Zauberwürfel EU–Datenschutzrecht: Welches Recht ist anwendbar?
Ein Gastbeitrag von Diana Dimitrova
Der Artikel stellt die aktuelle Rechtsprechung des Europäischen Gerichtshofes über den räumlichen Anwendungsbereich des nationalen Datenschutzrechts in der EU dar. Der Beitrag konzentriert sich auf zwei Urteile – nämlich Verein für Konsumenteninformation (VKI) und Weltimmo – und gibt einen Ausblick auf deren Konsequenzen für die Auslegung der kürzlich verabschiedeten Datenschutzgrundverordnung (DSGVO).
Fragen zum räumlichen Anwendungsbereich von nationalen Gesetzen, die EU-Gesetze umsetzen, landen gelegentlich vor dem EuGH. So auch im Datenschutzrecht, das derzeit noch nicht umfassend harmonisiert ist. Die nationalen Gesetze und deren Durchsetzungsbestimmungen sind mehr oder weniger streng. Für Unternehmen, die grenzüberschreitende Geschäfte betreiben, bedeutet das Rechtsunsicherheit: Sie stehen oft vor der schwierigen Frage, welchem Recht sie unterliegen.
Der Niederlassungsbegriff im EU-Datenschutzrecht
Nach Art. 4 Abs. 1 lit. a Richtlinie 95/46/EC (DSRL) ist das Recht jenes Mitgliedstaates anwendbar, in dessen Gebiet ein Unternehmen eine Niederlassung hat und personenbezogene Daten „im Rahmen der Tätigkeiten dieser Niederlassung“ verarbeitet. Erwägungsgrund (ErwG) 19 der DSRL spezifiziert das:
„Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich.“
Die EuGH-Rechtsprechung zur Anwendbarkeit europäischen Datenschutzrechts
Der EuGH legt die Voraussetzungen im Artikel 4 und ErwG 19 der DSRL in der Regel weit aus. Das hat etwa im Google Spain-Urteil 2014 zur Anwendbarkeit europäischen Datenschutzrechts geführt – obwohl dort die eigentliche Datenverarbeitung nicht ausschließlich in der EU stattfand (Az. C-131/12). Der Fall betraf die Datenverarbeitung personenbezogener Daten einer Suchmaschine, aka Google. Die Datenverarbeitung bestand u.a. in der Anzeige personenbezogener Daten auf einer Website mit Suchergebnissen. Google hatte diese Anzeige im Rahmen der Förderung des Verkaufs der Werbeflächen der Suchmaschine ausgeführt, da Google zusammen mit den Suchergebnissen auch Werbeanzeigen angezeigt hat. Dieses Geschäft war auf die Einwohner in Spanien ausgerichtet, wo Google eine Niederlassung gegründet hatte (Google Spain). Der EuGH hat die oben genannte Datenverarbeitung zu diesem Geschäft verknüpft und diese als eine Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eingestuft. Dem EuGH reichte damals der Umstand aus, dass die spanische Google-Niederlassung die Datenverarbeitung wirtschaftlich fördert. Das bedeutet: Auch wenn ein Unternehmen in einem EU-Mitgliedsstaat nicht ansässig ist, kann EU-Datenschutzrecht anwendbar sein.
Nun wird auch darüber gestritten, welches mitgliedstaatliche Datenschutzrecht Anwendung findet, wenn ein Unternehmen, das allein in einem Mitgliedstaat der EU ansässig ist, seine Dienste über das Internet auch in anderen Mitgliedstaaten anbietet. Im einschlägigen Fall Weltimmo entschied der EuGH 2015 (Az. C-230/14): Das anwendbare nationale Recht bestimmt sich nicht streng formal nach dem Niederlassungsort, auf den z.B. die Eintragung eines Unternehmens hindeutet. Vielmehr ist der Niederlassungsbegriff flexibel; er umfasst „jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird“ (Rn. 31). Um festzustellen, ob ein Unternehmen eine Niederlassung in einem Mitgliedsstaat besitzt, sind „sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten“ im fraglichen Mitgliedstaat zu bewerten (Rn. 29). Das gelte unabhängig von der Tatsache, in welchem EU-Mitgliedsstaat das Unternehmen ansässig ist.
