Kollisionsrechtliche Vorfragen
Literatur:
Wolfgang Däubler, Die Übermittlung von Arbeitnehmerdaten ins Ausland, in: CR 1999, 49; Reinhard Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr. Eine rechtsvergleichende und kollisionsrechtliche Untersuchung, Baden-Baden 1990; Garstka, Empfiehlt es sich, Notwendigkeit und Grenzen des Schutzes personenbezogener - auch grenzüberschreitender- Informationen neu zu bestimmen?, in: DVBl 1998, 981; Cecilie Kjelland, Der Schutz der persönlichen Integrität im Internet – kollisionsrechtliche Fragen, in: Uwe Blaurock, Grenzüberschreitende elektronische Geschäfte, in: Gerhard Hohloch (Hg.), Recht und Internet, Baden-Baden 2001, 143; Harald Koch, Rechtsvereinheitlichung und Kollisionsrecht, in: Recht der Datenverarbeitung 1991, 110; Knauth, Datenschutz und grenzüberschreitender Datenverkehr in der Kreditwirtschaft, in: WM 1990, 209; Palm, Die Übermittlung personenbezogener Daten in das Ausland, in: CR 1998, 65.
Im Hinblick auf die fortschreitende Internationalisierung der Datenverarbeitung insbesondere im Online-Bereich fragt sich, in welchen Fällen das deutsche Datenschutzrecht zur Anwendung kommt. Fest steht, dass vertragliche Rechtswahlklauseln keinen Einfluss auf die Anwendbarkeit des Datenschutzrechts haben776. Aus der Sicht des deutschen Kollisionsrechts kommt es vielmehr entscheidend auf den Sitz der verarbeitenden Stelle an. Deutsches Recht ist anwendbar, wenn die verarbeitende Stelle in Deutschland ihren Sitz hat777.
Diese Sichtweise wird sich jedoch mit der Umsetzung der Europäischen Datenschutzrichtlinie ändern müssen. Anknüpfungspunkt ist gemäß Art. 4 I lit. a), c) der Ort der Niederlassung des für die Datenverarbeitung Verantwortlichen. Nach diesem sog. Territorialitätsgrundsatz gelten die jeweiligen nationalen Datenschutzbestimmungen dort, wo die datenverarbeitende Stelle ihre Niederlassung hat.
Dabei bezeichnet der Begriff des „Verantwortlichen” die Einrichtung, die
-
personenbezogene Daten verarbeitet oder (etwa im Wege der Auftragsdatenverarbeitung) verarbeiten lässt und
-
über Zweck und Ziel der Datenverarbeitung, verwendete Daten und Verfahren sowie über die Übermittlungsadressaten entscheidet (Art. 2 lit. d). Diese Definition macht es sehr schwer, den Verantwortlichen zu bestimmen. Schon nach dem geltendem BDSG ist es schwierig, Auftragsdatenverarbeitung von Funktionsübertragungen (etwa im Bereich des Outsourcing) abzugrenzen. Nach der Richtlinie ist es überdies zweifelhaft, ob derjenige als „verantwortlich” anzusehen ist, der nur über Zweck und Ziel der Datenverarbeitung entscheidet und alles andere in der Kompetenz der verarbeitenden Stelle belässt.
Problematisch bleibt jedoch die ergänzende Anwendung des Prinzips der belegenen Verarbeitungsmittel. Nach Art. 4 I lit. c) soll die Richtlinie auch dann zur Anwendung kommen, wenn der Verantwortliche außerhalb der EU ansässig ist, sofern er für seine Datenverarbeitung - außer für Zwecke der „Durchfuhr” - automatisierte oder nichtautomatisierte „Mittel” im Hoheitsgebiet eines Mitgliedsstaates verwendet. Hier taucht der unklare Begriff der „Mittel” auf; die Begründung verweist erläuternd auf Terminals und Fragebögen. Im übrigen trifft den Verantwortlichen in diesem Fall die Pflicht zur Benennung eines im EU-Gebiet ansässigen Vertreters (Art. 4 II).
Im Ergebnis kommt das deutsche Datenschutzrecht künftig zur Anwendung, wenn
-
ein Unternehmen mit Sitz in Deutschland Daten in den USA verarbeiten lässt
-
ein Unternehmen mit Sitz in den USA Daten über deutsche Terminals verarbeitet.
