BDSG a.F. Kommentare und Erläuterungen
§ 1 Zweck und Anwendungsbereich des Gesetzes
Absatz 5 Text
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt.
Vorschriften zum internationalen Datenschutzrecht
Allgemeines
Mit der Novellierung 2001 wurden erstmals Regelungen eingeführt, die bei grenzüberschreitenden Sachverhalten festlegen, welches Recht anzuwenden ist. Sie dienen der Umsetzung entsprechender Vorgaben der EG-Datenschutzrichtlinie. Die Vorschriften des § 1 Abs. 5 enthalten dagegen keine generellen Aussagen zum räumlichen Anwendungsgebiet des Gesetzes.
Innergemeinschaftliche Kollisionsvermeidungsnorm (Satz 1)
Für den Fall, dass eine in einem Mitgliedstaat ansässige verantwortliche Stelle Verarbeitungsaktivitäten in einem anderen Mitgliedstaat betreibt, verlangt Art. 4 Abs. 1 Buchst. a der EG-Datenschutzrichtlinie, dass „jeder Mitgliedstaat … die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an(wendet), die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt“. Jeder Mitgliedstaat hat damit seine Regelungen nicht nur auf Vorgänge auf seinem Territorium anzuwenden, sondern auch auf bestimmte Aktivitäten, die in einem anderen Mitgliedstaat stattfinden. Logischerweise muss daher der andere Mitgliedstaat solche Aktivitäten vom Geltungsanspruch seines Gesetzes ausnehmen. Da das Gesetz nicht auf den Sitz des Unternehmens, sondern den Ort der aktiven Niederlassung abstellt, ist die Regelung als Niederlassungsprinzip oder als modifiziertes bzw. abgeschwächtes Sitzlandprinzip einzustufen.
Unausgesprochener Ausgangspunkt der BDSG-Regelung ist das Territorialprinzip. Danach gilt in Deutschland deutsches Recht.
Der Zweck der Vorschrift besteht darin, Doppelregelungen und Regelungslücken zu vermeiden. Sie kommt Wirtschaftsunternehmen und anderen Einrichtungen entgegen, die in anderen europäischen Staaten aktiv sind, sich dazu aber nicht ausländischer Niederlassungen bedienen. Ihnen erlaubt die Regelung, allein auf der Grundlage ihres heimischen Datenschutzrechts zu operieren.
Sie hat auch eine betroffenenfreundliche Wirkung. Kunden und andere Betroffene, die mit der deutschen Niederlassung eines ausländischen Unternehmens aus dem EU/EWR-Raum zu tun haben, werden infolgedessen nicht mit ausländischem Recht konfrontiert, sondern haben die gleichen Rechte aus dem BDSG wie gegenüber deutschen Stellen.
Das BDSG ordnet ausdrücklich nur seine Nichtanwendung in den betreffenden Fällen an. Die Erstreckung seiner Anwendung in das EU/EWR-Ausland fehlt. Das BDSG ist insoweit unmittelbar Kraft der Anordnung der EU-Richtlinie anzuwenden.
Niederlassung
Die Existenz einer Niederlassung vor Ort ist ohne Bedeutung, wenn die konkrete Aktivität nicht von dieser, sondern vom ausländischen Hauptsitz (oder einer Niederlassung in einem anderen Staat) ausgeht.
Der Begriff der Niederlassung ist weit gefasst. Im Einklang mit der Begriffsdefinition im Zusammenhang mit der Niederlassungsfreiheit nach Art. 52 ff. EG-Vertrag erklärt die Richtlinie „die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung“ zur hinreichenden Voraussetzung einer Niederlassung. Sie entspricht auch der Definition der Niederlassung in § 42 Abs. 2 GewO.
Der Sitz der verantwortlichen Stelle, also etwa der Aktiengesellschaft, um deren Niederlassung es sich handelt, spielt dagegen keine Rolle. Auch auf die Rechtsform der Niederlassung kommt es nicht an.
