Dr. Björn Steinrötter: Bringt das EU-Datenschutzregime doch noch Klarheit für das europäische Wirtschaftskollisionsrecht?

Die zutreffende Ermittlung des auf grenzüberschreitende Sachverhalte anwendbaren Datenschutzrechts bleibt ein „juristischer Dauerbrenner“. Der EuGH war gerade im letzten Monat mit einer und ist weiterhin mit einer anderen Rechtssache befasst, welche hierfür einmal mehr Zeugnis ablegen. Die angesprochenen Vorabentscheidungsersuchen bilden die kollisionsrechtliche Zweispurigkeit – also die methodische Abschichtung zwischen Internationalem Öffentlichen und Internationalem Privatrecht – ab, welche das unionsrechtliche Verweisungsrecht im wirtschaftsrechtlichen Kontext allgemein prägt. Die Rechtsermittlung ist hierbei keineswegs einfach (dazu eingehend Steinrötter, EWS 2015, 83).

Die Geltung der geplanten EU-Datenschutzgrund-VO, welche Abhilfe von dieser kollisionsrechtlichen Problematik verspricht (kritisch insofern Revolidis, ZD-Aktuell 04756), ist nach wie vor in weiter Ferne. Dies folgt bereits aus dem Umstand, dass sie – selbst wenn sie nun kurzfristig auf den Weg gebracht würde – erst zwei Jahre nach ihrem Inkrafttreten Anwendung finden soll. Das hat zur Folge, dass die mitgliedstaatlichen Gerichte bis dato das jeweils maßgebliche nationale Recht zu eruieren haben, welches weithin das Resultat der Transformation von Vorgaben der Datenschutz-RL 95/46/EG darstellt.

In der Rs. Weltimmo (C-230/14) wandte sich im Ausgangsrechtsstreit vor dem Verwaltungs- und Arbeitsgericht Budapest die Weltimmo s.r.o., eine Gesellschaft mit Sitz in der Slowakei, die eine Website zur Immobilienvermittlung betreibt, gegen ein Bußgeld der ungarischen Datenschutzadministration. Die Sanktion beruhte auf dem Umstand, dass das Unternehmen die Inserate und personenbezogenen Daten derjenigen Kunden nicht löschte, welche dies per Mail nach dem ersten kostenfreien Monat verlangten. Vielmehr stellte Weltimmo für die kostenpflichtigen Folgemonate entsprechende Rechnungen aus und übermittelte die personenbezogenen Daten bei Nichtzahlung an Inkassounternehmen. Weltimmo trug u. a. vor, ausweislich Art. 4 Abs. 1 lit. a Datenschutz-RL 95/46/EG finde das ungarische Datenschutzrecht keine Anwendung.

Mit seinem am 1.10.2015 ergangenen Urteil ging der EuGH bezüglich der Frage der Rechtsermittlung gewohnt „ergebnisbezogen“ vor (Vorlagefragen 1-6), ohne irgend geartete methodische Hinweise zu kollisionsrechtlichen Aspekten zu geben. Implizit mag sich aber aus seiner Beantwortung der Vorlagefrage 7 (Anwendung ausländischer Sanktionsbefugnisse durch eine Behörde) ergeben, dass es sich im Dunstkreis des Art. 4 Datenschutz-RL 95/46/EG insgesamt eher um Internationales Öffentliches Recht handelt (darauf mögen auch die Schlussanträge des GA Cruz Villalón vom 25.6.2015 hindeuten: Rn. 50, 60, 62 a.E., 63). Denn der Gerichtshof zieht Grenzen, welche im weiteren Sinne als Territorialitätsprinzip gekennzeichnet werden können. Die Betonung eines Territorialitäts- und Gleichlaufprinzips ist auf der internationalrechtlichen Ebene aber nachgerade typisch für IÖR-Regelungen (vgl. nur Weller, ZGR 2010, 679, 688; s. auch v. Bar/Mankowski, IPR, Band I, 2. Aufl. 2003, § 4, Rn. 66).

Nun bleibt zu hoffen, dass sich in Abgrenzung hierzu in der beim EuGH noch anhängigen Rs. C-191/15 erweist, ob es im Datenschutzrecht nach Auffassung des Gerichtshofs eine von den Vorgaben der Datenschutz-RL (und damit vom IÖR) losgelöste IPR-Anknüpfung gibt. Das Vorlageersuchen des österreichischen OGH (Beschluss vom 9. 4. 2015 – 2 Ob 204/14k) weist jedenfalls das Potential für eine solche Klarstellung auf.