Umgekehrt ist das Recht des außereuropäischen Staates anzuwenden, wenn
-
das Unternehmen außerhalb der EU sitzt und nur dort Datenverarbeitung betreibt
-
ein amerikanischer Vertriebsbeauftragter mit seinem Laptop im Transitbereich des Frankfurter Flughafen sitzt (”Durchfuhr”).
-
Zunächst ist eine Abgrenzung zwischen dem BDSG und dem Teledienstedatenschutzgesetz (TDDSG) hinsichtlich deren Anwendbarkeit auf den E-Commerce-Sektor vonnöten. Das TDDSG erfasst nur Daten, die für die Durchführung des Teledienstes verwendet werden. Das neue TDDSG gilt nunmehr nicht für die Verarbeitung von Daten juristischer Personen (§ 1 Abs. 1 TDDSG). Auch gilt es nicht für die Datenverarbeitung in Dienst- und Arbeitsverhältnissen, soweit die Nutzung der Teledienste zu ausschließlichen beruflichen oder dienstlichen Zwecken erfolgt. Auch ist die Kommunikation von oder zwischen Unternehmen vom Gesetz ausgenommen, soweit die Nutzung der Teledienste ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.
Ob das BDSG oder das TDDSG anzuwenden ist, richtet sich nach den verschiedenen Stufen der Internetnutzung. Die Aufforderung zu einem Vertragsangebot selbst ist ein Teledienst, die Behandlung entsprechender Daten fällt in den Bereich des TDDSG. Damit unterliegen auch die Vermarkter von Banner Ads dem TDDSG, es sei denn, die Werbung dient im Ausnahmefall der Meinungsbildung der Allgemeinheit (dann MDStV). Gibt der Nutzer aber tatsächlich ein Angebot ab, werden erneut Daten ausgetauscht. Diese betreffen jedoch nicht mehr Fragen etwa der Nutzungsdauer des Angebotes oder die Kontrolle der abgerufenen Angebote. Statt dessen geht es um Informationen, die für den Vertrag selbst nötig sind. Die Nutzung und Erhebung dieser personenbezogenen Daten durch Unternehmen als Telediensteanbieter bestimmt sich nach dem BDSG.
Das BDSG findet in der Privatwirtschaft im übrigen uneingeschränkt nur Anwendung bei
-
personenbezogenen Daten (§ 3 I BDSG)
-
natürlicher Personen (§ 3 I BDSG)
-
die unter Einsatz von Datenverarbeitungsanlagen verarbeitet oder genutzt werden (§ 1 II Nr. 3 BDSG).
Personenbezogenes Datum, § 3 I BDSG
Nur „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" (§ 3 Abs. 1) sind durch das BDSG geschützt. Diese Legaldefinition beinhaltet zweierlei: Sie begrenzt den Datenschutz auf natürliche Personen. Geschützt sind daher nur Informationen über den einzelnen Menschen. Anders als in anderen europäischen Staaten (wie z. B. in Luxemburg, Dänemark und Österreich) fallen unter das BDSG nicht die Daten juristischer Personen, wie etwa die eines eingetragenen Vereins, einer GmbH, einer Genossenschaft oder einer AG. Selbst sensible Informationen über ein Unternehmen (z. B. Beschäftigtenzahl, finanzielle Lage, technisches Know-How) sind nicht durch das BDSG geschützt, sondern allenfalls über § 17 UWG (als Betriebsgeheimnis) oder über § 823 Abs. 1 BGB (über das Recht am eingerichteten und ausgeübten Gewerbebetrieb). Eine Ausnahme findet sich im Sozialrecht: Nach § 35 Abs. 4 SGB I stehen Betriebs- und Geschäftsgeheimnisse personenbezogenen Daten gleich und genießen demnach den vollen Schutz des Sozialgeheimnisses.
Etwas anderes gilt allerdings, wenn die (nicht durch das BDSG geschützten) Unternehmensdaten in eine Beziehung zu einzelnen Mitglieder des Vorstands, der Geschäftsführung oder einzelner Gesellschafter gebracht werden778; in diesem Fall ist das BDSG anwendbar. Überdies soll die unberechtigte Weitergabe von Unternehmensdaten nach Auffassung des BGH das „allgemeine Persönlichkeitsrecht eines Unternehmens" aus § 823 Abs. 1 BGB verletzen779.
