2.817
Bearbeitungen
1 BDSG a.F. Kommentar Absatz 5 Teil 2: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K
1 BDSG a.F. Kommentar Absatz 5 Teil 2 (Quelltext anzeigen)
Version vom 9. Juli 2012, 16:26 Uhr
, 9. Juli 2012kleinere Korrekturen, Links gesetzt
Keine Bearbeitungszusammenfassung |
K (kleinere Korrekturen, Links gesetzt) |
||
| Zeile 1: | Zeile 1: | ||
{{komm_header|P=1}} | {{komm_header|P=1}} | ||
{{komm_abstext||A=4|T= | |||
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt. | |||
{{komm_abstext||A=4|T=(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt. | |||
}} | }} | ||
==Kollisionsvermeidungsnorm im Verhältnis zu Drittstaaten (Sätze 2 bis 4)== | ==Kollisionsvermeidungsnorm im Verhältnis zu Drittstaaten (Sätze 2 bis 4)== | ||
| Zeile 43: | Zeile 34: | ||
Durch das Setzen und spätere Lesen von '''Cookies''' werden zwar keine aktiven Programme, wohl aber auch Daten gespeichert, damit die Programme des Anbieters bei nachfolgenden Sessionen des gleichen Benutzers darauf zurückgreifen und ihn individuell im Hinblick auf seine Präferenzen und Attitüden behandeln können. Typischerweise kennzeichnen Cookies Elemente des Nutzerverhaltens wie besuchte Seiten nach Uhrzeit, Dauer und Ablauf, woraus sich durch fortgesetzte Verknüpfung aussagekräftige Profile ergeben können. Die Identifizierbarkeit des Benutzers ist für den Anbieter oft zunächst nur latent gegeben, realisiert sich aber, sobald der Benutzer sich erstmals selbst identifiziert. Da er dabei regelmäßig nicht an diese Nebenfolge denkt und insoweit auch gegenüber dem Anbieter keine datenschutzrelevante Verfügung trifft, ist die gesamte Verarbeitung und Nutzung der Cookies dem Anbieter als verantwortlicher Stelle zuzurechnen. Auch hier liegt ein Rückgriff auf Verarbeitungsmittel im deutschen Territorium und damit ein Fall der Anwendbarkeit des BDSG vor. Eine andere Beurteilung ist nur möglich, wenn die Verarbeitung von Cookies so angelegt wird, dass sie ein Mittel für Zwecke des Benutzers sind, deren Steuerung vollkommen in seiner Hand liegt. Mit modernen Browsern kann der Benutzer die Annahme von Cookies, wenn auch nur nach recht pauschalen Kriterien, steuern und Cookies jederzeit insgesamt oder einzeln löschen. | Durch das Setzen und spätere Lesen von '''Cookies''' werden zwar keine aktiven Programme, wohl aber auch Daten gespeichert, damit die Programme des Anbieters bei nachfolgenden Sessionen des gleichen Benutzers darauf zurückgreifen und ihn individuell im Hinblick auf seine Präferenzen und Attitüden behandeln können. Typischerweise kennzeichnen Cookies Elemente des Nutzerverhaltens wie besuchte Seiten nach Uhrzeit, Dauer und Ablauf, woraus sich durch fortgesetzte Verknüpfung aussagekräftige Profile ergeben können. Die Identifizierbarkeit des Benutzers ist für den Anbieter oft zunächst nur latent gegeben, realisiert sich aber, sobald der Benutzer sich erstmals selbst identifiziert. Da er dabei regelmäßig nicht an diese Nebenfolge denkt und insoweit auch gegenüber dem Anbieter keine datenschutzrelevante Verfügung trifft, ist die gesamte Verarbeitung und Nutzung der Cookies dem Anbieter als verantwortlicher Stelle zuzurechnen. Auch hier liegt ein Rückgriff auf Verarbeitungsmittel im deutschen Territorium und damit ein Fall der Anwendbarkeit des BDSG vor. Eine andere Beurteilung ist nur möglich, wenn die Verarbeitung von Cookies so angelegt wird, dass sie ein Mittel für Zwecke des Benutzers sind, deren Steuerung vollkommen in seiner Hand liegt. Mit modernen Browsern kann der Benutzer die Annahme von Cookies, wenn auch nur nach recht pauschalen Kriterien, steuern und Cookies jederzeit insgesamt oder einzeln löschen. | ||
