DA+

Aufsatz : Anwendbares Recht bei Bezugnahme auf materielles Datenschutzrecht : aus der RDV 1/2016, Seite 3 bis 10

– Eine kritische Würdigung der Rechtslage –

Jüngst erweiterte der EuGH die territoriale Anwendbarkeit einzelstaatlichen Datenschutzrechts in der „Google Spain und Google“-Entscheidung, indem er das Niederlassungsprinzip der RL 95/46/EG (DSRL) weit auslegte. Dabei musste sich das höchste europäische Gericht entsprechend der Vorlagefragestellung lediglich unmittelbar mit der DSRL befassen. Das Datenschutzrecht wirkt als Querschnittsmaterie jedoch regelmäßig mit anderen Rechtsgebieten zusammen, für die ebenfalls EU-rechtliche bzw. autonome Kollisionsnormen existieren. Gerade an dieser Stelle ergeben sich Probleme für den Rechtsanwender bei der Bestimmung des anwendbaren Rechts. Der Beitrag stellt die dadurch entstehenden Konflikte vor und zeigt mögliche Lösungswege auf.

I. Problemaufriss

Das Datenschutzrecht ist ein vergleichsweise junges Rechtsgebiet, das jedoch in den vergangenen Jahren mit fortschreitender Ubiquität der Informationstechnologie in der Gesellschaft in den Vordergrund gerückt ist. Informationsmedien wirken über Landesgrenzen hinweg, weshalb gerade die internationalen Aspekte im Datenschutzrecht eine gewichtige Rolle einnehmen. Eine weitere Ursache für die wachsende Bedeutung des Datenschutzrechts liegt in seinen zahlreichen Berührungspunkten mit anderen Rechtsgebieten. So können datenschutzrechtliche Problemstellungen im Vertragsrecht auftreten, wenn z.B. Datenschutzerklärungen von Telemedienanbietern als AGB gewertet werden[1]. Gleichermaßen unterliegen sie als AGB den Vorschriften der §§ 307 ff. BGB und damit auch der Kontrolle durch die insoweit klagebefugten Verbraucherschutzverbände nach §§ 1 ff. UKlaG. Ebenso ist eine Qualifizierung von Datenschutzverstößen als Verletzungen eines Schutzgesetzes i.S.v. § 823 Abs. 2 BGB oder einer Marktverhaltensregel i.S.v. § 4 Nr. 11 UWG denkbar. Gegen datenschutzrechtliche Verstöße kann ferner die zuständige Datenschutzbehörde im Verwaltungsverfahren gem. § 38 Abs. 2 S. 1 BDSG Anordnungen erlassen. Sie stellen außerdem zumindest zum Teil Straftaten und Ordnungswidrigkeiten i.S.d. §§ 43 f. BDSG dar.

Im Unterschied zu den meisten dieser Rechtsgebiete, die sich trotz ihrer Vielfalt grundsätzlich einer der allgemeinen Kollisionsregeln des internationalen Privatrechts (IPR), des internationalen öffentlichen Rechts (IÖR) oder des internationalen Strafrechts (IStrR) zuordnen lassen, besitzt das Datenschutzrecht mit Art. 4 DSRL und den entsprechenden mitgliedstaatlichen Umsetzungen eigene und spezielle Kollisionsnormen. Dies wirft die praxisrelevante Frage nach der Bestimmung der richtigen Kollisionsnorm in Berührungsfällen auf. Im Folgenden soll, ausgehend von einer kurzen Würdigung der datenschutzrechtlichen Kollisionsnormen der DSRL und ihrer Handhabung in der Rechtsprechung und im Schrifttum bei Bezugnahmen auf materielles Datenschutzrecht (II.), das Verhältnis des Datenschutzrechts zum Kollisionsrecht des IPR (III.), des IÖR (IV.) und des IStrR (V.) näher beleuchtet werden.

II. Kollisionsregeln der DSRL und ihre Handhabung in Rechtsprechung und Literatur

1. Regelungsgehalt des Art. 4 DSRL

Ausgangspunkt bei der Feststellung des international anwendbaren Datenschutzrechts ist Art. 4 DSRL[2], dessen nationale Umsetzungen (z.B. § 1 Abs. 5 BDSG) wegen der umfassenden Harmonisierung[3] seinen Regelungsgehalt vollständig transportieren, ansonsten entsprechend europarechtskonform ausgelegt werden[4] oder sogar unangewendet bleiben[5] müssen. Art. 4 Abs. 1 lit. a) DSRL ordnet vorrangig[6] die Anwendbarkeit des einzelstaatlichen Datenschutzrechts an, wenn eine Niederlassung eines datenschutzrechtlich Verantwortlichen in einem Mitgliedstaat besteht und wenn der Verantwortliche „Verarbeitungen personenbezogener Daten […] im Rahmen der Tätigkeiten [dieser] Niederlassung“ durchführt. Jüngst weitete der EuGH dieses Niederlassungsprinzip bzw. Sitzlandprinzip[7] in der „Google Spain und Google“-Entscheidung erheblich aus[8]. Unterhält der Verantwortliche demgegenüber keine Niederlassung im Hoheitsgebiet eines EU- oder EWR-Staates, greift er aber auf in einem Mitgliedstaat belegene Mittel zurück, so findet gemäß Art. 4 Abs. 1 lit. c) DSRL (Territorialprinzip[9]) das nationale Datenschutzrecht auch dann Anwendung.

2. Uneinheitliche Rechtsprechung und Literatur zur Heranziehung der DSRL

Bemerkenswert ist, dass im Bereich des Datenschutzrechts die Literatur und die Rechtsprechung zwar den Konflikt von Art. 4 DSRL mit anderen Kollisionsnormen bereits erkannt haben, diesen aber in weiten Teilen unstrukturiert und uneinheitlich zu bewältigen versuchen. So plädieren einige Autoren für eine uneingeschränkte Anwendung von Art. 4 DSRL bei Bezugnahmen auf materielles Datenschutzrecht (z.B. § 307 Abs. 1 S. 2 Nr. 1 BGB i.V.m. BDSG)[10]. Andere ziehen die Vorschriften der Rom I-VO[11] bzw. bei Klagen nach dem UKlG der Rom II-VO[12] heran, orientieren sich also alleine an den vertragsrechtlichen, nicht aber datenschutzrechtlichen Bestandteilen eines Sachverhaltes. Uneinigkeit besteht auch bei unerlaubten Datenverarbeitungen[13]. Nicht thematisiert wurde bislang die kollisionsrechtliche Einordnung (Art. 4 DSRL oder Normen der Rom II-VO) von Datenschutzverstößen, die über das Wettbewerbsrecht (§ 4 Nr. 11 UWG) sanktioniert werden[14]. Strukturierte Darstellungen, die diese verschiedenen Aspekte berücksichtigen, finden sich in der Literatur nur selten[15]. Ebenso ist in den mit entsprechenden Fällen befassten Gerichtsentscheidungen keine einheitliche Handhabung zu erkennen.

