Aufsatz : Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle : aus der RDV 2/2014, Seite 73 bis 84
Social Media Dienste verarbeiten fortlaufend personenbezogene Nutzerdaten. Ihre Betreiber bedienen sich zur steuerlichen, haftungs- und datenschutzrechtlichen Optimierung ihrer Geschäftsmodelle komplexer, weltweit verteilter Konzernstrukturen. Die Frage nach dem anwendbaren Datenschutzrecht drängt sich auf und wird hier behandelt.
I. Überblick
Social Media Dienste verarbeiten über ihre Websites und Apps fortlaufend personenbezogene Daten ihrer Nutzer (Ziff. 1.1). Dabei bedienen sich die Betreiber der Social Media Dienste zur steuerlichen, haftungs- und datenschutzrechtlichen Optimierung ihres Geschäftsmodells komplexer, weltweit verteilter Konzernstrukturen. Die Bestimmung des anwendbaren Datenschutzrechts bedarf deshalb einer sorgfältigen Feststellung des Sachverhalts (Ziff. 1.2).
Bei der Bestimmung des anwendbaren Datenschutzrechts ist von der Kollisionsnorm in § 1 Abs. 5 BDSG auszugehen, die wegen der umfassenden Harmonisierungswirkung der Datenschutzrichtlinie (DSRL) von Art. 4 Abs. 1 DSRL überlagert wird (Ziff. 2.1). § 1 Abs. 5 BDSG und Art. 4 Abs. 1 DSRL konkurrieren mit den Kollisionsnormen der Verordnung über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), so dass das Verhältnis der datenschutzrechtlichen Kollisionsnormen zu den allgemeinen Kollisionsnormen (Ziff. 2.2 und 2.4) und die Vorgehensweise des Gerichts im Streitfall (Ziff. 2.3) zu klären sind.
Die gefundenen Ergebnisse sind auf den Sachverhalt zu übertragen. Dies verlangt zunächst die Ermittlung des Regelungsgehalts von Art. 4 Abs. 1 DSRL (Ziff. 3.1), sowohl bezogen auf das Erfordernis einer Niederlassung innerhalb von EU/EWR i.S.v. Art. 4 Abs. 1 lit. a) DSRL (Ziff. 3.2) als auch auf das Erfordernis des Rückgriffs auf innerhalb von EU/EWR belegener Mittel durch den für die Verarbeitung Verantwortlichen i.S.v. Art. 4 Abs. 1 lit. c) DSRL (Ziff. 3.3). Anschließend erfolgt die Anwendung auf typische Konstellationen bei Social Media Diensten (Ziff. 3.4).
Wird die Datenschutzerklärung des Social Media Dienstes zum Bestandteil des Vertrags mit dem Nutzer gemacht, kann es sich bei den dort enthaltenen Bestimmungen um Allgemeine Geschäftsbedingungen handeln (Ziff. 4.1). Für die dann erforderliche Inhaltskontrolle bedarf es wiederum der Feststellung des anwendbaren Rechts (Ziff. 4.2).
Die wesentlichen Ergebnisse werden im Fazit (Ziff. 5) festgehalten.
II. Sachverhalt
1. Datenverarbeitung durch Betreiber von Social Media Diensten
Nutzer von Social Media Diensten unterliegen einer Dauerüberwachung durch deren Betreiber. Die Verarbeitung[1] personenbezogener Daten ist allgegenwärtig:
a) Die Apps der Social Media Dienste zeichnen für die Betreiber über Sensoren in den Endgeräten oder die im Umfeld des Endgeräts verfügbaren WLAN-Basisstationen Lokalisierungsdaten auf, um nach Ermittlung des Standorts oder Erstellung eines Bewegungsprofils dem Nutzer standortbasierte Inhalte oder Werbung anzubieten.
b) Über Funktionen der Apps oder Websites der Social Media Dienste wie den „Freundefinder“[2] von Facebook werden die Kontakte oder Fotos des Nutzers im Speicher des Endgeräts oder aus anderen Anwendungen durch die Betreiber ausgelesen, um Beziehungen des Nutzers zu anderen Nutzern der Dienste herstellen und die Nutzer virtuell zusammenzuführen.
c) In Cookies[3] oder mittels Browser Fingerprinting[4] werden vom Betreiber die vom Nutzer in Social Media Diensten und auf anderen Websites abgerufenen Inhalte und deren Nutzungsdauer protokolliert, um die so gewonnenen Angaben zur Erstellung von Nutzungsprofilen[5] zu nutzen und zur Grundlage der dem Nutzer angebotenen weiteren Inhalte oder nutzerspezifischer Werbung zu machen.
d) Durch die Auswertung von auf den Servern der Betreiber gespeicherten Inhalten in Social Media Diensten sowie dem Handeln des Nutzers in diesen Diensten und auf Websites Dritter über Statistikdienste wie Facebook Insights[6] und Social-Plugins ermitteln Betreiber unabhängig vom konkreten Verhalten des Nutzers, z.B. über Gesichtserkennung in Fotos oder vom Nutzer vorgenommene „Likes“, dessen Beziehungen zu anderen Nutzern, Unternehmen oder Marken, um den Nutzer damit in Verbindung zu bringen oder nutzerspezifische Werbung zu unterbreiten.
Die Datenverarbeitung durch die Betreiber der Social Media Dienste erfolgt damit zunächst automatisiert auf den Endgeräten der Nutzer, wenn dort deren personenbezogene Daten erhoben und gespeichert werden. Sie setzt sich aber auf den von den Betreibern der Social Media Dienste selbst oder durch Dritte betriebenen Servern fort, weil dort personenbezogene Daten der Nutzer wiederum gespeichert, zu den vorbezeichneten oder anderen Zwecken genutzt und ggf. an Dritte übermittelt werden. Dies kann für Big Data Analysen geschehen, aber auch zur Anmeldung bei einer App eines Dritten auf dem Endgerät des Nutzers mit seinen Zugangsdaten zu einem Social Media Dienst, etwa mittels Facebook Login[7] oder Sign in with Twitter[8].
Ob die Datenverarbeitungen durch einen gesetzlichen Erlaubnistatbestand gerechtfertigt sind oder einer Einwilligung der Nutzer bedürfen, bestimmt sich nach dem für den jeweiligen Datenverarbeitungsvorgang anwendbaren Datenschutzrecht. Dies gilt ebenso für die Notwendigkeit einer Datenschutzerklärung für Social Media Dienste und deren ggf. notwendiger Inhaltskontrolle als Allgemeine Geschäftsbedingungen (dazu unten Ziff. 4)[9].
2. Konzernstrukturen bei Betreibern von Social Media Diensten
Als Betreiber eines Social Media Dienstes tritt zumeist ein Unternehmen auf. Dieses ist Diensteanbieter i.S.v. § 2 Nr. 1 TMG, denn Social Media Dienste sind Telemedien i.S.v. § 1 Abs. 1 S. 1 TMG. Dabei ist das Unternehmen regelmäßig Teil einer komplexen, weltweit verteilten Konzernstruktur, die der steuerlichen, haftungs- und datenschutzrechtlichen Optimierung des eigenen Geschäftsmodells dient[10]. Welches Konzernunternehmen in welchem Teilbereich eines Social Media Dienstes in welcher konzerninternen Organisationsmatrix tätig wird und damit an Verarbeitungen personenbezogener Daten der Nutzer des Dienstes beteiligt ist, erschließt sich nach außen meist nicht.
Kommt es für die Bestimmung des anwendbaren Rechts auf den Ort der Datenverarbeitung an (siehe unten Ziff. 3), kann das Ergebnis der insoweit vorzunehmenden rechtlichen Prüfung ausschließlich vom Sachverhalt abhängen, welcher dem Prüfenden bekannt ist, gleich ob es sich hierbei um ein Gericht oder eine Aufsichtsbehörde handelt. Das kann zu widersprüchlichen Feststellungen bei einem vermeintlich einheitlichen Geschehen führen, die ihre Ursachen nicht in unterschiedlichen Rechtsansichten, sondern anderen Tatsachengrundlagen finden.
Das zeigen die Gerichtsverfahren um Facebook.
Im u.a. um den „Freundefinder“ von Facebook (siehe oben Ziff. 1.1 lit. b)) geführten Rechtsstreit vor dem LG Berlin[11] und dem KG[12] war nach dem KG als Sachverhalt zugrunde zu legen, dass die Facebook Ireland Limited „in Europa das soziale Internet-Netzwerk ‚Facebook’ betreibt“[13]. Die Datenverarbeitung erfolge tatsächlich aber durch die Facebook Inc. in den USA, deren 100-prozentige Tochtergesellschaft die Facebook Ireland Limited sei. Selbst wenn sich die Facebook Inc. als Auftragsverarbeiter der Facebook Ireland Limited vertraglich unterworfen habe, liege wegen der gesellschaftsrechtlichen Befugnisse „de facto die Verantwortung“ für die Datenverarbeitung bei der Facebook Inc., so dass für die Bestimmung des anwendbaren Rechts nicht auf die Facebook Ireland Limited abgestellt werden könne[14].
Anders stellte sich der Sachverhalt in dem vor dem VG Schleswig[15]und OVG Schleswig[16] durch die Facebook Inc. um die Weigerung zur Führung pseudonymer Nutzerkonten[17]geführten verwaltungsgerichtlichen Eilverfahren dar. Nach dem dort von VG und OVG zugrunde zu legenden Sachverhalt stand fest, „dass seit dem 28.8.2009 für deutsche Nutzer [Facebook] von der Facebook Ireland Limited […] angeboten [wird] und [diese] und die Facebook Inc. mit Wirkung vom 15.12.2010 das ‚Data Transfer and Processing Agreement’ geschlossen haben.“ Aus dem vorgenannten Agreement ergebe sich, „dass die Facebook Ireland Limited hinsichtlich ‚bestimmter’ Datenkategorien […] die verantwortliche Stelle ist.“ Zudem sei „der irische Datenschutzbeauftragte […] zu dem Ergebnis gelangt, dass Facebook Ireland Limited die einzige Stelle und rechtlich das Unternehmen innerhalb der Facebook Gruppe ist, das Nutzerdaten von nicht nordamerikanischen Nutzern kontrolliert“. Deshalb bestünden „keine durchgreifenden Bedenken dagegen […], dass zum Tätigkeitsbereich der Facebook Ireland Ltd. die hier relevante Verarbeitung personenbezogener Daten gehört.“ Hiernach war für die Bestimmung des anwendbaren Rechts auf die Facebook Ireland Limited abzustellen, ohne dass gesellschaftsrechtliche Überlegungen seitens des Gerichts angestrengt wurden[18].
