GLOBALISIERUNG

Datenschutzrecht eines Landes sollte bekannt sein

Kann das Bundesdatenschutzgesetz durch Datenerhebung aus dem Ausland umgangen werden?

Die nachfolgende Darstellung bietet nur die wichtigsten Grundsätze. Klar ist: Auch bei der Frage der Anwendung nationalen Rechts bei länderübergreifender Datenverwendung sind noch längst nicht alle Probleme durch Gerichte entschieden oder durch Kommentatoren behandelt.

Grundsätzliche Regelung

Eine Regelung im Bundesdatenschutzgesetz scheint die Idee, die Zelte im Ausland aufzuschlagen, geradezu herauszufordern. Denn wer genauer liest, findet bereits in § 1, dort Absatz 5, das, was er zu brauchen scheint. Es heißt nämlich in Satz 1:

"Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene, verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt über eine Niederlassung im Inland."

Die Hervorhebungen sollen deutlich machen: Es geht darum, dass das Bundesdatenschutzgesetz unter bestimmten Umständen in Deutschland nicht anwendbar ist, obgleich die Daten in Deutschland erhoben werden. Nicht im Gesetz steht, welches Recht in einem solchen Falle Anwendung findet. Antwort gibt die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). In deren Art. 4 wird bei der Anwendung nationalen Rechts nicht vom sogenannten "Territorialprinzip", sondern vom "Sitzlandprinzip" ausgegangen. Zweck dieser Regelung soll sein, Doppelregelungen und etwaige Regelungslücken zu vermeiden.

Die Regel bedeutet zunächst: Das anzuwendende nationale Recht richtet sich nicht nach dem am Ort der Erhebung, Verarbeitung oder Nutzung geltenden Recht, sondern nach dem Recht des Ortes, an dem die hierfür verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Diese Stelle darf aber im Inland keine Niederlassung haben, sonst gilt wieder das inländische Recht.

Besonderheit: Die Niederlassung ist entscheidend dafür, welches Recht Anwendung findet

Da die Anwendung des BDSG an eine "Niederlassung" im Inland anknüpft, stellt sich zunächst die ganz wichtige Frage, wann eine Niederlassung vorliegt. Sind zum Beispiel in Deutschland wohnende Interviewer, die von einem in England ansässigen Institut beauftragt werden, in Deutschland Daten zu erheben und nach England zu übermitteln, eine "Niederlassung"? Wie verhält es sich mit Interviewern, die von England aus, mit einem Laptop ausgerüstet, morgens in Frankfurt mit dem Flugzeug landen, die Interviews durchführen und abends wieder nach London zurückfliegen?

Schon die erste Frage ist bislang nicht eindeutig zu beantworten. Zwar soll der Begriff der "Niederlassung" weit gefasst sein: Es heißt, dass eine "feste Einrichtung" (Erwägungsgrund 19 der Datenschutzrichtlinien) erforderlich sei. Was diese aber auszeichnet, ist nicht definiert. Ein Anknüpfen an einen Raum ist nach einer Auffassung in Zeiten virtueller Welten und globaler Datenflüsse nicht mehr opportun, Reisende ohne Geschäftsräume in den bereisten Mitgliedsländern sollen aber keine "Niederlassung" sein (was Aufsichtsbehörden in Schweden und Finnland aber schon wieder anders sehen; sie gehen von einer Niederlassung aus). Auch die berufliche Niederlassung eines Freiberuflers kann eine Niederlassung darstellen. Nach diesen skizzierten Grundsätzen kann ein Interviewer, der die erhobenen Daten zu Hause sammelt, abspeichert, von dort aus per Post oder E-Mail oder sonst elektronisch verschickt, eine "Niederlassung" (im Sinne des Datenschutzrechts) sein, so dass auf seinen Umgang mit den personenbezogenen Daten deutsches Datenschutzrecht anzuwenden ist.