III. Datenschutzrecht und das Kollisionsrecht des IPR

Das IPR hält für den hier adressierten Problemkreis des Kollisionsrechts im Wesentlichen drei Regelungswerke bereit[16]: VO (EG) Nr. 593/2008 (Rom I-VO)[17], VO (EG) Nr. 864/2007 (Rom II-VO)[18] und EGBGB, wobei unmittelbar geltendes EUKollisionsrecht wegen des Anwendungsvorrangs des Unionsrechts gem. Art. 288 Abs. 2 AEUV (vgl. auch Art. 3 Nr. 1 EGBGB) Vorrang gegenüber dem autonomen deutschen Kollisionsrecht genießt. Für die Feststellung, welche Kollisionsvorschrift für bestimmte Bestandteile eines Sachverhalts einschlägig ist, haben sich im IPR grundlegende Mechanismen herausgebildet, mit denen der „Konflikt von Kollisionsnormen“ aufgelöst werden kann.

1. Grundlegende Mechanismen des IPR

a) Ausgangspunkt: Qualifikation

Ausgangspunkt für das Auffinden der maßglichen Kollisionsnorm des IPR ist die sog. Qualifikation. Darunter versteht man die Zuordnung eines Gesamtsachverhalts zu einer Kollisionsnorm[19]. Inhaltlich geht es um die Auslegung des sachlichen Anwendungsbereichs von Kollisionsnormen, wobei innerhalb des Anwendungsbereichs des EU-Rechts eine Qualifikation nicht wie sonst nach der lex fori[20], sondern auf der Grundlage einer autonomen unionsrechtlichen Auslegung erfolgt[21]. Eine pauschale Zuordnung zur datenschutzrechtlichen Kollisionsnorm ist – mit Ausnahme rein datenschutzrechtlich zu beurteilender Sachverhalte – mit Blick auf die Wertungen der ebenfalls berührten europarechtlichen Kollisionsnormen abzulehnen; vielmehr müssen teleologische und historische Aspekte der jeweiligen Regelungen Berücksichtigung finden[22].

b) Datenschutzrechtliche Vorfragen?

Anknüpfungsprobleme können zunächst hinsichtlich der Beurteilung von präjudiziellen Rechtsverhältnissen bei der Anwendung des materiellen Rechts auftreten. Das IPR bezeichnet den Fall, dass für einzelne Tatbestandsmerkmale erneut die anwendbare Rechtsordnung bestimmt werden muss, als „Vorfragenanknüpfung“[23]. Wenn beispielsweise eine unerlaubte Datenverarbeitung zur Entstehung eines Anspruchs aus § 823 Abs. 2 BGB i.V.m. Datenschutzvorschriften führt, der ungeachtet des § 7 BDSG geltend gemacht werden kann[24], wäre es denkbar, die Prüfung, ob gegen ein Schutzgesetz – hier gegen Normen des Datenschutzrechts – verstoßen wurde, als Vorfrage zu behandeln[25]. Geht man von einer selbständigen[26] Anknüpfung der Vorfrage aus, würde insofern die datenschutzrechtliche Kollisionsnorm (Art. 4 DSRL) eingreifen. Hinsichtlich des deliktsrechtlichen Anspruchs selbst wäre Art. 40 EGBGB einschlägig[27]. Diese Vorgehensweise würde vor allem dem Interesse des inneren Entscheidungseinklangs Rechnung tragen[28].

Bereits gefestigt hat sich diese Praxis im Wettbewerbsrecht. Dort wird die Frage nach der Verletzung von außerwettbewerbsrechtlichen Regelungen als Vorfrage bewertet[29], wobei die h.L.[30] und wohl auch die Rechtsprechung[31] von einer selbstständigen Vorfragenanknüpfung ausgehen. Daran hat auch die Kodifikation der Rom II-VO – unter Berücksichtigung einer autonomen unionsrechtlichen Auslegung – nichts geändert[32]. Datenschutzverstöße werden unter Berufung auf den verbraucherschützenden und marktverhaltensregelnden Charakter der §§ 28 Abs. 3, 4a Abs. 1 BDSG (vgl. ErwGr. 9, 18, 33 und 71 der DSRL) als Verstoß gegen § 4 Nr. 11 UWG i.V.m. §§ 28 Abs. 3 S. 1, 4a Abs. 1 S. 1, 2 BDSG angesehen[33] und müssten folglich zumindest im Zusammenhang mit dem Wettbewerbsrecht ebenfalls einer selbstständigen Vorfragenanknüpfung unterzogen werden.

Diese Überlegungen ließen sich auch auf einen Verstoß gegen § 307 Abs. 1 S. 2 Nr. 1 BGB i.V.m. BDSG übertragen[34]. Die Vorfrage wäre in diesem Fall die Nichtvereinbarkeit einer Bestimmung in den AGB mit dem wesentlichen Grundgedanken der datenschutzrechtlichen Regelung, von der abgewichen wird. Insofern wäre Art. 4 DSRL heranzuziehen. Das für die Hauptfrage maßgebliche Vertragsstatut würde sich dann nach der Rom I-VO bemessen. Mit selbiger Begründung wie zur Rom II-VO könnte man eine selbstständige Anknüpfung der Vorfrage vertreten[35].

c) Sonderanknüpfung – Datenschutzrecht als lex specialis für einzelne Aspekte?

Schließlich ließen sich datenschutzrechtliche Aspekte bei Bezugnahmen einer sog. Sonderanknüpfung unterziehen, d.h. es wäre dort das anwendbare Recht stets nach Art. 4 DSRL zu bestimmen. Sonderanknüpfungen dienen zur Durchsetzung bestimmter zwingender Regelungsbereiche einer sachnahen Rechtsordnung – häufig handelt es sich um Schutznormen für schwächere Beteiligte (wie etwa Art. 6 Abs. 2 Rom I-VO)[36].

Ein Spezialitätsverhältnis zugunsten einer sachnäheren unmittelbar anwendbaren Vorschrift auf europäischer Ebene gegenüber den Rom-Verordnungen und dem EGBGB wird allgemein für möglich gehalten[37]. Dabei bezieht sich das Schrifttum bislang hauptsächlich auf EU-Verordnungen (Art. 288 Abs. 2 AEUV)[38]. EU-Richtlinien (EU-RL) können dagegen wegen ihrer Umsetzungsbedürftigkeit (Art. 288 Abs. 3 AEUV) in nationales Recht grundsätzlich nicht den unmittelbar anwendbaren Vorschriften vorgehen[39]. Es spricht dennoch einiges dafür, auch der DSRL einen Vorrang gegenüber dem allgemeinen EU-Kollisionsrecht einzuräumen: Der EuGH hat gerade in Bezug auf das Datenschutzrecht mehrfach betont, dass die DSRL zu einer „umfassenden Harmonisierung“ geführt habe[40]. Zudem bescheinigte er zumindest Art. 7 lit f. DSRL – ungeachtet der Ermessensspielräume bei der Umsetzung durch die Mitgliedstaaten – eine unmittelbare Wirkung, da die Regelung inhaltlich unbedingt und so hinreichend genau sei, dass der Einzelne im Falle einer ungenügenden Umsetzung im nationalen Recht sich vor nationalen Gerichten auf sie berufen könne[41]. Derweil sprechen sich sowohl das KG als auch Teile der Literatur dafür aus, auch Art. 4 DSRL – selbst zwischen Privaten – unmittelbar anzuwenden, da die Norm hinreichend bestimmt und abschließend formuliert sei[42]. Insbesondere weist die Umsetzung in § 1 Abs. 5 BDSG eine überschießende Tendenz auf[43], sodass eine Berufung auf Art. 4 DSRL vor nationalen Gerichten ermöglicht werden muss. Nimmt man all diese Hinweise auf eine unmittelbare Anwendbarkeit ernst, so muss auch ein Vorrang der DSRL gegenüber den europäischen und den autonomen deutschen IPR-Vorschriften aufgrund von Spezialität möglich sein. Insbesondere ist auch kein Grund ersichtlich, warum eine Sonderanknüpfung in dem Fall, in dem EU-Richtlinienkollisionsrecht unmittelbar zur Anwendung gelangt, anders behandelt werden soll, als der Fall, in dem EU-Verordnungsrecht unmittelbar angewendet wird. In beiden Fällen geht es letztlich um die zwingende Durchsetzung von sekundärem EU-Recht. Auch im Schrifttum wird vereinzelt das Datenschutzrecht allgemein als zwingendes Recht angesehen[44], mit der Folge, dass sowohl in vertraglichen als auch deliktischen Sachverhalten die datenschutzrechtlichen Kollisionsnormen als lex specialis gegenüber den Kollisionsvorschriften aus den Rom-Verordnungen und dem EGBGB gelten müssen[45].

