Sinn und Zweck von Unternehmensregelungenvertraglichen Regelungen im Sinne des § 4c Abs
Bezüglich der speziellen Problematik des Drittstaatentransfers stellt sich die Frage, ob beim Abschluss einer Betriebsvereinbarung weitergehende Anforderungen, z. B. Genehmigung nach § 4c Abs. 2 BDSG, Safe HarborUnterwerfung etc., entfallen (vgl. Eul/Godefroid, RDV 1998, 185 [189] unter Hinweis auf Erwägungsgrund 9 und 22 der EG-DSRL).
Dem ist aber der begrenzte Geltungsbereich von Betriebsvereinbarungen entgegenzuhalten. Jedenfalls bei ausländischen Konzernen sind die außerhalb Deutschlands ansässigen Konzernmütter und -töchter nicht per se an die Betriebsvereinbarung gebunden.
Sinn und Zweck von Unternehmensregelungen/vertraglichen Regelungen im Sinne des § 4c Abs. 2 wäre dann gerade, die Betriebsvereinbarung für alle verbindlich zu machen (siehe den im 13. Tätigkeitsbericht vom 30. August 2000, LT-Drucks. 15/1539 Nr. 10.2 dargestellten Fall). Allenfalls dann, wenn das, was die Betriebsvereinbarung regelt, an sich bereits nach § 28 Abs. 1 Nr. 1 BDSG zulässig ist, wäre der Erlaubnistatbestand des § 4c Abs. 1 Nr. 2 BDSG gegeben. Es dürfte jedoch gerade zweifelhaft sein, ob § 28 Abs. 1 Nr. 1 BDSG erfüllt ist.
Die Problematik des konzernweiten Austauschs von Mitarbeiterdaten wird die Aufsichtsbehörden wohl auch in Zukunft beschäftigen.
Zweckmäßig wären konkrete Regelungen in dem auf Bundesebene beabsichtigten Arbeitnehmerdatenschutzgesetz.
Auftragsdatenverarbeitung innerhalb der EU und des EWR
Nicht nur hinsichtlich des Datentransfers in Drittstaaten bestehen rechtliche Unsicherheiten, sondern auch hinsichtlich des Datenaustauschs und der Datenverarbeitung innerhalb der EU und des EWR. Dabei geht es insbesondere um die Frage, welches nationale Recht anwendbar ist.
Es wurde beispielsweise gefragt, welches Recht gelte, wenn ein in Deutschland ansässiges Unternehmen als Auftragsdatenverarbeiter für ein in Frankreich ansässiges Unternehmen in Deutschland tätig wird.
Oder welches Recht anwendbar ist, wenn ein in den Niederlanden ansässiges Unternehmen seine Kundendaten in seiner deutschen Niederlassung verarbeiten lässt, wobei aber die deutsche Niederlassung ausschließlich als weisungsgebundenes Rechenzentrum fungiert und somit als Auftragsdatenverarbeiter tätig ist?
Nach § 1 Abs. 5 Satz 1 BDSG findet das BDSG keine Anwendung, wenn eine in einem anderen EU- oder EWR-Staat belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.
Grundsätzlich ist also der Sitz der verantwortlichen Stelle maßgeblich, wo die Datenverarbeitung tatsächlich erfolgt, ist danach unerheblich (Sitzlandprinzip). Wenn jedoch eine inländische Niederlassung besteht, gilt das BDSG, sofern die konkrete Datenerhebung, -verarbeitung oder Nutzung von dieser ausgeht bzw. in dieser erfolgt (Territorialprinzip bzw. abgeschwächtes Sitzlandprinzip).
Der Fall der Auftragsdatenverarbeitung ist in § 1 Abs. 5 BDSG nicht gesondert geregelt. Hier sind allerdings die Wertungen der §§ 3 Abs. 8 Satz 3 und 11 BDSG zu beachten, wonach auch ein im europäischen Ausland ansässiger Auftragsdatenverarbeiter nicht als Dritter anzusehen ist, sondern der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich ist.
Bezüglich des umgekehrten Falles, dass ein inländischer Auftragnehmer für einen im europäischen Ausland ansässigen Auftraggeber tätig ist, kann aufgrund der Vorgaben in Art. 17 Abs. 2 und 3 sowie Art. 2e EG-DSRL davon ausgegangen werden, dass in den anderen EU- und EWR-Staaten entsprechende Vorschriften bestehen bzw. diese müssten notfalls richtlinienkonform so ausgelegt werden.
