In einem Beitrag auf dem cr-online Blog zu dem Thema der „Rechtswahlfreiheit in Datenschutzbestimmungen“ kommt Prof. Härting zu dem Ergebnis: „Weder aus Art. 6 noch aus Art. 9 ROM-I-VO lässt sich ableiten, dass für das Datenschutzrecht keine Rechtswahlwahlfreiheit gilt.“
Prof. Härting geht davon aus, dass die Parteien eines Vertrages grundsätzlich frei darin sind, ein beliebiges Datenschutzrecht zu wählen.
Ich sehe dies jedoch anders (z.B. in der K&R 2012, 640) und möchte hier einige Gründe anführen, warum meines Erachtens eine freie Wahl des anwendbaren Datenschutzrechts in Europa gerade nicht möglich ist (dennoch lässt sich, aufgrund divergierender Urteile von deutschen Gerichten, dem Thema eine Diskussionsbedürftigkeit nicht absprechen).
Art. 9 Rom I-VO (Eingriffsnormen)
Nach Art. 3 Rom I-VO gilt im Grundsatz das Prinzip der Rechtswahlfreiheit im Vertragsrecht. Die Parteien können ein beliebiges Recht wählen. Einschränkend sind, wie auch Prof. Härting anmerkt, etwa die Vorgaben des Art. 6 Abs. 2 S. 2 Rom I-VO zu beachten, wonach sich ein Verbraucher auf zwingende, ihn schützende Vorschriften des Rechts seines Sitzstaates berufen kann.
Nach Art. 9 Rom I-VO gibt es aber gewisse, nationale Normen mit internationalem Geltungsanspruch, die sich unabhängig von dem nach der Rom I-VO grundsätzlich auf den Vertrag anwendbaren Recht durchsetzen. Dies sind zwingende Vorschrift, deren Einhaltung von einem Staat als so entscheidend für die Wahrung seines öffentlichen Interesses angesehen wird, dass sie ungeachtet des nach Maßgabe der ROM I-VO für den Vertrag geltenden Rechts auf alle Sachverhalte anzuwenden ist, welche in ihren Anwendungsbereich fallen. Dies auch unabhängig davon, ob überhaupt eine Rechtswahl getroffen wurde oder nicht, denn das nach der Rom I-VO anwendbare Recht, kann sich auch aus anderen Bestimmungen (etwa Art. 4 Rom I-VO) ergeben.
Prof. Härting geht davon aus, dass als Eingriffsnormen i. S. d. Art. 9 Abs. 1 Rom I-VO auch Vorschriften des Datenschutzrechts angesehen werden können. Hier stehe jedoch eine notwendige Konkretisierung dieser Normen noch aus. Richtig ist, dass nicht Art. 9 Abs. 1 Rom I-VO an sich eine Eingriffsnorm darstellt, sondern dieser nur bestimmt, was geschieht, wenn solche Normen vorliegen. Es bedarf aber immer einer Prüfung einzelner, nationaler Normen, ob diese etwa eine solche Eingriffsnorm darstellen. Die Aussage, dass sich weder aus Art. 6 noch aus Art. 9 ROM I-VO ableiten lässt, dass für das Datenschutzrecht keine Rechtswahlfreiheit gelte, stimmt daher natürlich. Jedoch ist die Prüfung damit gerade erst am Anfang. Denn ob eine Eingriffsnorm vorliegt und damit eine Rechtswahl ausschließt, lässt sich nur aus der jeweiligen nationalen Eingriffsnorm und ihrer Auslegung selbst ableiten.
§ 1 Abs. 5 BDSG
Als eine solche Eingriffsnorm kommt § 1 Abs. 5 BDSG in Betracht, der auf einer Umsetzung von Art. 4 der europäischen Datenschutzrichtlinie (RL 95/46/EG) beruht und der bestimmt, wann europäisches Datenschutzrecht bzw. das jeweilige nationale Datenschutzrecht anwendbar ist. Auch Prof. Härting spricht § 1 Abs. 5 BDSG den Eingriffsnormcharakter zu, jedoch nur für den Bereich des öffentlichen (Datenschutz-)Rechts.
Tatsächlich regelt unser derzeitiges Datenschutzrecht sowohl den öffentlichen, wie auch den privaten Bereich. Hierzu werden teilweise auch speziell nur für jeweils einen Bereich geltende Normen bereitgestellt. Diese Differenzierung (öffentlich-rechtlich – privat-rechtlich), wird jedoch gerade in der Bestimmung des § 1 Abs. 5 BDSG nicht getroffen. Dieser regelt vielmehr generell, wann deutsches Datenschutzrecht, im Falle internationaler Sachverhalte, gilt. Eine Trennung innerhalb des § 1 Abs. 5 BDSG, wann deutsches Datenschutzrecht im öffentlichen oder privaten Bereich gilt, kann daher bei der Auslegung des § 1 Abs. 5 BDSG eigentlich gar nicht vorgenommen werden. Denn sein Geltungsanspruch erstreckt sich dem Wortlaut nach auf „dieses Gesetz“ (also das gesamte BDSG).
Einzig möglich wäre hier, zunächst die entsprechend relevante materiell-rechtliche Vorschrift aus dem BDSG (z.B. § 28 BDSG aus dem privat-rechtlichen Bereich) zu betrachten, um dann danach zu fragen, inwiefern § 1 Abs. 5 BDSG anwendbar ist, einen Eingriffscharakter besitzt und damit evtl. eine Rechtswahl ausschließt. Damit würde man natürlich das Pferd von hinten aufzäumen. Da eine solche Trennung in § 1 Abs. 5 BDSG (ebenso wie in Art 4 der Datenschutzrichtlinie) gerade nicht angelegt ist, scheint es mir sinnvoller, § 1 Abs. 5 BDSG als eine einheitliche Vorschrift anzusehen und auch so auszulegen.