Die Feststellung des Sachverhalts, sei es ausgehend vom Vortrag der Parteien oder der Amtsermittlung im Verwaltungsverfahren nach den § 24 Abs. 1 S. 1 VwVfG, § 68 Abs. 1 S. 1 VwGO, ist deshalb mit Blick auf die Bestimmung des anwendbaren Datenschutzrechts von herausragender Bedeutung und mit entsprechender Sorgfalt zu betreiben. Dies gilt nicht nur für die Ermittlung des für die Verarbeitung Verantwortlichen i.S.v. Art. 2 lit. d) DSRL bzw. § 3 Abs. 7 BDSG und seiner ggf. vorhandenen Niederlassungen, sondern auch für die Ermittlung der zu beurteilenden Verarbeitungsvorgänge i.S.v. Art. 2 lit. b) DSRL bzw. § 3 Abs. 3 bis 5 BDSG einschließlich der hierfür i.S.v. Art. 4 Abs. 1 lit. c) DSRL verwendeten Mittel (dazu unten Ziff. 3.3) sowie deren Zuordnung für dem für die Verarbeitung Verantwortlichen bzw. dessen Niederlassungen.
III. Bestimmung des anwendbaren Datenschutzrechts
Die Bestimmung des anwendbaren Datenschutzrechts richtet sich vorrangig nach § 1 Abs. 5 BDSG oder Art. 4 DSRL. Zu klären ist deren Verhältnis zu den Vorschriften über das auf vertragliche Schuldverhältnisse anzuwendende Recht nach Rom I (Verordnung EG Nr. 593/2008) einschließlich der Frage, ob das anzuwendende Datenschutzrecht der freien Rechtswahl durch die Parteien obliegt.
1. § 1 Abs. 5 BDSG und Art. 4 Abs. 1 DSRL als Kolli sionsnormen
1.1 Einführung des § 1 Abs. 5 BDSG durch das BDSG 2001
Die DSRL bedurfte als Richtlinie i.S.v. Art. 249 S. 3 EGV (entspricht Art. 288 S. 3 AEUV) einer durch Art. 32 Abs. 1 DSRL ausdrücklich angeordneten Umsetzung in nationales Recht. Erwägungsgrund 8 DSRL formulierte dabei das Ziel eines unerlässlichen, gleichwertigen Schutzniveaus „hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung [ihrer] Daten in allen Mitgliedstaaten“. Trotz dieses angestrebten gleichmäßigen Schutzniveaus sollten die Mitgliedsstaaten nach Erwägungsgrund 9 DSRL bei der Umsetzung einen Spielraum haben, innerhalb dessen „unter Beachtung des Gemeinschaftsrechts Unterschiede bei der Durchführung der Richtlinie auftreten [können]“.
In Deutschland wurde die DSRL mit dem BDSG 2001 in nationales Recht überführt[19]. Soweit für diesen Beitrag relevant, ist mit dem BDSG 2001 als Kollisionsnorm (oder Kollisionsvermeidungsnorm[20]) § 1 Abs. 5 BDSG in Umsetzung von Art. 4 DSRL ergänzt worden. Dabei hat der Gesetzgeber von dem ihm nach Erwägungsgrund 9 DSRL vermeintlich zustehenden Spielraum Gebrauch gemacht und Art. 4 DSRL nicht unverändert übernommen. So wird etwa in § 1 Abs. 5 S. 2 BDSG als Bezugspunkt für die Anwendbarkeit des BDSG auf einen Umgang mit personenbezogenen Daten[21] im Inland durch eine nicht in EU/ EWR belegene verantwortliche Stelle abgestellt, während das in Art. 4 Abs. 1 lit. c) DSRL vorgesehene Erfordernis des Rückgriffs auf „automatisierte oder nicht automatisierte Mittel“ (dazu unten Ziff. 3.3) zum Zweck der Datenverarbeitung vollständig entfallen ist[22].
§ 1 Abs. 5 BDSG findet mangels eigener Regelung im TMG auch Anwendung, wenn es um die Bestimmung der Anwendbarkeit der §§ 11 ff. TMG, als i.S.v. § 1 Abs. 3 S. 1 BDSG vorrangigen telemedienrechtlichen Spezialregelungen zum Schutz personenbezogener Daten, geht[23]. Das Herkunftslandsprinzip in § 3 Abs. 1, Abs. 2 TMG ist gem. § 3 Abs. 3 Nr. 4 TMG ohne Bedeutung[24].
1.2 Harmonisierungswirkung der DSRL nach dem EuGH
Der EuGH hat bereits 2003 entschieden, dass sich die DSRL nicht auf eine Mindestharmonisierung beschränke, sondern grundsätzlich zu einer „umfassenden Harmonisierung“ führe[25]. Diese weithin ignorierte Rechtsprechung[26] stützte der EuGH u.a. auf Erwägungsgrund 7 DSRL, der ein unterschiedliches Schutzniveau bei der Verarbeitung personenbezogener Daten als „Hemmnis […] für Wirtschaftstätigkeiten auf Gemeinschaftsebene […]“ einordnet, und Erwägungsgrund 10 DSRL, wonach Ziel der DSRL die Sicherstellung eines „hohen Schutzniveaus“ in der Gemeinschaft sei. In der Folge hat der EuGH 2011 Art. 7 lit. f) DSRL als in den Mitgliedsstaaten unmittelbar anwendbares Recht eingeordnet, welches strengeren nationalen Regelungen entgegensteht[27].
Die vom EuGH befürwortete „umfassende Harmonisierung“ durch die DSRL ist nicht mit einer Vollharmonisierung gleichzusetzen[28]. Der EuGH weist selbst darauf hin, dass die DSRL sehr wohl Vorschriften kenne, „die durch eine gewisse Flexibilität gekennzeichnet sind“, ebenso, dass die DSRL „den Mitgliedsstaaten unbestreitbar ein mehr oder weniger großes Ermessen bei der Umsetzung einiger ihrer Bestimmungen einräumt.“[29] Es ist deshalb in jedem Einzelfall zu entscheiden, ob nationale Regelungen sich auf die nähere Bestimmung von in der DSRL bereits enthaltenen Grundsätzen bei ein entsprechendes Ermessen einräumenden Vorschriften beschränken oder die nationalen Regelungen solche Vorschriften der DSRL ändern, die keinerlei Flexibilität zu Gunsten des nationalen Gesetzgebers kennen.
In Art. 4 Abs. 1 DSRL heißt es insoweit, jeder Mitgliedsstaat „wendet […] auf alle Verarbeitungen […] an“, nämlich die von ihm in Umsetzung der DSRL erlassenen gesetzlichen Regelungen; Art. 4 Abs. 2 DSRL spricht davon, dass der für die Verarbeitung Verantwortliche einen Vertreter „zu benennen“ hat. Ermessenspielraum oder Flexibilität kennt Art. 4 DSRL nicht. Dazu passt, dass erst Art. 5 DSRL den Mitgliedsstaaten für die nachfolgenden Vorschriften im Kapitel II der DSRL ein Bestimmungsrecht einräumt. Nachdem Art. 4 DSRL auch aus sich heraus so verständlich ist, „dass sich ein Einzelner darauf berufen und ein nationales Gericht ihn anwenden kann“[30], fällt er ebenfalls unter diejenigen Vorschriften der DSRL, die im Sinne der Rechtsprechung des EuGH unmittelbare Wirkung in jedem Mitgliedsstaat entfalten[31].
Einer richtlinienkonformen Auslegung des § 1 Abs. 5 BDSG bedarf es nicht (mehr), weil zur Bestimmung des anwendbaren Datenschutzrechts Art. 4 DSRL[32] unmittelbar angewendet werden kann[33].
2. Verhältnis von Art. 4 Abs. 1 DSRL zu Art. 3, Art. 4 und Art. 6 Rom I
Durch die Inanspruchnahme von Social Media Diensten kommt es zu einem Vertragsschluss zwischen dem jeweiligen Betreiber und Nutzer[34]. Mangels Eingreifens eines der Ausnahmetatbestände in Art. 1 S. 2, Abs. 2 Rom I ist der Anwendungsbereich der „Verordnung über das auf vertragliche Schuldverhältnisse anzuwendende Recht“ nach Art. 1 S. 1 Rom I eröffnet, wenn Nutzer und Betreiber des Social Media Dienstes ihren gewöhnlichen Aufenthalt in verschiedenen Staaten innerhalb von EU/EWR haben und der Vertrag gem. Art. 28 Rom I nach dem 17.12.2009 geschlossen worden ist. Damit stellt sich die Frage, wie sich die Bestimmung des anwendbaren Rechts nach Art. 4 Abs. 1 DSRL zur Bestimmung des anwendbaren Rechts nach Rom I verhält. Mit Blick auf Rom I tritt das EGBGB wegen der dort zum Internationalen Privatrecht (IPR) getroffenen Regelungen gem. Art. 3 Nr. 1 lit. b) EGBGB Rom I zurück[35]. Im Übrigen ist das anwendbare Recht unabhängig von der internationalen Zuständigkeit der ggf. zur Entscheidung berufenen nationalen Gerichte zu bestimmen[36].
2.1 Social Media Dienste als Dienstleistung i.S.v. Art. 4 Abs. 1 lit. b) Rom I
Haben die Parteien eine Rechtswahl nicht getroffen (dazu unten Ziff. 2.3) könnte sich über Art. 4 Abs. 1 lit. b) Rom I eine Anwendbarkeit des Datenschutzrechts in demjenigen Staat ergeben, in dem der Dienstleister seinen gewöhnlichen Aufenthalt hat.
Der Begriff des Dienstleistungsvertrags wird in Rom I nicht definiert. Er ist als Auffangtatbestand zu verstehen und deshalb weit auszulegen[37], so dass er jeden auf die Erbringung einer Tätigkeit gerichteten Vertrag erfasst[38], ohne dass es zwingend einer entgeltlichen Tätigkeit bedarf[39]. Die Bereitstellung von Social Media Diensten ist ein Handeln des Betreibers und eine Tätigkeit, deren Entgeltlichkeit für den Nutzer sich aus der Kommerzialisierung seiner personenbezogenen Daten als Gegenleistung an den Betreiber ergibt[40]. Der Anwendungsbereich von Art. 4 Abs. 1 lit. b) Rom I wäre mithin eröffnet.
Die anderen Tatbestände in Art. 4 Abs. 1 lit. a), lit. c) bis lit. h) Rom I sind ersichtlich nicht einschlägig.
2.2 Social Media Dienste als Verbrauchervertrag i.S.v. Art. 6 Abs. 1 Rom I
Art. 4 Rom I fungiert als Generalklausel, welche durch die spezielleren Vorschriften der Art. 5 bis Art. 8 Rom I verdrängt wird[41]. Art. 5, Art. 7 und Art. 8 Rom I über Beförderungs-, Versicherungs- und Individualarbeitsverträge sind auf die Nutzung von Social Media Diensten unanwendbar.
In Betracht kommt als speziellere Vorschrift allein Art. 6 Abs. 1 Rom I für Verbraucherverträge. Hiernach unterliegt ein zwischen einem Verbraucher und einem Unternehmer[42] abgeschlossener Vertrag dem Recht des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, sofern der Unternehmer entweder
a) seine berufliche oder gewerbliche Tätigkeit in dem Staat ausübt, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, oder
b) eine solche Tätigkeit in irgendeiner Weise auf diesen Staat oder auf mehrere Staaten, einschließlich dieses Staates, ausrichtet,
und der Vertrag in den Bereich dieser Tätigkeit fällt.
Art. 6 Abs. 1 Rom I beschränkt sich nicht auf Ansprüche der am Verbrauchervertrag beteiligten Parteien, sondern erfasst auch mittelbar auf die Vertragsbeziehung einwirkende Ansprüche, etwa an die Unwirksamkeit von Allgemeinen Geschäftsbedingungen anknüpfende Unterlassungsansprüche gem. § 1 UKlaG[43] (zu Datenschutzerklärungen als Allgemeine Geschäftsbedingungen siehe unten Ziff. 4).
Auf dieser Grundlage hat das LG Berlin 2013 in dem von einem Verbraucherverband gegen die Apple Distribution International Limited als die den europäischen Apple Store im Internet betreibende Tochter der Apple Inc. geführten und zwischenzeitlich rechtskräftig abgeschlossenem Rechtsstreit über die Wirksamkeit bestimmter Klauseln in der dort verwendeten Datenschutzerklärung angenommen, dass der Rechtsstreit vollständig nach deutschem Recht zu entscheiden sei[44]. Dabei hat das LG Berlin allerdings § 1 Abs. 5 BDSG und Art. 4 Abs. 1 DSRL übersehen und sich deshalb mit dem Verhältnis dieser datenschutzrechtlichen Kollisionsnormen zu Rom I fälschlicherweise nicht auseinandergesetzt[45].
Ob bei einem Verbraucher bei Nutzung eines Social Media Dienstes Art. 6 Abs. 1 lit. a) Rom I erfüllt ist, lässt sich über einen Blick in die nach Art. 5 Abs. 1 ECRL (Richtlinie 2000/31/ EG) oder § 5 Abs. 1 TMG erforderliche Anbieterkennzeichnung („Impressum“) des Betreibers leicht feststellen.
Alternativ verlangt Art. 6 Abs. 1 lit. b) Rom I die Ausrichtung des Social Media Dienstes durch den Betreiber „in irgend einer Weise“ auf den Staat, in dem der Verbraucher-Nutzer seinen gewöhnlichen Aufenthalt hat. Der EuGH hat zur Feststellung einer solchen Ausrichtung eine nicht abschließende Liste von Indizien entwickelt[46]. Demnach soll eine solche Ausrichtung nicht bereits aus der technisch kaum zu unterbindenden Abrufbarkeit eines Internet-Dienstes folgen. Vielmehr muss der Unternehmer mit seinem Dienst den Willen zum Ausdruck bringen, seine Leistungen auch Verbrauchern aus anderen Staaten anzubieten. Ein solcher Wille sei etwa bei einer Anpassung des Portals an die jeweils im anderen Staat geltende Sprache und Währung, die Angabe von Telefonnummern mit internationaler Vorwahl oder die von Anfahrtsbeschreibungen aus dem anderen Staat anzunehmen. Derartige Umstände lassen sich bei nahezu jedem Social Media Dienst festmachen[47].
Nutzt mithin ein Verbraucher einen Social Media Dienst, wird Art. 4 Abs. 1 lit. b) Rom I durch Art. 6 Abs. 1 Rom I verdrängt. Bei einem Nicht-Verbraucher als Nutzer eines Social Media Dienstes wäre demnach gem. Art. 4 Abs. 1 lit. b) Rom I das Recht des Staates anwendbar, in dem der Betreiber seinen gewöhnlichen Aufenthalt hat, während bei einem Verbraucher als Nutzer gem. Art. 6 Abs. 1 Rom I das Recht des Staates anwendbar ist, in dem entweder Nutzer und Betreiber gemeinsam ihren gewöhnlichen Aufenthalt haben oder das Recht des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat. Das anwendbare Recht kann deshalb für NichtVerbraucher und Verbraucher nach Rom I nicht einheitlich bestimmt werden.
2.3 Art. 4 Abs. 1 DSRL als vorrangige Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I
Art. 4 Abs. 1 DSRL stellt zur Bestimmung des anwendbaren Rechts vorrangig auf das Niederlassungsprinzip oder eingeschränkte Sitzprinzip ab[48].
Ausschlaggebend ist nach Art. 4 Abs. 1 lit. a) S. 1 DSRL der Belegungsort des für die Verarbeitung Verantwortlichen in einem Mitgliedsstaat. Hat der für die Verarbeitung Verantwortliche auch eine mit der Datenverarbeitung befasste Niederlassung in einen anderen Mitgliedsstaat, findet gem. Art. 4 Abs. 1 lit. a) S. 2 DSRL auch das Recht dieses Mitgliedstaates Anwendung[49]. Nur bei einem außerhalb von EU/EWR belegenen für die Verarbeitung Verantwortlichen kommt es zur Anwendung des Territorialprinzips gem. Art. 4 Abs. 1 lit. c) DSRL mit der Folge, dass das Datenschutzrecht desjenigen Mitgliedsstaates Anwendung findet, in dem die vom für die Verarbeitung Verantwortlichen zum Zweck der Datenverarbeitung verwendeten Mittel[50] belegen sind[51].
Insbesondere, wenn Betreiber des Social Media Dienstes und der für die Verarbeitung Verantwortliche sachlich und räumlich auseinanderfallen, was bei den Konzernstrukturen der Betreiber von Social Media Diensten (siehe oben Ziff. 1.2) eher Regel als Ausnahme ist, ist das nach Rom I anwendbare Recht nicht zwingend das nach Art. 4 Abs. 1 DSRL anwendbare Recht. Damit stellt sich die Frage nach dem Verhältnis von Art. 4 DSRL zu Art. 4 und Art. 6 Rom I.
Ein Vorrang von Art. 4 Abs. 1 DSRL gem. Art. 23 Rom I scheidet aus, da es sich bei Art. 4 Abs. 1 DSRL nicht um eine besondere Kollisionsnorm für vertragliche Schuldverhältnisse handelt[52]. Denn ausweislich Art. 1 Abs. 1 DSRL gewährleistet diese „den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Dieser Schutz wird nicht über die Regelung von Schuldverhältnissen erreicht, sondern durch die Festlegung von Vorgaben für die Verarbeitung personenbezogener Daten einschließlich deren Kontrolle durch betroffene Person und Aufsichtsbehörde[53].
Das Verhältnis der datenschutzrechtlichen Kollisionsnorm zu Rom I könnte jedoch durch Art. 9 Abs. 2 Rom I geklärt werden, wenn es sich bei Art. 4 Abs. 1 DSRL respektive der nationalen Umsetzung in § 1 Abs. 5 BDSG (zum Verhältnis siehe oben Ziff. 2.1.2) um eine Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I handelt.
a. Eingriffsnormen i.S.d. Art. 9 Rom I und deren Wirkung
Art. 9 Abs. 2 Rom I führt zu einem zwingenden, keinerlei Ermessen zulassendem[54] Anwendungsvorrang einer Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I gegenüber den Vorschriften des Vertragsstatuts in Rom I[55]. Im Anwendungsbereich einer Eingriffsnorm muss Rom I, das ein einheitliches Kollisionsrecht mit dem Ziel rechtssicherer und vorhersehbarer Entscheidungen innerhalb des Binnenmarktes garantieren soll, zurücktreten[56].
Art. 9 Abs. 1 Rom I enthält die Legaldefinition einer Eingriffsnorm.
Bei einer Eingriffsnorm handelt es sich um eine „zwingende Vorschrift, deren Einhaltung von einem Staat als so entscheidend für die Wahrung seines öffentlichen Interesses […] angesehen wird, dass sie ungeachtet [der Vorschriften von Rom I] auf alle Sachverhalte anzuwenden ist, die in ihren Anwendungsbereich fallen.“ In jedem Einzelfall ist damit ungeachtet des privat- oder öffentlich-rechtlichen Charakters eines materiellen Gesetzes zu prüfen, ob die jeweilige Regelung zwingend wirken soll, weil sie ihrem Normzweck nach[57] nicht nur im Individualinteresse, sondern auch im Gemeinwohlinteresse geschaffen wurde, gleich ob dieses wirtschaftspolitischer oder sozialpolitischer Natur ist[58]. Sofern die Regelung auf der Umsetzung einer EU-Richtlinie beruht ist zu prüfen, ob und inwieweit der nationalen Regelung explizit oder versteckt ein Eingriffsbefehl beigemessen wird[59].
b. Art. 4 Abs. 1 DSRL als Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I
Art. 4 Abs. 1 DSRL ist in Deutschland unmittelbar anwendbar. Die Vorschrift gewährt dem nationalen Gesetzgeber keinerlei Flexibilität oder Ermessen in ihrer Umsetzung (siehe oben Ziff. 2.1.2).
Zweck von Art. 4 Abs. 1 DSRL und der Umsetzungsregelung in § 1 Abs. 5 BDSG ist es, ein abhängig vom Belegungsort des für die Verarbeitung Verantwortlichen (Art. 4 Abs. 1 lit. a) DSRL) oder des für die Verarbeitung verwendeten Mittels (Art. 4 Abs. 1 lit. c) DSRL) einheitliches Datenschutzregime für die von der Verarbeitung betroffenen Personen herzustellen[60]. Zugleich wird den in EU/EWR belegenen, für die Verarbeitung Verantwortlichen ohne Berücksichtigung anderer Rechtsordnungen der Export ihres „eigenes Datenschutzrechts“ in andere Mitgliedsstaaten ermöglicht[61], um i.S.v. Art. 1 Abs. 2 DSRL eine Beschränkung oder gar Untersagung für „den freien Verkehr personenbezogener Daten zwischen Mitgliedsstaaten“ zu unterbinden[62].
Die mit Art. 4 Abs. 1 DSRL und § 1 Abs. 5 BDSG verfolgten Zwecke dienen ausweislich der schon oben (siehe Ziff. 2.1.2) erwähnten Erwägungsgründe 7 und 8 DSRL Gemeinwohlinteressen. Dort wird das Erreichen eines gemeinsamen „Schutzniveaus hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung [personenbezogener] Daten“ als Ziel vorgegeben und von der Beseitigung von einem „Hemmnis für die Ausübung einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene“ gesprochen, welches zuvor „die Erfüllung des Auftrages der in dem Anwendungsbereich des Gemeinschaftsrechts tätigen Behörden“ verhindert hat.
Mit der durch § 3 Abs. 3 Nr. 4 TMG angeordneten Ausnahme vom Herkunftslandsprinzip, die auf Art. 1 Abs. 5 lit. b) ECRL zurückgeht[63], zeigt der nationale Gesetzgeber zudem, dass er Art. 4 Abs. 1 DSRL bzw. § 1 Abs. 5 BDSG als mit einem zwingenden Eingriffsbefehl ausgestattet betrachtet. Die datenschutzrechtliche Kollisionsnorm in § 1 Abs. 5 BDSG, der wegen seiner unmittelbaren Anwendbarkeit durch Art. 4 Abs. 1 DSRL überlagert wird, soll von jeglichen Vorschriften in anderen Gesetzen zur Bestimmung des anwendbaren Rechts unberührt bleiben.
§ 1 Abs. 5 BDSG und damit Art. 4 Abs. 1 DSRL als unmittelbar anwendbares Recht erfüllen mithin alle Voraussetzungen einer Eingriffsnorm i.S.d. Art 9 Abs. 1 Rom I[64]. In Übereinstimmung mit dem VG Schleswig[65] und dem OVG Schleswig[66]ist deshalb davon auszugehen, dass es sich hierbei um gegenüber Art. 4 und Art. 6 Abs. 1 Rom I vorrangige Eingriffsnormen i.S.d. Art. 9 Abs. 1 Rom I handelt[67]. Erst nach Prüfung der tatbestandlichen Voraussetzungen aus Art. 4 Abs. 1 DSRL kann ein Gericht demnach eine Entscheidung darüber treffen, welches materielle Datenschutzrecht bei seiner Entscheidungsfindung anzuwenden ist. Dies gilt auch, wenn das Datenschutzrecht nur mittelbar Prüfungsgegenstand ist, etwa bei einer Inhaltskontrolle von Bestimmungen in Datenschutzerklärungen nach den §§ 307 ff. BGB (dazu unten Ziff. 4)[68].
3. Rechtswahl der Parteien nach Art. 3 und Art. 6 Abs. 2 Rom I
Art. 3 Abs. 1 S. 1 Rom I gibt der Rechtswahl durch die Parteien stets den Vorrang. Dies gilt gem. Art. 6 Abs. 2 S. 1 Rom I auch bei Verbraucherverträgen, solange hierdurch dem Verbraucher nicht ein durch Regelungen des nach Art. 6 Abs. 1 Rom I anwendbaren Rechts (dazu oben Ziff. 2.2.2) gewährter zwingender Schutz entzogen wird.
Der Vorrang von Eingriffsnormen gem. Art. 9 Abs. 2 Rom I gilt jedoch nicht nur gegenüber dem gem. Art. 4 bis Art. 8 Rom I ermittelten Vertragsstatut, sondern insbesondere auch gegenüber einem durch Rechtswahl der Parteien bestimmten Vertragsstatut[69]. Anderenfalls würde die zwingende Wirkung einer Eingriffsnorm (dazu oben Ziff. 2.2.3.1) allein durch den Parteiwillen ausgehebelt werden. Rechtswahlklauseln in Nutzungsbedingungen oder Datenschutzerklärungen der Betreiber von Social Media Diensten, die zu einer Beeinflussung des anwendbaren Datenschutzrechts führen sollen, laufen deshalb wegen des zwingenden Vorrangs von Art. 4 Abs. 1 DSRL ins Leere[70]. Dies verkennt das KG[71], wenn es eine Rechtswahl im Vertrag zwischen Betreiber und Nutzer eines Social Media Dienstes unter Hinweis auf den privatrechtlichen Charakter einzelner Normen im BDSG zulässt.
4. Ermittlung des anwendbaren Rechts durch das Gericht
Im Umkehrschluss aus § 293 S. 1 ZPO folgt, dass das Gericht deutsches Recht einschließlich des IPR und des Rechts der Europäischen Gemeinschaft zu kennen hat[72]. Dies gilt jedoch nicht für das in einem anderen Staat in EU/EWR geltende Recht, mag dieses auch auf europäischen Verordnungen oder Richtlinien beruhen[73]. Die Ermittlung des anwendbaren Rechts erfolgt bei einem Sachverhalt wie hier die Nutzung von Social Media Diensten mit dem BDSG, Rom I und DSRL ausschließlich über die Anwendung deutschen Rechts. Erst wenn sich hieraus ergibt, dass ein ausländisches Sachrecht anzuwenden ist, greift § 293 ZPO mit der Folge, dass das Gericht dessen Regelungsgehalt von Amts wegen zu ermitteln hat[74].
IV. Anwendung des Art. 4 Abs.
1. DSRL auf den Sachverhalt 1. Regelungsgehalt des Art. 4 Abs. 1 DSRL
Wie oben bereits ausgeführt (siehe Ziff. 2.2.3) knüpft Art. 4 Abs. 1 DSRL für die Bestimmung des anwendbaren Rechts zunächst gem. Art. 4 Abs. 1 lit. a) DSRL an den Belegungsort der Niederlassung des für die Verarbeitung Verantwortlichen in einem Mitgliedsstaat oder mehreren Mitgliedsstaaten an. Fehlt es an einer solchen Niederlassung innerhalb von EU/EWR, kann über Art. 4 Abs. 1 lit. c) DSRL gleichwohl das Recht eines Mitgliedsstaates anwendbar sein, wenn dort anstelle einer Niederlassung die automatisierten oder nicht automatisierten Mittel belegen sind, auf welche der für die Verarbeitung Verantwortliche zum Zweck der Verarbeitung zurückgreift.
2. Vorhandensein einer Niederlassung innerhalb von EU/EWR
2.1 Begriff der Niederlassung i.S.d. DSRL
Der Begriff der Niederlassung wird anders als der Begriff des für die Verarbeitung Verantwortlichen in Art. 3 DSRL nicht definiert. Auch § 3 Abs. 7, Abs. 8 BDSG kennt nur Definitionen von verantwortlicher Stelle, Empfänger und Dritten. Aus Erwägungsgrund 19 S. 1 DSRL lässt sich entnehmen, dass eine Niederlassung eine feste Einrichtung voraussetzt, von der die jeweilige Tätigkeit […] effektiv und tatsächlich ausgeübt wird[75].
Auf die Rechtsform der Niederlassung kommt es nach Erwägungsgrund 19 S. 2 DSRL nicht an, ebenso wenig auf den Sitz der verantwortlichen Stelle[76]. Dabei macht das Kriterium der effektiven und tatsächlichen Ausübung in Übereinstimmung mit dem Wortlaut von Art. 4 Abs. 1 lit. a) BDSG deutlich, dass die Verarbeitung personenbezogener Daten durch die Niederlassung erfolgen und beherrscht werden muss[77]. Auftragsverarbeiter i.S.v. Art. 2 lit. e) DSRL scheiden damit als Niederlassung aus[78].
2.2 Erweiterung des Niederlassungsbegriffs durch Konzernbetrachtungen
Abweichend von Erwägungsgrund 19 S. 1 DSRL will der Generalanwalt beim EuGH den Begriff der Niederlassung mit Blick auf die Ubiquität des Internet und der dort erfolgenden Ver arbeitungen neu fassen[79]. Er geht dabei vom Geschäftsmodell der Suchmaschinenbetreiber aus, die nationale Märkte durch einen global verfügbaren Dienst bedienen, ohne dass die in den nationalen Märkten ihren Sitz nehmenden Konzerngesellschaften (zu Konzernstrukturen bei Betreibern von Social Media Diensten oben Ziff. 1.2) selbst noch i.S.d. Erwägungsgrund 19 S. 1 DSRL „effektiv und tatsächlich“ Tä tigkeiten ausüben. Es soll genügen, wenn diese als Bindeglied zwischen nationalem Markt und global verfügbarem Dienst fungieren, selbst wenn „der technische Datenverarbeitungsvorgang in anderen Mitgliedsstaaten oder Drittländern erfolgt“[80]. Im Fokus des Generalanwalts stehen damit die Vertriebsniederlassungen der global agierenden „Online-Konzerne“ in den Mitgliedstaaten[81].
