Urteil : Zur Anwendbarkeit nationalen Datenschutzrechts und zur Zuständigkeit von Aufsichtsbehören (Ls) : aus der RDV 6/2015, Seite 320 bis 325
(Europäischer Gerichtshof, Urteil vom 1. Oktober 2015 – C-230/14 –)
- Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er die Anwendung des Datenschutzrechts eines anderen Mitgliedstaats zulässt als dem, in dem der für die Datenverarbeitung Verantwortliche eingetragen ist, soweit dieser mittels einer festen Einrichtung im Hoheitsgebiet dieses Mitgliedstaats eine effektive und tatsächliche Tätigkeit ausübt, in deren Rahmen diese Verarbeitung ausgeführt wird, selbst wenn die Tätigkeit nur geringfügig ist. Um unter Umständen wie den im Ausgangsverfahren in Rede stehenden zu bestimmen, ob dies der Fall ist, kann das vorlegende Gericht insbesondere zum einen berücksichtigen, dass die Tätigkeit des für diese Verarbeitung Verantwortlichen, in deren Rahmen diese stattfindet, im Betreiben von Websites besteht, die der Vermittlung von Immobilien dienen, die sich im Hoheitsgebiet dieses Mitgliedstaats befinden, und die in dessen Sprache verfasst sind, und dass sie daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist, und zum anderen, dass dieser Verantwortliche über einen Vertreter in diesem Mitgliedstaat verfügt, der dafür zuständig ist, die Forderungen aus dieser Tätigkeit einzuziehen sowie den Verantwortlichen im Verwaltungsverfahren und im gerichtlichen Verfahren über die Verarbeitung der betreffenden Daten zu vertreten. Hingegen ist die Frage der Staatsangehörigkeit der von dieser Datenverarbeitung betroffenen Personen irrelevant.
- Für den Fall, dass die mit Beschwerden befasste Kontrollstelle eines Mitgliedstaats nach Art. 28 Abs. 4 der Richtlinie 95/46 zu dem Schluss gelangt, dass das auf die Verarbeitung der betreffenden personenbezogenen Daten anwendbare Recht nicht das Recht dieses Mitgliedstaats ist, sondern das eines anderen Mitgliedstaats, ist Art. 28 Abs. 1, 3 und 6 dieser Richtlinie dahin auszulegen, dass diese Kontrollstelle die wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, nur im Hoheitsgebiet ihres Mitgliedstaats ausüben darf. Sie darf folglich keine Sanktionen auf der Grundlage des Rechts dieses Mitgliedstaats gegen den für die Verarbeitung dieser Daten Verantwortlichen verhängen, der nicht im Hoheitsgebiet dieses Mitgliedstaats niedergelassen ist, sondern muss nach Art. 28 Abs. 6 dieser Richtlinie die Kontrollstelle des Mitgliedstaats, dessen Recht anwendbar ist, ersuchen, einzuschreiten.
- Die Richtlinie 95/46 ist dahin auszulegen, dass der Begriff „adatfeldolgozás“ (technische Durchführung der Datenverarbeitung), der in der ungarischen Sprachfassung dieser Richtlinie, insbesondere in ihrem Art. 4 Abs. 1 Buchst. a und ihrem Art. 28 Abs. 6 verwendet wird, als mit dem Begriff „adatkezelés“ (Datenverarbeitung) identisch anzusehen ist.
Urteilsanmerkung zu EuGH vom 01.10.2015 – C-230/14 – (Weltimmo)
Kontaktperson + Bankkonto + Postfach = Niederlassung
Anwendbares nationales Datenschutzrecht und Zuständigkeit der Aufsichtsbehörden
Im Schatten des viel beachteten Facebook-Urteils[1] hat der EuGH eine weitere wichtige Entscheidung zum Datenschutzrecht gefällt: In der Rechtssache „Weltimmo“ (Urteil vom 01.10.2015 – C-230/14) befasst er sich mit der internationalen Anwendbarkeit des jeweiligen nationalen Datenschutzrechts. Dabei schreibt er die mit dem Google-Urteil[2] begründete Rechtsprechung fort und favorisiert eine sehr weite Auslegung des Begriffs der Niederlassung i.S.v. Art. 4 Abs. 1 Buchst. a Richtlinie 95/46/EG. Außerdem zeigt der EuGH die Kompetenzen der nationalen Kontrollstellen auf für Fälle, bei denen das Recht eines anderen Mitgliedstaats zur Anwendung kommt (Art. 28 Abs. 6 Richtlinie 95/46/EG).
I. Anwendbares Datenschutzrecht: weite Auslegung des Begriffs der Niederlassung i.S.v. Art. 4 Abs. 1 Buchst. a Richtlinie 95/46
1. Niederlassungsprinzip und Territorialitätsprinzip
Zunächst zum anwendbaren nationalen Recht und dem Begriff der Niederlassung: Maßgebende Vorschrift ist hierfür in Deutschland § 1 Abs. 5 BDSG. Danach ist zwischen Sachverhalten innerhalb des Europäischen Wirtschaftsraums (EWR) und solchen mit Drittstaatenbezug zu differenzieren. Nach § 1 Abs. 5 S. 1 BDSG gilt für verantwortliche Stellen, die in einem Mitgliedstaat des EWR belegen sind, das Niederlassungsprinzip[3]: Für sie greift deutsches Datenschutzrecht nur ein, sofern eine Datenerhebung, -nutzung oder -verarbeitung durch eine Niederlassung im Inland erfolgt. Im Verhältnis zu Drittstaaten sind § 1 Abs. 5 S. 2-4 BDSG als Kollisionsnormen einschlägig; hier gilt das Territorialprinzip[4]: Für eine verantwortliche Stelle, die im nicht-europäischen Ausland (Drittstaat) belegen ist und keine Niederlassung in Deutschland betreibt, kommt gem. § 1 Abs. 5 S. 2 BDSG deutsches Datenschutzrecht zur Anwendung, wenn eine Datenverarbeitung „im Inland“ vorliegt. Eine Ausnahme von § 1 Abs. 5 S. 2 BDSG besteht nach § 1 Abs. 5 S. 4 BDSG, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. Auf unionsrechtlicher Ebene regelt Art. 4 Abs. 1 lit. a) Datenschutzrichtlinie das Niederlassungsprinzip und stellt somit die für die Auslegung von § 1 Abs. 5 S. 1 BDSG maßgebende Vorschrift dar. Eine Niederlassung setzt nach Erwägungsgrund (19) der Richtlinie die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform der Niederlassung ist nicht maßgeblich; sie muss allerdings an der Datenverarbeitung des primär verantwortlichen Unternehmens in irgendeiner Form beteiligt sein. In Art. 4 Abs. 1 lit. a) S. 2 Datenschutzrichtlinie 95/46/EG wird klargestellt, dass es durch das Niederlassungsprinzip u. U. zur Anwendbarkeit verschiedener nationaler Datenschutzrechtsregime kommen kann[5]: „Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.“
Das unionsrechtliche Pendant zu § 1 Abs. 5 S. 2-4 BDSG ist Art. 4 Abs. 1 lit. c) Datenschutzrichtlinie 95/46/EG. Hiernach gilt das Datenschutzrecht eines Mitgliedstaats bei Verantwortlichen, die nicht im EWR niedergelassen sind, wenn die verantwortliche Stelle „zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden.“
2. Die Google-Entscheidung
Konkretisierende Rechtsprechung zu diesen Vorgaben suchte man lange vergeblich, ein erstes Judikat des EuGH erging in der Rechtssache Google Spain[6]. Danach sind die Voraussetzungen für die Anwendbarkeit des jeweiligen Datenschutzrechts tendenziell großzügig auszulegen. Die Beteiligung der Niederlassung an einer Datenverarbeitung i.S.v. Art. 4 Abs. 1 lit. a) Datenschutzrichtlinie 95/46/EG liege schon dann vor, wenn die geschäftlichen Tätigkeiten des datenverarbeitenden (Mutter-)Unternehmens und der Niederlassung untrennbar miteinander verbunden sind und die Niederlassung die Geschäfte des (Mutter-)Unternehmens fördert[7]. In dem vom EuGH entschiedenen Fall reichte es aus, dass die spanische Niederlassung von Google für die Förderung des Verkaufs der Werbeflächen der Suchmaschine aktiv wurde. Es kommt also für die Anwendbarkeit des jeweiligen nationalen Datenschutzrechts nicht auf den Ort an, an dem sich die personenbezogenen Daten „befinden“ bzw. verarbeitet werden[8]. Art. 4 Abs. 1 Buchst. a) Richtlinie 95/46/EG ermöglicht somit die Anwendung des Rechts eines EU-Mitgliedstaats, wenn eine Datenverarbeitung „im Rahmen“ der Tätigkeiten einer dort ansässigen Niederlassung stattfindet, selbst dann, wenn die eigentliche Datenverarbeitung in einem anderen Mitgliedstaat oder Drittstaat erfolgt[9].
3. Die Weltimmo-Entscheidung
Diese extensive Rechtsprechung hat der EuGH mit seiner aktuellen Weltimmo-Entscheidung[10] nicht nur fortgesetzt, sondern sogar eine noch großzügigere Interpretation des Niederlassungsbegriffs vertreten. Nimmt man die Entscheidungen in den Rechtssachen Google, Weltimmo und auch das aktuelle Facebook-Urteil[11] zusammen, dann wird als Grundtendenz deutlich, dass die Luxemburger Richter der Umgehung von Datenschutzstandards durch Standortverlagerungen begegnen wollen. Der EuGH verfolgt „eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist“[12]. Stark vereinfacht gilt: Wer in dem Markt eines Mitgliedstaats tätig ist, der muss sich auch an das dort geltende Datenschutzrecht halten.
a) Sachverhalt und Vorlagefragen
Der Weltimmo-Entscheidung lag der folgende Sachverhalt zugrunde: Weltimmo s. r. o., eine in der Slowakei eingetragene Gesellschaft, betreibt – ausschließlich in ungarischer Sprache – eine Website zur Vermittlung von in Ungarn gelegenen Immobilien. Die Gesellschaft hat in Ungarn einen Vertreter ungarischer Staatsangehörigkeit und – so zumindest nach Angaben der ungarischen Datenschutzbehörde – ein Bankkonto zur Einziehung ihrer Forderungen sowie ein Postfach für ihre laufenden Geschäfte eröffnet. Die Post wird regelmäßig abgeholt und an Weltimmo auf elektronischem Weg übermittelt. Die Eigentümer der Gesellschaft sind in Ungarn ansässig. Wo die Internetserver zum Betrieb der Website eingerichtet wurden, konnte nicht abschließend geklärt werden – mal hieß es in Deutschland oder in Österreich, mal in der Slowakei. Am Ort ihres Gesellschaftssitzes, der Slowakei, übt die Gesellschaft keine Tätigkeit aus. Ihren Sitz hat die Weltimmo mehrmals von einem Staat in einen anderen verlegt.
Im Zusammenhang mit dem Betrieb der Immobilien-Website verarbeitet Weltimmo personenbezogene Daten der Inserenten. Die Inserate sind einen Monat lang kostenlos, danach muss dafür bezahlt werden. Zahlreiche Inserenten verlangten per E-Mail die Löschung ihrer Anzeigen ab diesem Zeitpunkt und gleichzeitig die Löschung der sie betreffenden personenbezogenen Daten. Weltimmo kam dieser Löschung jedoch nicht nach und stellte den Betreffenden ihre Dienstleistungen in Rechnung. Da die in Rechnung gestellten Beträge nicht bezahlt wurden, übermittelte diese Gesellschaft die personenbezogenen Daten der betroffenen Kunden an verschiedene Inkassounternehmen. Die Inserenten reichten bei der ungarischen Kontrollstelle Beschwerden ein, die daraufhin gegen Weltimmo ein Bußgeld von 10 Mio. ungarische Forint (etwa 32 000 Euro) verhängte. In dem sich anschließenden Rechtsstreit legte schließlich die Kúria (Oberster Gerichtshof von Ungarn) das Verfahren dem EuGH zur Vorabentscheidung (Art. 267 AEUV) vor. Die Kúria fragte u.a. danach, ob im vorliegenden Fall die Datenschutzrichtlinie 95/46/EG der ungarischen Kontrollstelle erlaubt, das auf der Grundlage der Richtlinie erlassene ungarische Recht anzuwenden und das in diesem Gesetz vorgesehene Bußgeld zu verhängen.
