Ist das Bundesdatenschutzgesetz (BDSG) im internationalen Datenschutz anwendbar?

gesetz 05
Fachbeitrag

Die internationale Tätigkeit von Unternehmen wirft viele Fragen auf: wie können Mitarbeiter-, Lieferanten- und Kundendaten datenschutzkonform in andere Staaten, insbesondere in solche, die nicht der EU/dem EWR angehören, übermittelt werden? Denn aufgrund der Tatsache, dass es im Datenschutz kein Konzernprivileg gibt, bedarf jede Übertragung – auch innerhalb eines Konzerns – einer individuellen Prüfung. Des Weiteren ist stets die Frage, wann bei Datenübertragungen das BDSG überhaupt beachtet werden muss.

Territorialprinzip vs. Sitzprinzip

Das BDSG wendet grundsätzlich das Territorialprinzip an. Demnach muss jede ausländische Stelle deutsches Datenschutzrecht beachten, wenn sie personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt.

Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip jedoch wieder auf und bestimmt die Geltung des Sitzprinzips. Dies besagt, dass das Recht desjenigen Landes Anwendung findet, in dem die für die Datenerhebung oder –verarbeitung verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Hat diese Stelle aber im Inland eine Niederlassung, gilt das inländische Recht.

Die Anwendung des BDSG

Im BDSG regelt § 1 Abs. 5 BDSG die Frage, wann bei Fällen mit Auslandsbezug das BDSG Anwendung findet und trägt hier der Regelung in Art. 4 EU-Datenschutzrichtlinie Rechnung. Demnach findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.

Das anzuwendende Recht ist damit nicht jenes, welches am Ort der Erhebung, Verarbeitung oder Nutzung Gültigkeit hat, sondern jenes, welches in dem Land gilt, in dem die verantwortliche Stelle für die Datenerhebung, -verarbeitung oder –nutzung ihren Sitz hat. Dies bedeutet, dass das BDSG in den Fällen beachtet werden muss, in denen die verantwortliche Stelle ihren Sitz in Deutschland hat, nicht jedoch, wenn sich dieser in einem anderen Mitgliedsstaat der EU befindet.

Die Niederlassungen

Wird die Datenerhebung oder -übermittlung von einer Niederlassung in Deutschland durchgeführt, gilt ebenfalls das BDSG. Dabei kommt es nicht auf die Rechtsform der Niederlassung an, sie kann auch rechtlich unselbständig sein. Der Begriff der Niederlassung ist relativ weit gefasst. Hierunter kann beispielsweise auch die geschäftliche Niederlassung eines Freiberuflers fallen.

Die Übertragung von einem Standort in einem anderen Land oder von der Muttergesellschaft an die Stelle in Deutschland, wird mithin nicht vom BDSG erfasst, da sich die verantwortliche Stelle in diesem Fall im Ausland befindet. Es findet das jeweilige nationale Recht Anwendung.

Ziel der Regelung ist es, zu erreichen, dass ein international tätiges Unternehmen sich im Hinblick auf den Datenschutz nicht mit vielen unterschiedlichen Rechtsordnungen auseinandersetzen muss. Das Sitzprinzip findet auch dann Anwendung, wenn gespeicherte Daten nur „durchtransportiert“ werden, also für den Fall, dass die Daten sich zwar in Deutschland befinden, von ihnen aber keine tatsächliche Kenntnis genommen wird, § 1 Abs. 5 S. 4 BDSG.

Für den Fall, dass der Umgang mit den personenbezogenen Daten sowohl in der Niederlassung in Deutschland als auch bei einer anderen Niederlassung in einem EU-Mitgliedsstaat stattfindet, müssen sowohl die Bestimmungen des BDSG als auch diejenigen des anderen Staates beachtet werden.

Ausnahme: Strafbarkeitsbestimmungen

Für die Strafbarkeitsbestimmungen des BDSG (§§ 43, 44) gilt das Sitzprinzip nicht. Hier kommt wieder das Territorialprinzip zur Anwendung, so dass auch eine sich im Ausland befindliche Stelle die Regeln in §§ 43, 44 BDSG zu beachten hat.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.