Als zweites schützt das BDSG alle Informationen, die über den Betroffenen etwas aussagen, einschließlich
-
des Familien- und Vornamens,
-
der Staatsangehörigkeit und
Es kommt grundsätzlich nicht darauf an, wie schutzbedürftig und sensibel das einzelne Datum ist. Das BDSG ist insofern im Lichte des Volkszählungsurteils zu lesen, wonach es ein belangloses personenbezogenes Datum im Zeitalter der EDV nicht geben kann780. Deshalb ist
z. B. auch die Abbildung eines Gebäudes in einer Adressdatenbank auf CD-ROM als personenbezogenes Datum einzuordnen, wenn die Gebäudeabbildung mit dem Namen und der Anschrift der einzelnen Bewohner verknüpft ist und so einen Rückschluss über die Wohnverhältnisse des Betroffenen zulässt781.
Streitig ist, ob Werturteile unter den Begriff der personenbezogenen Daten fallen. So wurde bereits zum alten BDSG die Ansicht vertreten, Werturteile seien als bloße 'Annahmen' von den 'Angaben' zu unterscheiden und deshalb vom Schutzbereich des Gesetzes auszunehmen782. Gerade angesichts der großen Bedeutung, die Wertungen etwa in Personaldateien für den einzelnen Betroffenen haben, ist der h.M. beizupflichten, wonach auch Werturteile den Schutz der Datenschutzgesetze genießen783.
Umstrittener ist die Frage, ob Prognose- und Planungsdaten vom BDSG geschützte Daten sind. Maßgeblich ist grundsätzlich, ob es sich um Daten handelt, die nicht nur die künftigen, sondern bereits die gegenwärtigen Verhältnisse des Betroffenen berühren784. So beruht insbesondere die Personalplanung eines Arbeitgebers über die berufliche Entwicklung eines Arbeitnehmers auf der Bewertung gegenwärtiger fachlicher Qualifikationen. Derartige Planungsdaten bauen damit regelmäßig auf einer Analyse vergangener bzw. gegenwärtiger Sachverhalte auf und können erhebliche Rückwirkungen für die jetzige Stellung des Betroffenen implizieren. Man wird deshalb davon ausgehen müssen, dass zumindest re-individualisierbare Planungsdaten dem BDSG unterliegen, wenn sie konkrete Auswirkungen für den Betroffenen mit sich bringen785.
Von Bedeutung ist auch die Frage, inwieweit anonymisierte oder zusammenfassende (aggregierte) Daten und Datensammlungen dem BDSG unterliegen. Nach h.M. sind Sammelangaben über Personengruppen, aggregierte oder anonymisierte Daten jedenfalls dann keine Einzelangaben i.S.v. § 3 Abs. 1 BDSG, wenn kein Rückschluss auf eine einzelne Person möglich ist786. Allerdings wird der Personenbezug hergestellt, wenn eine Einzelperson als Mitglied einer Personengruppe gekennzeichnet wird, über die bestimmte Angaben gemacht werden, wenn die Daten also auf die Einzelperson "durchschlagen"787. Dies wird z. B. im Bereich des E-Commerce bei der Erstellung von Nutzungsprofilen relevant, wenn ein Internet-Nutzer aufgrund statistischer Erkenntnisse einer bestimmten Käuferschicht zugeordnet werden kann788.
Entscheidend ist nach der Legaldefinition des Anonymisierens in § 3 Abs. 7 BDSG, ob die Daten „nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können." Man wird deshalb über eine Risikoanalyse im Einzelfall prüfen müssen, unter welchem wirtschaftlichen und technischen Aufwand ein Personenbezug wiederhergestellt werden kann789. Grundsätzlich ist jedoch die Erstellung anonymer Profile in vollem Umfang zulässig, da das Datenschutzrecht hier nicht zum Tragen kommt. Ähnliches gilt für Pseudonyme, sofern nicht Zuordnungslisten in der Hand des Datenverarbeiters die Aufdeckung der Identität des hinter dem Pseudonym stehenden Nutzers ermöglichen.
Geschützte Verarbeitungsphasen, § 3 Abs. 4 bis 7 BDSG
Das alte BDSG kannte vier Phasen der Datenverarbeitung: Das Speichern (§ 2 Abs. 2 S. 1 i. V. m. § 9 BDSG), Verändern (§ 2 Abs. 2, 3 i. V. m. § 9 BDSG), Übermitteln (§ 2 Abs. 2 Nr. 2 i. V. m. §§ 10 f. BDSG) und Löschen (§ 2 Abs. 2 Nr. 4 i. V. m. § 14 Abs. 3 BDSG).
