BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

§ 1 Zweck und Anwendungsbereich des Gesetzes

Absatz 5 Text

(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt.

Kollisionsvermeidungsnorm im Verhältnis zu Drittstaaten (Sätze 2 bis 4)

Nach Satz 2 ist das BDSG anzuwenden, wenn eine verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, die nicht in einem Mitgliedstaat der Union oder in einem EWR-Staat (EU/EWR-Staat) angesiedelt ist. Im Verhältnis zu Drittstaaten stellt das Gesetz das Schutzbedürfnis der Betroffenen in den Vordergrund. Das deutsche Gesetz wird für anwendbar erklärt, weil sonst ein verminderter Schutz oder ein schutzloser Zustand eintreten könnte. Ob dies tatsächlich der Fall wäre, ist dem Gesetz gleichgültig. Auch verantwortliche Stellen in Staaten, deren Schutzniveau von der EU-Kommission als adäquat anerkannt worden ist, fallen unter die Regelung. Ebenso wenig spielt es eine Rolle, ob der Sitz im Drittstaat in der Absicht gewählt wurde, der Anwendung des deutschen Gesetzes zu entgehen („forum shopping“). Ist der gesetzliche Tatbestand gegeben, findet „dieses Gesetz“ Anwendung, d.h. alle seine Bestimmungen, soweit nur ihre jeweiligen Voraussetzungen erfüllt sind. Praktisch besonders wichtig sind die Pflichten zur Information des Betroffenen und dessen Auskunfts , Berichtigungs- und Löschungsrechte.

Satz 2 regelt, ebenso wie Satz 1, nur das anwendbare Recht, nicht die internationale aufsichtsbehördliche Zuständigkeit oder den internationalen Gerichtsstand.

Die Regelung entspricht dem Territorialprinzip. Als Spezialregelung bewirkt sie, dass die Vorschriften des zweiten Kapitels des ersten Teils des EGBGB zum internationalen Privatrecht verdrängt werden. Die dort bestehende Möglichkeit, für die Bestimmung des anwendbaren Rechts an andere Gesichtspunkte anzuknüpfen, wie etwa die sprachliche und thematische Ausrichtung einer Website auf das deutsche Publikum, entfällt damit.

Soweit privatrechtliche Ansprüche wegen unerlaubter Handlung aus dem widerrechtlichen Umgang mit personenbezogenen Daten nicht aus dem BDSG folgen, richtet sich das anwendbare Recht nach dem allgemeinen Deliktsstatut. Danach ist der Geschäftssitz der verantwortlichen Stelle maßgeblich; auf Verlangen des Verletzten ist das Recht desjenigen Staates anzuwenden, in dem der Verletzungserfolg eingetreten ist.


Rückgriff auf Mittel

Die Richtlinie verlangt die Anwendung des nationalen Rechts des Mitgliedstaates nur dann, wenn der im Drittland angesiedelte Verantwortliche „zum Zweck der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind“. Diese Spezifizierung hat der deutsche Gesetzgeber nicht übernommen. Nach den Grundsätzen der richtlinienkonformen Auslegung ist sie dennoch verbindlich. Sie ist in den Satz 2 hineinzulesen.

Die Richtlinie will mit dieser Regelung verhindern, dass die Betroffenen den Schutz dadurch verlieren oder nicht erhalten, indem ausländische Stellen zwar Stützpunkte zur Verarbeitung von Daten im EU-/EWR-Raum unterhalten, diese aber im Zuge fortschreitender Automatisierung „unbemannt“ gestalten, z.B. in Form technischer Einrichtungen, die sie von außerhalb steuern. Diese technische Präsenz in Europa ist Legitimation und Bedingung des Einbezugs in die europäische Regelung. Eine (unerwünschte) Weltregelung wird so vermieden.

Satz 2 fordert zunächst, dass Daten im Inland erhoben, verarbeitet oder genutzt werden, und zwar durch eine in einem Drittland angesiedelte verantwortliche Stelle. Diese muss über die Mittel und Zwecke der Verarbeitung entscheiden können oder zumindest steuernden Einfluss auf diese haben. Eine mindere Form der Mitwirkung oder Beteiligung genügt nicht. Zu beachten sind die einschlägigen Legaldefinitionen. Typisches Beispiel ist die Verarbeitung in einem in Deutschland belegenen EDV-System. Die zivilrechtliche Zuordnung der Hardware ist dabei ohne Belang. Es genügt der bestimmende Einfluss auf die Software, wie etwa bei gehosteten Anwendungen. Die Administration kann unmittelbar („eigenhändig“) durch die verantwortliche Stelle erfolgen oder entsprechend ihren Weisungen durch andere.


