Das deutsche Bundesdatenschutzgesetz (BDSG) findet keineswegs auf alle Onlineaktivitäten deutscher Internetnutzer Anwendung. Vielmehr kommt es darauf an, wer den jeweiligen Datenverarbeitungsvorgang veranlasst. Befindet sich die sogenannte „verantwortliche Stelle“ im Ausland, gilt je nachdem, ob es sich um EU- oder Nicht-EU-Ausland handelt, entweder Paragraf 1, Absatz 5, Satz 1 oder Satz 2 des BDSG. Paragraf 1, Absatz 5 des Gesetzes ist eine sogenannte „Kollisionsnorm“: Die Vorschrift regelt, welches nationale Recht auf einen grenzüberschreitenden Sachverhalt anzuwenden ist – wenn also mehrere Rechtsordnungen „kollidieren.“
Existiert eine deutsche Niederlassung eines Unternehmens, dessen Hauptsitz sich innerhalb der EU befindet, und geht die Datenerhebung, -verarbeitung oder -nutzung von dieser Niederlassung aus, findet das BDSG Anwendung. In allen anderen Fällen jedoch nicht. Den Inhalt des Paragraf 1, Absatz 5 des BDSG gibt die EU-Datenschutzrichtlinie vor. Das heißt, dass es im nationalen Datenschutzrecht jedes Mitgliedsstaates eine ähnlich lautende Kollisionsnorm geben muss. Denn die europäischen Richtlinien verpflichten die EU-Mitgliedsstaaten dazu, die Vorgaben im nationalen Recht umzusetzen.
Angeglichene Datenschutzstandards in der EU
Hinter Paragraf 1, Absatz 5 des BDSG steht der Gedanke, dass es innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie keinen Unterschied machen darf, welches nationale Datenschutzrecht im Einzelfall gilt. Schließlich ist dieses aufgrund der für alle EU-Mitgliedsstaaten verpflichtenden Wirkung der EU-Datenschutzrichtlinie ohnehin weitgehend harmonisiert und es kommt lediglich darauf an, Kollisionen verschiedener nationaler Datenschutzgesetze mit annähernd gleichem Schutzniveau zu vermeiden.
Anders verhält es sich, wenn die Hauptniederlassung außerhalb des Anwendungsbereichs der EU-Datenschutzrichtlinie liegt und deshalb nicht von einem harmonisierten Schutzniveau ausgegangen werden darf. Hier gibt das BDSG seine Schutzwirkung nicht so bereitwillig auf. Es gilt dann Paragraf 1 Absatz 5, Satz 2. Dieser lautet: Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. (…).
Datenverarbeitung im Inland
Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und Mitautor dieses ZDNet-Gastbeitrags (Bild: IITR).
Anknüpfungskriterium ist nach jetzigem Rechtsstand die Datenerhebung, -verarbeitung oder -nutzung „im Inland“. Dafür verlangt die EU-Datenschutzrichtlinie in Artikel 4, Absatz 1, Buchstabe c, dass auf im Hoheitsgebiet des betreffenden Mitgliedsstaats gelegene, automatisierte oder nicht automatisierte Mittel zurückgegriffen wird. Das kann etwa der Einwahlknoten eines Internetproviders, der Server eines Anbieters, der private PC des Nutzers eines Onlinedienstes oder der darauf installierte Browser sein.
Ob und unter welchen Umständen nutzereigene Geräte und Programme als „Mittel“ im Sinne des Artikel 4 Absatz Buchstabe c gelten dürfen, ist nicht abschließend geklärt. Bei einigen Internetdiensten ist aber gerade diese Einordnung wesentlich. Ein bekanntes Beispiel dafür ist der Facebook-Like-Button , ein so genanntes „Social Plug-in“ auf Webseiten privater und kommerzieller Betreiber.
Die Einbindung des Facebook-Like-Buttons durch den Betreiber einer Webseite löst (bei gleichzeitiger Zuordnung zu einem Faebook-Account des aufrufenden PCs) eine direkte Verbindung und einen Datentransfer zwischen dessen Browser und den Facebook-Servern aus. Das dafür eingesetzte Mittel, der Browser des Internetnutzers, befindet sich zwar „im Inland“, der die Datenverarbeitung steuernde Rechner vermutlich aber nicht.