Gegen eine solche Bevorzugung der datenschutzrechtlichen Kollisionsvorschriften spricht aber, dass insbesondere die Rom-Verordnungen selbst Ausnahmeregelungen (sog. Öffnungsklauseln) vorsehen. Deren Existenz und die Absicht des Gesetzgebers, mit den Rom-Verordnungen das vom Richtlinienkollisionsrecht geschaffene Durcheinander zu bereinigen[46], könnte darauf schließen lassen, dass anderweitige Ausnahmen nicht zugelassen werden sollten[47]. Folglich sind die Öffnungsklauseln der Rom I-VO und Rom II-VO zunächst genauer in den Blick zu nehmen.

d) Öffnungsklauseln in den EU-Kollisionsregelwerken

aa) Datenschutzrechtliche Kollisionsnormen als Ausnahme zur Rom I-VO

Die Rom I-VO ist anwendbar auf vertragliche Schuldverhältnisse, die einen Bezug zum Recht mehrerer Staaten aufweisen (Art. 1 Abs. 1 Rom I-VO). Da es sich bei Datenschutzerklärungen und Einwilligungen häufig zugleich um Bestandteile eines Vertrages handelt[48], ist grundsätzlich die Rom I-VO anwendbar[49]. Findet nun z.B. im Rahmen einer AGB-Kontrolle über § 307 Abs. 1 S. 2 Nr. 1 BGB eine Bezugnahme auf materielles Datenschutzrecht statt, ist zu klären, ob insoweit nicht auf Art. 4 DSRL abzustellen ist[50]. In Art. 9 und 23 Rom I-VO sind jeweils Öffnungsklauseln zugunsten bestimmter Kollisionsnormen oder zwingender Bestimmungen des materiellen Rechts enthalten, denen Art. 4 der DSRL unterfallen könnte.

Nach Art. 23 Rom I-VO betrifft die Rom I-VO „nicht die Anwendung von Vorschriften des Gemeinschaftsrechts, die in besonderen Bereichen Kollisionsnormen für vertragliche Schuldverhältnisse enthalten“. Zwar können AGB datenschutzrechtlich relevante Klauseln enthalten, deren Wirksamkeit sodann von den Bestimmungen der DSRL bzw. ihrer mitgliedstaatlichen Umsetzung abhängt. Gegen eine Einordnung des Art. 4 DSRL als speziellere Norm für vertragliche Verhältnisse im Bereich des Datenschutzrechts[51] spricht jedoch, dass Art. 1 Abs. 1 DSRL nicht die Regulierung von Schuldverhältnissen, sondern den Schutz Betroffener durch die Festlegung von allgemeinen Vorgaben für die Verarbeitung personenbezogener Daten bezweckt[52]. Auch sonst findet sich weder in ErwGr. 40 der Rom I-VO noch im zugehörigen Kommissionsentwurf, der in Anhang 1 noch abschließend die spezielleren Vorschriften aufführte, ein Hinweis auf Vorschriften des Datenschutzrechts[53]. Schließlich gebietet der Vereinheitlichungsgedanke der Rom I-VO eine restriktive Handhabung der Öffnungsklausel[54]. In Bezug auf die einheitlichen Kollisionsnormen (Art. 3 bis 8 Rom I-VO) legt Art. 9 Abs. 2 Rom I-VO fest, dass Eingriffsnormen i.S.v. Art. 9 Abs. 1 Rom I-VO stets vorrangig zu beachten sind. Maßgebend sind dabei nur international zwingende Eingriffsnormen, die – auch bei zugleich geschützten Individualinteressen – überwiegend dem Schutz öffentlicher Interessen dienen und deren Anwendungsbereich sich auf internationale Sachverhalte bezieht[55], wobei eine restriktive Auslegung angezeigt ist[56].

Nach überwiegender Ansicht[57] handelt es sich bei Art. 4 DSRL und seiner Umsetzung in § 1 Abs. 5 BDSG um Eingriffsnormen i.S.d. Art. 9 Abs. 1 Rom I-VO, weshalb das Datenschutzrecht auch nicht zur Disposition von Vertragsparteien stehen könne[58]. Zwar hebe ErwGr. 10 der DSRL den Schutz der Privatsphäre des Betroffenen hervor, der Normzweck von § 1 Abs. 5 BDSG bzw. Art. 4 DSRL sei dennoch in erster Linie öffentlich-rechtlicher Natur, da die Erwgr. 7 und 8 der DSRL u.a. die Beseitigung von Hemmnissen für den grenzüberschreitenden Datenverkehr, die Angleichung des Schutzniveaus hinsichtlich der Verarbeitung personenbezogener Daten sowie die Koordinierung der Rechtsvorschriften der einzelnen Mitgliedstaaten nennen würden, um den grenzüberschreitenden Datenverkehr mit dem Ziel des Binnenmarktes in Einklang zu bringen[59]. Ferner sprächen der Wortlaut des Art. 4 DSRL „[…], auf alle Verarbeitungen personenbezogener Daten, […]“[60], die in § 3 Abs. 3 Nr. 4 TMG normierte Ausnahme vom Herkunftslandprinzip für das Datenschutzrecht[61], die Sanktionierung von Datenschutzverstößen mittels Bußgeldern (§ 43 BDSG) und Straftatbeständen (§ 44 BDSG) und der öffentlich-rechtliche Erlaubnisvorbehalt[62] für einen zwingenden Charakter der Vorschrift. Dass das BDSG in seinem allgemeinen Teil auch Regelungen für Private treffe und nach § 1 Abs. 2 Nr. 3 BDSG auch für nicht-öffentliche Stellen gelte[63], sei nicht von Belang, denn die Rechtsnatur einer Regelung habe gerade keinen Einfluss auf deren Einordnung als Eingriffsnorm.[64]

Gegen eine Einordnung als Eingriffsnorm[65] spricht jedenfalls der sowohl mit der DSRL (Art. 1 Abs. 1, ErwGr. 2, 18) als auch mit der ergänzenden Richtlinie 2002/58/EG[66] (ErwGr. 2) intendierte Schutz der Privatsphäre des Einzelnen durch Gewährleistung der Grundrechte aus Art. 7 und 8 EU-GRC. Klassische Funktion der Grundrechte ist es nämlich, die Freiheitsphäre des Einzelnen vor Eingriffen zu schützen (sog. status negativus)[67]. Damit wird ein erhebliches privates Interesse unterstrichen[68]. Dieser nach Art. 1 Abs. 1 DSRL gewährte Schutz des Einzelnen wird in ErwGr. 18 der DSRL gerade im Hinblick auf das anwendbare Recht hervorgehoben und ist daher bei der Beurteilung von Art. 4 DSRL zu beachten. Auch das im Europarecht anerkannte[69] Prinzip der praktischen Konkordanz stützt diese Annahme. Bei einem Aufeinandertreffen gegenläufiger Schutzpositionen in einem konkreten Sachverhalt verbietet es die praktische Konkordanz, einer Position vorschnell oder abstrakt den Vorrang einzuräumen[70]; vielmehr muss in solchen Fällen ein Ausgleich gefunden werden, bei dem alle Schutzgüter (hier nach Art. 1 Abs. 1 DSRL Grundfreiheiten[71] und Grundrechte) bestmöglich zur Geltung kommen. Der Schutz der Grundrechte[72] muss demnach nicht grundsätzlich hinter dem zugleich von Art. 4 DSRL bezweckten Schutz der Grundfreiheiten zurückstehen, sondern es muss im Einzelfall ein Ausgleich zwischen ihnen gefunden werden.