§ 1 Abs. 5 BDSG als Eingriffsnorm?
Was spricht nun dafür, § 1 Abs. 5 BDSG (bzw. Art 4 der Datenschutzrichtlinie) gerade auch im privat-rechtlichen Bereich als eine Eingriffsnorm i.S.d. Art. 9 Abs. 1 Rom I-VO zu qualifizieren? Hier einige Gründe:
- Auch im privatrechtlichen Bereich des BDSG haben öffentliche Aufsichtsbehörden staatliche Befugnisse, um gegen Gesetzesverstöße einzuschreiten. Solche staatlichen Eingriffsbefugnisse stellen typische Anzeichen für das Merkmal von Eingriffsnormen dar, dass ein Staat die Wahrung öffentlicher Interessen im Auge hat. Datenschutzrecht wird hoheitlich durchgesetzt, vgl. etwa § 43 BDSG. Natürlich, man könnte nun argumentieren, dass es sich bei diesen Befugnissen um solche des öffentlichen Rechts handelt und daher für diese Vorschrift auf jeden Fall von einer Eingriffsnorm auszugehen sei. Wie angesprochen trifft § 1 Abs. 5 BDSG (und Art. 4 Datenschutzrichtlinie) diese Unterscheidung aber gerade nicht und muss denknotwendigerweise vor den entsprechenden Regelungen des BDSG geprüft werden.
- In Erwägungsgrund 18 der Datenschutzrichtlinie heißt es: „Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden.“ (Hervorhebung durch den Autor). Damit bringt der europäische Gesetzgeber seinen Willen zum Ausdruck, dass die transformierten nationalen Regelungen Anwendung finden müssen, wenn die Voraussetzungen von Art. 4 der Datenschutzrichtlinie vorliegen. Dieser Zweck würde jedoch einfach unterlaufen, wenn man eine freie Rechtswahl, etwa drittstaatlichen Datenschutzrechts zulassen würde.
- In Erwägungsgrund 3 der Datenschutzrichtlinie heißt es: „…nicht nur erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden können, sondern auch, dass die Grundrechte der Personen gewahrt werden“. Hier kommen die beiden Hauptzwecke europäischen Datenschutzrechts zum Ausdruck, welche über individuelle Interessen hinausgehen. Zum einen den Schutz der Grundrechte der europäischen Bürger und zudem einen europaweiten, freien Datenfluss zu ermöglichen (vgl. auch Erwägungsgrund 8). Es geht also um wirtschaftspolitische Gemeininteressen. Dieser soll gerade durch Art. 4 der Datenschutzrichtlinie international zur Geltung gebracht werden.
Keine vertragliche Abwahl möglich
Für diesen zwingenden Charakter der Vorschriften zur Anwendbarkeit des europäischen Datenschutzrechts sprachen sich jüngst auch die Datenschützer der Art. 29 Datenschutzgruppe in ihrer Stellungnahme zu Apps (WP 202, S. 9 f.) aus. Dort heißt es, dass „die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann“. In der Fußnote beziehen sich die Datenschützer explizit auf eine Rechtswahl.
Keine Abweichende Rechtswahl für Eingriffsnorm erforderlich
Prof. Härting geht zuletzt noch auf die Fallkonstellation ein, dass ein Vertrag in Deutschland zu erfüllen ist (Art. 9 Abs. 3 Rom I-VO) und in diesem deutsches Datenschutzrecht vereinbart wird (also eine Rechtswahl vorliegt). Dann stelle sich die Frage einer Anwendbarkeit einer Eingriffsnorm des angerufenen Gerichts (Art. 9 Abs. 2 Rom I-VO) erst gar nicht, denn es fehle an einer abweichenden Rechtswahl.
Damit eine Eingriffsnorm Geltung beanspruchen kann, bedarf es jedoch keiner „abweichenden Rechtswahl“. Nach Art. 9 Abs. 1 Rom I-VO greift eine Eingriffsnorm ungeachtet von dem auf den Vertrag anzuwendenden Recht ein, also auch unabhängig davon, ob überhaupt abweichendes Recht vereinbart wurde. Selbst wenn nach allen Maßstäben deutsches Recht Anwendung findet, so steht § 1 Abs. 5 BDSG dennoch einer Rechtswahl entgegen. Es kommt für die Anwendbarkeit einer Eingriffsnorm allein auf den in ihren Anwendungsbereich fallenden Sachverhalt an. Liegt eine Datenverarbeitung vor, dann fällt dies in den Anwendungsberiech des § 1 Abs. 5 BDSG bzw. von Art. 4 Datenschutzrichtlinie. Ist, wie in dem Beispiel, ein deutsches Gericht angerufen und liegt auch noch der Erfüllungsort des Vertrages in Deutschland, so hat das Gericht dennoch die Norm des § 1 Abs. 5 BDSG zu prüfen. Denn Anknüpfungspunkte sind allein der Ort der verantwortlichen Stelle, einer anderen Niederlassung und ob personenbezogene Daten erhoben, verarbeitet oder genutzt werden.
Fazit
Über die Einordnung datenschutzrechtlicher Vorschriften als Eingriffsnormen i.S.d. § 9 Abs. 1 Rom I-VO lässt sich sicherlich diskutieren. Dennoch sprechen meines Erachtens die besseren Gründe dafür, § 1 Abs. 5 BDSG als eine solche Norm zu qualifizieren. Der Wille des Gesetzgebers und die Zwecke, welche mit § 1 Abs. 5 BDSG bzw. Art. 4 Datenschutzrichtlinie verfolgt werden, lassen kaum einen anderen Schluss zu.
Pingback: Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun? - PinG Privacy in Germany