Hierbei geht es im Wesentlichen um kollisionsrechtliche Fragen im Bereich grenzüberschreitender Verbandsklagen (dazu aktuell lesenswert Micklitz/Reich, EWS 2015, 181, welche die datenschutzrechtliche Komponente indes bewusst ausklammern). Gegenstand der Unterlassungsklage war u. a. eine Formularabrede, welche vorsah, dass das verwendende Versandhandelsunternehmen (Amazon EU Sàrl) „Datenangaben der Besteller“ prüft sowie bewertet und „einen Datenaustausch mit anderen Unternehmen innerhalb des A.-Konzerns, Wirtschaftsauskunfteien und ggf. der B. GmbH & Co. KG“ pflegt. Das erstinstanzliche Gericht sah insoweit die Datenschutz-RL 95/46/EG als gegenüber den IPR-Normen der Rom I-VO vorrangig an. Die zweite Instanz beurteilte dies anders und rekurrierte im Lichte der vorhandenen Rechtswahlklausel auf Art. 6 Abs. 2 i.V.m. Art. 3 Rom I-VO. Der OGH tendiert wiederum dahin, das Unterlassungsstatut als kollisionsrechtliche Hauptfrage nach der Rom II-VO zu bestimmen, wobei er offenbar auch den Weg über Art. 6 Abs. 1 Rom II-VO für gangbar hält. Der Verstoß gegen Datenschutzprivatrecht i.R.d. AGB-Kontrolle bedürfte sodann nach hiesiger Auffassung einer gesonderten Anknüpfung als Vorfrage nach Maßgabe der Rom I-VO. Der erkennende Senat ist indes der Ansicht, Art. 4 Abs. 1 Datenschutz-RL 95/46/EG sei eine „Unionsprivatrecht berufende Unionskollisionsnorm“, welche den Rom-VOen nach Art. 23 Rom I-VO bzw. Art. 27 Rom II-VO vorgehe. Dies möchte er vom Gerichtshof geklärt wissen.

Es bleibt abzuwarten, inwieweit der EuGH diese Möglichkeit ergreift und damit der Rechtsunsicherheit um die Ermittlung des anwendbaren Datenschutzrechts entgegentritt. Die Chance auf Klarstellung ist durchaus greifbar. Ein erlösendes Wort dazu, ob originär privatrechtliche Aspekte wie die oft in AGB geregelte datenschutzrechtliche Einwilligung auf kollisionsrechtlicher Ebene tatsächlich (allein) nach Maßgabe von Art. 4 Datenschutz-RL oder vielmehr den IPR-Normen der Rom I-VO zu ermitteln ist, wäre von großem praktischen Wert.

Im Datenschutzrecht sind weitere potentielle Gerichtsverfahren, bei welchen das anwendbare Datenschutzrecht eine Rolle spielen wird, in der Pipeline: Der Datenschutzbeauftragte Hamburgs, Johannes Caspar, ging jüngst (erneut) formell gegen die Klarnamenpflicht von Facebook vor. Es erscheint nicht ausgeschlossen, dass sich Facebook gerichtlich gegen die Verwaltungsanordnung wehren wird. Von der Internetsuchmaschine Google forderte die französische Datenschutzbehörde (CNIL) (s. dazu Revolidis, ZD-Aktuell 2015, 04756), das in Europa durch den EuGH in der Rs. Google Spain (C-131/12) herausgestrichene Recht auf Vergessen(werden) – welches in der Sache freilich nur ein Recht auf schwierigere Auffindbarkeit sein kann – global umzusetzen. In seiner bisherigen Praxis hat Google Löschanfragen nur auf Websites in EU-Mitgliedstaaten (wie Google.de), nicht aber auf Google.com bezogen. Eine Klärung durch den EuGH ist auch hier denkbar, da Google der informellen Beschwerde nicht nachgekommen ist.

Äußerungen des Gerichtshofs zur „Zweispurigkeit“ des Internationalen Datenschutzrechts reichten aber weit über dessen Gegenstand hinaus. Sie beträfen ganz allgemein die Dogmatik von reguliertem EU-Wirtschaftsrecht in grenzüberschreitenden Sachverhalten.

Dr. Björn Steinrötter, Leibniz Universität Hannover, Institut für Rechtsinformatik