Mit dieser Definition der Niederlassung liest der Generalanwalt Art. 3 DS-GVO[82] (siehe Fußnote 48) in Art. 4 Abs. 1 DSRL hinein, was jedoch mit der Systematik von Art. 4 Abs. 1 DSRL unvereinbar ist. Bereits Art. 4 Abs. 1 lit. c) DSRL erlaubt die Erstreckung des europäischen Datenschutzrechts auf für die Verarbeitung Verantwortliche außerhalb von EU/EWR, wenn diese auf in EU/EWR belegene Mittel zu Zwecken der Verarbeitung zurückgreifen. Mit der vom Generalanwalt vorgeschlagenen Erweiterung des Begriffs der Niederlassung würde Art. 4 Abs. 1 lit. c) DSRL überflüssig werden, weil in dem vom Generalanwalt skizzierten Sachverhalt stets Art. 4 Abs. 1 lit. a) DSRL greifen würde und für Art. 4 Abs. 1 lit. c) DSRL kein Anwendungsbereich mehr verbliebe.
Auch der Wortlaut von Art. 4 Abs. 1 lit. a) BDSG steht einem solchen Verständnis einer Niederlassung entgegen. Hiernach wird das anwendbare Recht nur insoweit durch Art. 4 Abs. 1 lit. a) BDSG bestimmt, wie die Verarbeitungen „im Rahmen der Tätigkeit der Niederlassung ausgeführt werden“. Nach den Vorstellungen des Generalanwalts muss die Niederlassung aber überhaupt keine Verarbeitung mehr ausführen, womit die Wortlautgrenze deutlich überschritten wird [83].
Das im Schlussantrag des Generalanwalts formulierte Niederlassungsverständnis läuft auf eine Gesamtbetrachtung rechtlich selbständiger Konzernunternehmen wegen der von ihnen an welchem Ort auch immer vorgenommenen Verarbeitungen hinaus, solange diese nur in mindestens einen nationalen Markt hineinwirken[84]. Damit konstruiert der Generalanwalt eine Konzerndiskriminierung, obwohl die DSRL im Übrigen ein Konzernprivileg nicht kennt. Es bleibt zu hoffen, dass der EuGH diese Überlegungen nicht aufgreift und es beim vom Wortlaut des Erwägungsgrunds 19 S. 1 DSRL ausgehenden Begriff der Niederlassung belässt.
3. Rückgriff auf innerhalb von EU/EWR belegenen Mitteln
§ 1 Abs. 5 S. 2 BDSG ist eine unvollständige Umsetzung von Art. 4 Abs. 1 lit. c) DSRL (dazu oben Ziff. 2.1.2). Entscheidend ist entgegen § 1 Abs. 5 S. 2 BDSG nicht, ob die Verarbeitung in einem Mitgliedsstaat erfolgt. Ausreichend ist gem. § 4 Abs. 1 lit. c) DSRL, wenn der für die Verarbeitung Verantwortliche auf im Mitgliedsstaat belegene „automatisierte oder nicht automatisierte Mittel“ zu Zwecken der Verarbeitung zurückgreift.
Das BDSG kennt den Begriff des Mittels nicht. In Art. 2 DSRL fehlt eine Definition des Mittels. Aus Art. 4 Abs. 1 lit. a) DSRL lässt sich lediglich ableiten, dass eine Niederlassung kein Mittel ist. Vielmehr sind damit technische Einrichtungen gemeint, durch welche die Verarbeitung personenbezogener Daten erfolgt und die von dem für die Verarbeitung Verantwortlichen gesteuert werden, die mithin eine Verarbeitung „auf Distanz“ ermöglichen[85], gleich ob es sich dabei um Hardware oder Software handelt[86].
Ob die technischen Einrichtungen durch den für die Verarbeitung Verantwortlichen betrieben werden oder in dessen Eigentum stehen, ist für Art. 4 Abs. 1 lit. c) DSRL bedeutungslos. Art 4 Abs. 1 lit. c) verlangt nur einen Rückgriff auf die Mittel und damit die ggf. nur mittelbare Möglichkeit des für die Verarbeitung Verantwortlichen zur Einflussnahme auf die Nutzung der Mittel zur Datenverarbeitung[87]. Damit sind auch die vom Auftragsverarbeiter für den für die Verarbeitung Verantwortlichen bei einer Auftragsdatenverarbeitung eingesetzten Mittel solche i.S.d. Art. 4 Abs. 1 lit. c) DSRL[88]. Anderenfalls könnte Art. 4 Abs. 1 lit. c) DSRL durch die „richtige“ Vertragsgestaltung entkernt werden.
Wenn für die Erhebung personenbezogener Daten ein Rückgriff auf Mittel i.S.v. Art. 4 Abs. 1 lit. c) DSRL verneint wird, solange die betroffene Person selbst in hierfür von dem für die Verarbeitung Verantwortlichen gestellten Eingabemasken auf einer Website oder in einer Anwendung (App) auf einem mobilen Endgerät personenbezogene Daten eingibt[89], ist dies zutreffend. Zwar handelt es sich bei von dem für die Verarbeitung Verantwortlichen gestellten Eingabemasken um Mittel i.S.v. Art. 4 Abs. 1 lit. c) DSRL. Von diesen macht der für die Verarbeitung Verantwortliche jedoch keinen Gebrauch[90]. Denn die Eingaben in solchen Masken werden nicht als Erhebung von dem für die Verarbeitung Verantwortlichen i.S.v. Art. 4 Abs. 1 lit. c) DSRL ausgeführt, sondern von der betroffenen Person selbst[91].
4. Anwendbares Recht bei Social Media Diensten
Überträgt man die obigen Ausführungen zu Art. 4 Abs. 1 DSRL auf Social Media Dienste und den oben geschilderten Sachverhalt (siehe Ziff. 1.1), ergibt sich die nachfolgend beschriebene Rechtslage.
4.1 Niederlassung innerhalb von EU/EWR
Erfolgt die Verarbeitung personenbezogener Daten durch eine Niederlassung des für die Verarbeitung verantwortlichen Betreibers innerhalb von EU/EWR, findet über Art. 4 Abs. 1 lit. a) S. 1 DSRL das Datenschutzrecht desjenigen Staates Anwendung, in dem die Niederlassung belegen ist, also ihren Sitz hat[92]. Dies bedingt allerdings, dass die Niederlassung die Verarbeitung tatsächlich beherrscht (siehe oben Ziff. 3.2.1).
In dem oben geschilderten Fall von Facebook (siehe Ziff. 1.2) scheint zwar nach den Feststellungen des OVG Schleswig[93] und des KG[94] festzustehen, dass die Facebook Ireland Limited mit Sitz in Irland als 100prozentige Tochter der Facebook Inc. mit Sitz in den USA Vertragspartnerin der Nutzer von Facebook in Europa wird und insoweit Betreiberin dieses Social Media Dienstes ist. Unklar ist aber, wer die Verarbeitungen der Daten betroffener Personen beherrscht, ob also die Facebook Ireland Limited „effektiv und tatsächlich“ i.S.v. Erwägungsgrund 19 S. 1 DSRL diese Tätigkeit ausübt.
Klar ist, dass sich die Facebook Ireland Limited auf der Grundlage eines „Data Transfer and Processing Agreement“ der Facebook Inc. als Auftragsverarbeiter in den USA bedient. Diese Konstruktion erscheint gem. Art. 25 Abs. 1, Abs. 5 DSRL in Verbindung mit den Safe Harbor Grundsätzen[95] grundsätzlich als zulässig, hat sich doch Facebook der Safe Harbor Zertifizierung unterworfen[96].
Allerdings stellt sich die vom KG aufgeworfene Frage, welche Auswirkungen es hat, dass es sich bei der für die Verarbeitung verantwortlichen Facebook Ireland Ltd. um eine 100prozentige Tochtergesellschaft der Facebook Inc. handelt, wie es mithin um die tatsächliche Herrschaft über die bei der Facebook Inc. als Auftragsverarbeiter liegenden personenbezogenen Daten bestellt ist[97]. Dieser vom OVG Schleswig[98] außer Acht gelassene Aspekt kommt auch im Working Paper 169 der Art. 29 Gruppe vom 16.10.2010[99] zum Ausdruck, wenn dort für die Frage nach der Entscheidungsbefugnis des für die Verarbeitung Verantwortlichen auf die Analyse faktischer Elemente oder Umstände eines Falles und nicht auf rechtliche Erwägungen abgestellt wird[100]. Dabei wird ausdrücklich die Kategorie der Verantwortung für die Verarbeitung auf Grund eines tatsächlichen Einflusses gebildet[101].
Legt man diesen Maßstab zu Grunde sind die Erwägungen des KG valide.
Insbesondere in den USA wird der Social Media Dienst Facebook nicht von der Facebook Ireland Limited, sondern unmittelbar von der Facebook Inc. betrieben. Ob diese Teilung des Betriebs von Facebook dazu führt, dass auch die personenbezogenen Daten der Nutzer in unterschiedlichen Datenbanken landen, die zur Ermöglichung einer weltweiten Kommunikation über Schnittstellen miteinander verbunden sind, ist nicht bekannt, erscheint aber lebensfremd. Wenn sich die Facebook Ireland Limited der Facebook Inc. als Auftragsverarbeiter bedient, dürfte dies gerade zu dem Zweck geschehen, eine weltweit einheitliche Datenhaltung zu ermöglichen. Insoweit erweckt der Sachverhalt bezogen auf den europäischen Teil von Facebook den Eindruck, als diene die Einschaltung der Facebook Ireland Inc. als Betreiberin für Facebook in Europa und der Abschluss des „Data Transfer and Processing Agreement“ nur dazu, über Art. 4 Abs. 1 lit. a) DSRL die Anwendbarkeit irischen Datenschutzrechts zu erzwingen. Bereits das Vorhandensein einer einheitlichen Datenbank über alle Nutzer hinweg würde dafür sprechen, dass die Facebook Inc. den tatsächlichen Einfluss auf diese Datenbank hat, während die Facebook Ireland Limited ungeachtet der im „Data Transfer and Processing Agreement“ getroffenen Vereinbarungen der verlängerte Arm der Facebook Inc. in Europa und nicht umgekehrt ist.
Aber auch aus den vom KG angeführten gesellschaftsrechtlichen Aspekten heraus hat die Facebook Inc. die tatsächliche Herrschaft über die bei ihr befindlichen Daten. Denn als alleinige Gesellschafterin kann sie jederzeit, wie es das KG formuliert, „die Entscheidungsprozesse an sich ziehen“.[102] Die dem Auftragsverarbeiter gegenüber gem. Art. 17 Abs. 3, 1. Spiegelstrich DSRL und § 11 Abs. 3 S. 1 BDSG bestehende jederzeitige Weisungsbefugnis des für die Verarbeitung Verantwortlichen bleibt wirkungslos, wenn der Auftragsver arbeiter durch gesellschaftsrechtliche Einflussnahme die Erteilung von Weisungen inhaltlich beeinflussen oder vollständig verhindern kann[103].