b) Schlussanträge des Generalanwalts Cruz Villalón
In seinen Schlussanträgen lässt der Generalanwalt Cruz Villalón die Anwendbarkeit ungarischen Datenschutzrechts offen[13]. Art. 4 Abs. 1 Buchst. a Richtlinie 95/46/EG verwehre es der Kontrollstelle, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen sei. Zur Definition des Begriffs der Niederlassung rekurriert er zunächst auf Erwägungsgrund (19), wonach das Bestehen einer festen Einrichtung, durch die eine effektive und tatsächliche Tätigkeit ausgeübt wird, gegeben sein muss[14]. Ein einziger Vertreter könne nur als feste Einrichtung angesehen werden, wenn er durch das Vorhandensein der erforderlichen personellen und technischen Mittel einen hinreichenden Grad an Beständigkeit zur Erbringung der konkreten in Rede stehenden Dienstleistungen aufweise. Ob dies hier der Fall ist, ließ Cruz Villalón offen. Er betont aber, dass auf die Besonderheiten ausschließlich über das Internet tätiger Unternehmen eingegangen werden müsse. Deren Geschäftsmodell relativiere den Begriff der ständigen körperlichen Einrichtung und beeinflusse auch die Intensität der personellen und sachlichen Mittel[15]. Damit bewegt er sich auf einer Linie mit den Ausführungen des Generalanwalts Jääskinen in seinen Schlussanträgen in der Rechtssache Google[16].
Andere Elemente wie der Ort, von dem aus die Daten eingegeben wurden, die Staatsangehörigkeit der Betroffenen, der Wohnsitz der Eigentümer des für die Datenverarbeitung verantwortlichen Unternehmens oder die Tatsache, dass die von diesem Verantwortlichen erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist, seien hingegen für die Bestimmung des anzuwendenden Rechts nicht von unmittelbarer und entscheidender Bedeutung, sondern könnten nur Indizien für den effektiven und tatsächlichen Charakter der Tätigkeit darstellen und insbesondere bei der Feststellung, ob die Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt, herangezogen werden[17].
c) Antwort des EuGH
Der EuGH geht noch einen Schritt weiter als der Generalwalt. Er rekurriert zwar ebenfalls auf den Niederlassungsbegriff des Erwägungsgrunds (19), betont aber, dass die von der Niederlassung ausgeübte „effektive und tatsächliche Tätigkeit“ lediglich „geringfügig“ sein müsse[18]. Es stehe fest, dass Weltimmo eine solche Tätigkeit in Ungarn ausübe und mithin dort eine Niederlassung habe, wenn sich die Angaben der Kontrollstelle hinsichtlich Vertreter, Bankkonto und Postfach bestätigen sollten[19]. Was zweitens die Frage betreffe, ob die Verarbeitung der personenbezogenen Daten „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werde, weist der EuGH auf seine ständige Rechtsprechung seit der Lindqvist-Entscheidung[20] hin, wonach bereits das Einstellen von personenbezogenen Daten eine Verarbeitung darstelle. Es bestehe „kein Zweifel“, dass diese Verarbeitung auch im Rahmen der Tätigkeiten stattgefunden habe, die Weltimmo in Ungarn ausübe[21]. Der EuGH löst sich damit im Ergebnis nahezu vollständig vom Niederlassungsbegriff des Erwägungsgrunds (19). Vor Ort muss in einem Mitgliedstaat nur eine „geringfügige“ Aktivität bestehen. Es kommt zumindest auch entscheidend darauf an, ob dieser Mitgliedstaat Zielmarkt des Unternehmens ist. So sei im vorliegenden Fall zu berücksichtigen, dass die Tätigkeit von Weltimmo der Vermittlung von Immobilien diene, die sich im Hoheitsgebiet Ungarns befinden, die Angebote in ungarischer Sprache verfasst sind, und dass sie hauptsächlich oder sogar vollständig auf Ungarn ausgerichtet seien[22]. Allein die Frage der Staatsangehörigkeit der von der jeweiligen Datenverarbeitung betroffenen Personen sei irrelevant.