Da also der Auftraggeber verantwortliche Stelle ist, d.h. der weisungsgebundene Auftragnehmer keine eigene Verfügungs-/Entscheidungsbefugnis über die Daten hat, muss das Recht des Landes, das für den Auftraggeber gilt, maßgeblich bleiben. Dabei kann es keinen Unterschied machen, ob als Auftragnehmer ein fremdes Unternehmen oder eine eigene Niederlassung tätig ist, entscheidend sind die Funktion und die entsprechende Ausgestaltung des Auftragsverhältnisses.
Folglich sind in den eingangs genannten Fällen nicht die §§ 4, 27 ff. BDSG anwendbar, sondern die Zulässigkeit der Datenverarbeitung als solcher beurteilt sich nach französischem bzw. niederländischem Recht.
Umgekehrt ist davon auszugehen, dass ein hier ansässiges Unternehmen sich eines britischen, französischen etc. Auftragsdatenverarbeiters bedienen kann und dabei weiterhin das BDSG bezüglich der Zulässigkeit der Verarbeitung als solcher gilt.
Bezüglich der technisch-organisatorischen Maßnahmen zur Datensicherheit allerdings ist Art. 17 Abs. 3 2. Spiegelstrich EG-DSRL zu beachten. Danach ist der Auftragsdatenverarbeiter zur Beachtung der erforderlichen technischorganisatorischen Maßnahmen zu verpflichten, und zwar nach Maßgabe der Rechtsvorschriften des Landes, in dem er seinen Sitz hat. Damit soll bewirkt werden, dass ein Auftragsdatenverarbeiter, der für Verantwortliche in verschiedenen Mitgliedstaaten Aufträge erledigt, nicht mit den rechtlichen Anforderungen aller dieser Mitgliedstaaten konfrontiert wird, sondern sich, nicht zuletzt im Hinblick auf die erfolgte Harmonisierung, allein auf die Beachtung des entsprechend seinem Sitz anwendbaren nationalen Rechts konzentrieren kann (Dammann/Simitis, Kommentar zur EG-DSRL, Art. 17 Rn. 14).
Diese Vorgabe entspricht § 11 Abs. 4 BDSG, denn danach gilt für den Auftraggeber ausnahmslos § 9 BDSG. Eine Unterscheidung danach, ob der Auftragnehmer für inländische oder ausländische Auftraggeber tätig wird, ist nicht vorgesehen.
Im Ergebnis ist also die Frage nach dem anwendbaren Recht entsprechend der im BDSG vorgekommenen Verteilung der rechtlichen Verpflichtungen zwischen Auftraggeber und Auftragnehmer zu beantworten.
Anwendbarkeit deutschen Rechts auf US-Websites Schwieriger noch als bei Datenverarbeitungen innerhalb der EU und des EWR ist die Frage nach dem anwendbaren Recht bei solchen Datenverarbeitungen zu bewerten, welche im Zusammenhang mit außereuropäischen Websites erfolgen.
Das BDSG findet nach § 1 Abs. 5 Satz 2 BDSG Anwendung, sofern eine verantwortliche Stelle, die weder in der EU noch im EWR belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Damit gilt das Territorialitätsprinzip.
Maßgeblich ist also der Ort der Datenverarbeitung.
In der vernetzten Welt des Internet lässt sich jedoch oft nur sehr schwer lokalisieren, wo denn nun die maßgebliche Tätigkeit erfolgt.
Exemplarisch seien zwei von vielen Fallgestaltungen genannt, zu denen das Regierungspräsidium Darmstadt von den Unternehmen bzw. deren Bevollmächtigten um Beratung gebeten wurde.
In einem Fall handelte es sich um ein US-Unternehmen mit einer deutschen Tochtergesellschaft. Das US-Mutterunternehmen beabsichtigte, eine Website in deutscher Sprache zu errichten, um Kunden in Deutschland die Bestellung von Waren zu ermöglichen. Die Website sollte also ein elektronisches Bestellformular enthalten. Sie sollte unter einer ".de"-Domain betrieben, jedoch in den USA von einem Unternehmen gehostet werden, das auch die Server für die US-Muttergesellschaft betreibt. Demzufolge sollten die Daten in die USA unter der Kontrolle der US-Mutter verarbeitet und aufbereitet werden.
Die deutsche Tochtergesellschaft sollte die Bestellungen deutscher Kunden ausführen. Zu diesem Zweck sollte sie die Daten in den USA abrufen und in ein Bestellungssystem in Deutschland eingeben. Sodann sollten die Produkte direkt von der deutschen Tochter an die Kunden ausgeliefert werden.
