Wann gilt das Bundesdatenschutzgesetz

Beinahe jede Neuerscheinung im Web 2.0 wird auch auf den datenschutzrechtlichen Prüfstand gestellt. Den Maßstab bildet in aller Regel das deutsche Bundesdatenschutzgesetz ("BDSG"). Nicht immer zu Recht, wenn die Verantwortlichen im Ausland sitzen. Der folgende Beitrag stellt einige grundlegende Überlegungen zum internationalen Anwendungsbereich des Bundesdatenschutzgesetzes an.

Kollisionsnorm

Keineswegs findet das BDSG auf alle Online-Aktivitäten deutscher Internet-Nutzer Anwendung. Vielmehr kommt es darauf an, wer den jeweiligen Datenverarbeitungsvorgang veranlasst. Ist die so genannte "verantwortliche Stelle" im Ausland belegen, so gilt je nachdem, ob es sich um EU- oder Nicht-EU-Ausland handelt, § 1 Abs. 5 S. 1 oder S. 2 BDSG. § 1 Abs. 5 BDSG ist dabei eine so genannte "Kollisionsnorm". Die Vorschrift regelt, welches nationale Recht auf einen grenzüberschreitenden Sachverhalt anzuwenden ist, wenn also mehrere Rechtsordnungen "kollidieren."

Anknüpfungspunkt Niederlassung

Existiert eine deutsche Niederlassung eines Unternehmens, dessen Hauptsitz sich innerhalb der EU befindet, und geht die Datenerhebung, -verarbeitung oder -nutzung von dieser Niederlassung aus, so findet das BDSG Anwendung. Im Übrigen jedoch nicht.

Den Inhalt des § 1 Abs. 5 BDSG gibt die EU-Datenschutzrichtlinie vor. In der Konsequenz heißt das, dass es im nationalen Datenschutzrecht eines jeden Mitgliedsstaates eine ähnlich lautende Kollisionsnorm geben muss. Denn die europäischen Richtlinien verpflichten die EU-Mitgliedsstaaten dazu, die enthaltenen Vorgaben im Rahmen der jeweiligen Richtlinie umzusetzen.

Angeglichene Datenschutzstandards in der EU

Hinter § 1 Abs. 5 Satz 1 BDSG steht der Gedanke, dass es innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie keinen Unterschied machen dürfe, welches nationale Datenschutzrecht auf den Einzelfall Anwendung findet, weil dieses aufgrund der für alle EU-Mitgliedsstaaten verpflichtenden Wirkung der EU-Datenschutzrichtlinie ohnehin weitgehend harmonisiert ist und es nur gilt, Kollisionen verschiedener nationaler Datenschutzgesetze mit annähernd gleichem Schutzniveau zu vermeiden.

Nicht alle Länder bekommen ihre Cookies gebacken
Opt-in, opt-out - oder lieber gar keine eigene Regelung? Die europäischen Länder handhaben die EU-Vorgabe in Sachen Cookies sehr unterschiedliche. Hier eine Übersicht über den Stand der Kunst.

Belgien wählt Opt-in
Belgien wählt Opt-in Die E-Privacy-Richtlinie wurde als Teil des belgischen TKG umgesetzt. Nach dem neuen belgischen TKG empfiehlt sich der Einsatz einer Pop-Up- oder Click-Through-Vereinbarung ("Opt-in"). Eine Einwilligung durch die Einstellung des Browsers reicht nicht aus – aus den schon im Zusammenhang mit Österreich geannten Gründen

Bulgariens Datenschutzbehörde fordert Opt-in
Die E-Privacy Richtlinie wurde am 29. Dezember 2011 in bulgarisches Recht umgesetzt. Die Speicherung von Informationen oder das Verschaffen eines Zuganges zu bereits gespeicherten Informationen soll nur unter der Voraussetzung erlaubt sein, dass dem betroffenen Nutzer hierzu klare und verständliche Informationen in Übereinstimmung mit dem Datenschutzgesetz zur Verfügung gestellt werden. Der Nutzer muss auch über die Möglichkeit informiert werden, die Speicherung oder die Zugangsgewährung abzulehnen. Die zuständige Datenschutzbehörde interpretiert das neue Gesetz als Opt-in Lösung.

Dänemark wählt Opt-in
Die Richtlinie wurde am 25. Mai 2011 durch das neue dänische Gesetz über elektronische Kommunikationsdienstleistungen umgesetzt. Konkrete Regelungen über die Verwendung von Cookies finden sich jedoch nur in einer Anordnung des Dänischen Wissenschafts- und Technologieministeriums vom 14. Dezember 2011. Demnach muss der Nutzer in die spezifische Verwendung von Cookies ausdrücklich und freiwillig einwilligen ("Opt-in"), nachdem er umfassend über den Cookie-Einsatz informiert und über die Folgen seiner Einwilligung unterrichtet wurde. Eine Einwilligung kann durch die Bestätigung eines Auswahlfeldes (Tick-Box) erfolgen. Das wäre ein Opt-in. Unter Umständen lässt sich auch die Nutzung einer Internet-Seite nach hinreichender Unterrichtung als Einwilligung verstehen. Dies ist jedoch einzelfallabhängig.

Deutschland hat nicht offiziell umgesetzt
Deutschland hat die Richtlinie bisher nicht in naitonalen Recht umgesetzt – jedenfalls nicht durch einen offiziellen Umsetzungsakt. Der im März 2011 veröffentlichte Entwurf zur Ergänzung des Telemediengesetzes (TMG) wurde durch den Bundestag nicht angenommen. Weitere Gesetzesinitiativen scheiterten. Nach bisheriger Rechtslage war davon auszugehen, dass, eine ausführliche Information der Nutzer vorausgesetzt, eine Einwilligung über das Anpassen der Browser-Einstellungen ausreicht beziehungsweise Cookies dann eingesetzt werden dürfen, wenn der Nutzer der Verwendung nicht widersprochen hat (Opt-out). Laut Europäischer Kommission entspricht die Rechtslage in Deutschland bereits den Vorgaben der Richtlinie; ein Umsetzungsgesetz sollte danach gar nicht erforderlich sein. Selbst wenn man dieser Ansicht folgt, ist auf Grund des unklaren Wortlauts der Richtlinie jedoch weiterhin nicht zweifelsfrei ersichtlich, ob der bisherige Opt-out-Ansatz europarechtskonform ist oder ob vielmehr das Einholen einer ausdrücklichen Einwilligung nötig ist. Wer rechtlich auf der sicheren Seite sein will, sollte die Nutzer zumindest so transparent wie möglich über den Einsatz von Cookies informieren - etwa durch den Einsatz von Pop-up-Fenstern oder automatischen Bannern.

Estland plant Opt-in
Estland hat eigentlich auch noch kein Umsetzungsgesetz erlassen. Nach Auffassung des zuständigen Ministeriums ist den Anforderungen der Richtlinie aber bereits durch den bestehenden Artikel 102 des estnischen Gesetzes zur Elektronischen Kommunikation hinreichend Genüge getan. Nach der Interpretation der zuständigen Datenschutzbehörde reicht ein Opt-out, wenn der Betreiber einer Webs-Seite ausreichende Informationen zur Art der Cookies und ihres Zwecks bereitstellt. Eine Gesetzesinitiative plant jedoch, zum 1. Juni 2015 eine Opt-in Lösung einzuführen.

Finnland wählt Opt-out
Nach dem finnischen Umsetzungsgesetz vom 25. Mai 2011 besteht die Möglichkeit der Einwilligung über Browser- oder Anwendungseinstellungen. Jedoch muss der Nutzer auch nach finnischem Recht verständlich und umfassend über den Einsatz der Cookie Technologie sowie über den Zweck der Speicherung und Nutzung seiner Daten informiert werden.

Frankreich - Datenschutzbehörde empfiehlt Opt-in
Frankreich setzte die Richtlinie mit Wirkung zum 24. August 2011 um. Das entsprechende französische Gesetz bestimmt, dass die verantwortliche Stelle (in aller Regel der Web-Seiten-Betreiber) die Nutzer elektronischer Kommunikationsdienstleistungen umfassend und klar über den Zweck der verwendeten Cookies (und über die Möglichkeiten zur Ablehnung) zu informieren hat. Weiterhin ist die ausdrückliche Einwilligung des Nutzers in die Verwendung von Cookies erforderlich. Sie kann nach den neuen Vorschriften zwar über die Verbindungseinstellungen des Nutzers (zum Beispiel Browser-Einstellungen) erfolgen. Nach Auffassung der Französischen Datenschutzbehörde (CNIL) erfüllen jedoch die aktuell verfügbaren Browser die an eine wirksame Einwilligung zu stellenden Anforderungen nicht (siehe die Richtlinie der CNIL über die Anwendung des neuen Cookie-Gesetzes aus dem November 2011). Die CNIL empfiehlt stattdessen ausdrücklich, die Einwilligung durch den Einsatz von Bannern auf der Seite, über eine vorgeschaltete Seite im Rahmen eines Registrierungsprozesses oder durch Anklicken von Bestätigungsfeldern (Tick-Boxes) einzuholen.