Nach Artikel 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikationsdienste („ePrivacy Directive“) haben | Nach Artikel 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikationsdienste („ePrivacy Directive“) haben | ||
| Zeile 51: | Zeile 43: | ||
Bei der Nutzung von '''Telekommunikationseinrichtungen''' in Deutschland von einem Drittland aus ist danach zu unterscheiden, in welcher Rolle dieses Mittel genutzt wird. Die Benutzung eines Kommunikationsnetzes als Kunde oder sonst außenstehender Nutzer vermittelt (hinsichtlich der kommunizierten Daten) keine Verfügung über dieses Mittel; es fehlt der bestimmende Einfluss auf Inhalt und Zweck des Datenumgangs im Rahmen der Steuerung der Netzwerkaktivitäten. Der Nutzer nimmt nur eine ihm vom '''Netzbetreiber''' angebotene Dienstleistung entgegen. Die von ihm ausgehende Aktivität entfaltet zwar Wirkungen auf deutschem Territorium, diese sind aber von ihrem Urheber dort nicht weiter beeinflussbar. Ein im Drittland niedergelassener Netzbetreiber kann aber aus dem Ausland die Möglichkeiten der Steuerung des Betriebs und der Administration (Fernwartung, Remote Betrieb) besitzen, die in Bezug auf die dort verwalteten Daten (Nutzungs- und Abrechnungsdaten, keine Inhaltsdaten) die Anwendung des Satzes 2 rechtfertigen. | Bei der Nutzung von '''Telekommunikationseinrichtungen''' in Deutschland von einem Drittland aus ist danach zu unterscheiden, in welcher Rolle dieses Mittel genutzt wird. Die Benutzung eines Kommunikationsnetzes als Kunde oder sonst außenstehender Nutzer vermittelt (hinsichtlich der kommunizierten Daten) keine Verfügung über dieses Mittel; es fehlt der bestimmende Einfluss auf Inhalt und Zweck des Datenumgangs im Rahmen der Steuerung der Netzwerkaktivitäten. Der Nutzer nimmt nur eine ihm vom '''Netzbetreiber''' angebotene Dienstleistung entgegen. Die von ihm ausgehende Aktivität entfaltet zwar Wirkungen auf deutschem Territorium, diese sind aber von ihrem Urheber dort nicht weiter beeinflussbar. Ein im Drittland niedergelassener Netzbetreiber kann aber aus dem Ausland die Möglichkeiten der Steuerung des Betriebs und der Administration (Fernwartung, Remote Betrieb) besitzen, die in Bezug auf die dort verwalteten Daten (Nutzungs- und Abrechnungsdaten, keine Inhaltsdaten) die Anwendung des Satzes 2 rechtfertigen. | ||
Eine Auftragsverarbeitung durch ein im Inland ansässiges Serviceunternehmen für einen '''Auftraggeber im | |||
Eine Auftragsverarbeitung durch ein im Inland ansässiges Serviceunternehmen für einen '''Auftraggeber im Drittland''' führt nicht zur Anwendung der für verantwortliche Stellen geltenden Vorschriften des BDSG. Für den Auftragsverarbeiter gilt das auch bei Aufträgen aus dem Inland und dem EU/EWR-Raum geltende Recht. Auf den Auftraggeber wird das BDSG nicht erstreckt, weil er zwar die Art der Verarbeitung bestimmt, aber nicht selbst auf die technischen Mittel des Dienstleisters zugreift. Die inländische Verarbeitung ist seinen im Drittland stattfindenden Aktivitäten zuzurechnen. | |||