In einem anderen Fall stellt ein US-Unternehmen ein Computerspiel her.
Dieses wird weltweit als CD-ROM vertrieben. Der Vertrieb in Deutschland erfolgt über ein deutsches Unternehmen, welches zwar keine Tochtergesellschaft ist, aber zum selben Konzern gehört. Die CD-ROM enthält die deut sche Fassung des Spiels. Das Spiel kann jeder Spieler für sich allein an seinem PC spielen (offline). Er hat aber auch die Möglichkeit, sich auf der Website des US-Unternehmens zu registrieren und dann das Spiel mit und gegen andere Spieler im World Wide Web zu spielen (online). Das deutsche Unternehmen unterstützt deutsche Spieler bei technischen Problemen.
In beiden Fällen stellte sich zunächst die Frage, ob die unmittelbar im Zusammenhang mit der US-Website erfolgende Datenerhebung und verarbeitung dem deutschen Unternehmen zuzurechnen und dieses also als Anbieter des Tele- bzw. Mediendienstes anzusehen sei. Bezüglich der im Zusammenhang mit der Auslieferung der Ware bzw. des CD-Verkaufs erfolgenden Verarbeitung in Deutschland sind die deutschen Unternehmen selbstverständlich verantwortlich.
Dies wäre zu bejahen, wenn ein Unternehmen die Akquisition neuer deutscher Kunden betreibt, an der Verwaltung der Nutzerdaten mitwirkt und die deutschsprachigen Inhalte des Dienstes redaktionell zu verantworten hat (siehe 17. Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten, S. 30, 31). Gerade Letzteres verneinten die Unternehmensvertreter jedoch in den geschilderten Fällen.
Trotz des engen Zusammenwirkens mit den US-Unternehmen in einem einheitlichen wirtschaftlichen Gesamtkonzept ist es problematisch anzunehmen, dass die Datenverarbeitung im Zusammenhang mit den US-Websites im Rahmen der Tätigkeit der deutschen Unternehmen erfolge.
Bei der gebotenen richtlinienkonformen Auslegung ist Art. 4 Abs. 1c EGDSRL zu beachten. Danach hat jeder Mitgliedstaat sein nationales Datenschutzrecht auf alle Verarbeitungen, nach Art. 2b EG-DSRL auch auf Erhebungen, Nutzungen etc., personenbezogener Daten anzuwenden, die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zweck der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden.
Ein Rückgriff auf derartige Mittel läge zweifellos vor, wenn die Website in Deutschland gehostet würde oder Einwahlknoten genutzt werden, was aber in den Beispielen nicht der Fall war.
Bei einer bloßen Datenerhebung mittels Website-Formular liegt die Schwierigkeit darin, dass die Erhebung quasi mit der Bereitstellung des Formulars im Internet beginnt und erst mit dessen Ausfüllung durch den Nutzer beendet ist. Problematisch ist auch, ob der PC des Nutzers ein "Mittel" im Sinne des Art. 4 Abs. 1c) EG-DSRL ist. Ein solches liegt grundsätzlich nur vor, wenn es von der verantwortlichen Stelle beherrscht wird.
Die Problematik wird von der Gruppe nach Art. 29 EG-DSRL bzw. zunächst von einer eigens hierfür gebildeten Untergruppe behandelt.
Bei Redaktionsschluss dieses Tätigkeitsberichts war nur insoweit Einigkeit erzielt, dass bei Verwendung von Cookies, Javascript und vergleichbarer Software sowie dem Einsatz von Viren, Würmern und Trojanischen Pferden deutsches Recht bzw. das Recht der anderen EU-/EWR-Staaten gilt. Typischerweise ist der Nutzer hier Objekt einer Datenverarbeitung, die er nicht selbst steuert.
Da in den oben genannten Beispielfällen laut Auskunft der Bevollmächtigten zumindest Cookies gesetzt werden sollten bzw. dies aufgrund der Allgemeinen Geschäftsbedingungen des US-Spieleherstellers anzunehmen war, wies die Aufsichtsbehörde die Unternehmen auch darauf hin, dass von der Geltung deutschen Datenschutzrechts auszugehen sei.
Die Unternehmen können sich dem nicht schon dadurch entziehen, indem sie lediglich einen Hinweis auf die Konfigurationsmöglichkeit des Browsers in die Website aufnehmen. Nur wenn das Angebot so gestaltet wird, dass der Nutzer die Verarbeitung insgesamt selbst steuert, gilt etwas anderes.