Datenschutzverstöße werden außerdem nicht nur durch die öffentliche Hand sanktioniert, sondern können, angesichts ihrer zunehmenden Einstufung als Marktverhaltensregeln i.S.v. § 4 Nr. 11 UWG und wegen der Möglichkeit, Datenschutzverstöße in AGB mittels des UKlaG zu rügen, auch durch berechtigte private Stellen (§ 8 Abs. 3 UWG und § 3 Abs. 1 UKlaG) verfolgt werden. Diese Tendenz soll künftig durch Aufnahme bestimmter Datenschutzvorschriften in den Katalog der Verbraucherschutzgesetze des § 2 Abs. 2 UKlaG erheblich ausgeweitet werden[73]. Unstreitig steht auch bei Vorschriften der AGB-Kontrolle (§§ 305 ff. BGB) der Individualrechtsschutz im Vordergrund[74], jedenfalls soweit Verstöße von Einzelpersonen und nicht von Verbänden oder Mitbewerbern geltend gemacht werden.

In der Gesamtschau bestehen angesichts der geforderten restriktiven Anwendung der Öffnungsklauseln berechtigte Zweifel an einer Einordnung von Art. 4 DSRL als Eingriffsnorm i.S.v. Art. 9 Rom I-VO[75].

bb) Datenschutzrechtliche Kollisionsnormen als Ausnahme zur Rom II-VO?

Die Rom II-VO setzt gem. Art. 1 Abs. 1 Rom II-VO das Bestehen eines außervertraglichen Schuldverhältnisses mit internationalem Bezug voraus. Nach Art. 1 Abs. 2 lit. g) Rom II-VO findet die Verordnung jedoch keine Anwendung auf außervertragliche Schuldverhältnisse, die aus der Verletzung der Privatsphäre oder der Persönlichkeitsrechte hervorgehen. Von diesem Ausnahmetatbestand werden grundsätzlich auch Verstöße gegen das Datenschutzrecht erfasst[76], da mit ihnen in aller Regel auch Persönlichkeitsrechtsverletzungen einhergehen[77].

Die Tendenz der jüngeren Rechtsprechung, bestimmte Datenschutzverstöße als Wettbewerbsverstöße nach § 4 Nr. 11 UWG zu werten[78], stellt zwar gehäuft Verletzungen von Datenschutzvorschriften – ebenso wie Persönlichkeitsrechtsverletzungen[79] – in einen wettbewerbsrechtlichen Kontext. Jedoch ist wegen der von der h.L. favorisierten selbstständigen Anknüpfung von Vorfragen im Lauterkeitsrecht[80] in Bezug auf die Verletzung einer datenschutzrechtlichen Norm auf Art. 4 DSRL abzustellen. Dem entspricht auch der Ausnahmetatbestand des Art. 1 Abs. 2 lit. g) RomII-VO.

Jenseits des Wettbewerbsrechts kommt die Rom II-VO bei einer unerlaubten Datenverarbeitung (§§ 823 Abs. 1 und Abs. 2 BGB), die auch das Persönlichkeitsrecht verletzt, wegen Art. 1 Abs. 2 lit. g Rom II-VO erst gar nicht zum Zuge. In diesem Fall ist zwar ein Rückgriff auf Art. 40 EGBGB[81] erforderlich. Gleichwohl ändert sich am Ergebnis nichts, wenn man Art. 4 DSRL als lex specialis gegenüber Art. 40 EGBGB betrachtet, was mit den Erwägungen zur Sonderanknüpfung im Einklang steht[82].

Die Anwendbarkeit der Rom II-VO lässt sich allerdings bejahen, wenn Unterlassungsansprüche wegen unwirksamer AGB nach § 307 ff. BGB (§ 1 UKlaG) Gegenstand einer Verbandsklage (§ 3 UKlaG) sind. Dann ist wegen des deliktischen Charakters des Unterlassungsanspruches auf die Kollisionsnormen der Rom II-VO abzustellen[83]. Sofern die Verbandsklage einen Bezug zum materiellen Datenschutzrecht aufweist (z.B. § 307 Abs. 15.2 Nr. 1 BGB), ist ein Rückgriff auf die Öffnungsklauseln der Rom II-VO (Art. 16, 27) ebenso kritisch zu betrachten, wie es bei denen der Rom I-VO (Art. 9, 23) der Fall ist, da die gleichen Anforderungen zugrunde gelegt werden[84].

2. Vorrang datenschutzrechtlicher Kollisionsregeln

Nachdem nun die möglichen Lösungsansätze samt ihrer Vorund Nachteile benannt sind, soll noch untersucht werden, aus welchen Gründen den datenschutzrechtlichen Bestimmungen im Widerstreit der Kollisionsregelungen den Vorrang zu gewähren ist.

Für die Heranziehung anderer Kollisionsvorschriften anstelle von Art. 4 DSRL bei der Beurteilung von Datenschutzverstößen spricht, dass die Frage nach Datenschutzverstößen häufig nur untergeordnetes Merkmal eines Tatbestandes darstellt, der einer völlig anderen Rechtsmaterie (z.B. dem AGB-Recht oder dem Wettbewerbsrecht) zuzuordnen ist. Auch besteht die Gefahr, durch ein Vorziehen von Art. 4 DSRL in datenschutzrechtlichen Zusammenhängen einen Wertungswiderspruch zu erzeugen, z.B. wo ausländisches Datenschutzrecht auf die Wertungen des deutschen AGBRechts trifft[85]. Zudem sind die allgemeinen europäischen Kollisionsnormen, die den europäischen Entscheidungseinklang fördern sollten[86], jünger als die Datenschutzrichtlinie, könnten also in dem Bewusstsein oder sogar in der Absicht ergangen sein, den Wirkungsbereich der DSRL zu beschränken.

Gegen eine solche Annahme lässt sich aber einwenden, dass zumindest die Rom II-VO Ansprüche aufgrund von Persönlichkeitsrechtsverletzungen ausdrücklich nicht erfasst[87]. Im Rückschluss könnte dies darauf hindeuten, dass mit den Rom-Verordnungen Eingriffe in den territorialen Anwendungsbereich von Sachnormen des Datenschutzrechts überhaupt nicht hervorgerufen werden sollten, der EU-Gesetzgeber jedoch die möglichen Zusammenhänge zwischen vertrag lichen Schuldverhältnissen und dem Datenschutzrecht übersehen und deswegen eine entsprechende Klausel in die Rom I-VO nicht eingefügt hat[88].