Diese starre Abgrenzung besonderer Datenverarbeitungsphasen erwies sich allerdings als fragwürdig und künstlich. Das aktuelle BDSG verfügt demgegenüber - im Anschluss an die Vorgaben des Volkszählungsurteils - über einen erweiterten Schutzbereich: Von dem Gesetz umfasst ist nicht nur die eigentliche Verarbeitung von Daten, sondern auch deren Erhebung und Nutzung.
Erhebung von Daten, § 3 Abs. 3 BDSG790
Nach § 1 Abs. 2 gilt das BDSG auch für die Erhebung personenbezogener Daten. Dabei ist der Begriff der „Erhebung" in § 3 Abs. 3 BDSG definiert als „das Beschaffen von Daten über den Betroffenen". Zu beachten ist ferner § 27 BDSG. Hiernach gilt das BDSG fürdie Privatwirtschaft nur, soweit die Daten unter Einsatz von DV-Anlagen oder in oder aus Dateien erhoben werden. Das Erheben ist folglich vom BDSG erfasst, sofern die Daten elektronisch oder in Dateien gespeichert werden. Die bloße Erhebung als solche (d. h. ohne anschließende Weiterverarbeitung) fällt nicht unter das BDSG791.
Vom Vorliegen einer Erhebung ist z. B. auszugehen bei
-
Befragungen (etwa mittels Personalfragebögen792 oder in Kunden- und Verbraucherbefragungen793),
-
medizinischen Untersuchungen (Blutproben) und
-
der Observierung von Personen mittels Kameras.
Das BDSG enthält für den öffentlichen Bereich detaillierte Regelungen für die Zulässigkeit einer Datenerhebung (§ 11 BDSG); für den privaten Bereich beschränkt sich das Gesetz in § 28 Abs. 1 S. 2 BDSG auf den lapidaren Verweis, dass die Daten „nach Treu und Glauben und auf rechtmäßige Weise erhoben" sein müssen.
Verarbeitung von Daten
Das BDSG umfasst neben dem Bereich der Datenerhebung auch die "Verarbeitung" personenbezogener Daten. Darunter fallen gem. § 3 Abs. 4 BDSG die
-
und die Löschung (Nr. 5) personenbezogener Daten.
Speicherung, § 3 Abs. 4 Nr. 1 BDSG
Speicherung im Sinne der BDSG meint das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verwendung. Infolge der Aufgabe des Dateierfordernisses stellen jetzt auch Aufzeichnungen auf unformatierten Datenträgern wie Notizzetteln eine Speicherung im Sinne des BDSG dar.
Veränderung, § 3 Abs. 4 Nr. 2 BDSG
Als Veränderung bezeichnet das BDSG das inhaltliche Umgestalten gespeicherter Daten. Es bezieht sich somit nur auf die Modifikation des Informationsgehalts und Aussagewerts eines konkreten Datums. Rein formale Verarbeitungsvorgänge, wie das Vergleichen von Daten, können deshalb nicht unter § 3 Abs. 4 Nr. 2 BDSG subsumiert werden.
Problematisch ist diese Legaldefinition deshalb, weil Datenveränderung regelmäßig auch Löschung alter und Speicherung neuer Daten impliziert. Man wird dann davon ausgehen müssen, dass die Vorschriften über Datenspeicherung und -löschung als lex specialis zu betrachten sind. Da jedoch die Zulässigkeitsvoraussetzungen für die Speicherung und Veränderung identisch sind, spielt die genaue Abgrenzung in der Praxis nur eine untergeordnete Rolle.
Die Veränderung kann auch darin liegen, dass die Daten durch eine Verknüpfung ihren bisherigen Kontext verlieren und so einen neuen, abgewandelten Informationswert erhalten, etwa durch das Herausnehmen von Daten aus dem bisherigen Verarbeitungszusammenhang oder durch das Einfügen in einen anderen Zusammenhang (z. B. Überspielung von Daten aus einem Schuldnerverzeichnis in eine Personaldatei)794.
Allerdings greift § 3 Abs. 4 Nr. 2 BDSG dann nicht ein, wenn lediglich eine Veränderung der äußeren Umstände der Datenverarbeitung stattfindet, etwa wenn der Datenzugriff durch Personen erfolgt, die nicht zu einem nach bestimmten funktionalen Kriterien festgelegten sozialen Umfeld gehören. Nur Einwirkungen auf das Datum selbst, nicht aber der Inhaltswandel eines Datums durch verändertes Vorwissen Dritter unterfallen dem Begriff der „Datenveränderung" in § 3 Abs. 4 Nr. 2 BDSG.