Großbritannien - Datenschutzbehörde empfiehlt Opt-in
In Großbritannien wurde die Richtlinie mit Wirkung vom 26. Mai 2011 umgesetzt. Dabei orientierte sich der Gesetzgeber eng an den Formulierungen der Richtlinie. Nach den Leitlinien der britischen Datenschutzbehörde, des Information Commissioner's Office (ICO), ist es grundsätzlich nötig, die Einwilligung durch ausdrückliches Opt-in einzuholen. Unter Umständen genüge aber auch eine „konkludente“ Einwilligung. Das ICO empfiehlt den Einsatz von Pop-ups oder Bannern. Außerdem könne die Einwilligung grundsätzlich auch durch eine in den AGBs enthaltene Erklärung eingeholt werden. Die technischen Möglichkeiten der Browser-Einstellungen reichen dagegen nach Ansicht der nationalen Datenschutzbehörde nicht aus.

Irland läßt die Anforderungen offen
Die Richtlinie wurde in Irland mit Wirkung vom 1. Juli 2011 in nationales Recht umgesetzt. Danach müssen Nutzer eindeutige und umfassende Informationen erhalten, insbesondere über den Zweck des jeweiligen Cookies. Diese Informationen sind "deutlich sichtbar und leicht zugänglich" sowie "so nutzerfreundlich wie möglich“ zu gestalten. Ob das Einholen der Einwilligung über Browser-Einstellungen möglich ist, ist dem Gesetz nicht unmittelbar zu entnehmen.

Italiens Datenschutzbehörde erlaubt "vereinfachtes" Opt-in
Die Richtlinie wurde in Italien mit Wirkung vom 1. Juni 2012 in nationales Recht umgesetzt - und zwar sehr wortgetreu. Daraus ergeben sich die Auslegungsprobleme, die der Originaltext der Richtlinie aufweist. Die zuständige Datenschutzbehörde hat jedoch mit ihrer Entscheidung vom 5. Mai 2014 offiziell mitgeteilt, dass ihrer Auffassung nach ein Hinweis ausreichen kann. Das heißt: Auf der Web-Seite muss eine Art Banner platziert sein, der auf einen ausführlichen Informationstext verlinkt. Die Information muss eine Möglichkeit für den Nutzer vorsehen, die Zustimmung zur Nutzung von Cookies zu verweigern. Darüber hinaus ist der Nutzer darüber zu informieren, dass eine Nutzung der Web-Seite ohne diese Weigerung den Einsatz von Cookies zur Folge hat.

Lettlands Rechtslage ist unklar
Lettland hat die Richtlinie durch Änderungen seines Gesetzes über Dienstleistungen der Informationsgesellschaft umgesetzt. Dabei geht das Gesetz jedoch nicht ausdrücklich auf Cookies ein. Irgendwelche offizielle Leitlinien zur Verwendung von Cookies haben die zuständigen Behörden bislang nicht veröffentlicht.

Litauen wählt Opt-in
Litauen hat die Richtlinie durch Ergänzungen des Gesetzes zur elektronischen Kommunikation mit Wirkung vom 01. August 2011 umgesetzt. Die Änderungen fordern, dass die Einwilligung zur Nutzung von Cookies durch Opt-in erfolgen muss. Im Dezember 2011 veröffentlichte die litauische Datenschutzaufsichtsbehörde zudem Empfehlungen darüber, wie eine gesetzeskonforme Einwilligung eingeholt werden kann. Danach soll die Einwilligung durch von Pop-ups oder Banner oder im Rahmen des Registrierungsprozesses auf der Internet-Seite eingeholt werden. Die Anpassung der Browser-Einstellungen stelle hingegen keine wirksame Einwilligung dar, so die Empfehlungen.

Luxemburg wählt Opt-out
Luxemburg implementierte die Richtlinie mit Wirkung zum 1. September 2011 in die nationale Gesetzgebung. Demzufolge ist die Einwilligung des zuvor hinreichend informierten Nutzers notwendig. Diese kann jedoch über entsprechende Browser-oder Anwendungseinstellungen eingeholt werden.