Allein die Existenz „eigener“ Kollisionsnormen betont die Gewichtigkeit des Datenschutzrechts. Ihr Wortlaut gibt Aufschluss darüber, dass grundsätzlich „alle Verarbeitungen personenbezogener Daten“ (Art. 4 Abs. 1 DSRL; ähnl. ErwGr. 18 DSRL) in den von Art. 4 DSRL abgesteckten Regelungsbereich fallen sollen. Es sollen die Grundrechte und Grundfreiheiten natürlicher Personen geschützt werden (Art. 1 Abs. 1 DSRL, ErwGr. 3 ff. DSRL). Beide Schutzgüter setzen die volle Entfaltung der Wirksamkeit der datenschutzrechtlichen Kollisionsnormen voraus[89]. Ließe man dennoch in manchen Fällen eine Beurteilung datenschutzrechtlicher Problematiken anhand anderer Kollisionsnormen zu, so würde die Frage nach dem anwendbaren Datenschutzrecht, entgegen der ursprünglich breiten Regelungsintention der DSRL, stark perspektivenabhängig. Dies würde nicht nur Rechtsunsicherheit und Intransparenz mit sich bringen, sondern auch einen „Flickenteppich“ des anwendbaren Datenschutzrechts erschaffen: Datenverarbeiter könnten sich entgegen der ausdrücklichen Zusicherung in Art. 4 Abs. 1 lit. a) DSRL gerade nicht mehr auf das Niederlassungsprinzip verlassen, sondern müssten je nach Zusammenhang und Sachverhalt damit rechnen, sich an das Datenschutzrecht anderer Mitgliedstaaten halten zu müssen. Dabei sind Wertungswidersprüche[90] kaum zu befürchten, da die mit dem Datenschutzrecht in Berührung kommenden Rechtsgebiete in den meisten Fällen ihrerseits auf europäischen Regelungen beruhen und somit auch bei der Anwendung von Rechtsordnungen unterschiedlicher Staaten ein gemeinsamer Bezugspunkt für die Auslegung besteht.

Die noch im Gesetzgebungsverfahren befindliche Datenschutzgrundverordnung begnügt sich auch folgerichtig nicht mit einem geringeren, von anderen Kollisionsnormen beschnittenen Anwendungsbereich, sondern präsentiert im Gegenteil einen erweiterten Anwendungsraum, um „überall in der Union […] Rechtssicherheit und Transparenz“ zu schaffen (ErwGr. 11 DSGVO-E). Bleibt also festzuhalten, dass die datenschutzrechtlichen Kollisionsnormen ein erhebliches Gewicht besitzen, zur Förderung der Unionsziele, namentlich der Gewährleistung von Grundrechten und Grundfreiheiten, einen wesentlichen Beitrag leisten, und es ihrer Zweckrichtung und Funktionsweise zuwiderlaufen würde, ihren Anwendungsbereich zugunsten anderer Kollisionsvorschriften zu verkürzen.

3. Umsetzung des Vorrangs des Datenschutzrechts

Für die Umsetzung der aufgezeigten Wertentscheidung stehen im IPR die bereits vorgestellten Mechanismen zur Verfügung. Insbesondere gegen eine Anwendung der Art. 9, 23 Rom I-VO, Art. 16, 27 Rom II-VO bestehen allerdings – wie dargelegt – Vorbehalte[91].

Unter Berücksichtigung einer autonomen unionsrechtlichen Auslegung bedarf es jedoch gar keines Rückgriffs auf diese Öffnungsklauseln. Denn wie bereits erwähnt können direkt anwendbare Kollisionsvorschriften des Unionsrechts einer Sonderanknüpfung unterzogen werden[92]. Es besteht insoweit Konsens, dass das Unionsrecht auf supranationaler Ebene selbst bestimmt, ob unmittelbar anwendbare Vorschriften zwingend sind; insoweit kommt es auf eine Einordnung als Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I-VO[93] oder als speziellere Regelung für vertragliche Schuldverhältnisse i.S.v. Art. 23 Rom I-VO nicht an. Diese Überlegung resultiert aus dem „EU-Rangkollisionsrecht“[94]. Zwar ist einer Sonderanknüpfung abseits der Öffnungsklauseln in Verbindung mit den Rom-Verordnungen wegen deren umfassender Regelungsintention mit absoluter Zurückhaltung zu begegnen. Die besondere Stellung des Datenschutzrechts und die zugleich festgestellten Probleme bei der Anwendung der Öffnungsklauseln können aber diesen Schritt durchaus rechtfertigen.

Infolgedessen scheint es mit Blick auf das EU-Rangkollisionsrecht vorzugswürdig, die Art. 4 DSRL mittels einer Sonderanknüpfung den Vorschriften der Rom I-VO, Rom II-VO und EGBGB als lex specialis vorzuziehen[95]. Kein anderes Resultat würde sich ergeben, wenn man Bezugnahmen auf materielles Datenschutzrecht als präjudizielle Rechtsverhältnisse begreift und Verstöße gegen Datenschutzvorschriften als Vorfragen – aus den dargelegten Gründen – selbständig anknüpft.[96]

IV. Datenschutzrecht und das Kollisionsrecht im IÖR

Das Internationale Öffentliche Recht (IÖR) ist ein noch in der Entwicklung befindliches Rechtsgebiet, dessen Wirkungsbereich von Menzel als „die Abgrenzung des staatsund verwaltungsrechtlichen Hoheitsbereichs“ und als die Bestimmung der „ ‚externen‘ Wirkungen eigenen und [der] ‚internen‘ Wirkungen fremden ‚Öffentlichen Rechts‘ bzw. Staatshandelns“[97] beschrieben wird. Es stützt sich im Wesentlichen auf die grundsätzliche Annahme, dass der Staat über sein Hoheitsgebiet seine Hoheitsgewalt ausübt und es beschützt[98]. Folglich liegt das Augenmerk im IÖR zunächst auf den „eigenen“ Normen[99]. Anerkannt ist aber auch, dass es geschriebene Kollisionsregeln gibt, denen gegenüber den ungeschriebenen Grundsätzen eine Vorrangstellung zukommt[100].

Unter Berücksichtigung der allgemeinen Grundsätze im IÖR ist für einen aufgrund eines datenschutzrechtlichen Verstoßes ergangenen Verwaltungsakt und für mögliche Rechtsmittel gegen ihn grundsätzlich deutsches Recht anwendbar, soweit dieser Verstoß sich im deutschen Staatsgebiet oder auf deutsche Staatsbürger auswirkt und von einer deutschen Behörde auf deutschem Boden gerügt wird[101]. Da das Datenschutzrecht aber mit Art. 4 DSRL selbst auch eine Kollisionsnorm bereithält, wird die Anwendbarkeit des Datenschutzrechts nach der spezielleren DSRL beurteilt, soweit ein Verstoß gegen einzelstaatliches Datenschutzrecht im Rahmen der Prüfung eines entsprechenden Verwaltungsakts von Bedeutung ist[102]. Zu beachten ist allerdings, dass die Bestimmung des anzuwendenden Rechts keinen Einfluss auf die Zuständigkeiten der Aufsichtsbehörden hat (vgl. § 1 Abs. 5 S. 5 BDSG)[103].