Übermittlung, § 3 Abs. 4 Nr. 3 BDSG
„Übermittlung" bezeichnet im BDSG die Bekanntgabe von Daten durch die verantwortliche Stelle (§ 3 Abs. 7 BDSG) an Dritte (§ 3 Abs. 8 BDSG) durch Weitergabe, Einsichtnahme oder Abruf.
Vom Übermittlungsbegriff umfasst, ist demnach sowohl die Weitergabe von personenbezogenen Daten an Dritte, etwa in Form der (schriftlichen oder mündlichen) Erteilung von Auskünften oder der Übermittlung mittels Datenfernübertragung, als auch die Einsichtnahme oder der Abruf von Daten durch Dritte. Insoweit fällt das BDSG allerdings hinter das Gesetz aus dem Jahre 1977 zurück, das bereits das Bereitstellen von Daten zum Abruf als „Übermittlung" einstufte.
Der Begriff der „Übermittlung" macht insofern Schwierigkeiten, als eine Bekanntgabe von Daten an „Dritte" vorliegen muss. Fraglich ist jedoch, wer als „Dritter" einzustufen ist. § 3 Abs. 8 S. 2 BDSG verweist hierzu darauf, dass Dritter „jede Person oder Stelle außerhalb der verantwortlichen Stelle" sei; dabei ist der Begriff der „verantwortlichen Stelle" in § 3 Abs. 7 BDSG definiert als „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen läßt". Nicht als Dritte gelten der Betroffene selbst und diejenigen Personen oder Stellen, die innerhalb der EU/EWR im Auftrag der speichernden Stelle Daten verarbeiten oder nutzen (§ 3 Abs. 8 S. 3 BDSG).
Das Verhältnis von verantwortlicher Stelle und Drittem bestimmt sich nach dem sog. funktionalen Stellenbegriff 795. Danach sind „Dritte"
-
alle Behörden, Stellen und Personen außerhalb der jeweiligen Behörde bzw. des einzelnen Unternehmens und
-
alle organisatorischen Teile innerhalb einer Behörde oder eines Unternehmens, deren Funktion in keinem direkten Zusammenhang mit der konkreten Datenverarbeitung steht796. Damit ist auch eine Datenübermittlung bei scheinbar hausinternen Mitteilungen gegeben, wenn diese Mitteilungen die vorgegebene Funktions- und Geschäftsverteilung übersteigen.
Konkret liegt eine Datenübermittlung mangels Bekanntgabe an einen „Dritten" nicht vor bei
-
einem Datentransfer innerhalb der speichernden Stelle,
-
der Mitteilung von Daten an den Betroffenen (etwa im Rahmen eines Auskunftsbegehrens nach §§ 19, 34 BDSG) und
-
dem Austausch von Daten zwischen einem Auftraggeber und Auftragnehmer (etwa einem Rechenzentrum), sofern der Auftragnehmer seinen Sitz in der EU oder dem EWR hat.
Umgekehrt ist von einer Datenübermittlung auszugehen
-
bei jedem Datentransfer in Staaten außerhalb von EU/EWR.
Sperrung, § 3 Abs. 4 Nr. 4 BDSG
„Sperrung" personenbezogener Daten bezeichnet die Kennzeichnung dieser Daten zu dem Zweck, ihre weitere Verarbeitung oder Nutzung einzuschränken. Diese Verarbeitungsphase zielt auf die Möglichkeit, bei automatisierten Dateien den Zugriff auf Datenfelder oder ganze Datensätze programmtechnisch unmöglich zu machen. Bei Akten spielt die Sperrung demgegenüber keine Rolle; sie ist dort auch nur unter erschwerten Voraussetzungen zulässig (§ 20 Abs. 5 BDSG).
Löschung, § 3 Abs. 4 Nr. 5 BDSG
„Löschung“ bezeichnet im BDSG das Unkenntlichmachen von Daten, womit allein das unwiederbringliche Tilgen der Daten, ungeachtet der dabei verwendeten Verfahren, gemeint ist.
Ein Löschen kann erfolgen durch
-
Vernichten der Datenträger (einschließlich aller Sicherheitskopien).
Nicht ausreichend sind
-
der bloße Vermerk „Gelöscht" und
-
das bloße Archivieren und Auslagern von Daten.
Dostları ilə paylaş: |