Maltas Datenschutzbehörde bereitet eine Stellungnahme vor
Die E-Privacy Richtlinie wurde mit Wirkung zum .1 Januar 2013 in nationales Recht umgesetzt. Einzelheiten sind jedoch unklar. Die zuständige Datenschutzbehörde bereitet derzeit eine Stellungnahme vor.

Die Niederlande wählen Opt-in
Die Umsetzung der Richtlinie in den Niederlanden erfolgte durch Änderungen des Telekommunikationsgesetzes mit Wirkung vom 5. Juni 2012. Dabei wurden die Regeln für das Setzen von Cookies verschärft. Nutzer müssen nun zuvor eindeutig und vollständig informiert werden sowie ihre Einwilligung erklären. Das kann durch die Nutzung von Bannern, Pop-up-Menüs oder einer Startseite erfolgen, auf der der Nutzer durch Bestätigung einer Tick-box in die Verwendung von Cookies einwilligt. Eine Einwilligung durch Browser-Einstellungen ist rechtlich nicht mehr möglich. Gemäß einer vorgeschlagenen Gesetzesänderung würde aber eine stillschweigende Einwilligung ausreichen.

Norwegen wählt Opt-in
Norwegen hat die Richtlinie mit Wirkung zum 1. Juli 2013 in nationales Recht umgesetzt. Die gesetzlichen Anforderungen an die Nutzung von Cookies sind erfüllt, wenn der Nutzer gut sichtbar auf ihre Nutzung hingewiesen wird. Dies kann durch einen Link im oberen Teil der Web-Seite oder durch ein Pop-up erfolgen. Sind dieses Voraussetzungen erfüllt, genügt das Anpassen der Browser-Einstellungen durch den Nutzer als Zustimmung.

Österreich wählt Opt-in
Österreich hat die E-Privacy Richtlinie mit Ergänzungen des Telekommunikationsgesetzes ("TKG") umgesetzt, die am 22. November 2011 in Kraft getreten sind. Nach dem neuen österreichischen TKG empfiehlt sich der Einsatz einer Pop-Up- oder Click-Through-Vereinbarung ("Opt-in"). Eine Einwilligung durch die Einstellung des Browsers reicht nicht aus, da unter anderem die notwendigen Informationen auf diese Art nicht erteilt werden können.

Polen wählt Opt-in
Polen hat die Richtlinie mit einem Gesetz vom 22. März 2013 in nationales Recht umgesetzt. Eine vorherige Einwilligung des Nutzers ist dort erforderlich. Sie kann auch stillschweigend erteilt werden. Eine Stellungnahme der zuständigen Datenschutzbehörde steht aus.

Portugal hat noch nicht vollständig umgesetzt
Portugal hat die Richtlinie mit dem Gesetz Nr. 46/2012 in nationales Recht umgesetzt. Zwar schreibt das Gesetz keine ausdrückliche Einwilligung vor. Aber es verlangt, dass die Einwilligung im Voraus und auf Grundlage vollständiger Information erfolgen muss.

Rumänien wählt Opt-in
Rumänien hat die E-Cookie-Richtlinie durch Änderung des nationalen Datenschutzgesetzes umgesetzt. Die Nutzung von Cookes hängt demnach davon ab, dass der Besucher der Web-Seite darin eingewilligt hat und gut verständlich in einer nutzerfreundlichen Sprache über den Datenverarbeitungsvorgang und dessen Zwecke informiert wurde. Grundsätzlich ist eine ausdrückliche Einwilligung erforderlich. Eine stillschweigende Einwilligung ist denkbar, wenn der Nutzer die Browser-Einstellungen explizit so angepasst hat, dass Cookies akzeptiert werden.

Schweden - Datenschutzbehörde empfiehlt Opt-in
Der schwedische Gesetzgeber setzte die Richtlinie durch Änderungen des Gesetzes über die elektronische Kommunikation mit Wirkung vom 1. Juli 2011 um. Einzelheiten in Bezug auf die Einwilligungserfordernisse sind umstritten. Die schwedische Regierung vertritt die Ansicht, dass die neuen Normen inhaltlich nichts an den bisherigen Anforderungen ändern und daher Browser-Einstellungen gegebenenfalls ausreichen, um die Einwilligung des Nutzers einzuholen. Im Gegensatz dazu fordert das schwedische "Data Inspection Board", zwischen verschiedenen Arten von Cookies zu unterscheiden. Eine Einwillungserklärung sei nur für solche Cookies nötig, die für andere Zwecke genutzt werden als den Abgleich von Einstellungen auf einer Seite oder den erneuten Aufruf vorangegangener beziehungsweise ähnlicher Anfragen des Nutzers. Nach Ansicht der zuständigen Regulierungsbehörde kann auf die notwendige Einwilligung nicht ohne eine ausdrückliche gesetzliche Grundlage verzichtet werden. An einer solchen fehle es jedoch. Die Klärung dieses Streits hat die schwedische Regierung der Rechtsprechung überlassen.

