Welche datenschutzrechtlichen Regelungen gelten im Ausland? Besonders angesichts der Enthüllungen über Datenausspähung durch ausländische Geheimdienste unter Mitwirkung einiger Großunternehmen wie beispielsweise Google, Yahoo! und Facebook ist diese Frage von aktueller Bedeutung. Fast jeder Internetnutzer besucht früher oder später eine Internetseite, welche nicht von einem deutschen Unternehmen betrieben wird, etwa Google, Yahoo!, Facebook oder Amazon , die Auswahl an international agierender Unternehmen im Web ist riesig. Bei der Nutzung von Suchmaschinen, sozialen Netzwerken und Online-Shopping kommt es zur Preisgabe von personenbezogenen Daten. Im Folgenden soll beleuchtet werden, welche datenschutzrechtlichen Vorschriften gelten, wenn die Daten die Bundesrepublik verlassen, etwa weil sie zentral auf einem ausländischen Server landen.
Nach dem geltenden Territorialprinzip ist grundsätzlich für alle Vorgänge in Deutschland deutsches Recht, insbesondere also das Bundesdatenschutzgesetz (BDSG), anwendbar. Werden Daten also innerhalb Deutschlands erhoben, gespeichert und verarbeitet, gelten hierfür die deutschen Datenschutzstandards. Bei Übermittlung der Daten ins Ausland ist zwischen dem Gebiet der EU und sogenannter Drittstaaten zu unterscheiden.
1. Nach der Umsetzung der EU-Richtlinie 95/46/EG ist gemäß § 1 IV BDSG das Recht der Niederlassung des handelnden Unternehmens anzuwenden, wenn sich diese in einem der EU-Staaten befindet. Dass ist insofern unproblematisch, als dass im Gebiet der EU dieselben Datenschutz-Standards wie in Deutschland gelten. Bei der Datenübermittlung ergeben sich im Vergleich zum Inland also keine Besonderheiten, was das Datenschutzniveau betrifft.
2. Problematisch wird es, wenn Daten in Drittstaaten übermittelt werden sollen. Hier sind Drittstaaten, in denen ein gleiches oder ähnliches Datenschutzniveau wie in Europa herrscht, von sog. unsicheren Drittstaaten zu unterscheiden, in denen das Datenschutzniveau hinter den deutschen bzw. europäischen Standards zurückbleibt. Bei ersteren ist eine Übermittlung wie innerhalb der EU bei Vorliegen der geregelten Übermittlungsvoraussetzungen ohne weiteres zulässig. Zu diesen Staaten zählen u.a. die Schweiz, USA (sofern sie die Unternehmen den "Safe-Harbor" Regelungen unterworfen haben), teilw. Canada und Argentinien.
Schwieriger wird es bei Drittstaaten, in denen ein geringerer Datenschutz geregelt ist. Das ist z.B. in Japan, China, Israel und den USA (sofern sich das Unternehmen nicht dem "Safe-Harbor" Regelungen unterworfen hat) der Fall. Hier ist die Übermittlung gemäß § 4c BDSG nur unter folgenden Voraussetzungen zulässig: Der Betroffenen wurde über die geplante Datenübermittlung in ein solchen Land informiert und hat dem eingewilligt; es besteht eine besondere Erforderlichkeit zur Übermittlung wie zu gerichtlichen Zwecken, im öffentlichen Interesse oder zur Wahrung lebenswichtiger Interessen des Betroffenen bzw. dient die Übermittlung der Begründung oder Erfüllung eines Vertrages und der Betroffene wurde ausreichend informiert. Außerdem ist die Übermittlung zulässig, wenn eine Genehmigung durch die Aufsichtsbehörde eingeholt wurde.
3. Die aufgeführten unterschiedlichen Schutzniveaus machen es für den Bürger, aber auch für Unternehmen angesichts von verschiedenen nationalen Regelungen schwierig, festzustellen, welche Datenschutzbestimmungen in welchem Falle gelten. Anstatt internationaler Einzelabkommen wie dem sog. "Safe-Harbor" mit den USA, ist ein einheitlicher, international geltender Rahmen wünschenswert, um einen effektiveren Datenschutz zu gewährleisten. In Europa ist eine Harmonisierung des Datenschutzes durch die Richtlinie 95/46/EG und ihrer Ergänzung 2002/58/EG bereits fortgeschritten, welche für alle EU-Staaten verbindlich gilt.
Bei Fragen rund um das Medienrecht steht Ihnen die Rechtsanwaltskanzlei Scharfenberg gern zur Seite Sie können uns telefonisch unter 030 206 269 22 oder per E-Mail unter mail@ra-scharfenberg.com erreichen.
Das könnte Sie auch interessieren:
