Nach der Safe Harbor-Entscheidung des EuGH (hierzu mein Blogbeitrag), dürften sich Auskunftsersuchen von Betroffenen häufen, die ihr Recht aus § 34 BDSG geltend machen. Zumindest bei mir lag einen Tag nach dem Urteil bereits die erste Anfrage hierzu auf dem Tisch. Häufig wird in diesem Zusammenhang (und vor dem Hintergrund der Entscheidung des EuGH durchaus verständlicherweise) auch danach gefragt, wo (örtlich) die personenbezogenen Daten des Betroffenen verarbeitet werden. So sieht etwa auch der Musterbrief der Verbraucherzentrale NRW (PDF) eine solche Frage vor. Doch muss eine verantwortliche Stelle hierüber tatsächlich Auskunft geben?
Europäische Vorgaben
Nach Art. 8 Abs. 2 S. 2 der Charta der Europäischen Union hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten. Die Grundrechte der EU binden zwar nicht direkt private Unternehmen. Dennoch soll diese Vorgabe als Ausgangspunkt der Betrachtung dienen.
Nach Art. 12 der europäischen Datenschutz-Richtlinie (DS-RL) garantieren die Mitgliedstaaten jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:
- zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;
- eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;
Der Ort der Datenverarbeitung wird hier nicht genannt. Jedoch stellen diese Vorgaben auch nur Mindestanforderungen an die nationalen Datenschutzgesetze dar („zumindest“). Die Mitgliedstaaten können also in ihren nationalen Rechtsordnungen weitere Informationen vorsehen.
Nach § 34 Abs. 1 BDSG hat die verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über
- die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
- den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
- den Zweck der Speicherung.
Auch in den deutschen Vorgaben des Auskunftsanspruchs wird der Ort der Datenverarbeitung also nicht als verpflichtende Information genannt. Ausreichend ist zudem die Auskunft über die „Kategorien“ von Empfängern der Daten. Die Datenempfänger (z.B. dritte Unternehmen) müssen also nicht notwendigerweise genau benannt werden.
Kommentarliteratur
Die datenschutzrechtliche Kommentarliteratur ist zu dieser Frage gespalten. Schmidt-Wudy (Beck’scher Online-Kommentar Datenschutzrecht, § 34 BDSG, Rn. 47) verweist nur darauf, dass eine Auffassung existiert, die auch den Standort der Datenverarbeitung vom Auskunftsanspruch umfasst ansieht. Dix (Simitis, § 34 BDSG, Rn. 23) vertritt die Ansicht, dass Ort der Datenverarbeitung gerade im Fall des Cloud Computing besonders bedeutsam ist und aus diesem Grund vom Auskunftsanspruch umfasst sein muss. Dix verweist zur Begründung seiner Ansicht zudem darauf, dass der Ort der Datenverarbeitung entscheidend für die Frage des anwendbaren Datenschutzrechts sei und der Betroffene daher hierzu Informationen erhalten muss.
Dass es für die Frage des anwendbaren Datenschutzrechts jedoch gerade nicht auf den Ort der technischen Datenverarbeitung ankommt (wo also die Server/Computer stehen), hat bereits im Jahre 2002 die Art. 29 Datenschutzgruppe festgestellt (Stellungnahme WP 56, S. 9, pdf). Auch der EuGH hat in der kürzlich ergangenen (und leider bisher kaum öffentlich wahrgenommenen) Entscheidung „Weltimmo“ der Tatsache, in welchem Land die Server eines Unternehmens stehen, um eine Website zu betreiben über die personenbezogene Daten verarbeitet werden, ausdrücklich keine Bedeutung für die zu beurteilende Frage des anwendbaren Datenschutzrechts beigemessen (vgl. EuGH, Rechtssache C-230/14, Rz. 18; mein Blogbeitrag hierzu). Aus diesem Grund halte ich es daher nicht für erforderlich bzw. gesetzlich geboten, den Ort der Datenverarbeitung in den Auskunftsanspruch aufzunehmen.