Slowakei wählt Opt-in
Das neue slowakische Gesetz über die elektronische Kommunikation setzt die Richtlinie mit Wirkung vom 1. November 2011 um. Das Gesetz erkennt die Möglichkeit an, die notwendige Einwilligung über Browser-Einstellungen und andere Anwendungseinstellungen einzuholen. Der Nutzer muss jedoch präzise informiert werden und etwa über ein Pop-up im Voraus einwilligen.

Slowenien wählt Opt-in
Eine Einwilligung setzt nach dem slowenischen Gesetz über elektronische Kommunikation voraus, dass der Nutzer aktiv im Voraus einwilligt.

Spanien wählt Opt-in
Der spanische Gesetzgeber hat die Richtlinie durch eine Gesetzesverordnung umgesetzt, die inzwischen auch vom Parlament ratifiziert wurde. Durch diese Verordnung wurde das spanische Gesetz über Online-Dienstleistungen angepasst. Danach benötigen Unternehmen, die Cookies nutzen, die ausdrückliche Einwilligung des Nutzers, nachdem dieser umfassend insbesondere über den Umfang der erhobenen Daten und den Zweck der Erhebung informiert wurde (Opt-in). Insgesamt besteht bei spanischen Unternehmen jedoch Unsicherheit über die notwendigen Maßnahmen zur Umsetzung der neuen Erfordernisse. Eine offizielle Richtlinie der Datenschutzbehörde gibt es bislang nicht.

Tschechien wählt Opt-out
Der tschechische Gesetzgeber setzte die E-Privacy Richtlinie mit Wirkung zum 1. Januar 2011 durch Änderungen des Gesetzes über elektronische Kommunikation in nationales Recht um. Dabei führte er das Opt-out-Prinzip ein. Anbieter elektronischer Kommunikationsdienstleistungen, die personenbezogene Daten speichern oder Zugang zu bereits gespeicherten Daten erhalten wollen, müssen den Nutzer vor Beginn der Datenerhebung nachweisbar über Umfang und Zweck der Speicherung und Nutzung unterrichten. Der Nutzer muss zudem über die Möglichkeit informiert werden, seine Zustimmung zu verweigern.

Ungarn läßt die Anforderungen offen
Der ungarische Gesetzgeber hat das Gesetz über die Elektronische Kommunikation von 2003 leicht abgeändert. Es verlangt nun die Einwilligung des Nutzers in die Speicherung von und den Zugang zu nutzerbezogenen Informationen, die über elektronische Kommunikationsnetze gewonnen wurden. Bevor er seine Einwilligung erteilt, muss der Nutzer eindeutig und umfassend insbesondere über den Zweck der Datenverarbeitung informiert werden. In der Praxis genügt ungarischen Unternehmen derzeit eine entsprechende Browser-Einstellung. Allerdings wurde diese Vorgehensweise wurde bislang weder von Gerichten noch Behörden bestätigt.

Zypern wählt Opt-in
In Zypern wurde die Richtlinie mit Wirkung vom 18. Mai 2012 umgesetzt. Dabei orientierte sich der Gesetzgeber eng an den Formulierungen der Richtlinie und überließ der Datenschutzbehörde die Klarstellung der Voraussetzungen im Einzelnen. Eine definitiv Klarstellung ist bisher nicht erfolgt.

Nicht-EU-Ausland

Anders verhält es sich, wenn die Hauptniederlassung außerhalb des Anwendungsbereichs der EU-Datenschutzrichtlinie liegt und deshalb nicht von einem harmonisierten Schutzniveau ausgegangen werden darf. Hier gibt das BDSG seine Schutzwirkung nicht so bereitwillig preis. Es gilt dann § 1 Abs. 5 Satz 2 BDSG. Dieser lautet:

"Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. (…)."

