Datenschutz im Web 2.0

Wann gilt das Bundesdatenschutzgesetz

09.11.2012
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Inwieweit das deutsche Datenschutzgesetz im internationalen Anwendungsbereich gilt, erklären Dr. Sebastian Kraska und Karola Berger.
Deutscher Datenschutz auch in international agierenden Unternehmen? Eine spannende Frage.
Deutscher Datenschutz auch in international agierenden Unternehmen? Eine spannende Frage.
Foto: XtravaganT, Fotolia.de

Beinahe jede Neuerscheinung im Web 2.0 wird auch auf den datenschutzrechtlichen Prüfstand gestellt. Den Maßstab bildet in aller Regel das deutsche Bundesdatenschutzgesetz ("BDSG"). Nicht immer zu Recht, wenn die Verantwortlichen im Ausland sitzen. Der folgende Beitrag stellt einige grundlegende Überlegungen zum internationalen Anwendungsbereich des Bundesdatenschutzgesetzes an.

Kollisionsnorm

Keineswegs findet das BDSG auf alle Online-Aktivitäten deutscher Internet-Nutzer Anwendung. Vielmehr kommt es darauf an, wer den jeweiligen Datenverarbeitungsvorgang veranlasst. Ist die so genannte "verantwortliche Stelle" im Ausland belegen, so gilt je nachdem, ob es sich um EU- oder Nicht-EU-Ausland handelt, § 1 Abs. 5 S. 1 oder S. 2 BDSG. § 1 Abs. 5 BDSG ist dabei eine so genannte "Kollisionsnorm". Die Vorschrift regelt, welches nationale Recht auf einen grenzüberschreitenden Sachverhalt anzuwenden ist, wenn also mehrere Rechtsordnungen "kollidieren."

Anknüpfungspunkt Niederlassung

Existiert eine deutsche Niederlassung eines Unternehmens, dessen Hauptsitz sich innerhalb der EU befindet, und geht die Datenerhebung, -verarbeitung oder -nutzung von dieser Niederlassung aus, so findet das BDSG Anwendung. Im Übrigen jedoch nicht.

Den Inhalt des § 1 Abs. 5 BDSG gibt die EU-Datenschutzrichtlinie vor. In der Konsequenz heißt das, dass es im nationalen Datenschutzrecht eines jeden Mitgliedsstaates eine ähnlich lautende Kollisionsnorm geben muss. Denn die europäischen Richtlinien verpflichten die EU-Mitgliedsstaaten dazu, die enthaltenen Vorgaben im Rahmen der jeweiligen Richtlinie umzusetzen.

Angeglichene Datenschutzstandards in der EU

Hinter § 1 Abs. 5 Satz 1 BDSG steht der Gedanke, dass es innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie keinen Unterschied machen dürfe, welches nationale Datenschutzrecht auf den Einzelfall Anwendung findet, weil dieses aufgrund der für alle EU-Mitgliedsstaaten verpflichtenden Wirkung der EU-Datenschutzrichtlinie ohnehin weitgehend harmonisiert ist und es nur gilt, Kollisionen verschiedener nationaler Datenschutzgesetze mit annähernd gleichem Schutzniveau zu vermeiden.

Nicht-EU-Ausland

Anders verhält es sich, wenn die Hauptniederlassung außerhalb des Anwendungsbereichs der EU-Datenschutzrichtlinie liegt und deshalb nicht von einem harmonisierten Schutzniveau ausgegangen werden darf. Hier gibt das BDSG seine Schutzwirkung nicht so bereitwillig preis. Es gilt dann § 1 Abs. 5 Satz 2 BDSG. Dieser lautet:

"Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. (…)."