Facebook Gesichtserkennung
Bei der seit Sommer vergangenen Jahres auch für Nutzer aus Deutschland angebotenen Gesichtserkennung von Facebook werden Fotos der Nutzer nach biometrischen Kriterien analysiert und entsprechend gespeichert. So kann, wenn die Person auf einem anderen Bild „erkannt“ wird, ein entsprechender Markierungsvorschlag erfolgen. Es ist möglich, diese Vorschlagsfunktion abzuschalten. Der Analyse der abgebildeten Gesichter und der Speicherung der dabei gesammelten biometrischen Daten kann allerdings derzeit nicht widersprochen werden.
Die von den Nutzern hochgeladenen Bilder befinden sich auf vermutlich global verteilten Servern, so dass nicht ohne Weiteres feststellbar ist, ob bei der biometrischen Analyse eine Datenverarbeitung „im Inland“ erfolgt. An die Server übermittelt werden die Daten aber vom Computer des Nutzers aus.
Bildergalerie
Die Anwendbarkeit des BDSG zu begründen, dürfte den, der Gesichtserkennung gegenüber kritisch eingestellten, deutschen Datenschutzbehörden schwer fallen, solange Facebook keinen Einblick in die internen Abläufe gewährt. Diese Schwierigkeit suchen sie zu umgehen, indem sie den zweifellos im Inland befindlichen PC oder Browser des Nutzers als „Mittel“ im Sinne des Artikel 4 Absatz 1 Buchstabe c der Datenschutzrichtlinie qualifizieren, wobei der Bundesdatenschutzbeauftragte Peter Schaar durchaus nicht leicht zu entkräftende Zweifel einräumt.
Neuerungen durch die EU-Datenschutzverordnung
Der im Januar 2012 von der EU-Kommission offiziell vorgestellte Entwurf der geplanten EU-Datenschutzverordnung enthält eine Abkehr vom Kriterium des sogenannten im Inland belegenen Mittels. Er beansprucht nach Artikel 2 Absatz 2 Geltung für die Verarbeitung personenbezogener Daten von innerhalb der EU lebenden Personen, die sich an diese richten oder darauf abzielen, ihr Verhalten zu beobachten, wenn diese Verarbeitung durch eine außerhalb der EU befindliche Niederlassung erfolgt.
Diese Regelung bezieht sich erkennbar auf die oben dargestellten Dienste. Mit ihrer Verabschiedung würde die Verordnung in der gesamten EU unmittelbar „wie nationales Recht“ gelten. Die betreffenden Aktivitäten fielen dann unter das in der Verordnung normierte Datenschutzrecht. Bis es allerdings so weit ist, gelten weiterhin die EU-Datenschutzrichtlinie und das BDSG.
Verantwortlichkeitsprinzip
Konkretisierend enthält Paragraf 1, Absatz 5 des BDSG auch das Kriterium der Verantwortlichkeit. Eine Stelle ist dann für einen Datenverarbeitungsvorgang verantwortlich, wenn sie die Entscheidungsgewalt darüber hat, also auf das Ob und Wie, über Mittel und Zweck der Datenverarbeitung Einfluss ausübt. Nach der Stellungnahme der Artikel-29-Datenschutzgruppe (PDF) soll in erster Linie die Entscheidungsgewalt hinsichtlich des Zwecks der Datenverarbeitung ausschlaggebend sein.
Beispiel: Google Streetview
Für diesen Dienst wurden Straßenzüge mit Häuserfassaden und allem/allen, was sich momentan im Fokus der Kamera befand, aufgenommen. Die Datenerhebung musste also notwendigerweise „im Inland“ erfolgen. Die Daten erhob die Google Germany GmbH, die deutsche Tochterfirma des in den USA ansässigen Mutterkonzerns, zum Zwecke der späteren Übermittlung in die USA. Verantwortliche Stelle war bis zur Übermittlung die Google Germany GmbH, denn sie konnte entscheiden, was mit den Daten geschieht. Solange das der Fall war, konnte auch das BDSG Geltung beanspruchen. Dementsprechend versuchte der Bundesrat mit seinem Gesetzesentwurf vom 9.7.2010 (PDF), vor der Übertragung in die USA Zugriff zu nehmen.
Das Kriterium der Verantwortlichkeit schränkt das oben erläuterte Niederlassungsprinzip ein. So ist nicht allein deshalb zu schlussfolgern, dass Facebook irischem Datenschutzrecht mit europäischem Schutzstandard unterliegt, weil der Konzern dort eine Niederlassung unterhält. Umgekehrt darf aber auch nicht davon ausgegangen werden, dass die irische Niederlassung als bloße Abrechnungsstelle keinerlei Einfluss auf Datenverarbeitungsvorgänge nimmt. Nur wenn diese EU-Niederlassung die jeweilige datenschutzrelevante Aktivität in eigener Verantwortung vornimmt, gilt auch das Datenschutzrecht des Mitgliedsstaats, in dem sie sich befindet.
