EU-E-Commerce Recht: Maßgebendes Datenschutzrecht beim innergemeinschaftlichen Onlinehandel

Beim innergemeinschaftlichen Onlinehandel können auch kleinere deutsche Onlinehändler sehr schnell mit Rechtsnormen aus anderen EU-Staaten in Konflikt geraten. Allgemein sind für den innergemeinschaftlichen Onlinehandel die Kollisionsnormen der Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldver-hältnisse anzuwendende Recht (Rom I) und für die gerichtliche Zuständigkeit die Kollisionsnormen der Verordnung über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (Brüssel I) maßgebend. Hierzu hat die IT-Recht Kanzlei bereits ausführlich berichtet.

EU-Kollisionsnormen

Diese genannten allgemeinen EU-Kollisionsnormen regeln allerdings nicht die Frage, welches nationales Datenschutzrecht bei innergemeinschaftlichem Onlinehandel zur Anwendung kommt. Hier setzt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Europäische Datenschutzrichtlinie 1995) in Artikel 4 eigene Kollisionsnormen.

Artikel 4
Anwendbares einzelstaatliches Recht
(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;
b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet;
c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der für die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet der Möglichkeit eines Vorgehens gegen den für die Verarbeitung Verantwortlichen selbst.

Diese Kollisionsvorschrift wurde auch von der EU-Kommission mittlerweile als zu kompliziert und vage angesehen. Eine EU-Arbeitsgruppe (Beratendes Gremium in Fragen des Datenschutzes gem. Artikel 30 der EU-Richtlinie 95/46/EC, hat in einem Positionspapier vom 16.12.2010 folgende Klarstellungen getroffen:

Fallgestaltung 1: Deutscher Onlinehändler betreibt innergemeinschaftlichen Onlinehandel, ohne über einen Sitz oder eine Niederlassung in einem anderen EU-Staat zu verfügen

Deutscher Onlinehändler hat lediglich deutsches Datenschutzrecht zu beachten. Er braucht sich nicht
bei einer Datenschutzbehörde eines anderen europäischen Landes registrieren zu lassen.

Fallgestaltung 2: Deutscher Onlinehändler verfügt über eine Niederlassung oder einen Sitz in einem anderen EU-Staat, über die er seine Onlinegeschäfte in diesem Staat abwickelt

Deutscher Onlinehändler unterliegt dem nationalen Datenschutzrecht des EU-Staates, in dem seine
Niederlassung besteht, soweit es um Aktivitäten seiner Niederlassung geht.

Fallgestaltung 3: Deutscher Onlinehändler verfügt über Niederlassungen in mehreren EU-Staaten

Jede Niederlassung, über die Geschäftsaktivitäten im dem jeweiligen EU-Staat abgewickelt werden,
unterliegt dem jeweiligen nationalen Datenschutzrecht des Staates, in dem sich die Niederlassung
befindet.

EU-Datenschutzreform

Die EU-Kommission will in seiner sogenannten Datenschutzgrundordnung die bestehende Datenschutzrichtlinine aus dem Jahre 1995 reformieren und im Interesse der Vereinheitlichung des innergemeinschaftlichen Handels die bestehenden europäischen und nationalen Datenschutzvorschriften vereinheitlichen. Meldepflichten der Unternehmen sollen entfallen. Sie verspricht sich dadurch Kosteneinsparungen für die Wirtschaft in Höhe bis zu 2,3 Milliarden Euro jährlich. Unternehmen sollen im Gegenzug einer verschärften Rechenschaftspflicht unterliegen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .