Geteilte Verantwortung
Die Verantwortlichkeit des Webseitenbetreibers schließt diejenige von Facebook oder Google aber nicht aus. Ob allerdings im Falle von Facebook nach § 1 Abs. 5 S. 1 BDSG irisches oder nach § 1 Abs. 5 S. 2 BDSG deutsches Datenschutzrecht Anwendung findet, hängt davon ab, ob der US-amerikanische Mutterkonzern oder die irische Zweigniederlassung verantwortlich für die durch den Button ausgelösten Datenverarbeitungsvorgänge sind. Den deutschen Datenschutzbehörden ist es bislang nicht gelungen, sich hierüber Klarheit zu verschaffen.
Differenzierte Betrachtung erforderlich
Eine pauschale Aussage zur Anwendbarkeit des BDSG auf Online-Dienste ist nach derzeitiger Rechtslage nicht möglich. Vielmehr muss diese Frage für jeden Einzelfall geklärt werden. Nach der geplanten EU-Datenschutzverordnung wird zumindest eine Untersuchung notwendig sein, ob Hinweise darauf bestehen, dass sich ein Angebot beispielsweise an deutsche Nutzer richtet. Dabei wird u.a. auf die Sprache, die Top Level Domain ".de" oder Werbung für inländische Unternehmen abzustellen sein.
Fazit
Der internationale Anwendungsbereich des BDSG hängt nach der momentanen Rechtslage stark vom Einzelfall ab und stößt in der Praxis insbesondere hinsichtlich der Durchsetzbarkeit schnell auf Grenzen. Die geplante EU-Datenschutzverordnung beabsichtigt insbesondere hinsichtlich der Durchsetzbarkeit eine Verschärfung auf europäischer Ebene, wenngleich offen ist, ob die Vorstellungen der europäischen Verwaltung in Anbetracht einer globalisierten Datenwelt und eines dynamischen Nutzerverhaltens einen praxisgerechten Weg vorgeben. (oe)
Dr. Sebastian Kraska ist Rechtsanwalt, Inhaber des Instituts für IT-Recht - IITR GmbH und externer Datenschutzbeauftragter. Karola Berger ist Juristin (univ.) und Mitarbeiterin im IITR.
Kontakt: IITR, Tel.: 089 51303920, E-Mail: email@iitr.de