und Zweck der einzelnen Anordnungen. Durch die unter der Ziffer 1 getroffene Anordnung soll die Begehung eines vermeintlichen Datenschutzrechtsverstoßes verhindert, durch die unter Ziffer 2 getroffene Anordnung die Perpetuierung eines vermeintlichen Datenschutzrechtsverstoßes rückgängig gemacht werden, was jeweils für die sofortige Vollziehung dieser Ziffern spricht. Lediglich der Sinn und Zweck der Ziffer 3 deutet darauf hin, dass eine sofortige Vollziehbarkeit dieser Ziffer 3 nicht beabsichtigt war. Denn die Dokumentationspflicht soll die Antragstellerin erst nach Ablauf von einer Woche nach Bestandskraft des Bescheids treffen. Aufgrund des eindeutigen Wortlauts und der Systematik des unter der Ziffer 4 angeordneten Sofortvollzugs ist allerdings auch insoweit von einer Anordnung der sofortigen Vollziehung auszugehen.

Der streitgegenständlichen Bescheid enthält keine den Anforderungen des § 80 Abs. 3 Satz 1 VwGO genügende Begründung für die Anordnung des Sofortvollzugs hinsichtlich der Ziffern 2 und 3. Die in dem Bescheid unter IV. B. Ziffer 6. enthaltenden Ausführungen begründen nur, warum hinsichtlich der unter Ziffer 1 getroffenen Untersagungsverfügung die sofortige Vollziehung angeordnet worden ist (siehe im Einzelnen unter II. 1.). Warum auch hinsichtlich der in der Ziffer 2 angeordneten Löschungsanordnung und der in der Ziffer 3 angeordneten Dokumentationsverpflichtung die Anordnung der sofortigen Vollziehung notwendig erscheint, wird nicht einmal ansatzweise erläutert.

Von einer Begründung kann auch nicht ausnahmsweise gänzlich abgesehen werden, weil das besondere Vollzugsinteresse hinsichtlich der Anordnung zu Ziffer 1 ausführlich dargelegt wird. Denn die Ziffern 1 bis 3 der Anordnung treffen jeweils unterschiedliche Regelungen. Die Antragsgegnerin muss sich daher in Bezug auf jede einzelne Ziffer gesondert den Ausnahmecharakter der Vollziehungsanordnung bewusst machen, um sich in einer sorgfältigen Prüfung zu vergegenwärtigen, ob die Anordnung der sofortigen Vollziehung auch bezüglich der Löschung bereits erhobener und gespeicherter Daten und der auferlegten Dokumentationspflicht geboten ist.

Aus der formellen Rechtswidrigkeit der Anordnung der sofortigen Vollziehung hinsichtlich der Ziffern 2 und 3 folgt nicht, wie von der Antragstellerin beantragt, die Wiederherstellung der aufschiebenden Wirkung des Widerspruchs vom 27. September 2016 und einer eventuell nachfolgenden Anfechtungsklage. Vielmehr ist mangels hinreichender Begründung vorläufiger Rechtsschutz insoweit in Form der Aufhebung der Anordnung der sofortigen Vollziehung zu gewähren mit der Folge, dass dem Widerspruch wieder aufschiebende Wirkung zukommt (vgl. OVG Hamburg, Beschl. v. 1.3.1995, Bs V 327/94, juris Rn. 1; OVG Hamburg, Beschl. v. 17.12.1992, Bs V 176/92, juris Rn. 2).

2. Hinsichtlich der Ziffer 1 des Bescheids hat der Antrag indes keinen Erfolg. Die Anordnung der sofortigen Vollziehung ist zwar formell rechtmäßig (a). Die Erfolgsaussichten des zulässigen Widerspruches der Antragstellerin gegen die von der Antragsgegnerin ausgesprochene Anordnung sind allerdings als offen anzusehen (b). In der daher unabhängig von den Erfolgsaussichten des Rechtsbehelfs nach § 80 Abs. 5 VwGO vorzunehmenden Interessenabwägung überwiegt das öffentliche Interesse am Sofortvollzug und den entsprechenden Beteiligteninteressen der WhatsApp-Nutzer gegenüber dem Aussetzungsinteresse der Antragstellerin mit der Folge, dass der Antrag als unbegründet abzulehnen ist (c).

a) Die sofortige Vollziehung der Ziffer 1 ihres Bescheids hat die Antragsgegnerin in einer den Anforderungen des § 80 Abs. 3 Satz 1 VwGO genügenden einzelfallbezogenen Weise begründet. Sie hat ausgeführt, es sei zeitnah mit der Übermittlung der Daten zu rechnen, sodass ein Zuwarten mit der Vollziehung der Anordnung bis zur Unanfechtbarkeit des Bescheides erhebliche Beeinträchtigungen der Persönlichkeitsrechte von Millionen von Personen zur Folge hätte. Diese Interessen der Betroffenen hat sie mit dem Interesse der Antragstellerin an einer aufschiebenden Wirkung eines Widerspruchs abgewogen und ist dabei zu einem Überwiegen der Interessen der betroffenen Nutzer gekommen. Damit ist dem Begründungserfordernis Genüge getan.

b) Nach dem gegenwärtigen Stand der Rechtsprechung ist zum jetzigen Zeitpunkt noch nicht hinreichend geklärt, ob die Antragsgegnerin ihre Anordnung auf deutsches Datenschutzrecht stützen konnte (aa) und gegen die irische Antragstellerin vorgehen durfte (bb). Für den Fall, dass deutsches Datenschutzrecht anwendbar wäre, ist nicht offensichtlich, dass die Anordnung gegen dieses verstößt (cc).

aa) Ob deutsches Datenschutzrecht anwendbar ist, richtet sich nach § 1 Abs. 5 BDSG i. V. m. Art. 4 Richtlinie 95/46/EG (sog. Datenschutzrichtlinie). Gemäß Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält. Nach § 1 Abs. 5 Satz 1 BDSG findet das Bundesdatenschutzgesetz keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Nach § 1 Abs. 5 Satz 2 BDSG findet das Bundesdatenschutzgesetz hingegen Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.

Nach diesen Vorschriften ist deutsches Recht nur anwendbar, wenn die Facebook Germany GmbH eine Niederlassung ist, die der Antragstellerin zuzuordnen werden kann und im Rahmen ihrer Tätigkeiten die streitgegenständliche Datenerhebung bzw. -speicherung ausführt. Ob diese Voraussetzungen vorliegen, kann im Zeitpunkt der Eilentscheidung nicht hinreichend sicher beurteilt werden.

Zwar ist die Facebook Germany GmbH eine Niederlassung. Eine Niederlassung ist nach dem Erwägungsgrund 19 der Richtlinie 95/46/EG die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung. Diese Anforderungen erfüllt die in Hamburg und Berlin ansässige Facebook Germany GmbH. Sie unterstützt im Auftrag der Antragstellerin deren Werbekunden in Deutschland und unterhält ein auf Deutschland konzentriertes PR-Team.

Auch ist die Facebook Germany als Niederlassung der Antragstellerin anzusehen. So steht es im Hinblick auf die Beziehungen zwischen der Facebook Germany GmbH und der Antragstellerin nicht entgegen, dass die Facebook Germany GmbH konzernrechtlich lediglich als Schwester der Antragstellerin zu qualifizieren sein dürfte, weil sie die Antragstellerin bei der geschäftsmäßigen Erbringung des Dienstes unterstützt (vgl. VG Hamburg, Beschl. v. 3.3.2016, 15 E 4482/15, juris Rn. 59).

Offen ist aber, ob die Facebook Germany GmbH im Rahmen ihrer Tätigkeiten die streitgegenständliche Datenerhebung bzw. -speicherung ausführt. Für die Verarbeitung personenbezogener Daten „im Rahmen der Tätigkeiten“ ist, wie der Europäische Gerichtshof u.a. in der Rechtssache Weltimmo (EuGH, Urt. v. 1.10.2015, C-230/14, juris Rn. 35) erläutert hat, zwar nicht erforderlich, dass die in Rede stehende Verarbeitung personenbezogener Daten „von“ der betreffenden Niederlassung selbst ausgeführt wird. Eine Verarbeitung personenbezogener Daten wird vielmehr auch im Rahmen der Tätigkeiten einer Niederlassung ausgeführt, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet eines Mitgliedstaates besitzt, wenn der die Verarbeitung Durchführende in einem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen für sein Datenverarbeitungsangebot und diesen Verkauf selbst eine Zweigniederlassung oder Tochtergesellschaft gegründet hat, deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist (EuGH, Google Spain und Google, Urt. v. 13.5.2014, C-131/12, juris Rn. 60). Anders als in der Rechtssache Google Spain und Google unterhält hier ein außerhalb der Europäischen Union liegender Mutterkonzern, die Facebook Inc., im Unionsgebiet mehrere Niederlassungen, die aber unterschiedliche Aufgaben haben. Ob eine Anknüpfung in diesem Fall an eine (allein) für Marketing und Vertrieb zuständige Niederlassung in einem Mitgliedstaat (hier: Deutschland) für die Anwendbarkeit der Datenschutzrichtlinie und die Zuständigkeit der Kontrollbehörde auch auf eine Konstellation übertragbar ist, bei der eine in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Tochtergesellschaft nach der konzerninternen Aufgaben- und Verantwortungsteilung auch im Außenverhältnis als im gesamten Unionsgebiet „für die Verarbeitung Verantwortlicher“ auftritt, ist aber weiterhin klärungsbedürftig (siehe bereits: BVerwG, Vorabentscheidungsersuchen v. 25.2.2016, 1 C 28/14, juris Rn. 40; OVG Hamburg, Beschl. v. 29.6.2016, 5 Bs 40/16, juris Rn. 17 f.).

Eine Klärung hat insoweit auch nicht das Urteil des Europäischen Gerichtshofes in der Rechtssache Amazon (EuGH, Urt. v. 28.7.2016, C-191/15, juris) bewirkt. Der Entscheidung lagen mit dem hier zu beurteilenden Sachverhalt nicht vergleichbare tatsächliche Umstände zugrunde. In der Rechtssache Amazon musste das anwendbare nationale Recht hinsichtlich datenschutzrechtlich relevanter AGB-Klauseln bestimmt werden, die Amazon EU (Luxemburg) in Kaufverträgen über eine Website der Top-Level-Domain „.de“ mit Verbraucher mit Wohnsitz in Österreich verwendete. Die Klauseln sahen vor, dass Amazon.de in bestimmten Konstellationen die Datenangaben sowie das Ausfallrisiko der Besteller prüfen und bewerten dürfe und hierzu einen Datenaustausch mit anderen Unternehmen innerhalb des Amazon-Konzerns, Wirtschaftsauskunfteien sowie ggf. mit in Deutschland ansässigen Bonititätsprüfungsgesellschaften pflege. Hier findet der fragliche Datenvorgang, nämlich die Erhebung und Speicherung personenbezogener Daten deutscher WhatsApp-Nutzer, hingegen durch die irische Antragstellerin als für die Verarbeitung Verantwortliche statt und nicht unmittelbar „durch“ die deutsche Niederlassung, die Facebook Germany GmbH, sondern nur gegebenenfalls im Rahmen deren Tätigkeiten. Außerdem sind der Entscheidung in der Rechtssache Amazon keine klaren Aussagen darüber zu entnehmen, wie das Merkmal „im Rahmen der Tätigkeiten“ in einem Binnenmarktfall auszulegen ist. Der Europäische Gerichtshof verweist zwar auf die weite Auslegung der Begrifflichkeit „im Rahmen der Tätigkeiten“. Diese weite Auslegung der Begrifflichkeit „im Rahmen der Tätigkeiten“ eröffnet in einem Binnenmarktfall aber grundsätzlich die Möglichkeit, dass auf denselben Datenverarbeitungsvorgang mehrere nationale Rechte anzuwenden sind. Denn wäre auch hier eine lediglich geschäftsmäßige Unterstützung eines Datenverarbeitungsvorganges ausreichend, um von einer Ausführung im Rahmen der Tätigkeiten auszugehen, käme zum einen die Anwendung des Rechts des Ortes der unterstützenden Niederlassung in Betracht, zum anderen käme aber auch die Anwendung des Rechts des Ortes der Niederlassung in Betracht, die unmittelbar den Datenverarbeitungsvorgang ausführt. Übertragen auf den vorliegenden Fall bedeutet dies, dass auf denselben Datenverarbeitungsvorgang aufgrund der Datenverarbeitung unmittelbar durch die Antragstellerin irisches Recht, aufgrund der unterstützenden Tätigkeit der Facebook Germany GmbH, d.h. der Ausführung der Datenverarbeitung im Rahmen ihrer Tätigkeiten, aber auch deutsches Recht anwendbar sein könnte. Dem widerspricht zwar die Zielrichtung der Richtlinie 95/46/EG, nach der in einem Binnenmarktfall auf ein und denselben Datenverarbeitungsvorgang nur das Recht eines Mitgliedstaates angewendet werden soll. Allerdings bietet die Richtlinie 95/46/EG auch keine Lösung dafür, nach welchen Kriterien das anwendbare Recht zu bestimmen ist. Insbesondere findet sich in dem Wortlaut des Art. 4 Abs. 1 lit. a) Richtlinie 95/46/EG kein Anhaltspunkt dahingehend, dass die Niederlassung ausschlaggebend ist, mit der die jeweilige Datenverarbeitung die engste Verbindung hat. Auch erfolgt keine Differenzierung nach der Art der Niederlassungen (vgl. OVG Hamburg, a.a.O., juris Rn. 12). Zudem spricht die Einschätzung der Artikel-29- Datenschutzgruppe der Europäischen Kommission zum anwendbaren Recht vom 16. Dezember 2015 gegen diese Art der Auslegung. Auch der Europäische Gerichtshof löst den dargestellten Konflikt in der Rechtssache Amazon nicht auf. So führt der Europäische Gerichtshof im Weiteren lediglich aus, es sei Sache des vorlegenden Gerichts im Lichte seiner Rechtsprechung und unter Berücksichtigung aller relevanten Umstände des Ausgangsverfahrens zu bestimmen, ob Amazon EU die fragliche Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung vornehme, die sich in einem anderen Mitgliedstaat als Luxemburg befinde; wenn es eine deutsche Niederlassung gebe, in deren Rahmen Amazon EU die Verarbeitung personenbezogener Daten vornehme, unterläge diese Verarbeitung deutschem Recht (EuGH, a.a.O., Rn. 79-81). Damit wird zwar impliziert, dass nur ein Recht auf den Datenverarbeitungsvorgang anwendbar sei, nach welchen Kriterien dieses Recht zu bestimmen ist, wird aber nicht klar gestellt. Auch die Inbezugnahme der Schlussanträge des Generanwaltes Saugmandsgaard Øe durch den europäischen Gerichtshof (EuGH, a.a.O., Rn. 80) führt insoweit nicht zu einer eindeutigen Klärung. In seinen Schlussanträgen führte der Generanwalt Saugmandsgaard Øe aus, es gehe darum, welches von mehreren nationalen Rechten, mit denen die Richtlinie umgesetzt wurde, auf die in den streitigen Klauseln vorgesehenen Datenverarbeitungsvorgänge Anwendung finden solle; dabei sei die Niederlassung zu bestimmen, im Rahmen von deren Tätigkeiten diese Vorgänge am unmittelbarsten erfolgen würden (Schlussanträge des Generalanwaltes Saugmandsgaard Øe vom 2.6.2016 in der Rechtssache Amazon, C-191/15, EU:C:2016:388 Rn. 125). Diesem Vorschlag, der auf sämtliche Binnenmarktfälle übertragbar wäre, ist der Europäische Gerichtshof in seinem Urteil in der Rechtssache Amazon aber weder explizit gefolgt, noch hat er ihn ausdrücklich abgelehnt. Der Europäische Gerichtshof verweist lediglich kommentarlos auf die Schlussfolgerung des Generalanwaltes, die auf der obigen Rechtsauffassung basiert, aber nimmt gleichfalls auf die angesprochene weite Auslegung der Begrifflichkeit „im Rahmen der Tätigkeiten“ Bezug (EuGH, a.a.O., Rn. 80).