d) Zwischenfazit
Die Entscheidung macht deutlich, dass der EuGH der Umgehung von Datenschutzstandards durch Verlagerungen des Gesellschaftssitzes oder des Serverstandorts entschieden begegnet. Eine „feste Einrichtung“, wie sie Erwägungsgrund (19) der Richtlinie 95/46/EG für eine Niederlassung verlangt, ist schon bei einer geringfügigen Aktivität anzunehmen.
Damit sichert der EuGH eine effektive Durchsetzung des EU-Datenschutzrechts ab. Zwar sollte eigentlich im gesamten Europäischen Binnenmarkt ein einheitliches Datenschutzniveau gewährleistet sein, denn die Richtlinie 95/46/ EG setzt nach mittlerweile gefestigter Rechtsprechung einen verbindlichen Standard und bewirkt weitestgehend eine Vollharmonisierung der nationalen Datenschutzregime[23]. In der Praxis gibt es dennoch erhebliche Unterschiede zwischen den Mitgliedstaaten. In manchen Staaten bestehen Umsetzungs- oder Vollzugsdefizite oder es gibt zumindest eine vergleichsweise großzügige Praxis der Kontrollstellen[24]. Es ist sicherlich kein Zufall, dass Google und Facebook ihre europäischen Hauptsitze in Irland haben. Hier mag das Steuerrecht eine wichtige Rolle spielen, aber auch im Hinblick auf das Datenschutzrecht ist die irische Aufsichtsbehörde nicht unbedingt dafür bekannt, besonders streng gegen Unternehmen vorzugehen. An diesem Punkt setzt das Urteil in der Rechtssache Weltimmo ebenfalls an, indem es die Zuständigkeiten und Befugnisse der nationalen Kontrollstellen absteckt.
II. Zuständigkeit der nationalen Aufsichtsbehörden für Verstöße gegen auslän disches Datenschutzrecht
Nach Art. 28 Abs. 6 Datenschutzrichtlinie 95/46/EG ist „jede Kontrollstelle […] im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Abs. 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden. Die Kontrollstellen sorgen für die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.“ Hierzu fragte das vorlegende Gericht, ob die ungarische Kontrollstelle bei unterstellter Anwendbarkeit slowenischen Rechts ausschließlich die in Art. 28 Abs. 3 Datenschutzrichtlinie 95/46/EG genannten Befugnisse nach dem Recht der Niederlassung ausüben darf, ob sie also keine Befugnis besitzt, ein Bußgeld nach dem eigenen nationalen Recht zu verhängen.
1. Ein klares „Ja, aber“
Der EuGH bestätigt insofern zunächst, was recht klar aus Art. 28 Abs. 6 Datenschutzrichtlinie 95/46/EG hervorgeht: Die nationalen Kontrollstellen sind dazu ermächtigt, auch in Fällen zu ermitteln, bei denen ausländisches Datenschutzrecht zur Anwendung kommt[25]. Nach Art. 28 Abs. 4 Datenschutzrichtlinie 95/46/EG könne sich jede betroffene Person zum Schutz ihrer Rechte an jede Kontrollstelle mit einer Eingabe wenden. Die Betroffenen müssten sich dabei insbesondere an ihre „eigene“ nationale Stelle wenden können, denn sonst wäre es „für diese Personen schwierig oder sogar unmöglich“, ihr Recht auf Schutz des Privatlebens durchzusetzen[26].