Niederlassungen sind z.B.:
- eine mobile Geschäftsstätte, wie etwa ein Verkaufswagen, wird zur Niederlassung, wenn er an einem Ort regelmäßig wiederkehrend aufgestellt wird
- ein Geschäftslokal mit einem oder mehreren Mitarbeitern
- eine Verkaufsstelle
- ein Beratungs- oder Aquisitionsbüro
Keine Niederlassungen sind z.B.:
- eine mobile Geschäftsstelle, wie etwa ein Verkaufswagen, mit wechselnden Standorten
- mobile Aufnahmewagen
- ein Messestand
- die Tätigkeit eines Reisenden ohne Geschäftsräume im bereisten Mitgliedstaat, auch wenn er Verträge abschließt
- ferngesteuerte "Aktivität" mittels EDV-Systemen, wie z.B. Server, die in einem gemieteten Rechenzentrum stehen
Vier Fallkonstellationen
Die folgenden vier Konstellationen zu unterscheiden.
- Aktivitäten einer in einem anderen EU/EWR-Staat ansässigen verantwortlichen Stelle auf deutschem Territorium, die von einer in Deutschland bestehenden Zweigstelle ausgehen:
- Nach § 1 Abs. 5 Satz 1 letzter Halbsatz ist das BDSG anzuwenden.
- Andere EU/EWR-Staaten dürfen nach Art. 4 Abs. 1 Buchst. a ihr Recht nicht für anwendbar erklären. Geschieht dies dennoch, so hat dies angesichts der eindeutigen und richtlinienkonformen BDSG-Regelung für deutsche Rechtsanwender und Gerichte keine rechtliche Auswirkung.
- Aktivitäten einer in einem anderen EU/EWR-Staat ansässigen verantwortlichen Stelle auf deutschem Territorium, die nicht von einer hiesigen Niederlassung ausgehen:
- Nach § 1 Abs. 5 Satz 1 erster Halbsatz ist das BDSG nicht anwendbar, weil die Verarbeitung nicht durch eine Niederlassung im Inland erfolgt.
- Bei korrekter Richtlinienumsetzung ist das Recht des Staates des Standortes der Niederlassung anzuwenden. Bei Ländern ohne explizite Umsetzung wie auch bei Ländern mit ausdrücklichem Territorialitätsprinzip besteht für diesen Fall eine Regelungslücke. Sie ist durch richtlinienkonforme Auslegung i.S.d. Art. 4 Abs. 1 Buchst. a dahin zu schließen, dass für solche Aktivitäten das Recht des Landes gilt, in dem die Niederlassung ansässig ist, von der die (für sie ausländischen) Aktivitäten ausgehen.
- Aktivitäten in einem anderen EU/ EWR-Staat, die von einer dort bestehenden Niederlassung einer in Deutschland bestehenden verantwortlichen Stelle ausgehen:
- Das BDSG ist nach dem Territorialitätsprinzip und mangels anderweitiger Geltungsanordnung nicht anwendbar.
- Das Recht des Staates, in dem die Niederlassung angesiedelt ist, ist anzuwenden. Dies folgt bei korrekter Umsetzung aus Art. 4 Abs. 1 Buchst. a der Richtlinie, bei Ländern mit explizitem Territorialitätsprinzip.
- Aktivitäten in einem anderen EU/ EWR-Staat, die von einer in Deutschland ansässigen Niederlassung ausgehen:
- Da der Gesetzgeber es versäumt hat, die Anwendung des BDSG auf diese Aktivitäten anzuordnen, andererseits der betreffende EU/ EWR-Staat verpflichtet ist, diesen Fall von der Anwendung seines Gesetzes auszunehmen, besteht hier eine Regelungslücke. Sie ist durch richtlinienkonforme Auslegung i.S.d. Art. 4 Abs. 1 Buchst. a dahin zu schließen, dass für solche Aktivitäten das BDSG anzuwenden ist.
- Bei Ländern ohne explizite Umsetzung wie auch bei Ländern mit ausdrücklichem Territorialitätsprinzip besteht ein positiver Geltungskonflikt zwischen ihrem Recht und deutschem Recht. Er ist i.S. der von Art. 4 Abs. 1 Buchst. a der Richtlinie vorgegebenen Regelung zugunsten der Anwendung des Rechts des Ortes der Niederlassung - des BDSG – zu lösen.
Beispiele
Verarbeiten angestellte Vertreter eines deutschen Unternehmens Daten in Spanien, dann ist deutsches Recht anzuwenden, wenn sie vom deutschen Hauptsitz oder einer deutschen Niederlassung aus agieren, jedoch österreichisches Recht, wenn sie ihren Aktivitäten im Rahmen der Tätigkeiten der österreichischen Niederlassung des deutschen Unternehmens nachgehen.
Entsprechend ist in Deutschland – beispielsweise von der Aufsichtsbehörde – irisches Datenschutzrecht anzuwenden, wenn der Mitarbeiter eines irischen Unternehmens in Deutschland mit personenbezogenen Daten umgeht und sein Unternehmen in Deutschland keine Niederlassung hat bzw. seine Aktivität nicht von einer solchen Niederlassung ausgeht.
Auftragsverarbeitung
Durch die Verwendung des Begriffs der verantwortlichen Stelle in Absatz 5 Satz 1 in Verbindung mit der Formulierung im letzten Halbsatz „dies erfolgt durch …“ wird zweierlei klargestellt:
- die bloße Existenz einer Niederlassung ist hier irrelevant
- die Niederlassung selbst muss die verantwortliche Stelle sein.
Die Frage ihrer Anwendbarkeit auf Auftragsverarbeiter bei Beteiligung mehrerer Mitgliedstaaten bleibt in der Mehrzahl der Gesetze ungeregelt. Sachgerecht und konsequent ist die Nichtanwendung bei Verarbeitung im Auftrag einer im EU/EWR-Ausland angesiedelten verantwortlichen Stelle nur bezüglich der unmittelbar die Verarbeitung regelnden Vorschriften.
Fungiert eine Niederlassung im EU/EWR-Raum als Auftragsverarbeiter, so hat die Regelung des Satzes 1 keine Bedeutung. Für den Auftragsverarbeiter gilt das Recht des jeweiligen EU/EWR-Staates. Angesprochen sind dabei vor allem die organisatorischen und Haftungsregelungen und die Aufsicht, nicht jedoch Fragen der Zulässigkeit der in Auftrag gegebenen Verarbeitung. Für den Auftraggeber gilt das Recht des Staates des Auftraggebers bzw. seiner auftraggebenden Niederlassung. Dies betrifft vor allem seine fortdauernde Verantwortung für die Verarbeitung und die Anforderungen an Inhalt und Präzision der Auftragsvergabe, wie sie in § 11 BDSG angesprochen werden. Besondere Regelungen sucht man allerdings im BDSG wie in den meisten Datenschutzgesetzen der anderen EU/EWR-Staaten vergebens.
Hinsichtlich der Übergabe personenbezogener Daten an den Auftragnehmer gilt für den EU/EWR-Bereich das Prinzip der Gleichbehandlung mit der inländischen Situation. Nur bei der Vergabe ins Drittausland sind die Regelungen des Drittlandexports anzuwenden.
Weitere Anwendungsbedingungen
Die Anwendung des BDSG ist nur ausgeschlossen, soweit die Verarbeitung in den Anwendungsbereich der Richtlinie fällt. Den Mitgliedstaaten der EU stellt das Gesetz die (anderen) Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum EWR (Island, Liechtenstein, Norwegen) gleich. Dieses Abkommen verpflichtet in gleicher Weise zur Umsetzung der Richtlinie. Darauf gründet ihre Einbeziehung in die Regeln des europäischen informationellen Binnenraums.
Auch die Organe und Einrichtungen der Europäischen Gemeinschaft gehören in den Bereich des unbehinderten Datenverkehrs. Die dazu notwendige rechtliche Sicherung des Datenschutzes auf dem Niveau der (nur an die Mitgliedstaaten gerichteten) Datenschutzrichtlinie hat die Gemeinschaft mit Art. 268 (früher Art. 213 b) des EG-Vertrags und der darauf basierenden Verordnung 45/2000/EG geschaffen. Die Regelung des Satzes 1 ist auf sie analog anzuwenden. Zu nennen sind beispielsweise
- die EU-Kommission
- der Rat
- das EU-Parlament
- die Zentralbank EZB
- der provisorische Rettungsschirm Europäische Finanzstabilisierungsfazilität (EFSF)
- der Europäische Stabilitätsmechanismus und
- das statistische Amt Eurostat
Die internationalrechtlichen Regelungen der Richtlinie gelten nicht für den Bereich des Strafrechts. Die dort geltenden Territorialitätsregelungen bleiben daher unberührt. Die Regelungen des § 1 Abs. 5 gelten auch im Anwendungsbereich des TMG.
→ § 1 BDSG a.F. Kommentar Absatz 5 Teil 1
→ § 1 BDSG a.F. Kommentar Absatz 5 Teil 2
Online-Kommentare
← § 1 BDSG a.F. Kommentar Absatz 4
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.