Aber hier kann schon wieder eine Rückausnahme gelten (die Sache ist mehr als kompliziert): Denn wenn es sich bei der Datenerhebung, -speicherung und -übermittlung des Interviewers um eine Datenverarbeitung im Auftrag handelt, ist wieder der Sitz der auftraggebenden, verantwortlichen Stelle entscheidend (siehe Art. 17 Abs. 3, zweiter Spiegelstrich der EU-Datenschutzrichtlinie). Das BDSG findet für die Erhebung und Verarbeitung in diesem Fall keine Anwendung. Der Auftragsdatenverarbeiter muss aber die inländischen Datensicherungsvorschriften § 3 Abs. 9 BDSG beachten. In der datenschutzrechtlichen Literatur ist die Frage Interviewer = "Niederlassung" noch nirgends erörtert worden. Andere Juristen können also zu anderen Ergebnissen gelangen.

Die zweite Frage ist eindeutig so zu beantworten: Vom Ausland nach Deutschland zum Zwecke der Durchführung von Interviews einreisende und dann wieder ausreisende Interviewer sind keine "Niederlassung", gleich, ob sie hier die Daten auf ihren Laptops speichern und auf diese Weise nach England bringen oder ob sie sie gleich dorthin übermitteln (1).

Auch in Fällen der telefonischen Datenerhebung aus dem EU-Ausland in Deutschland ist das Datenschutzrecht am Ort des Sitzes der verantwortlichen Stelle zu beachten. Gleiches gilt für Online-Befragungen, wenn die verantwortliche Stelle ihren Sitz im EU-Ausland hat.

Für alle anderen (Dritt)Länder gilt das Sitzlandprinzip nicht. Werden Daten von dort aus in der Bundesrepublik erhoben, verarbeitet und genutzt, ist das deutsche Datenschutzrecht uneingeschränkt anzuwenden. In solchen Fällen wird das deutsche Gesetz für anwendbar erklärt, weil sonst ein verminderter Schutz oder eine Schutzlosigkeit eintreten könnte. Etwas anderes gilt nur, wenn Datenträger zum Zwecke des Transits durch die Bundesrepublik eingesetzt werden. Dann darf die Aufsichtsbehörde kontrollieren.

Die deutschen Strafbestimmungen sind immer zu beachten

Ganz wichtig ist die weitere folgende Ausnahme: Die Strafbarkeitsbestimmungen des § 44 BDSG gelten auch für denjenigen, der aus einem EU-Mitgliedsland in Deutschland Daten erhebt (2). (Denn die Strafbarkeitsbestimmungen sind von der EU-Datenschutzrichtlinie nicht erfasst, vgl. Erwägungsgrund 21). Auch eine im EU-Ausland gelegene verantwortliche Stelle hat demnach den Tatbestandskatalog der Ordnungswidrigkeiten in § 43 Abs. 2 BDSG zu beachten. Strafbar macht sich gemäß § 44 BDSG, wer vorsätzlich oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, einen der in § 42 Abs. 2 BDSG genannten Tatbestände erfüllt. Zukünftig soll - als Nr. 7 - zu diesen Tatbeständen gehören: Die Verarbeitung und Nutzung von Daten für Zwecke der Markt- oder Meinungsforschung gegen den ausdrücklichen Widerspruch des Betroffenen.

Aufgrund dieser Rückausnahme muss trotz der Grundregel des § 1 Abs. 5 BDSG eine aus dem Ausland tätig werdende verantwortliche Stelle doch die Bestimmungen des deutschen BDSG beachten, deren Verstoß einen Straftatbestand erfüllen.

Was gilt, wenn in Deutschland ein schärferes Datenschutzrecht gilt als in anderen EU-Ländern?

