Verantwortlichkeitsprinzip
Konkretisierend enthält § 1 Abs. 5 BDSG als zweites Kriterium das der Verantwortlichkeit. Eine Stelle ist dann für einen Datenverarbeitungsvorgang verantwortlich, wenn sie die Entscheidungsgewalt darüber hat, also auf das Ob und Wie, über Mittel und Zweck der Datenverarbeitung Einfluss ausübt. Nach der Stellungnahme der Art. 29 Datenschutzgruppe soll in erster Linie die Entscheidungsgewalt hinsichtlich des Zwecks der Datenverarbeitung ausschlaggebend sein.
Beispiel: Google Street View
Für diesen Dienst wurden Straßenzüge mit Häuserfassaden und allem/allen, was sich momentan im Fokus der Kamera befand, aufgenommen. Die Datenerhebung musste also notwendigerweise "im Inland" erfolgen. Die Daten erhob die Google Germany GmbH, die deutsche Tochterfirma des in den USA ansässigen Mutterkonzerns, zum Zwecke der späteren Übermittlung in die USA. Verantwortliche Stelle war bis zur Übermittlung die Google Germany GmbH, denn sie konnte entscheiden, was mit den Daten geschieht. Solange das der Fall war, konnte auch das BDSG Geltung beanspruchen. Dementsprechend versuchte der Bundesrat mit seinem Gesetzesentwurf vom 9.7.2010 vor der Übertragung in die USA Zugriff zu nehmen.
- Datenschützer gegen BDSG
Wenn es um vermeintlichen Datenmissbrauch seitens Konzernen wie Facebook und Google geht, sind die Hamburger Datenschützer streng. Doch laut Spiegel Online lag bei der Web-Präsenz der Aufsichtsbehörde selbst monatelang einiges im Argen: Dort wurde ein Tracking-Dienst eingesetzt, der die Nutzerinformationen nicht gesetzeskonform verarbeitet. Die Datenschützer betreiben diesen Service zwar nicht selbst, peinlich ist es trotzdem. Auch Gespräche mit Google über dessen Analyse-Dienst Google Analytics brach die Behörde aus ähnlichen Gründen ab. Die Behörde zog Konsequenzen und ließ die Website vorrübergehend abschalten. - Patientendaten auf der Straße
In Schleswig-Holstein lagerten über Monate, vielleicht sogar Jahre hinweg tausende vertrauliche Patientendaten offen und frei zugänglich auf Servern eines IT-Dienstleisters. Nach Berichten des Landesdatenschützers Thilo Weichert waren Desorganisation und die Nutzung einer handgestrickten Lösung der Grund für die Panne. Der betroffene IT-Dienstleister Rebus betreibt Datenbanken für mehrere soziale Dienste in Deutschland. - Zwölfjährige zum Bund
Die Kieler Nachrichten berichten, dass aufgrund einer Datenpanne im Rathaus Eutin das Kieler Kreiswehrersatzamt 2.300 Minderjährige angeschrieben hat. Inhalt des Postanschreibens: Werbung für eine Karriere bei der Bundeswehr. Der Grund: Die fehlerhaften Daten seien aus dem Eutiner Rathaus an das Kreiswehrersatzamt übermittelt worden. Die Datensätze stammen aus dem Einwohner-Meldesystem. Per Pressemitteilung entschuldigte sich das Rathaus für den Fehler. Ein Datenfenster sei irrtümlich falsch ausgefüllt worden. - Vertrauliche Dateien auf dem Flohmarkt
Laut eines Berichts aus der "Zeit" sind vertrauliche Dokumente der Stadtverwaltung Glücksburg durch eine schwere Panne in falsche Hände geraten. Nach Recherchen des Radiosenders NDR Info fand ein Mann aus Glücksburg die Daten offenbar auf Festplatten und Servern, die er nach eigenen Angaben auf einem Flohmarkt erworben hatte. Die Verwaltung habe den Flohmarkt selbst organisiert, weil sie in ein neues Rathaus gezogen sei. Interessierte Bürger konnten deshalb das alte Inventar erwerben.
Niederlassung in der EU genügt allein nicht
Das Kriterium der Verantwortlichkeit schränkt das oben erläuterte Niederlassungsprinzip ein. So ist nicht allein deshalb zu schlussfolgern, dass Facebook irischem Datenschutzrecht mit europäischem Schutzstandard unterliegt, weil der Konzern dort eine Niederlassung unterhält. Umgekehrt darf aber auch nicht davon ausgegangen werden, dass die irische Niederlassung als bloße Abrechnungsstelle keinerlei Einfluss auf Datenverarbeitungsvorgänge nimmt. Nur wenn diese EU-Niederlassung die jeweilige datenschutzrelevante Aktivität in eigener Verantwortung vornimmt, gilt auch das Datenschutzrecht des Mitgliedsstaats, in dem sie sich befindet.
