Bußgeldbescheid der CNIL gegen Google: Wann gilt das EU-Datenschutzrecht?

Die französische Datenschutzaufsichtsbehörde CNIL hat vor einigen Tagen gegen Google Inc. wegen Datenschutzvergehen ein Bußgeld von 150.000 Euro verhängt.
Die Sanktion richtet sich gegen die von Google im Frühjahr geänderten Nutzungs- und Datenschutzbedingungen, die nach Auffassung der Behörde gegen europäisches und französisches Datenschutzrecht verstößt. Dabei geht es im Wesentlichen um den Umfang und die Dauer der Speicherung, die Verknüpfung von Daten aus unterschiedlichen, vom Unternehmen angebotenen Diensten und um die unzureichenden Möglichkeiten der Nutzer, ihre Datenschutzrechte geltend zu machen.
Bemerkenswert an diesem Vorgehen ist nicht nur, dass sich eine nationale Datenschutzbehörde mit einem global agierenden Konzern anlegt – dies gehört zu ihren Aufgaben, wenn sie Verstöße feststellt. Von besonderer Bedeutung ist aber, dass die CNIL – in enger Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten (in Deutschland ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beteiligt) – hiermit den Präzedenzfall schafft, dass das europäische Datenschutzrecht auch dann gilt, wenn ein Unternehmen, das seine Dienste aus einem Drittstaat – hier aus den Vereinigten Staaten – erbringt und dabei personenbezogene Daten europäischer Nutzerinnen und Nutzer verarbeitet.
Google beruft sich darauf, dass die Datenverarbeitung nicht im Verantwortungsbereich einer europäische Niederlassung stattfindet, sondern allein durch die kalifornische Muttergesellschaft. Dementsprechend sei das EU-Datenschutzrecht nicht einschlägig. Dagegen geht die CNIL davon aus, dass das französische Datenschutzgesetz gilt, weil Google Daten französischer Internetnutzer verarbeitet.
Gemäß Art. 4 der EG-Datenschutzrichtlinie ist das Datenschutzrecht der Mitgliedstaaten dann anzuwenden, wenn die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung erfolgt, die sich in dessen Hoheitsgebiet befindet.  Dasselbe gilt, wenn zum Zwecke der Verarbeitung personenbezogener Daten auf „Mittel“ zurückgegriffen wird, die sich in dem Hoheitsgebiet des Mitgliedstaats befinden.
Diese Vorgabe wurde in den Mitgliedstaaten unterschiedlich umgesetzt. Während   Art. 5 Abs. 2 des französischen Datenschutzgesetzes sich eng an den Wortlaut der Richtlinie hält,  sind die Anwendungsregeln des deutschen Rechts allgemeiner gehalten. Gemäß § 1 Abs. 5 Satz 2 BDSG ist das Gesetz stets auch dann anwendbar, wenn  eine in einem Drittsaat ansässige Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Das BDSG fordert in diesem Zusammenhang nicht die Verwendung von technischen Mitteln, die in Deutschland lokalisiert sind.
Im vorliegenden Fall kann die CNIL die Anwendbarkeit des französischen bzw. europäischen Datenschutzrechts damit begründen, dass Google zur Personalisierung seiner Angebote auf Cookies zurückgreift, die auf den Computern der Nutzer gespeichert werden.
Dies ist im Ergebnis zu begrüßen. Denn es wäre nicht einzusehen, dass im Internet auf Grund des Territorialprinzips der Schutz personenbezogener Daten europäischer Nutzerinnen und Nutzer generell nicht gegeben wäre, wenn ein Dienst aus einem Drittstaat wie den USA erbracht wird.
Andererseits ist die Anknüpfung an technische „Mittel“, wie sie die EG-Richtlinie vornimmt, angesichts der zunehmenden Entörtlichung der Informationsverarbeitung kein geeignetes Abgrenzungskriterium mehr. Denn was geschieht, wenn ein Dienst keine Cookies oder andere Identifikationsmerkmale auf den Computern der Nutzer platziert? Und wie steht es mit Cloud-Diensten, die auf Offshore-Servern betrieben werden, bei denen sich die Nutzer mit einer User-ID und einem Passwort anmelden? Soll in diesen Fällen der Schutz des europäischen Rechts wegfallen? Soll etwa die von Google angekündigte Umstellung seines Nutzer-Identifikationsverfahrens auf ein cookie-loses System dafür ausschlaggebend sein, ob sich das Unternehmen an europäisches Recht zu halten hat oder nicht?
Gerade weil IT-Dienste zunehmend global, unabhängig vom Ort der Datenverarbeitung erbracht werden, muss der Schutzanspruch des europäischen und nationalen Datenschutzrechts stets dann gewährleistet sein, wenn Daten im europäischen Rechtsraum erhoben werden. Immer wenn Internet-Dienste sich an Nutze innerhalb der EU wenden und dabei personenbezogene Daten verarbeiten, müssen sie sich an europäisches Recht zu halten haben – unabhängig vom Ort der Niederlassung oder vom Standort irgendwelcher technischen Einrichtungen.
Deshalb ist zu hoffen, dass die heiß diskutierte EU-Datenschutzgrundverordnung endlich beschlossen wird, die genau dieses „Marktortprinzip“ unmissverständlich festschreibt. Die Verordnung ist nach  Art. 3 Abs. 2 lit.a des Kommissions-Entwurfs immer dann anzuwenden, wenn die Verarbeitung personenbezogener Daten „dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten“.
Ihr
Peter Schaar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.