Sonderfall: Erhebung

Daten können beim Betroffenen oder bei einem Dritten erhoben werden. In beiden Fällen ist zu beachten, dass die die Daten erhebende Stelle nur für ihren eigenen Anteil an der Interaktion die Verantwortung trägt und damit als verantwortliche Stelle in die gesetzliche Pflicht genommen wird. Komplementär dazu besteht im erstgenannten Fall die Verantwortung des Dritten, der dann als übermittelnde Stelle (auch) verantwortliche Stelle im Sinne des Gesetzes ist. Diese Verantwortungsaufteilung ist für öffentliche Stellen vom Gesetz ausdrücklich angeordnet, ist aber Ausdruck eines allgemeines Prinzips. In entsprechender Weise ist die Abgrenzung der Verantwortung auch im Verhältnis zum Betroffenen vorzunehmen, der Informationen über sich preisgibt.

Füllt daher beispielsweise der Benutzer einer über das Internet zugänglichen Website, die auf einem in einem Drittland belegenen Server liegt, auf entsprechende Anforderung ein Anmeldeformular aus, so ist in Bezug auf die Ausfüllung der Anbieter nicht als verantwortliche Stelle anzusehen. Er bietet lediglich den Nutzern an, seine Website aufzusuchen und nach eigenem Gutdünken Daten zu seiner Person an die Website zu senden. Der Anbieter bestimmt zwar die Form der Dateneingabe, dagegen liegt die Entscheidung, ob, wann und welche Daten übergeben werden sollen, allein beim Benutzer. Dies ist auch dann der Fall, wenn die Nutzung der Website nur nach Registrierung möglich ist. Eine Erhebung, bei der der Anbieter als verantwortliche Stelle agiert, ist darin nicht zu sehen, da dieser keine Vorstellung davon und keinen Einfluss darauf hat, wer wann mit welchen Daten von seinem weltweit zur Verfügung stehenden Angebot Gebrauch machen wird. Ein Rückgriff des Anbieters auf den PC des Benutzers im Sinne des Art. 4 Abs. 1 Buchstabe c liegt darin nicht.

Auch bei der „manuellen“ Erhebung durch Zusendung von Erhebungsformularen oder Fragebögen durch (persönlich adressiertes) Direktmarketing kommt Satz 2 nicht zur Anwendung.


Sonderfall: Fremde Mittel

Ein Rückgriff auf Mittel des Benutzers liegt demgegenüber vor, wenn dieser nicht zu einer autonomen Entscheidung aufgefordert, sondern sein DV-System ohne sein Wissen oder Wollen für fremde Zwecke funktionalisiert wird. So etwa, wenn eine im Drittland angesiedelte verantwortliche Stelle auf dem PC oder Smartphone eines Betroffenen in Deutschland ein Programm/App auf installiert, welches ihr oder Dritten in der Folgezeit Daten über die Installation des Gerätes oder installierter Software oder über Aktivitäten des Benutzers übermitteln sollen, ohne dass dies vom Betroffenen selbst durch eigene Entscheidung in Kenntnis der Tragweite veranlasst worden ist. Dienen solche Programme der heimlichen Datenbeschaffung, werden sie als „spyware“ bezeichnet. Zu beachten ist insbesondere Software, die von einem Anbieter an das Gerät eines Betroffenen gesendet werden und dort Verarbeitungsschritte auslöst, durch die personenbezogene Daten des Betroffenen dem Anbieter oder Dritten bekannt werden. Beispiele der Indienstnahme von Gerätefunktionen durch Außenstehende, die von einem Drittland aus operieren können, sind Viren, Würmer und Trojanische Pferde. Auf diese Verarbeitungsvorgänge ist deutsches Recht anwendbar, da die verantwortliche Stelle im Drittland für ihre Verarbeitungsaktivitäten auf Elemente der Hard- und Software eines in Deutschland belegenen Gerätes zurückgreift.

Durch das Setzen und spätere Lesen von Cookies werden zwar keine aktiven Programme, wohl aber auch Daten gespeichert, damit die Programme des Anbieters bei nachfolgenden Sessionen des gleichen Benutzers darauf zurückgreifen und ihn individuell im Hinblick auf seine Präferenzen und Attitüden behandeln können. Typischerweise kennzeichnen Cookies Elemente des Nutzerverhaltens wie besuchte Seiten nach Uhrzeit, Dauer und Ablauf, woraus sich durch fortgesetzte Verknüpfung aussagekräftige Profile ergeben können. Die Identifizierbarkeit des Benutzers ist für den Anbieter oft zunächst nur latent gegeben, realisiert sich aber, sobald der Benutzer sich erstmals selbst identifiziert. Da er dabei regelmäßig nicht an diese Nebenfolge denkt und insoweit auch gegenüber dem Anbieter keine datenschutzrelevante Verfügung trifft, ist die gesamte Verarbeitung und Nutzung der Cookies dem Anbieter als verantwortlicher Stelle zuzurechnen. Auch hier liegt ein Rückgriff auf Verarbeitungsmittel im deutschen Territorium und damit ein Fall der Anwendbarkeit des BDSG vor. Eine andere Beurteilung ist nur möglich, wenn die Verarbeitung von Cookies so angelegt wird, dass sie ein Mittel für Zwecke des Benutzers sind, deren Steuerung vollkommen in seiner Hand liegt. Mit modernen Browsern kann der Benutzer die Annahme von Cookies, wenn auch nur nach recht pauschalen Kriterien, steuern und Cookies jederzeit insgesamt oder einzeln löschen.