Überdies scheint nicht zwangsläufig die Antragstellerin als diejenige Niederlassung anzusehen zu sein, die mit der in Frage stehenden Datenverarbeitung die engste Verbindung aufweist. Zwar tritt diese als für die Datenverarbeitung Verantwortliche innerhalb der Europäischen Union auf und hat das hauptsächliche Nutzungsinteresse an den Daten. Betroffen sind jedoch ausschließlich deutsche WhatsApp-Nutzer. Die Datenverarbeitung wird zudem in Deutschland veranlasst und erfolgt zunächst nur über die Facebook Inc. als Auftragsdatenverarbeiterin. Mangels weiterer Kriterien scheint es zumindest nicht offensichtlich, dass die Verbindung der Antragstellerin zu dem Datenverarbeitungsvorgang enger ist als die der sie unterstützenden deutschen Facebook Germany GmbH.

Nichts anderes ergibt die vorläufige Einschätzung des Kammergerichts Berlin in einer Hinweisverfügung vom 7. März 2017 in dem dort anhängigen Verfahren des Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen die Antragstellerin (Az. 5 U 155/14), wonach deutsches Datenschutzrecht auf die Antragstellerin nicht anwendbar sei. Denn in dem genannten Zivilverfahren, das dem Beibringungsgrundsatz unterliegt, hat der Kläger die Existenz der Facebook Germany GmbH offensichtlich nicht vorgetragen, sodass die dortige Einschätzung des Kammergerichts nicht auf den hiesigen Fäll übertragbar ist.

bb) Sollte deutsches Datenschutzrecht anwendbar sein, ist zweifelhaft, ob eine Eingriffsbefugnis gegenüber der Antragstellerin besteht. Auch diese Frage ist durch die bisherige Rechtsprechung noch nicht abschließend entschieden.

Das Bundesverwaltungsgericht dürfte in seinem Vorabentscheidungsersuchen vom 25. Februar 2016 (a.a.O. Rn. 42) eine datenschutzrechtliche Anordnungsbefugnis nur gegen- über der Facebook Germany GmbH in Betracht gezogen haben. Auch der 21. Erwägungsgrund der Richtlinie 95/46/EG, wonach die Richtlinie nicht die im Strafrecht geltenden Territorialitätsregeln betreffe, spricht gegen eine Eingriffsbefugnis der deutschen Antragsgegnerin gegenüber der irischen Antragstellerin. Der die genannten Richtlinienvorschriften umsetzende § 38 BDSG verhält sich zu dieser Frage indes nicht. Die Ausführungen des Europäischen Gerichtshofes in der Rechtssache Weltimmo (EuGH, a.a.O., Rn. 56 ff.) sind ebenfalls nicht eindeutig. Dort wird eine über die Hoheitsgrenzen hinausgehende Eingriffsbefugnis nur dann explizit ausgeschlossen, wenn deutsches Recht keine Anwendung finden würde. Dies wiederum ist offen (siehe oben).

Vor diesem Hintergrund schließt sich die Kammer der Bewertung des OVG Hamburg an, wonach eine Eingriffsbefugnis der Antragsgegnerin gegenüber der Antragstellerin zweifelhaft ist (vgl. OVG Hamburg, Beschl. v. 29.6.2016, a.a.O, Rn. 19). Das hat sich durch die Entscheidung des Europäischen Gerichtshofes in der Rechtssache Amazon nicht geändert. Dort stellte sich die Frage nach einer Eingriffsbefugnis nicht. Es ging lediglich um die vorgelagerte Frage des anwendbaren Rechts und nicht um das Einschreiten einer europäischen Datenschutzkontrollbehörde.

cc) Der Antrag hätte aber auch bei Anwendung deutschen Datenschutzrechts keinen Erfolg, denn die unter Ziffer 1 getroffene Anordnung wäre in diesem Fall rechtlich nicht zu beanstanden. Der Anwendungsbereich von § 38 Abs. 5 Satz 1 BDSG ist eröffnet; die Anordnung ist sowohl formell als auch materiell rechtmäßig.

Die für die Anwendung von § 38 Abs. 5 Satz 1 BDSG erforderlichen Voraussetzungen nach § 27 BDSG liegen vor, weil die Antragstellerin als nicht-öffentliche Stelle die automatisierte Erhebung personenbezogener Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten, sondern zu wirtschaftlichen Zwecken und auf technischem Wege plant.

Die Anordnung ist formell rechtmäßig. Die Antragsgegnerin ist nach § 24 Satz 1 HmbDSG als Aufsichtsbehörde für den Erlass von Anordnungen nach § 38 Abs. 5 BDSG sachlich zuständig. Die örtliche Zuständigkeit folgt bei der Anwendbarkeit deutschen Rechts aus § 3 Abs. 1 Nr. 2 HmbVwVfG. Danach ist in Angelegenheiten, die sich auf den Betrieb eines Unternehmens oder einer seiner Betriebsstätten beziehen, die Behörde, in deren Bezirk die Betriebsstätte betrieben wird, örtlich zuständig. Dabei muss § 3 Abs. 1 Nr. 2 HmbVwVfG im Lichte der dem Bundesdatenschutzgesetz zugrundeliegenden Richtlinie 95/46/EG ausgelegt werden. Denn § 3 HmbVwVfG bestimmt die örtliche Zuständigkeit der Datenschutzkontrollbehörden, deren Zuständigkeitsbereiche Art. 28 Richtlinie 95/46/EG festlegt, und dient somit mittelbar der Richtlinienumsetzung. Es ist daher die mit dem Unionsrecht im Einklang stehende Auslegung zu wählen, weil andernfalls die Anwendbarkeit des europäischen Rechts unterlaufe