Diese Frage wird - so weit man auch schaut - in den Kommentaren nicht nur nicht gestellt, sie wird dort auch nicht erörtert und nicht beantwortet (3). Die Datenschützer gehen in Europa grundsätzlich von einem gleichen Datenschutzniveau aus. Der Verzicht auf die Anwendung des deutschen BDSG in den eben beschriebenen Fällen beruht auf der Prämisse, dass stattdessen die Geltung richtlinienkonformen Datenschutzrechtes in dem anderen Mitgliedsland der EU oder der EWR garantiert ist und somit der Betroffene in Deutschland ausreichend geschützt ist (4). Diese Prämisse wird nicht dadurch außer Kraft gesetzt, dass in Deutschland möglicherweise ein Datenschutzrecht gilt, das über dem richtlinienkonformen Datenschutzniveau anderer Mitgliedsländer liegt.

Ob daraus aber ohne Weiteres folgt, dass auch in solchen Fällen § 1 Abs. 5 BDSG greift, und das deutsche, schärfere Datenschutzrecht auf diese Weise umgangen werden kann, muss vorerst offen bleiben. Die Gerichte und Kommentatoren sagen dazu bisher nichts. Es handelt sich um rechtliches Neuland.

Ergebnis

Eine Verlegung des Telefonstudios ins EU-Ausland hilft nicht, wenn das Institut, welches das Studio beauftragt, in Deutschland seinen Sitz hat; das BDSG bleibt anwendbar.

Es hilft auch nicht, dass ein in Deutschland gelegenes Institut ein im EU-Ausland ansässiges Institut mit der Telefonbefragung in Deutschland beauftragt, wenn die Ergebnisse personenbezogen nach Deutschland übermittelt werden sollen (gem. Nr. 4 Abs. 4 der deutschen Annahmeerklärung zum ICC/ESOMAR-Kodex - Zusammenarbeit zwischen Forschungsinstituten); ansonsten dürfen die Daten ohnehin nur anonymisiert übermittelt werden. Liegt eine Datenverarbeitung im Auftrag vor, hat das ausländische Institut sogar deutsches Recht zu beachten (vgl. oben). Das deutsche Institut muss in jedem der Fälle deutsches Datenschutzrecht anwenden.

Die Vorhaltung eines Interviewerstabes im Inland durch ein ausländisches Institut hilft dann nicht, wenn die Interviewer als "Niederlassung" angesehen werden müssen (vgl. oben).

Die Verlegung der Datenerhebung - in Deutschland - ins außereuropäische Ausland hilft erst recht nicht, denn in diesen Fällen ist immer deutsches Datenschutzrecht zu beachten.

Vor allem: Das Datenschutzrecht des Landes, in dem das Institut seinen Sitz haben soll, sollte bekannt sein. Erst durch einen konkreten Vergleich mit dem deutschen Recht lässt sich feststellen, ob das deutsche Recht tatsächlich einschränkender ist als das ausländische (5).

Die Datenschutzgesetze der EU-Mitgliedsländer lassen sich über www.ec.europa.eu/justice/fsj/privacy/law/implementation_en.htm oder über die nationalen Datenschutzbeauftragten (in Deutschland: www.bfd.bund.de) einsehen. Nicht alle Gesetze stehen aber auch in englischer Sprache zur Verfügung.

Ulrich Schäfer-Newiger

Anmerkungen

(1) Bergmann/Möhrle/Herb, Kommentar BDSG, § 1 Rn 43, dort Beispiel für Handelsvertreter oder Makler.

(2) Gola/Schomerus, Kommentar BDSG, § 1, Rn 31.

(3) So auch in der zu dem Problem ausführlichsten Abhandlung: Dammann, Internationaler Datenschutz, Zur Auslegung des § 5 Abs. 1 BDSG, veröffentlicht in: Recht der Datenverarbeitung (RDV) 2002, S. 70 ff.

(4) Dammann in Simitis, Kommentar zum BDSG, § 1 Rn 209.

(5) Vgl. beispielsweise Second Data Protection Principle im englischen Datenschutzgesetz: "Personal data shall be obtained only for one or more specified and lawful purposes, and shall not be further processed in any manner incompatible with that purpose or purposes."