Nach Artikel 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikationsdienste („ePrivacy Directive“) haben die Mitgliedstaaten sicherzustellen, "dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Diese auf cookies gemünzte Vorschrift ist noch nicht in das Telemediengesetz umgesetzt (Stand Juli 2012).

Sind verdeckt oder verschlüsselt auf Erhebungsformularen individuelle Merkmale versteckt , etwa Angaben zum Konsumverhalten, die aus der verwendeten Adressenkategorie stammen, so wird auch bei „manueller“ Datenerhebung der Betroffene mitunter als Werkzeug instrumentalisiert In diesem Falle greift die erhebende Stelle auf das Mittel des „gezinkten“ Fragebogens zurück und Satz 2 ist anwendbar.

Bei der Nutzung von Telekommunikationseinrichtungen in Deutschland von einem Drittland aus ist danach zu unterscheiden, in welcher Rolle dieses Mittel genutzt wird. Die Benutzung eines Kommunikationsnetzes als Kunde oder sonst außenstehender Nutzer vermittelt (hinsichtlich der kommunizierten Daten) keine Verfügung über dieses Mittel; es fehlt der bestimmende Einfluss auf Inhalt und Zweck des Datenumgangs im Rahmen der Steuerung der Netzwerkaktivitäten. Der Nutzer nimmt nur eine ihm vom Netzbetreiber angebotene Dienstleistung entgegen. Die von ihm ausgehende Aktivität entfaltet zwar Wirkungen auf deutschem Territorium, diese sind aber von ihrem Urheber dort nicht weiter beeinflussbar. Ein im Drittland niedergelassener Netzbetreiber kann aber aus dem Ausland die Möglichkeiten der Steuerung des Betriebs und der Administration (Fernwartung, Remote Betrieb) besitzen, die in Bezug auf die dort verwalteten Daten (Nutzungs- und Abrechnungsdaten, keine Inhaltsdaten) die Anwendung des Satzes 2 rechtfertigen.


Eine Auftragsverarbeitung durch ein im Inland ansässiges Serviceunternehmen für einen Auftraggeber im Drittland führt nicht zur Anwendung der für verantwortliche Stellen geltenden Vorschriften des BDSG. Für den Auftragsverarbeiter gilt das auch bei Aufträgen aus dem Inland und dem EU/EWR-Raum geltende Recht. Auf den Auftraggeber wird das BDSG nicht erstreckt, weil er zwar die Art der Verarbeitung bestimmt, aber nicht selbst auf die technischen Mittel des Dienstleisters zugreift. Die inländische Verarbeitung ist seinen im Drittland stattfindenden Aktivitäten zuzurechnen.


Inlandsvertreter (Satz 3)

Nach Satz 3 hat die verantwortliche Stelle „auch Angaben über im Inland ansässige Vertreter zu machen“. Die Figur des Inlandsvertreters ist auch aus anderen Rechtsgebieten bekannt. Die Vorschrift dient der Umsetzung des Art. 4 Abs. 2 der EG-Datenschutzrichtlinie. Gemeint ist daher, dass zunächst ein Inlandsvertreter zu bestellen ist.

Ein Mangel hinsichtlich des Umfangs der Umsetzung ist darin zu sehen, dass die Verpflichtung, enger als die Richtlinie, nur greift, „soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist“. Hierunter fallen

  • die Verpflichtung zur Meldung bei der Aufsichtsbehörde nach § 4d
  • die Verpflichtung, bei optisch-elektronischer Beobachtung die verantwortliche Stelle erkennbar zu machen und
  • die Unterrichtung des Betroffenen über die Identität der verantwortlichen Stelle bei der Datenerhebung

Die Einrichtung des Inlandsvertreters soll der leichteren Rechtsdurchsetzung dienen, insbesondere weil die Aufsichtsbehörde mit ihm kommunizieren kann, ohne sich mit territorialen Grenzen auseinander setzen zu müssen. Auch Betroffene können sich an den Inlandsvertreter wenden, um ihre Rechte gegenüber der verantwortlichen Stelle geltend zu machen.

