Mit wenig Aufwand einen großen Kundenkreis erreichen – welches Unternehmen hat die international ausgerichtete Webvisitenkarte oder gar den E-Commerce noch nicht für sich entdeckt? Erst zum 13.06.2014 wurden Regelungen zum Fernabsatz umfassend modifiziert, um Unternehmern den grenzüberschreitenden Absatz von Waren und Dienstleistungen innerhalb der EU zu erleichtern (z.B. einheitliche Widerrufsfristen). Keine weitere Vereinheitlichung erfolgte hingegen im Datenschutzrecht – die EU-Datenschutz-Grundverordnung lässt immer noch auf sich warten (wir berichteten). Es stellt sich daher für Webseitenbetreiber die Frage, ob und inwiefern das Datenschutzrecht anderer EU-Mitgliedstaaten beachtet werden muss (z.B. bei der Datenschutzerklärung, dem Einsatz von Cookies).

EuGH-Entscheidung vom 01.10.2015, C-230/14  („Weltimmo“)

Kernfrage bei der Beurteilung, welches nationale Recht Anwendung findet, bildet der Begriff der „Niederlassung“ (§ 1 Abs. 3 BDSG und Art. 4 Abs. 1 a) Richtlinie 95/46). Sofern ein Unternehmen eine solche Niederlassung in einem EU-Mitgliedstaat betreibt, findet das nationale Recht des Landes, in dem sich die Niederlassung befindet, auch Anwendung. Auf den eigentlichen Unternehmenssitz kommt es dabei nicht an. Auch das Herkunftslandprinzip, das grundsätzlich bei Telemedien wie Webseiten gilt und wonach ein Telemedienanbieter nur sein nationales Recht anzuwenden hat, findet keine Anwendung auf datenschutzrechtliche Vorschriften (§ 3 Abs. 3 Nr. 4 TMG). Sofern in mehreren EU-Mitgliedstaaten Niederlassungen bestehen, müssen daher auch dazugehörige nationale Normen eingehalten werden – im Extremfall also 28 Rechtsordnungen.

Wann liegt eine „Niederlassung“ vor?

Der EuGH hat nunmehr sein sehr weites Verständnis vom Merkmal der „Niederlassung“ bestätigt (zuvor Google-Spain-Entscheidung, C‑131/12, EU:C:2014:317, Rn. 53).

Eine formalistische Sichtweise verbietet sich demnach (z.B. Eintragung des Unternehmens). Insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten, ist vielmehr auf

  • den Grad an Beständigkeit der Einrichtung sowie
  • die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen abzustellen.

Neben offenkundigen Anhaltspunkten, wie die Sprache der Website, kann es für eine Niederlassung aber auch schon ausreichend sein, wenn im Mitgliedstaat ein einziger Vertreter vorhanden ist, der sich um die Abwicklung der Geschäfte oder Vertretung vor Behörden und Gerichten kümmert. Der Umfang der unternehmerischen Tätigkeit kann hierbei auch nur sehr geringfügig sein. Der EuGH hat zudem hervorgehoben, dass das streitgegenständliche Unternehmen ein Bankkonto und ein Postfach im Hoheitsgebiet des Mitgliedstaats eröffnet hatte. Erforderlich scheint dies für die Annahme einer Niederlassung aber nicht zu sein.

Sofern man die Anwendbarkeit anderer nationaler Datenschutzvorschriften ausschließen will, sollten Unternehmen daher eine strikte organisatorische Zentralisierung leben. Es sollten in anderen Mitgliedstaaten z.B. keine Landesgesellschaften gegründet, Geschäftsräume gemietet, Vertreter bestellt oder Bankkonten eröffnet werden. Andernfalls wird man nicht umhinkommen, zumindest Kernprozesse der Datenverarbeitung im Zusammenhang mit der Niederlassung nach dem anwendbaren Recht abklopfen zu lassen.

Befugnisse der nationalen Datenschutzbehörde

Sofern eine Niederlassung besteht, nehmen die Aufsichtsbehörden die nationalen Befugnisse auch uneingeschränkt wahr (z.B. Untersuchung, Anordnung, Bußgelder).

Aber auch für den Fall, dass keine Niederlassung gegeben ist, kann sich ein Unternehmen nicht sorglos zurücklehnen.

Betroffenen bleibt es weiterhin möglich, sich an ihre Heimatbehörde zu wenden, da es diesen andernfalls nur sehr erschwert oder sogar unmöglich wäre, Persönlichkeitsrechte durchzusetzen (Art. 28 Abs. 4 Richtlinie 95/46). Aufsichtsbehörden sind auf der Grundlage einer solchen Beschwerde daher befugt, selbst dann Prüfungen vorzunehmen, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist (Art. 28 Abs. 6 Richtlinie 95/46). In diesem Fall umfassen die Befugnisse dieser Aufsichtsbehörde jedoch nicht notwendigerweise sämtliche der ihr übertragenen Befugnisse.

Zum Verfahrensgang fasst der EuGH zusammen:

„Wenn daher bei einer Kontrollstelle gemäß Art. 28 Abs. 4 der Richtlinie 95/46 eine Beschwerde eingereicht wird, kann diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht ausüben und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist. Wenn sie jedoch zu dem Schluss gelangen sollte, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Art. 28 Abs. 6 dieser Richtlinie vorsieht, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen, wenn das nach diesem Recht zulässig ist, und sich dabei gegebenenfalls auf die ihr übermittelten Informationen zu stützen.“

Auch wenn im Ergebnis es unscharf bleibt, ob und inwiefern nun die Befugnisse zwischen den nationalen Behörden aufgeteilt werden, wird man betroffenen Unternehmen empfehlen müssen, kooperativ mit anderen nationalen Aufsichtsbehörden zusammenzuarbeiten, auch um im Zweifelsfall eine Abgabe der Beschwerde an die sanktionsbefugte Behörden zu vermeiden.

Ergebnis

Für Unternehmen, die Ihre Leistung über Webseiten auch in anderen EU-Mitgliedstaaten anbieten, gilt daher:

  • Nationales Datenschutzrecht eines anderen EU-Mitgliedstaates ist nur dann anwendbar, sofern eine „Niederlassung“ in dem Mitgliedstaat besteht. Die Rechtsform ist hierfür jedoch unerheblich. Es muss keine eigene Landesgesellschaft eingetragen, Agentur beauftragt oder Zweigstelle eröffnet worden sein.
  • Auch das Betreiben einer Webseite kann daher eine „Niederlassung“ begründen. Dafür kann es schon genügen, dass
    • eine Website in der jeweiligen Landessprache verfasst ist und die Tätigkeit daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist und
    • ein Vertreter in diesem Mitgliedstaat (z.B. für den Forderungseinzug) existiert.
  • Unternehmen müssen sich darauf einstellen – auch für den Fall, dass keine Niederlassung besteht – für Anfragen der nationalen Aufsichtsbehörden zu Verfügung zu stehen und sollten hierfür entsprechende Ressourcen einplanen.