Die Facebook Ireland Limited führt demnach im Tatsächlichen keine Verarbeitungen personenbezogener Daten als eine Niederlassung der Facebook Inc. in einem Mitgliedsstaat aus. Art. 4 Abs. 1 lit. a) DSRL kann deshalb zur Bestimmung des anwendbaren Rechts für Facebook nach dem derzeit bekannten Sachverhalt (siehe oben Ziff. 1.2) nicht herangezogen werden.
Anders wäre dies bei denjenigen Betreibern von Social Media Diensten, die entweder selbst als der für die Verarbeitung Verantwortliche ihren Sitz innerhalb von EU/EWR haben oder dort eine tatsächlich im Sinne eines beherrschenden Einflusses mit der Verarbeitung befasste Niederlassung unterhalten. Dann fände über Art. 4 Abs. 1 lit. a) DSRL bzw. § 1 Abs. 5 S. 1, 1. Halbsatz BDSG das Datenschutzrecht des jeweiligen Sitzlandes Anwendung.
4.2 Mittel innerhalb von EU/EWR
Scheidet Art. 4 Abs. 1 lit. a) DSRL als Anknüpfungspunkt für eine Bestimmung des anwendbaren Datenschutzrechts aus und hat der Betreiber eines Social Media Dienstes als der für die Verarbeitung Verantwortliche seinen Sitz außerhalb von EU/ EWR, kann die Bestimmung des anwendbaren Rechts über Art. 4 Abs. 1 lit. c) DSRL geschehen, wenn der Betreiber zum Zweck der Verarbeitung auf innerhalb von EU/EWR belegene Mittel (zum Begriff oben Ziff. 3.3) zurückgreift.
Das ist in der Regel der Fall, wenn der Social Media Dienst über Nutzer innerhalb von EU/EWR verfügt. Nicht ausreichend hierfür ist zwar, wenn sich der Nutzer der vom Betreiber auf einer Website oder in einer App[104] zur Erfassung von Inhalten bereitgestellten Eingabemasken bedient (dazu oben Ziff. 3.4.2). In dem Moment aber, in dem der Betreiber als für die Verarbeitung Verantwortlicher die Verarbeitung selbständig steuert, wird die Website oder App zum Mittel i.S.v. Art. 4 Abs. 1 lit. c) DSRL. Dazu genügt es, wenn über Cookies oder Browser Fingerprinting personenbezogene Daten über den Nutzer im Social Media Dienst oder auf Websites Dritter erhoben werden. Die Erfassung von Lokalisierungsdaten über Sensoren in den Endgeräten oder im Umfeld des Endgeräts verfügbare WLAN-Basisstationen fällt ebenso hierunter wie das Auslesen von Kontakten, Fotos oder anderen Inhalten auf dem End gerät. Der Nutzer hat mangels Einblick in die Verarbeitung trotz einer etwaig von ihm erteilten Einwilligung in diese Vorgänge keinen Einblick in die konkreten Abläufe und kann diese auch nicht steuern.
Über Art. 4 Abs. 1 lit. c) DSRL gelangt man in den hier bezeichneten Fällen stets zur Anwendung des nationalen Datenschutzrechts in allen Mitgliedsstaaten, in denen Nutzer des jeweiligen Social Media Dienstes ihren gewöhnlichen Aufenthalt haben.
V. AGB-Kontrolle von Datenschutzerklärungen
1. Datenschutzerklärungen als Allgemeine Geschäftsbedingungen
Auch die Anwendbarkeit des bereichsspezifischen Datenschutzrechts für Telemedien in den §§ 11 ff. TMG richtet sich nach § 1 Abs. 5 BDSG bzw. Art. 4 Abs. 1 DSRL (siehe oben Ziff. 2.1.1).
§ 13 Abs. 1 S. 1 TMG legt den Betreibern von Social Media Diensten (bei denen es sich um Telemedien handelt, siehe oben Ziff. 1.2), so denn deutsches Datenschutzrecht Anwendung findet (siehe oben Ziff. 3.4), die Verpflichtung auf, Nutzer vor der erstmaligen Inanspruchnahme des Dienstes „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb [von EU/EWR] in allgemein verständlicher Form zu unterrichten“ und diese Unterrichtung sodann gem. § 13 Abs. 1 S. 3 TMG „jederzeit abrufbar“ für den Nutzer zu halten.
Bei der häufig als Datenschutzerklärung bezeichneten Unterrichtung nach § 13 Abs. 1 S. 1 TMG handelt es sich um eine Wissenserklärung[105] des Betreibers. Die Datenschutzerklärung dient allein der Schaffung von Transparenz durch Information des Nutzers[106], ohne dass hieran wie bei einer Willenserklärung oder geschäftsähnlichen Handlung der Eintritt einer Rechtsfolge geknüpft ist, die kraft Parteiwillens gewollt oder unabhängig hiervon vom Gesetzgeber angeordnet ist.
Bezieht der Betreiber eines Social Media Dienstes die Bestimmungen der Datenschutzerklärung jedoch in den mit dem Nutzer geschlossenen Vertrag (dazu oben Ziff. 2.2) ein, wird aus der Wissenserklärung des Betreibers eine von diesem für eine Vielzahl von Fällen vorformulierte Vertragsbedingung i.S.v. § 305 Abs. 1 S. 1 BGB. Unabhängig vom tatsächlichen Regelungsgehalt einer Datenschutzerklärung ist für das Vorliegen einer Vertragsbedingung ausreichend, wenn der Erklärungsempfänger den Eindruck gewinnt, diese begründe eine „irgendwie geartete Verbindlichkeit“[107]. Bei der Datenschutzerklärung handelt es sich dann um Allgemeine Geschäftsbedingungen[108].
Bei Social Media Diensten erfolgt die Einbeziehung der Datenschutzerklärung in den Nutzungsvertrag regelmäßig mittels Aktivierung einer Checkbox durch den Nutzer vor einem Text wie „Mit Geltung der Allgemeinen Geschäftsbedingungen [als Link ausgeführt] und der Datenschutzerklärung [als Link ausgeführt] bin ich einverstanden.“ im Prozess der Anmeldung für den Social Media Dienst. Eine derartige Einbeziehung ist wirksam, wenn sie gegenüber Verbrauchern den Anforderungen gem. § 305 Abs. 2 BGB genügt[109]. Bei Unternehmern ist demgegenüber jede Einbeziehungsvereinbarung ausreichend. Allein die Branchenüblichkeit der Verwendung von AGB kann deren Einbeziehung jedoch nicht begründen[110].
2. Bestimmung des für die Inhaltskontrolle anzuwendenden Rechts
Mit der Inhaltskontrolle Allgemeiner Geschäftsbedingungen wird deren Wirksamkeit als Bestandteil eines Vertrags festgelegt. Es geht nicht um materielles Datenschutzrecht, sodass § 1 Abs. 5 BDSG und Art. 4 Abs. 1 DSRL als Kollisionsnormen ausscheiden. Stattdessen richtet sich die Bestimmung des anwendbaren Rechts bei grenzüberschreitenden Sachverhalten nach Rom I (zu Rom I oben Ziff. 2.2). Art. 10 Abs. 1 Rom I legt insoweit ausdrücklich fest, dass sich die Wirksamkeit von Vertragsbestimmungen nach dem Recht richtet, welches anzuwenden wäre, wenn die Vertragsbestimmungen wirksam sind. Dies gilt auch für die Inhaltskontrolle Allgemeiner Geschäftsbedingungen[111].
In Betracht kommt wiederum eine Bestimmung des anwendbaren Rechts durch Rechtswahl der Parteien gem. Art. 3 Abs. 1 S. 1 Rom I und Art. 6 Abs. 2 Rom I (dazu oben Ziff. 2.3), gem. Art. 6 Abs. 1 Rom I bei Verbraucherverträgen (dazu oben Ziff. 2.2.2) oder gem. Art. 4 Abs. 1 lit. b) Rom I bei Nutzungsverträgen über Social Media Dienste mit Nichtverbrauchern (dazu oben Ziff. 2.2.1). Handelt es sich bei Nutzern von Social Media Diensten um Verbraucher mit gewöhnlichem Aufenthalt in Deutschland, ist selbst bei einer abweichenden Rechtswahl durch den Betreiber des Social Media Dienstes gem. Art. 6 Abs. 2 S. 2 Rom I regelmäßig deutsches Recht für die Inhaltskontrolle anwendbar, also die §§ 305 ff. BGB. Diese enthalten z.B. in den §§ 308, 309, 310 Abs. 3 BGB zwingendes Recht zu Gunsten des Verbrauchers, von dem durch Rechtswahl nicht abgewichen werden darf.
Welche gesetzliche Regelung im Datenschutz wiederum der Prüfungsmaßstab i.S.d. § 307 Abs. 2 Nr. 1 BGB für eine als Allgemeine Geschäftsbedingungen geltende Datenschutzerklärung ist, mit deren wesentlichen Grundgedanken die dort niederlegten Bestimmungen für eine wirksame Einbeziehung in den Nutzungsvertrag übereinstimmen müssen, bemisst sich wegen der Bezugnahme auf materielles Datenschutzrecht als Prüfungsmaßstab wiederum nach Art. 4 Abs. 1 DSRL (dazu oben Ziff. 2.2.3).
VI. Fazit
Bei der Bestimmung des anwendbaren Datenschutzrechts hat Art. 4 Abs. 1 DSRL, der wegen seiner ungenügenden Umsetzung in § 1 Abs. 5 BDSG in Deutschland unmittelbar anzuwenden ist, als Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I über Art. 9 Abs. 2 Rom I Vorrang gegenüber dem sich nach Rom I ergebenden Vertragsstatut.
Bei Social Media Diensten ist das anwendbare Datenschutzrecht nach Art. 4 Abs. 1 lit. a) DSRL und Art. 4 Abs. 1 lit. c) DSRL zu bestimmen.