Datenverarbeitung "im Inland"

Anknüpfungskriterium ist nach jetzigem Rechtsstand die Datenerhebung, -verarbeitung oder -nutzung "im Inland." Dafür verlangt die EU-Datenschutzrichtlinie in Artikel 4 Absatz 1 Buchstabe c, dass auf im Hoheitsgebiet des betreffenden Mitgliedsstaats belegene, automatisierte oder nicht automatisierte Mittel zurück gegriffen wird. Das kann etwa der Einwahlknoten eines Internetproviders, der Server eines Anbieters, der private PC des Nutzers eines Online-Dienstes oder der darauf installierte Browser sein. Ob und unter welchen Umständen nutzereigene Geräte und Programme als "Mittel" im Sinne des Artikel 4 Absatz Buchstabe c gelten dürfen, ist nicht abschließend geklärt. Bei einigen Internetdiensten ist aber gerade diese Einordnung wesentlich:

Beispiel Datenverarbeitung "im Inland"?: Facebook-Like-Button
Der Facebook-Like-Button ist ein sogenanntes "Social Plug-in" auf Webseiten privater und kommerzieller Betreiber. Die Einbindung des Facebook-Like-Buttons durch den Betreiber einer Webseite löst (bei gleichzeitiger Zuordnung zu einem Faebook-Account des aufrufenden PCs) eine direkte Verbindung und Datentransfer zwischen dessen Browser und den Facebook-Servern aus. Das dafür eingesetzte Mittel, der Browser des Internetnutzers, befindet sich zwar "im Inland", der die Datenverarbeitung steuernde Rechner vermutlich aber nicht.

Was ist ein "Like"-Button?
Soziale Netzwerke wie Facebook und Co. haben einen ungeahnten Hype ausgelöst. Ein Beispiel hierfür ist der "Like-Button" von Facebook. Doch Vorsicht, es lauern rechtliche Stolperfallen.

Facebook bietet den Betreibern externer Website eine einfache Möglichkeit, ihren Internet-Auftritt mit dem sozialen Netzwerk zu verküpfen.

Ein Besucher der jeweiligen Site, der auf diesen Button klickt und gleichzeitig in Facebook eingeloggt ist, bekundet damit seine Sympathie für die Site oder einem bestimmten Produkt.

Diese Sympathiebekundung ist in seinem Profil und für alle seine Facebook-"Freunde" ersichtlich.

Die dazu notwendigen Daten werden mit dem Klick an Facebook übermittelt.

Beispiel Datenverarbeitung "im Inland"?: Facebook Gesichtserkennung
Hierbei werden die Fotos der Nutzer nach biometrischen Kriterien analysiert und entsprechend gespeichert. So kann, wenn die Person auf einem anderen Bild "erkannt" wird, ein entsprechender Markierungsvorschlag erfolgen. Es ist möglich, diese Vorschlagsfunktion abzuschalten, der Analyse der abgebildeten Gesichter und der Speicherung der dabei gesammelten biometrischen Daten kann allerdings derzeit nicht widersprochen werden.

Die von den Nutzern hochgeladenen Bilder befinden sich auf vermutlich global gestreuten Servern, so dass nicht ohne Weiteres feststellbar ist, ob bei der biometrischen Analyse eine Datenverarbeitung "im Inland" erfolgt. An die Server übermittelt werden die Daten aber vom Computer des Nutzers aus.

Die Anwendbarkeit des BDSG zu begründen dürfte den deutschen Datenschutzbehörden schwer fallen, solange Facebook keinen Einblick in die internen Abläufe gewährt. Diese Schwierigkeit suchen sie zu umgehen, indem sie den zweifellos im Inland belegenen PC oder Browser des Nutzers als "Mittel" im Sinne des Artikel 4 Absatz 1 Buchstabe c der Datenschutzrichtlinie qualifizieren, wobei der Bundesdatenschutzbeauftragte Peter Schaar durchaus nicht leicht zu entkräftende Zweifel einräumt.

Neuerungen durch die EU-Datenschutzverordnung

Der im Januar 2012 von der EU-Kommission offiziell vorgestellte Entwurf der geplanten EU-Datenschutzverordnung enthält nun eine Abkehr vom Kriterium des im Inland belegenen Mittels. Er beansprucht nach Artikel 2 Absatz 2 Geltung für die Verarbeitung personenbezogener Daten von innerhalb der EU lebenden Personen, die sich an diese richten oder darauf abzielen, ihr Verhalten zu beobachten, wenn diese Verarbeitung durch eine außerhalb der EU belegene Niederlassung erfolgt. Diese Regelung bezieht sich erkennbar auf die oben dargestellten Dienste. Mit ihrer Verabschiedung würde die Verordnung in der gesamten EU unmittelbar "wie nationales Recht" gelten. Die betreffenden Aktivitäten unterfielen dann dem in der Verordnung normierten Datenschutzrecht. Bis es allerdings so weit ist, gelten weiterhin die EU-Datenschutzrichtlinie und das BDSG.