Eine Sanktion bei fehlender Bestellung, wie im Falle des Beauftragten für den Datenschutz, ist nicht vorgesehen.

Der Inlandsvertreter kann auch eine juristische Person sein. Wesentlich sind der ihn identifizierende Name und eine Zustellanschrift. Keine grundsätzlichen Bedenken bestehen auch dagegen, die gleiche Person als Inlandsvertreter für mehrere Mitgliedstaaten oder seitens mehrerer verantwortlicher Stellen zu bestellen, solange sie für ihre Aufgabe nicht ungeeignet ist. Sie muss insbesondere bereit und in der Lage sein, auf Anforderungen der Aufsichtsbehörden oder Betroffener einzugehen.

Die Bestellung und Benennung des Inlandsvertreters ist keine Bedingung der Zulässigkeit des Datenumgangs. Die Aufsichtsbehörden können jedoch bei versäumter Bestellung einen Verstoß gegen § 1 Abs. 5 Satz 3 BDSG feststellen und ihre Befugnisse nach § 38 ausüben. Die zwangsweise Durchsetzung ist infolge der territorialen Kompetenzgrenzen schwierig.


Transit (Satz 4)

Als Ausnahme von Satz 2 und 3 nimmt Satz 4 die Fälle des bloßen Transits, den von eine Stelle eines Drittlands durch das Bundesgebiet vornimmt, von der Anwendung des BDSG aus.

Die Erwähnung der Datenträger ist nicht einschränkend, sondern exemplarisch gemeint. Für den datenträgerlosen Transit, ob leitungsgebunden oder per Funk, muss erst recht gelten, dass die Sätze 2 und 3 nicht anwendbar sind.

Der Begriff des Transits umfasst auch Zwischenspeicherungen auf Servern oder Routern. Gemeint sind damit typische und technisch bedingte Protokollierungen und ähnliche begleitende Verarbeitungen bei paketvermittelnden Diensten, die lediglich der (sicheren) Abwicklung der Durchfuhr dienen und planmäßig, z.B. programmgesteuert, gelöscht werden. Auch die Verarbeitung von Abrechnungsdaten, die sich auf den Datentransit beziehen, wird man wegen ihres akzessorischen Charakters noch einbeziehen können. Werden solche Daten jedoch für andere Zwecke verwendet, weitergehend aufbewahrt oder zur Kenntnis genommen, so entfällt die Privilegierung.

Auf die Auftragsverarbeitung ist die Transitregelung nicht, auch nicht entsprechend, anzuwenden.

Entsprechend dem Normzweck, bloßen Transit unbehelligt zu lassen, ist auch der der Fall des Transits einzubeziehen, der in einem (anderen) EG/EWR-Staat beginnt oder endet.


Datenschutzaufsicht (Satz 5)

Die Regelungen über die Datenschutzaufsicht werden von den Kollisionsnormen nicht tangiert. Dies besagt Satz 5, wonach § 38 Abs. 1 Satz 1 unberührt bleibt. Auch wenn das Rechts eines anderen EU/EWR-Staates anzuwenden ist, bleibt es bei der Zuständigkeit der deutschen Aufsichtsbehörden. Nicht zuletzt im Hinblick darauf wurde im gleichen Zug eine besondere internationale Amtshilfepflicht begründet (Art. 28 Abs. 6 Satz 3 der Richtlinie, umgesetzt mit § 38 Abs. 1 Satz 4). Die vom Gesetz getroffene Aussage trifft für die BfDI in gleicher Weise zu, soweit dieser (in den Bereichen der Telekommunikations- und der Postdienstleistungen) als Aufsichtsbehörde fungiert.

Der aufsichtsbehördlichen Zuständigkeit steht nicht entgegen, dass die verantwortliche Stelle im Ausland angesiedelt ist. Es genügt, dass die Vorgänge oder Zustände, die Kontrollgegenstand sind, sich auf deutschem Territorium ereignen bzw. befinden. Die verantwortlichen Stellen – einschließlich ausländischer öffentlicher Stellen – sind als nicht-öffentliche Stellen nach § 2 Abs. 4 Satz 1 anzusehen.

Der Ort des Vorgangs oder Zustandes ist für die Bestimmung der örtlich zuständigen Aufsichtsbehörde maßgeblich.

Der internationale Gerichtsstand bleibt von den Regelungen des § 1 Abs. 5 unberührt.


 § 1 BDSG a.F. Kommentar Absatz 5 Teil 1
 § 1 BDSG a.F. Kommentar Absatz 5 Teil 2

Online-Kommentare

← § 1 BDSG a.F. Kommentar Absatz 4   

§ 2 BDSG a.F. Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.