Beispiele Verantwortlichkeitsprinzip: Facebook-Like-Button
Eine andere Frage ist die der datenschutzrechtlichen Verantwortlichkeit. Diese wird beim Einsatz des Facebook-Like-Buttons neben Facebook zum Beispiel durch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein auch dem Webseitenbetreiber zugeschrieben, da er den Quellcode des Buttons in seine Webseite eingebunden hat. Mit dieser Argumentation forderte das ULD im Herbst 2011 die in Schleswig-Holstein ansässigen Webseitenbetreiber auf, den Button zu entfernen, da über § 3 Abs. 1 TMG auch deutsche Rechtsvorgaben zu beachten seien. Gegen die Verantwortlichkeit des Webseitenbetreibers wird unter anderem eingewandt, dass dieser keinerlei Einfluss darauf habe, wann und in welchem Umfang die Erhebung welcher Daten erfolge und diese Entscheidung letztlich bei Facebook liege. Eine verlässliche Entscheidung zu den streitigen Fragen existiert bislang nicht. Zur datenschutzkonformen Anpassung des Facebook-Like-Buttons finden Sie hier weitere Informationen.
Beispiel Verantwortlichkeitsprinzip: Google Analytics
Auch bei dem Webanalyse-Dienst Google Analytics fällt die grundsätzliche Entscheidung für die Erhebung der Daten zum Zweck der Übermittlung an Google durch den inländischen Betreiber der Webseite. Dass er über den genauen Zeitpunkt und Umfang nicht Bescheid weiß, ändert daran nichts. Im Unterschied zum Facebook-Like-Button ist für den Besucher hier überhaupt keine Verbindung zu Google zu erkennen. Er ist sich beim Besuch der Webseite zu keinem Zeitpunkt darüber im Klaren, dass sein Verhalten aufgezeichnet wird. Damit entscheidet der Webseitenbetreiber über den Zweck der Übermittlung an Google und ist daher nach der Definition der Artikel 29-Datenschutzgruppe insoweit als "verantwortliche Stelle" anzusehen.
Geteilte Verantwortung
Die Verantwortlichkeit des Webseitenbetreibers schließt diejenige von Facebook oder Google aber nicht aus. Ob allerdings im Falle von Facebook nach § 1 Abs. 5 S. 1 BDSG irisches oder nach § 1 Abs. 5 S. 2 BDSG deutsches Datenschutzrecht Anwendung findet, hängt davon ab, ob der US-amerikanische Mutterkonzern oder die irische Zweigniederlassung verantwortlich für die durch den Button ausgelösten Datenverarbeitungsvorgänge sind. Den deutschen Datenschutzbehörden ist es bislang nicht gelungen, sich hierüber Klarheit zu verschaffen.
Differenzierte Betrachtung erforderlich
Eine pauschale Aussage zur Anwendbarkeit des BDSG auf Online-Dienste ist nach derzeitiger Rechtslage nicht möglich. Vielmehr muss diese Frage für jeden Einzelfall geklärt werden. Nach der geplanten EU-Datenschutzverordnung wird zumindest eine Untersuchung notwendig sein, ob Hinweise darauf bestehen, dass sich ein Angebot beispielsweise an deutsche Nutzer richtet. Dabei wird u.a. auf die Sprache, die Top Level Domain ".de" oder Werbung für inländische Unternehmen abzustellen sein.
Fazit
Der internationale Anwendungsbereich des BDSG hängt nach der momentanen Rechtslage stark vom Einzelfall ab und stößt in der Praxis insbesondere hinsichtlich der Durchsetzbarkeit schnell auf Grenzen. Die geplante EU-Datenschutzverordnung beabsichtigt insbesondere hinsichtlich der Durchsetzbarkeit eine Verschärfung auf europäischer Ebene, wenngleich offen ist, ob die Vorstellungen der europäischen Verwaltung in Anbetracht einer globalisierten Datenwelt und eines dynamischen Nutzerverhaltens einen praxisgerechten Weg vorgeben. (oe)
Kontakt:
Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter. Karola Berger ist Juristin (univ.) und Mitarbeiterin im IITR.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de