Verantwortlichkeitsprinzip

Konkretisierend enthält § 1 Abs. 5 BDSG als zweites Kriterium das der Verantwortlichkeit. Eine Stelle ist dann für einen Datenverarbeitungsvorgang verantwortlich, wenn sie die Entscheidungsgewalt darüber hat, also auf das Ob und Wie, über Mittel und Zweck der Datenverarbeitung Einfluss ausübt. Nach der Stellungnahme der Art. 29 Datenschutzgruppe soll in erster Linie die Entscheidungsgewalt hinsichtlich des Zwecks der Datenverarbeitung ausschlaggebend sein.

Beispiel: Google Street View
Für diesen Dienst wurden Straßenzüge mit Häuserfassaden und allem/allen, was sich momentan im Fokus der Kamera befand, aufgenommen. Die Datenerhebung musste also notwendigerweise "im Inland" erfolgen. Die Daten erhob die Google Germany GmbH, die deutsche Tochterfirma des in den USA ansässigen Mutterkonzerns, zum Zwecke der späteren Übermittlung in die USA. Verantwortliche Stelle war bis zur Übermittlung die Google Germany GmbH, denn sie konnte entscheiden, was mit den Daten geschieht. Solange das der Fall war, konnte auch das BDSG Geltung beanspruchen. Dementsprechend versuchte der Bundesrat mit seinem Gesetzesentwurf vom 9.7.2010 vor der Übertragung in die USA Zugriff zu nehmen.

Datenschützer gegen BDSG
Wenn es um vermeintlichen Datenmissbrauch seitens Konzernen wie Facebook und Google geht, sind die Hamburger Datenschützer streng. Doch laut Spiegel Online lag bei der Web-Präsenz der Aufsichtsbehörde selbst monatelang einiges im Argen: Dort wurde ein Tracking-Dienst eingesetzt, der die Nutzerinformationen nicht gesetzeskonform verarbeitet. Die Datenschützer betreiben diesen Service zwar nicht selbst, peinlich ist es trotzdem. Auch Gespräche mit Google über dessen Analyse-Dienst Google Analytics brach die Behörde aus ähnlichen Gründen ab. Die Behörde zog Konsequenzen und ließ die Website vorrübergehend abschalten.

Patientendaten auf der Straße
In Schleswig-Holstein lagerten über Monate, vielleicht sogar Jahre hinweg tausende vertrauliche Patientendaten offen und frei zugänglich auf Servern eines IT-Dienstleisters. Nach Berichten des Landesdatenschützers Thilo Weichert waren Desorganisation und die Nutzung einer handgestrickten Lösung der Grund für die Panne. Der betroffene IT-Dienstleister Rebus betreibt Datenbanken für mehrere soziale Dienste in Deutschland.

Zwölfjährige zum Bund
Die Kieler Nachrichten berichten, dass aufgrund einer Datenpanne im Rathaus Eutin das Kieler Kreiswehrersatzamt 2.300 Minderjährige angeschrieben hat. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr. Der Grund: Die fehlerhaften Daten seien aus dem Eutiner Rathaus an das Kreiswehrersatzamt übermittelt worden. Die Datensätze stammen aus dem Einwohner-Meldesystem. Per Pressemitteilung entschuldigte sich das Rathaus für den Fehler. Ein Datenfenster sei irrtümlich falsch ausgefüllt worden.

Vertrauliche Dateien auf dem Flohmarkt
Laut eines Berichts aus der "Zeit" sind vertrauliche Dokumente der Stadtverwaltung Glücksburg durch eine schwere Panne in falsche Hände geraten. Nach Recherchen des Radiosenders NDR Info fand ein Mann aus Glücksburg die Daten offenbar auf Festplatten und Servern, die er nach eigenen Angaben auf einem Flohmarkt erworben hatte. Die Verwaltung habe den Flohmarkt selbst organisiert, weil sie in ein neues Rathaus gezogen sei. Interessierte Bürger konnten deshalb das alte Inventar erwerben.

Niederlassung in der EU genügt allein nicht

Das Kriterium der Verantwortlichkeit schränkt das oben erläuterte Niederlassungsprinzip ein. So ist nicht allein deshalb zu schlussfolgern, dass Facebook irischem Datenschutzrecht mit europäischem Schutzstandard unterliegt, weil der Konzern dort eine Niederlassung unterhält. Umgekehrt darf aber auch nicht davon ausgegangen werden, dass die irische Niederlassung als bloße Abrechnungsstelle keinerlei Einfluss auf Datenverarbeitungsvorgänge nimmt. Nur wenn diese EU-Niederlassung die jeweilige datenschutzrelevante Aktivität in eigener Verantwortung vornimmt, gilt auch das Datenschutzrecht des Mitgliedsstaats, in dem sie sich befindet.

