Die EU-Datenschutz-Arbeitsgruppe("Artikel 29-Gruppe”), die sich aus Vertretern der nationalen Datenschutzbehörden aller EU-Mitgliedsstaaten zusammensetzt, hat eine Arbeitsdokument veröffentlicht zur Bestimmung des anwendbaren nationalen Rechts nach der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Die aktuelle Lage
Die EU-Datenschutz-Richtlinie (95/46/EG) legt in Artikel 4 fest, in welchen Fällen eine Datenverarbeitung unter die Gesetzgebung der jeweiligen EU-Mitgliedsländer fällt. Die Arbeitsgruppe ist der Ansicht, dass diese Bestimmung nicht leicht zu verstehen und umzusetzen ist. Ausgangspunkt für die Bestimmung des anwendbaren Rechts ist der Ort, an dem der Datenverarbeiter seine Sitz hat.
Globalisierung und neue Technologien: eine Herausforderung
Die Frage, welches Land für eine bestimmte Datenverarbeitung zuständig ist, wird jedoch im Kontext der Globalisierung und der Entwicklung neuer Technologien immer komplexer. Unternehmen, die rund um die Uhr Dienste und Unterstützungsleistungen anbieten, sind zunehmend in mehreren Ländern und Rechtsordnungen tätig. In Zeiten des Internet ist es sehr viel einfacher geworden, Dienstleistungen aus großer Entfernung zu erbringen und Daten in einer virtuellen Umgebung zu erheben und verfügbar zu machen. "Cloud Computing" macht es schwieriger, den Ort zu bestimmen, an dem sich Daten und elektronische Verarbeitungsmittel befinden (und dessen Gesetzgebung demzufolge Anwendung findet).
Die Stellungnahme der Arbeitsgruppe
Der Anwendungsbereich der Datenschutz-Richtlinie soll sowohl in der EU (bzw. im EWR) als auch im erweiterten internationalen Kontext geklärt werden, um sowohl Datenverarbeitern als auch Betroffenen und anderen Beteiligten mehr Rechtssicherheit zu vermitteln.
Die Arbeitsgruppe beleuchtet deshalb in ihrer Stellungnahme die unterschiedlichen Elemente, die bei der Bestimmung des anwendbaren Rechts in Betracht gezogen werden müssen, sowie den Anwendungsbereich der Richtlinie 95/46/EG. Sie gibt auch Hinweise und praktische Beispiele zur Auslegung.
Des weiteren wird auch auf Verbesserungsmöglichkeiten hingewiesen. So wird beispielsweise angeregt, im Rahmen einer Überarbeitung die Bestimmungen der Richtlinie klarer und kohärenter zu gestalten.
Beispielsfall
Nachfolgend ein Beispielsfall, um die Problematik des anwendbaren Rechts zu illustrieren:
- Werden Daten von einem Unternehmen verarbeitet, dessen einzige Niederlassung sich in Luxemburg befindet, so findet das luxemburgische Recht Anwendung. Dies ist auch dann der Fall, wenn die Verarbeitung teilweise oder ganz in einem anderen Land stattfindet (z.B. im Rahmen einer Auftragsverarbeitung).
- Schwieriger wird es jedoch, wenn das Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Erhält ein Bürger aus Luxemburg eine Kundenkarte von einem Geschäft in Luxemburg-Stadt, das Teil einer Kleiderwarenkette mit Sitz in Italien ist, so werden seine Daten in Luxemburg erhoben und das luxemburgische Gesetz angewandt. Wenn allerdings das italienische Mutterunternehmen diese Daten für Werbeaktionen nutzt, so ist für diesen Teil der Verarbeitung das italienische Gesetz anwendbar, da die Werbeaktionen “im Rahmen der Tätigkeiten“ des Mutterhauses stattfindet.
Anhand dieses Beispiels zeigt die Arbeitsgruppe, wie wichtig der Kontext der Datenverarbeitung ist, um die Anwendung des nationalen Rechts bestimmen zu können.