| Zeile 80: | Zeile 73: | ||
Auf die Auftragsverarbeitung ist die Transitregelung nicht, auch nicht entsprechend, anzuwenden. | Auf die Auftragsverarbeitung ist die Transitregelung nicht, auch nicht entsprechend, anzuwenden. | ||
Entsprechend dem Normzweck, bloßen Transit unbehelligt zu lassen, ist auch der der Fall des Transits einzubeziehen, der in einem (anderen) EG/ EWR-Staat beginnt oder endet. | Entsprechend dem Normzweck, bloßen Transit unbehelligt zu lassen, ist auch der der Fall des Transits einzubeziehen, der in einem (anderen) EG/EWR-Staat beginnt oder endet. | ||
== Datenschutzaufsicht (Satz 5)== | == Datenschutzaufsicht (Satz 5)== | ||
Die Regelungen über die '''Datenschutzaufsicht''' werden von den Kollisionsnormen '''nicht tangiert'''. Dies besagt Satz 5, wonach § 38 Abs. 1 Satz 1 unberührt bleibt. Auch wenn das Rechts eines anderen EU/EWR-Staates anzuwenden ist, bleibt es bei der Zuständigkeit der deutschen Aufsichtsbehörden. Nicht zuletzt im Hinblick darauf wurde im gleichen Zug eine besondere internationale Amtshilfepflicht begründet | Die Regelungen über die '''Datenschutzaufsicht''' werden von den Kollisionsnormen '''nicht tangiert'''. Dies besagt Satz 5, wonach [[38_BDSG|§ 38 Abs. 1]] Satz 1 unberührt bleibt. Auch wenn das Rechts eines anderen EU/EWR-Staates anzuwenden ist, bleibt es bei der Zuständigkeit der deutschen Aufsichtsbehörden. Nicht zuletzt im Hinblick darauf wurde im gleichen Zug eine besondere internationale Amtshilfepflicht begründet (Art. 28 Abs. 6 Satz 3 der Richtlinie, umgesetzt mit § 38 Abs. 1 Satz 4). Die vom Gesetz getroffene Aussage trifft für den BfDI in gleicher Weise zu, soweit dieser (in den Bereichen der Telekommunikations- und der Postdienstleistungen) als Aufsichtsbehörde fungiert. | ||
Der aufsichtsbehördlichen Zuständigkeit steht nicht entgegen, dass die verantwortliche Stelle im Ausland angesiedelt ist. Es genügt, dass die Vorgänge oder Zustände, die Kontrollgegenstand sind, sich auf deutschem Territorium ereignen bzw. befinden. Die verantwortlichen Stellen – einschließlich ausländischer öffentlicher Stellen – sind als nicht-öffentliche Stellen nach § 2 Abs. 4 Satz 1 anzusehen. | Der aufsichtsbehördlichen Zuständigkeit steht nicht entgegen, dass die verantwortliche Stelle im Ausland angesiedelt ist. Es genügt, dass die Vorgänge oder Zustände, die Kontrollgegenstand sind, sich auf deutschem Territorium ereignen bzw. befinden. Die verantwortlichen Stellen – einschließlich ausländischer öffentlicher Stellen – sind als nicht-öffentliche Stellen nach [[2_BDSG|§ 2 Abs. 4]] Satz 1 anzusehen. | ||
Der Ort des Vorgangs oder Zustandes ist für die Bestimmung der örtlich zuständigen Aufsichtsbehörde maßgeblich. | Der Ort des Vorgangs oder Zustandes ist für die Bestimmung der örtlich zuständigen Aufsichtsbehörde maßgeblich. | ||
Der internationale Gerichtsstand bleibt von den Regelungen des § 1 Abs. 5 unberührt. | Der internationale Gerichtsstand bleibt von den Regelungen des [[1_BDSG|§ 1 Abs. 5]] unberührt. | ||
{{komm_nextsite|P=1|A=5}} | |||
{{komm_nav|P=1|A=5}} | {{komm_nav|P=1|A=5}} | ||
{{komm_footer|P=1}} | {{komm_footer|P=1}} | ||
__NOEDITSECTION__ | __NOEDITSECTION__ | ||