Der Fall VKI
Die Ausführungen zum Niederlassungsbegriff aus dem Urteil Weltimmo hat der EuGH kürzlich im Fall VKI bekräftigt (Az. C-191/15). Im Fall, der dem Verfahren zugrunde lag, gingen die österreichischen Verbraucherschützer VKI gegen Rechtswahlklauseln von Amazon vor. Die dort unter anderem behandelte Frage war, welches Recht anwendbar ist, wenn ein Unternehmen in mehreren EU-Mitgliedstaaten tätig ist: Amazon EU ist in Luxembourg ansässig. Das Unternehmen bietet aber österreichischen Konsumenten Waren über eine „.de“-Website an, ohne eine Niederlassung in Österreich zu haben. Welches nationale Datenschutzrecht ist dann anwendbar – das luxemburgische, das deutsche oder das österreichische?
Vom Merkmal der „effektiven Ausübung der wirtschaftlichen Tätigkeit“ rückt der EuGH auch in diesem Urteil nicht ab (Rn. 75 ff.). Das weist darauf hin, dass im konkreten Fall deutsches oder österreichisches Reicht anwendbar sein könnte.
Nachdem klar ist, in welchem EU-Mitgliedstaat ein Unternehmen eine „Niederlassung“ im Sinne von Art. 4 Abs. 1 lit. a DSRL besitzt, muss überprüft werden, ob dieses Unternehmen seine Datenverarbeitungstätigkeiten im Rahmen dieser Niederlassung ausführt. Der EuGH weist auf die potenzielle Anwendbarkeit des deutschen Rechts hin (Rn. 80). Allerdings schließt der EuGH die Anwendbarkeit des österreichischen Rechts nicht explizit aus, wenn nachgewiesen ist, dass erstens Amazon EU in Österreich eine Niederlassung im Sinne der DSRL besitzt und zweitens das Unternehmen die personenbezogenen Daten im Rahmen dieser Niederlassung in Österreich verarbeitet.
Die Schlussanträge im Fall VKI und Google Spain
Der Generalanwalt hatte in seinen Schlussanträgen im Fall VKI die Anwendbarkeit des österreichischen Rechts bezweifelt. Dort vertrat er die Ansicht, dass allein die „.de“-Website keine feste Einrichtung in Österreich darstellen könne, „solange keine weiteren Gesichtspunkte vorliegen“ (Rn. 120-121). Der EuGH folgt diesem Argument. Der Generalanwalt hatte ausgeführt: Auch wenn der Kundendienst, d.h. die Reklamationsstelle in Österreich, als Niederlassung einzustufen wäre, ist zu bezweifeln, dass die Datenverarbeitung im Rahmen dieses Kundendienstes ausgeführt wird (Rn.124-125). Der EuGH befasst sich im Urteil nicht mit dem Kundendienst und lässt das österreichische Gericht über die Frage der Anwendbarkeit der verschiedenen nationalen Gesetze entscheiden.
Was ist beachtenswert an den Ausführungen des Generalanwalts? Sie bedeuten einen Rückschritt vom Urteil im Fall Google Spain, in dem der EuGH Art. 4 Abs. 1 lit. a weit ausgelegt hatte (s.o.). Denn im Gegensatz zu Google Spain etabliert der Generalanwalt (str)engere Kriterien für die Verkoppelung einer Datenverarbeitung an die Tätigkeiten einer Niederlassung eines Unternehmens in einem EU Mitgliedsstaat.