V. Datenschutzrecht und das Kollisionsrecht im IStrR

Die territoriale Anknüpfung im Strafrecht ist an §§ 3 ff. StGB zu messen, wonach das deutsche Strafrecht grundsätzlich räumlich für solche Taten anwendbar ist, die im Inland begangen wurden.

Im Strafrecht erübrigte sich bislang eine Diskussion um das anzuwendende Datenschutzrecht, denn sobald ein Sachverhalt die Erfüllung eines Straftatbestandes betrifft, greifen aus deutscher Sicht für das gesamte Strafrecht allein die §§ 3 ff. StGB ein[104]. Die DSRL regelt ausweislich ihres 21. ErwGr. nicht die strafrechtlichen Belange im Datenschutz, sodass auf §§ 3 ff. StGB abzustellen ist[105].

VI. Ausblick

Letztlich wird es die Aufgabe der Rechtsprechung und Gesetzgebung sein, verbindliche Wertungen zu etablieren, die eine Abgrenzung insbesondere der Kollisionsnormen im IPR von den datenschutzrechtlichen Vorschriften ermöglichen. Die geplante Neuregelung der territorialen Anwendbarkeit nach der Datenschutzgrundverordnung[106] (DSGVOE) ist bislang als Verbesserung zur bisherigen Vorschrift gewertet worden, insbesondere weil mit Ansätzen des Marktortprinzips[107] in Art. 3 Abs. 2 DSGVO-E bisherige Unsicherheiten bei der Auslegung entschärft werden. Da spezielle Kollisionsnormen in EU-Verordnungen Vorrang gegenüber dem europäischen und autonomen IPR haben[108], dürfte – auch bei Bezugnahmen auf das künftige materielle Datenschutzrecht – Art. 3 DSGVO-E als maßgebliche Kollisionsnorm im Rahmen einer Sonderanknüpfung vorrangig heranzuziehen sein.

Dipl.-Jur. Tilman Walter Herbrich Dipl.-Jur. Tilman Walter Herbrich promoviert als wiss. Mit. am Lehrstuhl für Öffentliches Recht von Prof. Dr. Faßbender an der Universität Leipzig.

Eva Miriam Alexandra Beyvers Eva Miriam Alexandra Beyvers ist Juristin Univ. und promoviert derzeit als Stipendiatin im Rahmen des DFG-Graduiertenkollegs 1681 „Privatheit“ der Universität Passau.

[1] Zustimmend KG, ZD 2014, 412 (416); LG Berlin, NJW 2013, 2605 (2606); LG Hamburg, CR 2010, 53 (56 f.); bei einseitig zu Lasten d. Empfängers wirkenden Einwilligungen BGH, NJW 2010, 864 ff.; vgl. auch Kremer, RDV 2014, 73 (82); Schröder, ZD 2013, 453 (454); Ziebarth, ZD 2013, 375 (377); krit. Nietsch, CR 2014, 272 (275 f.).

[2] Richtlinie 95/46/EG v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG 1995, Nr. L 281, S. 31.

[3] EuGH, Slg. 2003, I-12971 = MMR 2004, 95 (Rn. 96 f.) – Lindqvist; zuletzt bestätigt durch EuGH, ZD 2012, 33 (Rn. 29) – ASNEF/FECEMD.

[4] Vgl. dazu Voigt, K&R 2014, 325 (326, Fn. 5) m.w.N. aus der Rspr.

[5] Mit der Folge einer direkten Anwendbarkeit v. Art. 4 DSRL z.B. KG, ZD 5, 412 (414); Kremer, RDV 2014, 73 (76); Voigt, K&R 2014, 325 (327).

[6] Artikel 29-Datenschutzgruppe, Arbeitspapier WP 179, Stellungnahme 08/2010 zum anwendbaren Recht, S. 23 f.; Schneider, in: BeckOKBDSG (Stand 01.05.2014), EU-DSRL Rn. 83.1.

[7] Vgl. Gola/Schomerus, BDSG, 11. Aufl. (2011), § 1 Rn. 27.

[8] Vgl. EuGH, NJW 2014, 2257 (Rn. 48 ff.) – Google Spain und Google; vgl. dazu Beyvers/Herbrich, ZD 2014, 558 ff.

[9] Vgl. Gola/Schomerus (o. Fn. 7), § 1 Rn. 28; Voigt, ZD 2014, 15 ff.

[10] Kremer, RDV 2014, 73 (83); Piltz, K&R 2013, 413 (414).

[11] Zumindest im Fall einer Rechtswahlvereinbarung vgl. nur KG, ZD 2014, 412 (416); Härting, Internetrecht, 5. Aufl. (2014), Rn. 2300.

[12] Steinrötter, NJW 2013, 2607 (2608).

[13] Vgl. dazu unten Pkt. III. 1. d) bb).

[14] Offen gelassen KG, ZD 2014, 412 (414 ff.).

[15] Kartheuser/Klar, ZD 2014, 500 ff.; vgl. für vertragliche Verhältnisse Kremer, RDV 2014, 73 (81).

[16]

[17] Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht („Rom I“), ABl. EU 2008, Nr. L 177, S. 6.

[18] Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“), ABl. EU 207, Nr. L 199, S. 40.

[19] Lorenz, in: BeckOK-BGB, 23. Ed. (Stand: 01.11.2014), Einl. IPR Rn. 51.

[20] Vgl. nur Lorenz (o. Fn. 19), Einl. IPR Rn. 51 ff.

[21] Von Hein, in: MüKo, BGB, Bd. 10, 6. Aufl. (2015), Einl. IPR Rn. 126 ff

[22] Lorenz (o. Fn. 19), Einl. IPR Rn. 19.

[23] Vgl. von Hein (o. Fn. 21), Einl. IPR Rn. 148 ff. Vgl. zu begriffl. Schwierigkeiten Lorenz (o. Fn. 19), Einl. IPR Rn. 63.

[24] Vgl. Gola/Schomerus (o. Fn. 7), § 7 Rn. 18a. Ein Rückgriff auf das EGBGB ist erforderlich, wenn wegen Verletzung der Privatsphäre die Rom II-VO nicht anwendbar ist, vgl. dazu unten Pkt. III. 1. d) bb).

[25] Anders die bisherigen Literaturstimmen, vgl. unten Pkt. III. 1. d) bb)

[26] Die h.M knüpft Vorfragen (nach der lex fori) selbstständig an; z.T. wird eine unselbstständige Anknüpfung (nach der lex causae) nicht gänzlich ausgeschlossen, vgl. von Hein, (o. Fn. 21), Einl. IPR Rn. 180 ff.; Lorenz (o. Fn. 19), Einl. IPR Rn. 71, jeweils m.w.N. zu beiden Ansichten. Auch im EU-Kollisionsrecht werden Vorfragen grds. selbstständig angeknüpft, von Hein (o. Fn. 21), Einl. IPR Rn. 179.

[27] In diese Richtung Piltz, Soziale Netzwerke im Internet – Eine Gefahr für das Persönlichkeitsrecht?, Diss. Univ. Göttingen, 2013, S. 86.

[28] Vgl. Sturm/Sturm, in: Staudinger, BGB, Neubearb. 2012, Einl. IPR Rn. 279.

[29] Vgl. Klass, in: Teplitzky/Peifer/Leistner, Großkommentar zum UWG, Bd. 1, 2. Aufl. 2014, Einl. Rn. 253.

[30] So etwa Hausmann/Obergfell, in: Fezer, UWG, Bd. 1, 2. Aufl. (2010), Einl. I Rn. 331; Mankowski, in: Heermann/Schlingloff, MüKo Lauterkeitsrecht, Bd. 1, 2. Aufl. (2014), Int. WettR Rn. 279 ff.; Klass, (o. Fn. 29), Einl. Rn. 253; Katzenberger, IPRax 1981, 7 (8); Sack, WRP 2008, 845, 850. A.A. Kreuzer, in: MüKo, BGB, Bd. 10, 3. Aufl. (1998), Art. 38 EGBGB, Rn. 245; v. Hoffmann, in: Staudinger, Neubearb. 2011, Art. 40 EGBGB Rn. 333.

[31] Vgl. BGH, GRUR 1980, 858 (860) – Asbestimporte; vgl. allg. zur Beurteilung der BGH-Rspr. i.d.Z. Hausmann/Obergfell, (o. Fn. 30), Einl. I

Rn. 332.

[32] Vgl. dazu näher Junker, in: Müko, BGB, Bd. 10, 6. Aufl. (2015), Art. 1 Rom II-VO Rn. 35 ff.

[33] KG, ZD 2014, 412, 414 ff. m.w.N. aus der Rspr

[34] In diese Richtung wohl LG Hamburg, CR 2010, 53 (56 f.); Dammann, in: Simitis, BDSG, 8. Aufl. (2014), § 1 Rn. 197a; Piltz, K&R 2013, 413 (414)

[35] A.A. offenbar LG Berlin, MMR 2014, 563 (564); LG Berlin, NJW 2013, 2605 (2606).

[36] Rauscher, IPR, 4. Aufl. (2012), Rn. 598

[37] Vgl. etwa von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 45.

[38] Vgl. von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 45.

[39] Vgl. zu den Ausnahmen im Einzelnen von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 75 ff.

[40] EuGH, Slg. 2003, I-12971 = MMR 2004, 95 Rn. 96 – Lindqvist; EuGH, Slg. 2008, I-9705 = MMR 2009, 171 Rn. 51 – Huber

[41] EuGH, ZD 2012, 33 Rn. 39, 52, 55 – ASNEF/FECEMD

[42] KG, ZD 2014, 412 (414); Kremer, RDV 2014, 73 (75 f.); Voigt, K&R 2014, 325 (327); a.A. OVG Schleswig, ZD 2013, 364 (366), das eine richtlinienkonforme Auslegung bevorzugt.

[43] Vgl. dazu Beyvers/Herbrich, ZD 2014, 558.

[44] So etwa von Lewinski, in: Auernhammer, BDSG, 4. Aufl. (2014), § 1 Rn. 69 m.w.N; Kartheuser/Klar, ZD 2014, 500 (501).

[45] Jotzo, Der Schutz personenbezogener Daten in der Cloud, 2013, S. 121; von Lewinski (o. Fn. 44), § 1 Rn. 65.

[46] Vgl. von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 76

[47] Vgl. von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 75 ff.

[48] Vgl. dazu oben Pkt. I

[49] Vgl. zu den einzelnen Kollisionsnormen i.d.Z. Kremer, RDV 2014, 73, 76 f. Wenn jedoch Unterlassungsansprüche (§ 1 UKlaG) Gegenstand einer Verbandsklage (§ 3 UKlaG) sind, ist wegen des deliktischen Charakters des Unterlassungsanspruches auf die Kollisionsnormen der Rom II-VO abzustellen, vgl. Staudinger/Czaplinski, NJW 2009, 3375 (3376); Steinrötter, NJW 2013, 2607, 2608.

[50] Bei einer reinen Inhaltskontrolle nach § 307 Abs. 15.1 bzw. § 307 Abs. 15.2 Nr. 2 BGB zählt allein die Maßgabe der Rom I-VO, Kremer, RDV 2014, 73 (82).

[51] So aber Dammann (o. Fn. 34), § 1 Rn. 197 Fn. 4; wohl auch Kümmel, ITRB 2013, 130; a.A. Kremer, RDV 2014, 73 (77); Maisch, jurisPR-ITR 13/2013 Anm. 2; Schröder, ZD 2013, 453 (454); Steinrötter, MMR 2013, 691 (694).

[52] Kremer, RDV 2014, 73 (77).

[53] Kom (2005), 650 endg. Dem Anh. I kommt noch Indizienwirkung zu, Leible/Lehmann, RIW 2008, 528 (531).

[54] Magnus, in: Staudinger, BGB, Neubearb. 2011, Art. 23 Rom I-VO Rn. 2.

[55] Spickhoff, in: BeckOK-BGB, Ed. 33 (1.2.2013), Art. 9 Rom I-VO Rn. 9; Martiny, in: MüKo, BGB, Bd. 10, 6. Aufl. (2015), Art. 9 Rom I-VO Rn. 12 f.

[56] ErwGr. 37 S. 2 der ROM I-VO.

[57] VG Schleswig, ZD 2013, 245 (246); Achtruth, Der rechtliche Schutz bei der Nutzung von Social Networks, Diss. Univ. Hagen, 2014, S. 49 f.; Dammann (o. Fn. 34), § 1 Rn. 197b; Gabel, in: Taeger/Gabel, BDSG, TMG, TKG, 2. Aufl. (2013), § 1 BDSG Rn. 50; Kremer/Buchalik, CR 2013, 789 (792); Kremer, RDV 2014, 73 (78); Meyer, K&R 2013, 526 (527); Plath, in: ders. BDSG, 2012, § 1 BDSG Rn. 47; Piltz, K&R 2012, 640 (643); Pfeiffer/Weller/Nordmeier, in: Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. (2011), Art. 9 Rom I-VO Rn. 17.

[58] VG Schleswig, ZD 2013, 245 (246); Piltz, K&R 2012, 640 (643).

[59] Piltz (o. Fn. 27), S. 85; ders., K&R 2012, 640 (643); Kremer/Buchalik, CR 2013, 789 (792).

[60] Piltz, K&R 2012, 640 (643).

[61] Kremer, RDV 2014, 73 (78).

[62] Piltz (o. Fn. 27), S. 86; Kremer/Buchalik, CR 2013, 789 (792).

[63] So KG, ZD 2014, 412 (416); LG Berlin, ZD 2012, 276 (278).

[64]  Vgl. Piltz, K&R 2012, 640 (644).

[65] Dieser Ans. u.a. KG, ZD 2014, 412 (416); LG Berlin, ZD 2012, 276 (278); Härting (o. Fn. 11), Rn. 2300; Polenz, VuR 2012, 207 (209).

[66] Richtlinie 2002/58/EG v. 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. EG 2002, Nr. L 201, S. 37; zuletzt geändert durch die Richtlinie 2009/136/EG, ABl. EG 2009, Nr. L 337, S. 11.

[67] Vgl. st. Rspr. BVerfGE 7, 198 (204); BVerfGE 68, 193 (205). Gleiches gilt für EU-Grundrechte, vgl. Ehlers, Europäische Grundrechte und Grundfreiheiten, 3. Aufl. (2009), S. 459 f.

[68] So OVG Münster, NVwZ 1997, 512 (513); Uerpmann, Das öffentliche Interesse, 1999, S. 36 (60 f.); vgl. auch Schulz, ZD 2014, 510 (514).

[69] Vgl. z.B. den Bezug zur Konkordanz bei Frenz, Europarecht, 2011, Rn. 243, 734.