Eine Einschränkung der Befugnisse der Kontrollstellen folgert der EuGH aber aus der territorialen Souveränität des Mitgliedstaats, dessen Recht einschlägig ist[27]. Sie dürfen keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. Art. 28 Abs. 6 Datenschutzrichtlinie 95/46/EG verpflichte sie zur wechselseitigen Zusammenarbeit mit anderen Kontrollstellen. Sie müssten daher die Aufsichtsbehörde des jeweils anderen Mitgliedstaats ersuchen, einen möglichen Verstoß gegen dessen Recht festzustellen und ggf. Sanktionen zu verhängen. Eine Sanktion kann also im Ergebnis jede Kontrollstelle nur auf Grundlage des Rechts ihres Mitgliedstaats für dort ansässige Niederlassungen verhängen[28].
Es ist also zwischen Zuständigkeit und Befugnis zu differenzieren: Jede Kontrollstelle ist – gleich welches nationale Recht auf einen Fall anwendbar ist – berechtigt und verpflichtet, sich mit jeder Eingabe eines Betroffenen zu befassen. Sie kann aber ggf. keine Sanktionen erlassen, sondern muss sich hierfür an die Behörde des anderen Mitgliedstaats wenden.
2. Ausblick: One-stop-shop mit Inkrafttreten der Datenschutz-Grundverordnung?
Mit der Datenschutz-Grundverordnung (EU-DSGVO) würden die Kompetenzen der nationalen Kontrollstellen eine Neuregelung erfahren (Art. 51 ff. EU-DSGVO); ebenso würde die Zusammenarbeit zwischen den Behörden im Rahmen eines sog. Kohärenzverfahrens detailliert normiert (Art. 55 ff. DSGVO). Zunächst bliebe es dabei, dass jede Aufsichtsbehörde nur im Hoheitsgebiet ihres Mitgliedstaats die ihr übertragenen Befugnisse ausübt (Art. 51 Abs. 1 EU-DS-GVO). Der Kommissions-Entwurf[29] sieht außerdem vor, dass für ein Unternehmen mit mehreren Niederlassungen in unterschiedlichen Staaten nur die Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des für die Verarbeitung Verantwortlichen befindet, für dessen Verarbeitungstätigkeit in allen Mitgliedstaaten zuständig ist (sog. Onestop-shop-Prinzip, Art. 52 Abs. 2 EU-DSGVO). Dies würde – gerade im Lichte der Weltimmo-Entscheidung – eine erhebliche Erleichterung für verantwortliche Stellen bedeuten und einen Anreiz zum forum shopping setzen. Das Europäische Parlament schlägt hingegen lediglich eine „federführende Behörde“ vor. Der Rat ist dem im Wesentlichen gefolgt (vgl. Art. 54a EU-DSGVO in der EP-Fassung[30] bzw. Art. 51a, 54a in der Ratsfassung[31]). Es bleibt abzuwarten, welche Position sich im Trilog durchsetzen wird.
III. Fazit und Schlussfolgerungen für das deutsche Recht
Bis die Datenschutz-Grundverordnung in Kraft treten wird, müssen in Deutschland weiterhin die Vorgaben der Richtlinie 95/46/EG beachtet werden. Die Weltimmo-Entscheidung macht einmal mehr deutlich, dass § 1 Abs. 5 S. 1 BDSG extensiv ausgelegt werden muss. Dies gilt zum einen für den Begriff der Niederlassung, zum anderen für das Erfordernis, dass die jeweilige Niederlassung Daten „im Inland“ erhebt, verarbeitet oder nutzt. Der Wortlaut suggeriert hier ein räumliches Verständnis. In Zeiten von Cloud Computing ist es aber kaum möglich, einen „Verarbeitungsort“ zu bestimmen und der EuGH stellt hierauf – wie gesehen – allenfalls nachrangig ab. Es kommt vielmehr in erster Linie darauf an, dass Deutschland Zielmarkt des Unternehmens ist. Es genügt, dass die deutsche Niederlassung die Aktivitäten des Unternehmens nur „geringfügig“ unterstützt.
(Dr. Stephan Pötters, LL.M.)