Beispiele Verantwortlichkeitsprinzip: Facebook-Like-Button
Eine andere Frage ist die der datenschutzrechtlichen Verantwortlichkeit. Diese wird beim Einsatz des Facebook-Like-Buttons neben Facebook zum Beispiel durch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein auch dem Webseitenbetreiber zugeschrieben, da er den Quellcode des Buttons in seine Webseite eingebunden hat. Mit dieser Argumentation forderte das ULD im Herbst 2011 die in Schleswig-Holstein ansässigen Webseitenbetreiber auf, den Button zu entfernen, da über Paragraf 3, Absatz 1 des Telemediengesetzes (TMG) auch deutsche Rechtsvorgaben zu beachten seien.
Gegen die Verantwortlichkeit des Webseitenbetreibers wird unter anderem eingewandt, dass dieser keinerlei Einfluss darauf habe, wann und in welchem Umfang die Erhebung welcher Daten erfolge und diese Entscheidung letztlich bei Facebook liege. Eine verlässliche Entscheidung zu den umstrittenen Fragen existiert bislang nicht. Zur datenschutzkonformen Anpassung des Facebook-Like-Buttons finden Interessierte hier weitere Informationen.
Beispiel Verantwortlichkeitsprinzip: Google Analytics
Auch beim Webanalyse-Dienst Google Analytics hängt die grundsätzliche Entscheidung für die Erhebung der Daten zum Zweck der Übermittlung an Google vom inländischen Betreiber der Webseite ab. Dass er über den genauen Zeitpunkt und Umfang nicht Bescheid weiß, ändert daran nichts.
Im Unterschied zum Like-Button von Facebook ist für den Besucher hier überhaupt keine Verbindung zum Datenverarbeiter (in dem Fall Google) zu erkennen. Nutzer sind sich beim Besuch einer Webseite zu keinem Zeitpunkt darüber im Klaren, dass ihr Verhalten aufgezeichnet wird. Damit entscheidet der Webseitenbetreiber über den Zweck der Übermittlung an Google und ist daher nach der Definition der Artikel 29-Datenschutzgruppe insoweit als „verantwortliche Stelle“ anzusehen.
Geteilte Verantwortung
Die Verantwortlichkeit des Webseitenbetreibers schließt diejenige von Facebook oder Google aber nicht aus. Ob allerdings im Falle von Facebook nach Paragraf 1, Absatz 5, Satz 1 des BDSG irisches oder nach Paragraf 1, Absatz 5, Satz 2 des BDSG deutsches Datenschutzrecht Anwendung findet, hängt davon ab, ob der US-amerikanische Mutterkonzern oder die irische Zweigniederlassung für die durch den Button ausgelösten Datenverarbeitungsvorgänge verantwortlich sind. Den deutschen Datenschutzbehörden ist es bislang nicht gelungen, sich hierüber Klarheit zu verschaffen.
Eine pauschale Aussage zur Anwendbarkeit des BDSG auf Onlinedienste ist nach derzeitiger Rechtslage nicht möglich. Vielmehr muss diese Frage für jeden Einzelfall geklärt werden. Nach der geplanten EU-Datenschutzverordnung wird zumindest eine Untersuchung notwendig sein, ob Hinweise darauf bestehen, dass sich ein Angebot beispielsweise an deutsche Nutzer richtet. Die Entscheidung, ob das so ist, wird unter anderem von der Sprache, der Top Level Domain .de oder davon abhängen, ob sich Werbung für inländische Unternehmen auf der Site findet.
Fazit
Der internationale Anwendungsbereich des BDSG hängt nach der momentanen Rechtslage stark vom Einzelfall ab und stößt in der Praxis insbesondere hinsichtlich der Durchsetzbarkeit schnell an Grenzen. Die geplante EU-Datenschutzverordnung beabsichtigt insbesondere in Bezug auf die Durchsetzbarkeit eine Verschärfung auf europäischer Ebene. Offen ist jedoch, ob die Vorstellungen der europäischen Verwaltung in Anbetracht einer globalisierten Datenwelt und eines dynamischen Nutzerverhaltens einen praxisgerechten Weg vorgeben.
Das Institut für IT-Recht IITR ...
... berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Sebastian Kraska, einer der Autoren dieses beitrags für ZDNet, ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR. Die Mitautorin Karola Berger ist studierte Juristin und freie Mitarbeitern am IITR.
Neueste Kommentare
Noch keine Kommentare zu Bundesdatenschutzgesetz und Datenschutz im Web 2.0
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.