Art. 4 Abs. 1 lit. a) DSRL verlangt das Vorhandensein einer innerhalb von EU/EWR belegenen Niederlassung des für die Verarbeitung Verantwortlichen. Diese muss i.S.d. Erwägungsgrund 19 S. 1 DSRL tatsächlich den Verarbeitungsvorgang beherrschen. Handelt es sich bei der Niederlassung um ein Konzernunternehmen, welches zwar gegenüber seinen Nutzern innerhalb von EU/EWR als Diensteanbieter i.S.d. § 2 Nr. 1 TMG auftritt, die Verarbeitung der personenbezogener Daten der Nutzer jedoch der beherrschenden Konzernmutter als Auftragsverarbeiter überlasst, wird die tatsächliche Kontrolle über die Verarbeitung nicht von der Konzerntochter, sondern von der Konzernmutter ausgeübt. In diesem Fall scheidet die Konzerntochter als eine die Verarbeitung ausführende Niederlassung i.S.v. Art. 4 Abs. 1 lit. a) DSRL aus.
Die für Art. 4 Abs. 1 lit. c) DSRL erforderlichen, innerhalb von EU/EWR belegenen Mittel sind insbesondere Websites und Apps. Erhebt der Betreiber eines Social Media Dienstes über seine Website oder Apps personenbezogene Daten seiner Nutzer, etwa durch die automatisierte Erfassung von Lokalisierungsdaten oder das Verfolgen der Handlungen des Nutzers innerhalb oder außerhalb des Dienstes mittels Cookies oder Browser-Fingerprinting, greift er auf diese Mittel bei der Verarbeitung zurück, so dass der Anwendungsbereich von Art. 4 Abs. 1 lit. c) DSRL eröffnet ist. Hat der Nutzer seinen Sitz in Deutschland, führt dies zur Anwendbarkeit deutschen Datenschutzrechts.
Bezieht der Betreiber eines Social Media Dienstes seine Datenschutzerklärung in den Vertrag mit dem Nutzer ein, sind die in der Datenschutzerklärung enthaltenen Regelungen Allgemeine Geschäftsbedingungen i.S.v. § 305 Abs. 1 S. 1 BGB. Das auf die Bestimmung der Wirksamkeit solcher Allgemeiner Geschäftsbedingungen anwendbare Recht bemisst sich gem. Art. 10 Abs. 1 Rom I nach Rom I, soweit es um Social Media Dienste geht insbesondere nach Art. 3 Abs. 1 S. 1, Art. 4 Abs. 1 lit. b) und Art. 6 Abs. 1 Rom I. Handelt es sich beim Nutzer um einen Verbraucher i.S.v. Art. 6 Abs. 1 Rom I mit Sitz in Deutschland, bleibt es auch bei einer abweichenden Rechtswahl im Vertrag gem. Art. 6 Abs. 2 S. 2 Rom I bei der Anwendbarkeit der §§ 305 ff. BGB auf die Inhaltskontrolle. Prüfungsmaßstab bei der Inhaltskontrolle nach § 307 Abs. 2 Nr. 1 BGB ist dann wiederum das zuvor über Art. 4 Abs. 1 DSRL ermittelte materielle Datenschutzrecht.
Sascha Kremer
Sascha Kremer ist Fachanwalt für IT-Recht und Partner bei LLR LegerlotzLaschet Rechtsanwälte in Köln (www.llr.de). Zugleich ist er Geschäftsführer der LLR Data Security and Consulting GmbH (www.llrdsc. de) und als externer Datenschutzbeauftragter tätig. Er unterrichtet als Lehrbeauftragter an der Heinrich-Heine-Universität Düsseldorf und der Hochschule Bonn-Rhein-Sieg.
Spezialisiert ist er auf das Informationstechnologie-Recht nebst den Bezügen zum Gewerblichen Rechtsschutz (insb. Urheberrecht, Wettbewerbsrecht) und das Datenschutzrecht, ebenso auf die praktische Umsetzung des Datenschutzes und der IT-Sicherheit in Unternehmen.
[1] Der Begriff der Verarbeitung oder Datenverarbeitung wird in diesem Beitrag entsprechend Art. 2 lit. b) DSRL (Richtlinie 95/46/EG) als Oberbegriff für das Erheben, Verarbeiten und Nutzen personenbezogener Daten i.S.v. § 3 Abs. 3 bis 5 BDSG verwendet.
[2] Facebook Freundefinder: https://de-de.facebook.com/find-friends (Alle Links in diesem Beitrag wurden am 20.2.2014 geprüft).
[3] Zur sog. „Cookie-Richtlinie“ Schleipfer, RDV 2011, 170; zur angeblichen Umsetzung in Deutschland siehe Telemedicus: http://www.telemedicus.info/article/2716-EU-Kommission-Cookie-Richtlinie-ist-in-Deutschlandumgesetzt.html.
[4] Zum Browser Fingerprinting: http://heise.de/-1982976; zur datenschutzrechtlichen Bewer-tung Alich/Voigt, CR 2012, 344.
[5] Zu Technik und Anwendungsgebieten von Nutzungsprofilen Schleipfer, RDV 2008, 143 ff.
[6] Facebook Insights: http://www.facebook.com/help/399262596797358/.
[7] Facebook Login: https://developers.facebook.com/docs/facebook-login.
[8] Sign in with Twitter: https://dev.twitter.com/docs/auth/sign-twitter
[9] Ob die Datenverarbeitungen durch Social Media Dienste und deren Datenschutzerklärungen im Einzelfall mit dem (deutschen) Datenschutzrecht in Einklang stehen, ist nicht Gegenstand dieses Beitrags.
[10] Zu Steuersparmodellen bei Google und Apple siehe Merten, Steueroasen Ausgabe 2014, S. 35 ff., 43 f
[11] LG Berlin, Urt. v. 6.3.2012 – 16 O 551/10 = CR 2012, 270.
[12] KG, Urt. v. 24.1.2014 – 5 U 42/12 (unveröffentlicht).
[13] Impressum Facebook: https://www.facebook.com/legal/terms (18.2.2014).
[14] KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3. lit. a) lit. bb) lit. ccc) (unveröffentlicht).
[15] VG Schleswig, Beschlüsse v. 14.2.2013 – 8 B 60/12 und 8 B 61/12, CR 2013, 254.
[16] OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13 = CR 2013, 536.
[17] Facebook Nutzungsbedingungen, Ziff. 4.1: https://de-de.facebook.com/legal/terms; zur pseudonymen Nutzung von Telemedien Schleipfer, RDV 2008, 143, 146 ff.
[18] OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Rn 16 f. = CR 2013, 536, 537.
[19] Gola/Schomerus, BDSG 11. Aufl. 2012, Einl. Rn. 10 f.
[20] Simitis/Dammann, BDSG 7. Aufl. 2011, § 1 Rn. 197.
[21] Aus dem Zusammenspiel von § 1 Abs. 1, Abs. 2 BDSG ergibt sich, dass der Umgang mit personenbezogenen Daten i.S.d. BDSG der Oberbegriff für das Erheben, Verarbeiten und Nutzen i.S.v. § 3 Abs. 3 bis 5 BDSG ist.
[22] Simitis/Dammann, BDSG 7. Aufl. 2011, § 1 Rn. 217.
[23] Kremer/Laoutoumai, jurisPR-ITR 5/2013 Anm. 6; Gabel in: Taeger/Gabel, BDSG Kommentar, 2010, § 1 Rn. 53; Jotzo, MMR 2009, 232, 234; Jandt, DuD 2008, 664, 668.
[24] Dietrich/Ziegelmayer, CR 2013, 104, 105.
[25] EuGH, Urt. v. 6.11.2003 – C-101/01, Lindqvist, Rn. 96 = RDV 2004, 16; ebenso EuGH, Urt. v. 16.12.2008 – C-524/06, Huber, Rn. 51 = RDV 2009, 65.
[26] Freund, Anm. EuGH, Urt. v. 24.11.2011 – C-468/10, ASNEF/FECEMD, CR 2012, 29, 32.
[27] EuGH, Urt. v. 24.11.2011 – C-468/10, ASNEF/FECEMD, Rn. 39, 55 = RDV 2012, 22; da-zu Kahler, RDV 2012, 167, 169 f.
[28] Ebenso Kahler, RDV 2012, 167, 172; Lang, K&R 2012, 43, 44.
[29] EuGH, Urt. v. 24.11.2011 – C-468/10, ASNEF/FECEMD, Rn. 35, 52 = RDV 2012, 22.
[30] EuGH, Urt. v. 24.11.2011 – C-468/10, ASNEF/FECEMD, Rn. 52 = RDV 2012, 22.
[31] Ebenso KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3. lit. a) lit. aa) lit. aaa) (unveröffentlicht); offen gelassen für die Art. 2 bis 12 DSRL von Freund, Anm. EuGH, Urt. v. 24.11.2011 – C-468/10, ASNEF/FECEMD, CR 2012, 29, 33.
[32] Für die weiteren Betrachtungen wird Art. 4 Abs. 2 DSRL nicht berücksichtigt.
[33] Anderer Ansicht Simitis/Dammann, BDSG 7. Aufl. 2011, § 1 Rn. 218; Piltz, K&R 2013, 292, 295.
[34] Zur Rechtsnatur des Nutzungsvertrags Bräutigam, MMR 2012, 635, 636 ff.; Geis/Geis, CR 2007, 721.
[35] Vorrangige, für den in diesem Beitrag zu betrachtenden Sachverhalt zu berücksichtigende völkerrechtliche Vereinbarungen i.S.v. Art. 3 Nr. 2 EGBGB, die unmittelbar anwendbares na-tionales Recht geworden sind, sind nicht ersichtlich.
[36] Piltz, K&R 2013, 414; zur internationalen gerichtlichen Zuständigkeit Kremer/Buchalik, CR 2013, 789, 790 f.
[37] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 4 Rom I Rn. 17.
[38] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 4 Rom I Rn. 22.
[39] Offen gelassen von Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 4 Rom I Rn. 24.
[40] Die Preisgabe personenbezogener Daten als Entgelt ebenfalls für möglich hält Bräutigam, MMR 2012, 635, 639.