Neben dem Wortlaut der deutschen und europäischen Vorschriften spricht meines Erachtens auch der hinter dem Auskunftsanspruch liegende Zweck gegen eine Pflicht, den Ort der Datenverarbeitung im Rahmen des Auskunftsanspruchs nennen zu müssen. Der BGH hat bereits 1983 entschieden, dass der Auskunftsanspruch das notwendige Korrelat zu den Ansprüchen auf Berichtigung, Sperrung und Löschung darstellt (Urteil vom 15.12.1983 – III ZR 187/82). So sieht dies auch der EuGH. Seiner Auffassung nach dient der Auskunftsanspruch vor allem dem Zweck, es der betroffenen Person zu ermöglich, von über ihre Person gespeicherten Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der gesetzlichen Vorgaben gemäß verarbeitet werden, so dass diese Person gegebenenfalls die ihr zustehenden Rechte auf Berichtigung und Löschung ausüben kann (vgl. EuGH, Rechtssachen C?141/12 und C?372/12, Rz. 57). Um jedoch den Berichtigungs- oder Löschungsanspruch ausüben zu können, muss eine Person nicht wissen, wo die Daten physisch liegen (im Übrigen weiß dies in der heutigen Zeit oft nicht einmal die verantwortliche Stelle selbst, da Daten oft dupliziert auf verschiedenen Servern in mehreren Ländern abgespeichert werden). Völlig ausreichend ist, dass sie Kenntnis davon hat, welche Daten vorhanden sind und wozu sie genutzt werden. Ob die Daten nun in Deutschland, England oder Amerika gespeichert sind ändert nichts daran, dass bei einer datenschutzrechtswidrigen Verarbeitung diese Daten zu löschen oder zu berichtigen sind.
Informationspflichten nach TMG
Wenn im Rahmen des Auskunftsanspruchs zwar nicht über den Ort der Datenverarbeitung zu informieren ist, so besteht für eine verantwortliche Stelle im Anwendungsbereich des TMG jedoch nach § 13 Abs. 1 TMG die Pflicht,
den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.
Hier muss der Diensteanbieter (etwa im Internet oder in einer App) zumindest allgemein darüber informieren, dass personenbezogene Daten in sog. Drittstaaten verarbeitet werden. Nicht aufklären muss die verantwortliche Stelle über den konkreten Ort in einem Drittstaat. Ebenso wenig muss darüber informiert werden, ob personenbezogene Daten in anderen Ländern innerhalb des EWR verarbeitet werden. Zumindest im Anwendungsbereich es TMG besteht also eine Art eingeschränkter Informationspflicht über den Ort der Datenverarbeitung.
Das sehe ich als DSB anders (ohne nun iregdwelche Aktionen unterstützen zu wollen).
Der Begriff „Empfänger“ ist ein Ansatz über das BDSG, auch wenn das nicht den Ort nicht direkt bezeichnet.
Könnte man zum „Ort“ gar ganz dreist und zynisch argumentieren „haben wir (via Safe Harbor?) übermittelt, Ort der Verarbeitung ist/war daher Sitz unserer Firma“ ? Deckt sich mit den Begriffen in § 3 ?
Das stärkere Argument zur Auskunft liefert aber die EU-Richtlinie.
Im Erwägungsgrund 41 steht zum Auskunftsrecht: „Jede Person … damit sie sich insbesondere von … und der Zulässigkeit ihrer Verarbeitung überzeugen kann“. Das geht wesentlich weiter.
Egal wie formal unklar diese Frage im verlinkten Musterbrief gestellt ist (oder wie eine rein juristische Betrachtung dazu ausfällt): mir macht es keinen Sinn, ohne Not eine Auskunft zum „Ort“ zu verweigern oder sich auf Kategorien zu beschränken – und damit ev. einen unnötigen Streit zu provozieren.