Der Generalanwalt begründet seine Abweichung von der weiteren Auslegung von Art. 4 Abs. 1 lit. a DSRL im Google Spain-Urteil damit, dass im Fall Google Spain die bloße Anwendbarkeit des EU-Rechts in Frage gestellt war. Auf dem Spiel standen die personenbezogenen Daten von in der EU wohnenden Betroffenen. Deren Schutz war von der Anwendbarkeit der DSRL abhängig. Diese Anwendbarkeit war im Fall Google Spain von der Verkuppelung von der Datenverarbeitung an Googles Niederlassung in der EU, bzw. Spanien, abhängig. Da im Fall VKI die Anwendbarkeit der DSRL nicht in Frage steht, könnte man die Vorgaben im Art. 4 Abs. 1 lit. a DSRL strenger auslegen, um das anwendbare nationale Recht zu bestimmen (Rn. 124).
Anwendbares Recht und die DSGVO
Ab 2018 gilt die DSGVO als einheitlich anwendbares Datenschutzrecht. Wird sich die Diskussion um das anwendbare Recht dann erübrigt haben? Nicht unbedingt: Zwar setzt gemäß Art. 3 Abs. 1 DSGVO die räumliche Anwendbarkeit der DSGVO eine Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU voraus – unabhängig davon, wo die Datenverarbeitung ausgeführt ist.
Doch es wird auch weiter unklare Fälle geben: Ist die DSGVO zum Beispiel auf ein chinesisches Unternehmen anwendbar, das in der EU nicht ansässig ist, aber in der EU Forschungsaktivitäten mit personenbezogenen Daten von in der EU ansässigen Leuten betreibt? Die bisherige Auslegung der Tatbestände der „Niederlassung“ und „im Rahmen der Tätigkeit einer Niederlassung“ durch den EuGH müssen auch unter Geltung der DSGVO betrachtet werden. Und es ist wahrscheinlich, dass der EuGH bei künftigen Verfahren zu solchen Fragen die weite Auslegung vom Google Spain-Urteil übernehmen wird – statt der engeren Auslegung des Generalanwalts im Fall VKI. Denn eine solche weite Auslegung wird eher dem Geist der DSGVO entsprechen: Gemäß Art. 3 Abs. 2 DSGVO wird die DSGVO auch anwendbar auf Verantwortliche und Auftragsverarbeiter sein, die keine Niederlassung in der EU haben, aber Waren und Dienstleistungen Betroffenen anbieten, die in der EU sich befinden (Marktortprinzip).
Letztendlich vertrat der Generalanwalt im Fall VKI die Ansicht, dass es nur ein nationales anwendbares Recht geben könnte. Daraus kann man schließen, dass es auch nur eine Niederlassung im Sinne des Datenschutzrechts geben könnte (Rn. 129 Abs. 4). Einerseits steht diese Sichtweise im Einklang mit der DSGVO, da die DSGVO das einzige anwendbare Recht sein wird. Andererseits weicht es leicht von der DSGVO ab: Die DSGVO führt das Konzept der „Hauptniederlassung“ ein (Art. 4 Abs. 16 DSGVO), d.h. dem Staat, in dem die Entscheidungen über die Mittel und Zwecke der Verarbeitung getroffen sein werden. Danach wird die federführende Aufsichtsbehörde in Fällen von grenzüberschreitenden Datenverarbeitungen bestimmt (Art. 56 Abs. 1 DSGVO) – man könnte hiervon ableiten, dass es nach der DSGVO mehrere Niederlassungen geben könnte.
Diana Dimitrova ist wissenschaftliche Mitarbeiterin am Leibnitz Institut für Informationsinfrastruktur (FIZ Karlsruhe) und an der KU Leuven, Belgien. Diana forscht zu datenschutzbezogenen Themen und arbeitet unter anderem an EU-geförderten Projekten.
Der Blogbeitrag ist ursprünglich in englischer Sprache und leicht abgewandelt auf dem CiTiP Blog der KU Leuven erschienen.
