Maßgebliches Recht
Das „Internetrecht“ ist so international wie das Web selbst, weshalb eine rechtliche Abhandlung über das Datenschutzrecht nicht beginnen kann, ohne daß die Frage nach dem Recht (Statut) gestellt wird. Wenn ich mich mit Rechtsfragen auseinandersetze, komme ich nicht mehr an der Frage vorbei, welches Recht eigentlich anwendbar ist. Wenn z.B. ein Ungar an einem Gewinnspiel teilnimmt, das auf einer Seite veranstaltet wird, die ein in Deutschland niedergelassener Unternehmer betreibt, welches Recht ist dann anwenbar?
1.) Keine vertragliche Wahlmöglichkeit
Zum einen sind die Rechtswahlklauseln, die sich in Verträgen oder in AGB befinden, unerheblich (Art 27,34 EGBGB). Vielmehr gilt: Deutsches Recht ist anwendbar, wenn die verarbeitende Stelle ihren Sitz in Deutschland hat. Das gilt jedenfalls nach dem deutschen Recht.
2.) Das europäische Recht.
Anders das europäische Recht, das in dieser Frage das deutsche Recht überlagert. Hier kommt es darauf an, an welchem Ort der für die Datenverarbeitung Verantwortliche seinen Sitz hat, Art 4 Abs.1 lt.a, c.). Dabei ist der Verantwortliche derjenige, der personenbezogene Daten verarbeitet und verarbeiten lässt und über Zweck und Ziel der Datenverarbeitung entscheidet, die Auswahl über Verfahren, die relevanten Daten und den Datenadressaten vornimmt. In dem anfangs gestellten Beispiel kommt also deutsches Datenschutzrecht zur Anwendung.
Problematisch ist dabei aber, ob auch derjenige Verantwortlicher sein soll, der zwar über Zweck und Ziel der Verarbeitung entscheidet aber die Entscheidung für alle andere Fragen einem anderen überlässt. Dies ist insbesondere beim Outsourcing oder bei Rechenzentrumsverträgen aber entscheidend.
Problematisch ist ferner, ob die EU-Richtlinie auch dann anwendbar ist, wenn der Verantwortliche seinen Sitz ausserhalb der EU hat, aber die Verarbeitung innerhalb der EU hat, wobei eine reine Durchleitung nicht als Verarbeitung gilt.
Deutsches Recht kommt also zur Anwendung, wenn ein Unternehmen mit Sitz in Deutschland seine Daten offshore verarbeiten lässt; oder ein Offshore Unternehmen seine Daten in Deutschland verarbeiten lässt.
3.) Transborder Data Flow
Alle europäischen Staaten verfügen zwar über datenschutzrechtliche Regelungen; diese unterscheiden sich aber inhaltlich derartig, daß Fragen des grenzüberschreitenden Verkehrs zu einer Bedrohung des internationalen Verkehrs innerhalb der EU werden konnten. Im Verhältnis zu den scharfen Regelungen Deutschlands gab es natürlich Staaten, in denen der Datenschutz keinen ähnlich rigiden Regelungen unterworfen war. Nach der EU Richtlinie 2002/58/EG dürfen personenbezogene Daten nicht in ein Land übermittelt werden, wenn ein angemessenes Schutzniveau vorliegt. Wann diese Voraussetzung vorliegt, ist umstritten. Hierbei kommt es auf Faktoren wie die Art der Daten, die Dauer der Datenverarbeitung sowie die Regelungen und Normen am Ort der Verarbeitung an.
Die Bereitstellung von Daten auf einer Homepage gehört aber nicht unter den Übermittlungsbegriff der Datenschutzrichtlinie. Falls personenbezogene Daten auf einer Internetseite bereitgestellt werden, fällt die weltweite Abrufbarkeit dieser Daten nicht unter den Datenschutzbegriff.
Nach § 4c BDSG gibt es einige Tatbestände, die die Übermittlung der personenbezogenen Daten ins Ausland rechtfertigen. Abseits dieser Regelung ist eine Übermittlung ins Ausland nur möglich, wenn ausreichende Garantien für die Erhaltung der Grundrechte und Privatshäre der Betroffenen gewährleistet sind. So z.B., wenn eine nationale Behörde die Übermittlung der Daten genehmigt. Weil derzeit das Datenschutzniveau in den USA nicht dem europäischen Standard entspricht, kann eine Übermittlung nur stattfinden, wenn codes of conduct vorliegen, die von den entsprechenden Datenschutzbehörden genehmigt werden können. Nur wenn dieser Weg beschritten ist, können zB. personenbezogene Daten innerhalb von Konzernen aus der EU in die USA transferriert werden.