Wann ist deutsches Datenschutzrecht anwendbar?

/in /by

Die Betreiber von Online-Diensten können heute von nahezu jedem Ort der Welt aus Daten an nahezu jedem anderen Ort erheben und verarbeiten. Trotzdem hat jeder Staat eigene – teils in erheblichem Maße unterschiedliche – Datenschutzvorschriften. Am Beispiel des deutschen Datenschutzrechts soll hier erläutert werden, unter welchen Voraussetzungen dieses zur Anwendung kommt.

Der Anwendungsbereich des deutschen Datenschutzrechts ist in § 1 des Bundesdatenschutzgesetzes (BDSG) geregelt. Danach ist deutsches Datenschutzrecht anzuwenden, wenn die datenverarbeitende Stelle (etwa der Website-Betreiber oder App-Anbieter) ihren Sitz oder eine datenverarbeitende Niederlassung in Deutschland hat.

Befindet sich weder der Sitz, noch eine datenverarbeitende Niederlassung in Deutschland, muss differenziert werden:

Betreibt der Website-Betreiber bzw. App-Anbieter einen Sitz oder eine datenverarbeitende Niederlassung innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (hierzu zählen auch Norwegen, Island und Liechtenstein), ist das nationale Datenschutzrecht des jeweiligen Mitgliedsstaats anzuwenden.

Liegen hingegen sowohl der Sitz als auch sämtliche datenverarbeitenden Niederlassungen außerhalb der EU und des EWR, ist deutsches Datenschutzrecht wiederum anwendbar, wenn persönliche Daten im Inland (etwa mittels einer Website oder einer App) erhoben und verwendet werden.

Hintergrund dieser Differenzierung ist, dass das Gesetz davon ausgeht, dass die (harmonisierten) Vorschriften der EU-Mitgliedsstaaten durchweg einen vergleichbar starken Schutz persönlicher Daten gewährleisten. Wenn jedoch der Sitz oder die Niederlassung außerhalb der EU bzw. dem EWR liegt, soll der Bürger nicht einem möglicherweise deutlich schwächeren Datenschutzrecht ausgesetzt werden. Andernfalls könnten sich Website-Betreiber oder App-Anbieter gezielt in Staaten mit schwachem Datenschutzrecht zurückziehen und von dort aus Daten erheben, ohne die strengen europäischen Datenschutzvorschriften zu beachten.

Einige Beispiele:

Der Anbieter einer App mit Sitz bzw. Niederlassung in Berlin erhebt mit Hilfe seiner App persönliche Daten. Hier kommt deutsches Datenschutzrecht zur Anwendung.

Ein US-amerikanisches Unternehmen betreibt eine Website, mittels derer sie personenbezogene Daten von u.a. Bewohnern Deutschlands erhebt. Das Unternehmen hat keine Niederlassung in Deutschland, betreibt jedoch eine datenverarbeitende Niederlassung in den Niederlanden. Hier kommt niederländisches Datenschutzrecht zu Anwendung.

Ein Unternehmen mit Sitz in China und ohne Niederlassung in der EU bzw. dem EWR erhebt mittels eines Online-Dienstes personenbezogene Daten bei Bewohnern Deutschlands. Hier ist wiederum deutsches Datenschutzrecht anwendbar.