Beispiele Verantwortlichkeitsprinzip: Facebook-Like-Button
Eine andere Frage ist die der datenschutzrechtlichen Verantwortlichkeit. Diese wird beim Einsatz des Facebook-Like-Buttons neben Facebook zum Beispiel durch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein auch dem Webseitenbetreiber zugeschrieben, da er den Quellcode des Buttons in seine Webseite eingebunden hat. Mit dieser Argumentation forderte das ULD im Herbst 2011 die in Schleswig-Holstein ansässigen Webseitenbetreiber auf, den Button zu entfernen, da über § 3 Abs. 1 TMG auch deutsche Rechtsvorgaben zu beachten seien. Gegen die Verantwortlichkeit des Webseitenbetreibers wird unter anderem eingewandt, dass dieser keinerlei Einfluss darauf habe, wann und in welchem Umfang die Erhebung welcher Daten erfolge und diese Entscheidung letztlich bei Facebook liege. Eine verlässliche Entscheidung zu den streitigen Fragen existiert bislang nicht. Zur datenschutzkonformen Anpassung des Facebook-Like-Buttons finden Sie hier weitere Informationen.

Beispiel Verantwortlichkeitsprinzip: Google Analytics
Auch bei dem Webanalyse-Dienst Google Analytics fällt die grundsätzliche Entscheidung für die Erhebung der Daten zum Zweck der Übermittlung an Google durch den inländischen Betreiber der Webseite. Dass er über den genauen Zeitpunkt und Umfang nicht Bescheid weiß, ändert daran nichts. Im Unterschied zum Facebook-Like-Button ist für den Besucher hier überhaupt keine Verbindung zu Google zu erkennen. Er ist sich beim Besuch der Webseite zu keinem Zeitpunkt darüber im Klaren, dass sein Verhalten aufgezeichnet wird. Damit entscheidet der Webseitenbetreiber über den Zweck der Übermittlung an Google und ist daher nach der Definition der Artikel 29-Datenschutzgruppe insoweit als "verantwortliche Stelle" anzusehen.

Geteilte Verantwortung

Die Verantwortlichkeit des Webseitenbetreibers schließt diejenige von Facebook oder Google aber nicht aus. Ob allerdings im Falle von Facebook nach § 1 Abs. 5 S. 1 BDSG irisches oder nach § 1 Abs. 5 S. 2 BDSG deutsches Datenschutzrecht Anwendung findet, hängt davon ab, ob der US-amerikanische Mutterkonzern oder die irische Zweigniederlassung verantwortlich für die durch den Button ausgelösten Datenverarbeitungsvorgänge sind. Den deutschen Datenschutzbehörden ist es bislang nicht gelungen, sich hierüber Klarheit zu verschaffen.

Differenzierte Betrachtung erforderlich

Eine pauschale Aussage zur Anwendbarkeit des BDSG auf Online-Dienste ist nach derzeitiger Rechtslage nicht möglich. Vielmehr muss diese Frage für jeden Einzelfall geklärt werden. Nach der geplanten EU-Datenschutzverordnung wird zumindest eine Untersuchung notwendig sein, ob Hinweise darauf bestehen, dass sich ein Angebot beispielsweise an deutsche Nutzer richtet. Dabei wird u.a. auf die Sprache, die Top Level Domain ".de" oder Werbung für inländische Unternehmen abzustellen sein.

Fazit

Der internationale Anwendungsbereich des BDSG hängt nach der momentanen Rechtslage stark vom Einzelfall ab und stößt in der Praxis insbesondere hinsichtlich der Durchsetzbarkeit schnell auf Grenzen. Die geplante EU-Datenschutzverordnung beabsichtigt insbesondere hinsichtlich der Durchsetzbarkeit eine Verschärfung auf europäischer Ebene, wenngleich offen ist, ob die Vorstellungen der europäischen Verwaltung in Anbetracht einer globalisierten Datenwelt und eines dynamischen Nutzerverhaltens einen praxisgerechten Weg vorgeben. (oe)

Kontakt:

Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter. Karola Berger ist Juristin (univ.) und Mitarbeiterin im IITR.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de