[1] EuGH v. 6.10.2015 – C-362/14, n.v. (Schrems)
[2] EuGH v. 13.05.2014 – C-131/12, NJW 2014, 2257 = RDV 2014, 265 (Google Spain).
[3] Ausführlich Simitis/Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 198 f.; ferner Gola/Schomerus, BDSG, 12. Aufl. 2015, § 1 Rn. 27 f.; Niemann/ Paul, K&R 2009, 444, 449.
[4] Ausführlich Simitis/Simitis, BDSG, 8. Aufl. 2014, § 1 Rn. 114 ff.
[5] Vgl. Nolte, NJW 2014, 2238, 2239.
[6] EuGH v. 13.05.2014 – C-131/12, NJW 2014, 2257 = RDV 2014, 265 (Google Spain).
[7] EuGH v. 13.05.2014 – C-131/12, NJW 2014, 2257 = RDV 2014, 265 (Google Spain), Rn. 45 ff., insb. Rn. 55 f.; vgl. Nolte, NJW 2014, 2238, 2239.
[8] GA Jääskinen, Schlussanträge v. 25.6.2013 in der Rs. C-131/12, BeckRS 2013, 81374 (Google Spain), Rn. 55.
[9] So treffend GA Cruz Villalón, Schlussanträge v. 25.06.2015 – C-230/14 (Weltimmo), Rn. 23
[10] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo).
[11] EuGH v. 06.10.2015 – C-362/14, n.v. (Schrems).
[12] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 29.
[13] GA Cruz Villalón, Schlussanträge v. 25.06.2015 – C-230/14 (Weltimmo), Rn. 18 ff.
[14] GA Cruz Villalón, Schlussanträge v. 25.06.2015 – C-230/14 (Weltimmo), Rn. 28.
[15] GA Cruz Villalón, Schlussanträge v. 25.06.2015 – C-230/14 (Weltimmo), Rn. 34.
[16] GA Jääskinen, Schlussanträge v. 25.06.2013 in der Rs. C-131/12, BeckRS 2013, 81374 (Google Spain), Rn. 65.
[17] GA Cruz Villalón, Schlussanträge v. 25.06.2015 – C-230/14 (Weltimmo), Rn. 37 f.
[18] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Leitsatz 1 sowie Rn. 31 der Urteilsgründe.
[19] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 32 f. der Urteilsgründe.
[20] EuGH v. 06.11.2003 – C-101/01, Slg. 2003, I-12971 (Lindqvist)
[21] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 37 f. der Urteilsgründe.
[22] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Leitsatz 1 sowie Rn. 41 der Urteilsgründe.
[23] Grundlegend EuGH v. 6.11.2003 – C-101/01, Slg. 2003, I-12971 (Lindqvist), Rn. 96 f.; bestätigt durch EuGH v. 16.12.2008 – C-524/06, Slg. 2008, I-9705 (Huber), Rn. 51; aktuell EuGH v. 24.11.2011 – C-468/10 und 469/10, NZA 2011, 1409 (ASNEF); vgl. zur Vollharmonisierung Brühann, EuZW 2009, 639, 641; Forst, RDV 2010, 150, 151; ders., NZA 2010, 1043; Pötters, Grundrechte und Beschäftigtendatenschutz, 2013, S. 239 ff.; ders./Traut, RDV 2013, 132; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014, § 3 Rn. 5.
[24] S. bereits Pötters, RDV 2015, 10; vgl. ferner Brühann, EuZW 2009, 639, 640 f.
[25] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 42 ff. der Urteilsgründe.
[26] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 53.
[27] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 55 f.
[28] EuGH v. 01.10.2015 – C-230/14, n.v. (Weltimmo), Rn. 57 f.
[29] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrundverordnung), KOM/2012/011 endgültig.
[30] Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 – C7-0025/2012 – 2012/0011(COD), abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//DE (Stand: 26.10.2015).
[31] Vermerk vom 11. Juni 2015, 9565/15 – 2012/0011(COD), abrufbar unter http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/de/pdf (Stand: 26.10.2015).