Datenverarbeitung "im Inland"

Anknüpfungskriterium ist nach jetzigem Rechtsstand die Datenerhebung, -verarbeitung oder -nutzung "im Inland." Dafür verlangt die EU-Datenschutzrichtlinie in Artikel 4 Absatz 1 Buchstabe c, dass auf im Hoheitsgebiet des betreffenden Mitgliedsstaats belegene, automatisierte oder nicht automatisierte Mittel zurück gegriffen wird. Das kann etwa der Einwahlknoten eines Internetproviders, der Server eines Anbieters, der private PC des Nutzers eines Online-Dienstes oder der darauf installierte Browser sein. Ob und unter welchen Umständen nutzereigene Geräte und Programme als "Mittel" im Sinne des Artikel 4 Absatz Buchstabe c gelten dürfen, ist nicht abschließend geklärt. Bei einigen Internetdiensten ist aber gerade diese Einordnung wesentlich:

Beispiel Datenverarbeitung "im Inland"?: Facebook-Like-Button
Der Facebook-Like-Button ist ein sogenanntes "Social Plug-in" auf Webseiten privater und kommerzieller Betreiber. Die Einbindung des Facebook-Like-Buttons durch den Betreiber einer Webseite löst (bei gleichzeitiger Zuordnung zu einem Faebook-Account des aufrufenden PCs) eine direkte Verbindung und Datentransfer zwischen dessen Browser und den Facebook-Servern aus. Das dafür eingesetzte Mittel, der Browser des Internetnutzers, befindet sich zwar "im Inland", der die Datenverarbeitung steuernde Rechner vermutlich aber nicht.

Beispiel Datenverarbeitung "im Inland"?: Facebook Gesichtserkennung
Hierbei werden die Fotos der Nutzer nach biometrischen Kriterien analysiert und entsprechend gespeichert. So kann, wenn die Person auf einem anderen Bild "erkannt" wird, ein entsprechender Markierungsvorschlag erfolgen. Es ist möglich, diese Vorschlagsfunktion abzuschalten, der Analyse der abgebildeten Gesichter und der Speicherung der dabei gesammelten biometrischen Daten kann allerdings derzeit nicht widersprochen werden.

Die von den Nutzern hochgeladenen Bilder befinden sich auf vermutlich global gestreuten Servern, so dass nicht ohne Weiteres feststellbar ist, ob bei der biometrischen Analyse eine Datenverarbeitung "im Inland" erfolgt. An die Server übermittelt werden die Daten aber vom Computer des Nutzers aus.

Die Anwendbarkeit des BDSG zu begründen dürfte den deutschen Datenschutzbehörden schwer fallen, solange Facebook keinen Einblick in die internen Abläufe gewährt. Diese Schwierigkeit suchen sie zu umgehen, indem sie den zweifellos im Inland belegenen PC oder Browser des Nutzers als "Mittel" im Sinne des Artikel 4 Absatz 1 Buchstabe c der Datenschutzrichtlinie qualifizieren, wobei der Bundesdatenschutzbeauftragte Peter Schaar durchaus nicht leicht zu entkräftende Zweifel einräumt.

Neuerungen durch die EU-Datenschutzverordnung

Der im Januar 2012 von der EU-Kommission offiziell vorgestellte Entwurf der geplanten EU-Datenschutzverordnung enthält nun eine Abkehr vom Kriterium des im Inland belegenen Mittels. Er beansprucht nach Artikel 2 Absatz 2 Geltung für die Verarbeitung personenbezogener Daten von innerhalb der EU lebenden Personen, die sich an diese richten oder darauf abzielen, ihr Verhalten zu beobachten, wenn diese Verarbeitung durch eine außerhalb der EU belegene Niederlassung erfolgt. Diese Regelung bezieht sich erkennbar auf die oben dargestellten Dienste. Mit ihrer Verabschiedung würde die Verordnung in der gesamten EU unmittelbar "wie nationales Recht" gelten. Die betreffenden Aktivitäten unterfielen dann dem in der Verordnung normierten Datenschutzrecht. Bis es allerdings so weit ist, gelten weiterhin die EU-Datenschutzrichtlinie und das BDSG.