Ist das Bundesdatenschutzgesetz (BDSG) im internationalen Datenschutz anwendbar?

Die internationale Tätigkeit von Unternehmen wirft viele Fragen auf: wie können Mitarbeiter-, Lieferanten- und Kundendaten datenschutzkonform in andere Staaten, insbesondere in solche, die nicht der EU/dem EWR angehören, übermittelt werden? Denn aufgrund der Tatsache, dass es im Datenschutz kein Konzernprivileg gibt, bedarf jede Übertragung – auch innerhalb eines Konzerns – einer individuellen Prüfung. Des Weiteren ist stets die Frage, wann bei Datenübertragungen das BDSG überhaupt beachtet werden muss.

Territorialprinzip vs. Sitzprinzip

Das BDSG wendet grundsätzlich das Territorialprinzip an. Demnach muss jede ausländische Stelle deutsches Datenschutzrecht beachten, wenn sie personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt.

Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip jedoch wieder auf und bestimmt die Geltung des Sitzprinzips. Dies besagt, dass das Recht desjenigen Landes Anwendung findet, in dem die für die Datenerhebung oder –verarbeitung verantwortliche Stelle ihren Sitz hat, sofern sich dieser Sitz in einem Mitgliedsland der EU befindet. Hat diese Stelle aber im Inland eine Niederlassung, gilt das inländische Recht.

Die Anwendung des BDSG

Im BDSG regelt § 1 Abs. 5 BDSG die Frage, wann bei Fällen mit Auslandsbezug das BDSG Anwendung findet und trägt hier der Regelung in Art. 4 EU-Datenschutzrichtlinie Rechnung. Demnach findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland.

Das anzuwendende Recht ist damit nicht jenes, welches am Ort der Erhebung, Verarbeitung oder Nutzung Gültigkeit hat, sondern jenes, welches in dem Land gilt, in dem die verantwortliche Stelle für die Datenerhebung, -verarbeitung oder –nutzung ihren Sitz hat. Dies bedeutet, dass das BDSG in den Fällen beachtet werden muss, in denen die verantwortliche Stelle ihren Sitz in Deutschland hat, nicht jedoch, wenn sich dieser in einem anderen Mitgliedsstaat der EU befindet.

Die Niederlassungen

Wird die Datenerhebung oder -übermittlung von einer Niederlassung in Deutschland durchgeführt, gilt ebenfalls das BDSG. Dabei kommt es nicht auf die Rechtsform der Niederlassung an, sie kann auch rechtlich unselbständig sein. Der Begriff der Niederlassung ist relativ weit gefasst. Hierunter kann beispielsweise auch die geschäftliche Niederlassung eines Freiberuflers fallen.

Die Übertragung von einem Standort in einem anderen Land oder von der Muttergesellschaft an die Stelle in Deutschland, wird mithin nicht vom BDSG erfasst, da sich die verantwortliche Stelle in diesem Fall im Ausland befindet. Es findet das jew…

» Vollständiger Artikel