[41] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art 4. Rom I Rn. 5.
[42] Die Definitionen der Begriffe Verbraucher und Unternehmer in Art. 6 Abs. 1 Rom I ähneln denjenigen in §§ 13, 14 BGB. Zum Verbraucher- und Unternehmerbegriff i.S.v. Art. 6 Abs. 1 Rom I siehe Martiny in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 6 Rom I Rn. 6 ff.
[43] Plath, in: Plath, BDSG Kommentar, 2012, § 1 Rn. 4; a.A. für eine Anwendbarkeit von Rom II Piltz, K&R 2013, 414; Steinrötter, MMR 2013, 691, 692; Micklitz in: Münchener Kommentar ZPO, 4. Aufl. 2013, § 1 UklaG Rn. 55.
[44] LG Berlin, Urt. v. 30.4.2013 – 15 O 92/12 = CR 2013, 402 ff.
[45] Kremer/Buchalik, CR 2013, 789, 791 f.
[46] EuGH, Urt. v. 7.12.2010 – C-585/08 = CR 2011, 108; EuGH, Urt. v. 7.12.2010 – C-144/09 = K&R 2011, 33.
[47] Siehe nur die deutschsprachigen Portale von Facebook, Twitter, Google+, Pinterest, Foursquare und LinkedIn.
[48] Plath in: Plath, BDSG Kommentar, 2012, § 1 Abs. 5 Rn. 49. Am Niederlassungsprinzip soll unter der Datenschutz-Grundverordnung [DS-GVO, Kom(2012) 11 endgültig: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:HTML; überarbeiteter LIEBE-Entwurf: http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPRRegulation-inofficial-consolidated-LIBE.doc] als Ausdruck der Niederlassungsfreiheit aus Art. 52 AEUV festgehalten werden, vgl. Schröder, ZD 2013, 454; zur DS-GVO insgesamt Gola/Schulz, RDV 2013, 1; Schwartmann, RDV 2012, 55; Eckhardt, CR 2012, 195; Schneider, ITRB 2012, 180.
[49] Art. 4 Abs. 1 lit. b) DSRL ist für diesen Beitrag nicht von Bedeutung.
[50] Der durch Art. 4 Abs. 1 lit. c) DSRL und § 1 Abs. 5 S. 4 BDSG geregelte Ausnahmefall ei-ner bloßen Durchfuhr der Mittel durch EU/EWR bedarf für diesen Beitrag keiner Betrach-tung.
[51] Gola/Schomerus, BDSG Kommentar, 11. Aufl. 2012, § 1 Rn. 29.
[52] Schröder, ZD 2013, 453, 454; a.A. ohne Begründung Kümmel, ITRB 2013, 130.
[53] Im Einzelnen Simitis, NJW 1997, 281, 286 f.
[54] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 9 Rom I Rn. 109.
[55] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 9 Rom I Rn. 104.
[56] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 9 Rom I, Rn. 12.
[57] Piltz, K&R 2012, 640, 643
[58] BAG, Urt. v. 9.10.2002 – 5 AZR 307/01 = NZA 2003, 339; Martiny in: Münchener Kom-mentar BGB, 5. Aufl. 2010, Art. 9 Rom I Rn. 12 f.
[59]Ferrari, in: Internationales Vertragsrecht, 2. Aufl. 2011, Art. 9 Rom I Rn. 14.
[60] Dammann, in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 199.
[61] Plath, in: Plath, BDSG Kommentar, 2012, § 1 Rn. 46.
[62] Dazu Simitis, NJW 1997, 281, 282.
[63] Weller, in: Beck’scher Online Kommentar Informations- und Medienrecht, Edition 2 Nov. 2013, § 3 TMG Rn. 20.
[64] Anderer Ansicht Steinrötter, MMR 2013, 691, 693.
[65] VG Schleswig, Beschlüsse v. 14.2.2013 – 8 B 60/12 und 8 B 61/12, CR 2013, 254.
[66] OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13 = CR 2013, 536.
[67] Ebenso Piltz, K&R 2013, 292, 296.
[68] Ebenso Piltz, K&R 2013, 413, 414; a.A. Steinrötter, MMR 2013, 691, 693.
[69] Martiny, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 9 Rom I Rn. 104.
[70] Ebenso Piltz, K&R 2013, 292, 296.
[71] KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3. lit. a) lit. cc) lit. bbb) (unveröffentlicht).
[72] Huber, in: Musielak, ZPO Kommentar, 10. Aufl. 2013, § 293 Rn. 2.
[73] Huber, in: Musielak, ZPO Kommentar, 10. Aufl. 2013, § 293 Rn. 3.
[74] BGH, Urt. v. 21.9.1995 – VII ZR 248/94 = NJW 1996, 54, 55; Huber in: Musielak, ZPO Kommentar, 10. Aufl. 2013, § 293 Rn. 6; zum Verfahren der Amtsermittlung Kremer/Buchalik, CR 2013, 789, 793.
[75] Ausführlich Piltz, K&R 2013, 292, 294 f.
[76] Dammann, in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 203.
[77] Gabel, in: Taeger/Gabel, BDSG Kommentar, 2010, § 1 Rn. 59; kritisch zu extensiven Auslegungen des Begriffs Niederlassung Ott, MMR 2009, 158, 160.
[78] Alich/Sagalov, CR 2013, 783, 789; einschränkend Dammann in Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 203.
[79] Dazu Kremer/Buchalik, CR 2013, 789, 792 f.
[80] Schlussanträge v. 25.6.2013 – C-131/12, Rn. 60 ff. = EWS 2013, 493, 494.
[81] Alich/Sagalov, CR 2013, 783, 784.
[82] Zu Art. 3 DS-GVO Piltz, K&R 2013, 292, 296 f.
[83] Alich/Sagalov, CR 2013, 783, 786, 788.
[84] Alich/Sagalov, CR 2013, 783, 787.
[85] Gusy, in: Beck’scher Online-Kommentar Datenschutzrecht, Edition 6 November 2013, § 1 BDSG Rn. 113; von „an einen Datenträger gebundenen Vorgängen“ spricht Dammann in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 220; siehe auch WP 56 Art. 29 Gruppe über die Frage der internationalen Anwendbarkeit des EU-Datenschutzrechts bei der Verarbeitung personenbezogener Daten im Internet durch Websites außerhalb der EU, S. 9 ff.: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp56_de.pdf; ferner WP 179 der Art. 29 Gruppe mit der Stellungnahme 8/2010 zum anwendbaren Recht, S. 25 ff.: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_de.pdf.
[86] Jandt, DuD 2008, 664, 669.
[87] Gusy, in: Beck’scher Online-Kommentar Datenschutzrecht, Edition 6 November 2013, § 1 BDSG Rn. 112; KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3 lit. a) lit. aa) lit. bbb) (unveröf-fentlicht).
[88] Gabel, in: Taeger/Gabel, BDSG Kommentar, 2010, § 1 Rn. 58; a.A. Dammann, in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 230.
[89] Dammann, in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 223.
[90] Piltz, K&R 2013, 292, 295; a.A. nach normativer Auslegung Jotzo, MMR 2009, 232, 236.
[91] Ebenso Klar, ZD 2013, 109, 114; Alich/Nolte, CR 2011, 741, 742.
[92] Dammann, in: Simitis, BDSG Kommentar, 7. Aufl. 2011, § 1 Rn. 204.
[93] OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13 = CR 2013, 536.
[94] KG, Urt. v. 24.1.2014 – 5 U 42/12 (unveröffentlicht).
[95] Safe Harbor Grundsätze: http://www.export.gov/safeharbor/; dazu: Entscheidung der Kommission vom 26.7.2000 – 2000/520/EG: http://tinyurl.com/mqh23zk; Beschluss des Düsseldorfer Kreises am 28./ 29. April 2010 in Hannover (überarbeitete Fassung vom 23.8.2010): http://tinyurl.com/k2kkb4v; zur Entwicklung von Safe Harbor Weichert, RDV 2012, 113, 117; Wybitul/Patzak, RDV 2011, 11, 13.
[96] Facebook Safe Harbor Zertifizierung: https://www.facebook.com/safeharbor.php.
[97] KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3. lit. a) lit. bb) lit. ccc) (unveröffentlicht).
[98] OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13 = CR 2013, 536.
[99] WP 169 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf.
[100] Art. 29 Gruppe, WP 169 (Fußnote 99), S. 11.
[101] Art. 29 Gruppe, WP 169 (Fußnote 99), S. 14.
[102] KG, Urt. v. 24.1.2014 – 5 U 42/12 unter B.III.3. lit. a) lit. bb) lit. ccc) (unveröffentlicht).
[103] Zur Rolle der Facebook Germany GmbH siehe OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Rn. 16 = CR 2013, 536, 537
[104] Zum Datenschutz bei Entwicklung, Vertrieb und Nutzung von Apps Lober, K&R 2013, 357; Kremer, CR 2012, 438; zur Vertragsgestaltung Kremer, CR 2011, 769.
[105] Zum Begriff Armbrüster, in: Münchner Kommentar BGB, 6. Aufl. 2012, Vor § 116 Rn. 16.
[106] Müller-Broich, TMG Kommentar, 2012, § 13 Rn. 1.
[107] Basedow, in: Münchener Kommentar BGB, 6. Aufl. 2012, § 305 Rn. 12.
[108] Ebenso Schröder, ZD 2013, 453, 454; LG Hamburg, Urt. v. 7.8.2009 – 324 O 650/08 = CR 2010, 53, 56 f.; vom BGH bislang nur bejaht für einseitig zu Lasten des Empfängers wirkende datenschutzrechtliche Einwilligungserklärungen, siehe BGH, Urt. v. 11.11.2009 – VIII ZR 12/08 – HappyDigits = RDV 2010, 77; Urt. v. 16.7.2008 – VIII ZR 348/06 – Payback = RDV 2008, 201.
[109] Zu den Erleichterungen gegenüber Verbrauchern bei AGB beachte § 310 Abs. 3 BGB.
[110] BGH, Urt. v. 15.1.2004 – VIII ZR 111/13, Rn. 17 = BeckRS 2014, 03240.
[111] Spellenberg, in: Münchener Kommentar BGB, 5. Aufl. 2010, Art. 10 Rom I Rn. 150.