[70] Grundl. z. Begriff Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Neudr. d. 20. Aufl. (1999), Rn. 72; BVerfGE 83, 130 (143, 146).

[71] Gemeint ist die Dienstleistungsfreiheit als Fundament des Binnenmarktes, vgl. ErwGr. 3 der DSRL.

[72] Vgl. auch Hoeren, RDV 2009, 89, (93)

[73] Vgl. Reg.E. v. 04.02.2015 zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts, S. 5 f.; abrufbar unter http://www.bmjv.de/SharedDocs/Downloads/DE/pdfs/Gesetze/RegE-UKlaG.pdf?__blob= publicationFile (Stand: 10.02.2015).

[74] Vgl. z. alten Recht BGH, NJW 2009, 3371 Rn. 32; Magnus, in: Staudinger, BGB, Neubearb. 2011, Art. 9 Rom I-VO Rn. 151 m.w.N.

[75] In Zweifelsfällen ist die Einordnung als Eingriffsnorm abzulehnen. Vgl. zum alten Recht BGH, NJW 2006, 762 Rn. 28; zu Art. 9 Abs. 1 Rom I-VO; Häuser, Eingriffsnormen in der Rom I-Verordnung, 2012, S. 28.

[76] So z.B. OLG Köln, MMR 2011, 394 (395); Härting (o. Fn. 11), Rn. 2336.

[77] Mögliche Abgrenzungsschwierigkeiten waren dem Gesetzgeber bewusst, vgl. dazu Leible/Lehmann, RIW 2007, 721 (723 f.). Jüngst sprach sich das Parlament für die Aufnahme von medienspezifischen Kollisionsnormen bei einer Verletzung der Privatsphäre und der Persönlichkeitsrechte in die Rom II-VO aus, 2009/2170(INI). Krit. Knöpfel, in: Hüßtege/Mansel, NK-BGB, Bd. 6 (2014), Art. 30 Rom II Rn. 11 ff.

[78] Vgl. dazu KG, ZD 2014, 412 (414 ff.) m.w.N. aus der Rspr.

[79] Vgl. dazu etwa Glöckner, in: Harte-Bavendamm/Henning-Bodewig, UWG, 3. Aufl. 2013, Einl. C. Rn. 84 f.; a.A. Pfeiffer/Weller/Nordmeier, in: Spindler/Schuster, Recht der elektronischen Medien, 2, Aufl. (2011), Rom II, Art. 1 Rn. 12 f., die für eine Differenzierung zwischen wettbewerbsrechtl. und persönlichkeitsrechtl. Anknüpfung plädieren.

[80] Siehe dazu Pkt III. 1. b).

[81] Siehe dazu Pkt III. 1. b).

[82] Für § 1 Abs. 5 BDSG Dammann (o. Fn. 34), § 1 Rn. 216; Plath, in: ders., BDSG, 2012, § 1 Rn. 47; von Lewinski (o. Fn. 44), § 1 Rn. 65; Jotzo (o. Fn. 45), S. 120 f.; für Art. 40 EGBGB Hohloch, in: Erman, BGB, 14. Aufl. (2014), Art. 40 EGBGB Rn. 18d; wohl auch Spickhoff, in: BeckOK-BGB, Ed. 33 (01.02.2013), Art. 40 EGBGB Rn. 38; differenzierend Gabel, in: Taeger/Gabel, BDSG, TKG, TMG, 2. Aufl. (2013), § 1 BDSG Rn. 50.

[83] Vgl. Staudinger/Czaplinski, NJW 2009, 3375 (3376); Steinrötter, NJW 2013, 2607 (2608); offengelassen BGH, NJW 2009 (3371); a.A. wohl LG Berlin, MMR 2014, 563 (564); LG Berlin, NJW 2013, 2605 (2606).

[84] Vgl. Junker (o. Fn. 32), Vorb. zu Art. 16 Rom II-VO Rn. 13.

[85] Kartheuser/Klar, ZD 2014, 500 (502).

[86] Vgl. etwa Junker (o. Fn. 32), Vorb. zu Art. 1 Rom II-VO Rn. 37.

[87] S.o. Pkt. III. 1. d) bb).

[88] Junker (o. Fn. 32), Art. 1 Rom II-VO Rn. 6 stützt diese Annahme, indem er eine weitgehende Deckung der Ausnahmeregelungen von Art. 1 Abs. 2 Rom I-VO und Art. 1 Abs. 2 und 3 Rom II-VO feststellt. Ausnahmen für Privatsphäreverletzungen seien „naturgemäß“, scheinbar also, weil sie dort keine Relevanz hätten, nicht in die Verordnung eingeflossen.

[89] S.o. Pkt. III. 1. d) aa).

[90] Dazu Kartheuser/Klar, ZD 2014, 500 (502).

[91] S.o. Pkt. III. 1. d) aa).

[92] S.o. Pkt. III. 1. c).

[93] Staudinger, in: Ferrari/Kieninger/Mankowski u.a., Internationales Vertragsrecht, 2. Aufl. (2011), Art. 9 Rom I-VO Rn. 13; Martiny (o. Fn. 55), Art. 9 Rom I-VO Rn. 28.

[94] So Martiny (o. Fn. 55), Art. 9 Rom I-VO Rn. 28 m.w.N.

[95] I.E. ebenso Jotzo, (o. Fn. 45), S. 121; von Lewinski (o. Fn. 44), § 1 Rn. 65.

[96]  S. bereits o. Pkt. III. 1. b).

[97] Menzel, Internationales Öffentliches Recht, 2011, S. 6

[98] Menzel (o. Fn. 98), entwickelt seine Grds. des int. Grenzrechts aus den „Entwicklungslinien der Staatlichkeit“, Internationales Öffentliches Recht, 2011, S. 90 ff. u. aus der Gebiets- und Personalhoheit des Staats qua Völkerrecht, S. 303 ff., äußert sich aber kritisch zu einer Überbewertung der Territorialitätsaspekte im modernen Staat, S. 212.

[99] Steinrötter, MMR 2013, 691 (692).

[100] Menzel (o. Fn. 98), S. 352 ff.

[101] Für die Anwendung der Grds. des IÖR auch Steinrötter, MMR 2013, 691 f.

[102] Wohl auch Steinrötter, MMR 2013, 691 (692) mit seinem Verw. auf „unionsrechtliche Anordnungen“.

[103] OVG Schleswig, Urt. v. 04.09.2014 – 4 LB 20/13 (Rn. 73 bei juris).

[104] Heintschel-Heinegg, in: BeckOK-StGB, Ed. 23 (Stand: 01.12.2012), § 3 Rn. 3.

[105] Unabh. davon, ob man aus Art. 82 Abs. 2 AEUV (zuvor Art. 31 Abs. 1 lit. e) EGV) eine entspr. Kompetenz der EU herauslesen möchte, i.R.d. Harmonisierung des Datenschutzrechts auch das zugehörige Strafrecht zu seiner Durchsetzung mitzuregeln, kommen für Sachverhalte, die Straftatbestände aus § 44 BDSG erfüllen, einheitlich die §§ 3 ff. StGB zur Anwendung.

[106] KOM(2012) 11 endg. Vgl. z. akt. Stand http://gesetzgebung.beck.de/node/1029754 (Stand: 17.02.2015).

[107] Eine Entwicklung hin zum Marktortprinzip erkennt Kühling, EuZW 2014, 527 (528)

[108] Von Hein (o. Fn. 21), Art. 3 EGBGB Rn. 45.