DSGVO - BDSG - TTDSG. Группа авторов
des Rechts nach den Regelungen des eigenen Kollisionsrechts. Der europäische Rechtsanwender würde entsprechend der Regelung in Art. 3 Abs. 1 oder Abs. 2 DSGVO die DSGVO anwenden, der US-amerikanische Rechtsanwender die Regelungen des US-Sicherheitsrechts. In der Praxis führt dies für Verantwortliche und Auftragsverarbeiter zu erheblichen praktischen Problemen, für die es in der DSGVO keine Lösung gibt. Insbesondere können die Parteien diesen Konflikt nicht durch Rechtswahl lösen. Gemäß Art. 3 Abs. 1 Satz 1 Rom-I-VO ist eine Rechtswahl nämlich auf das für einen schuldrechtlichen Vertrag anwendbare Recht beschränkt. Die Parteien können aber nicht von den Voraussetzungen gemäß Art. 3 DSGVO abweichende Regelungen zum anwendbaren Datenschutzrecht treffen.110 Art. 3 DSGVO ist nämlich eine Eingriffsnorm im Sinne des Art. 9 Abs. 1 Rom-I-VO, die gemäß Art. 9 Abs. 2 Rom-I-VO nicht zur Disposition der Vertragsparteien steht.
38
Dieses Dilemma lässt sich für den Normadressaten im Zweifel nicht angemessen lösen, da zwei Rechtsordnungen für sich Geltung beanspruchen und die Frage der anzuwendenden Regelung von dem angerufenen Gericht oder der angerufenen Stelle abhängt. Für Verantwortliche und Auftragsverarbeiter läuft dies häufig auf die Entscheidung zwischen zwei nicht gewollten Alternativen hinaus. Sie können den Anwendungskonflikt vermeiden und damit den Anforderungen beider Rechtsordnungen entsprechen, indem sie den Dienstleister nicht beauftragen oder einen Prozess nicht in einen Staat außerhalb der Union auslagern. Alternativ kann man den Konflikt mit einer Rechtsordnung zulasten des Konflikts mit der anderen Rechtsordnung lösen. Soweit dies als pragmatisches Vorgehen bezeichnet wird,111 ist es im Ergebnis nur eine Umschreibung für einen Rechtsbruch, der aufgrund höher bewerteter Geschäftsinteressen im Rahmen einer wirtschaftlichen Risikobewertung in Kauf genommen wird.
2. Kollision mitgliedstaatlicher Datenschutzgesetze
39
Die DSGVO enthält keine Art. 4 DSRl vergleichbaren Kollisionsregelungen für Anwendungskonflikte zwischen mitgliedstaatlichen Datenschutzgesetzen, die im Rahmen der Öffnungsklauseln erlassen wurden.112 Territoriale Anwendungskonflikte zwischen mitgliedstaatlichen Datenschutzgesetzen sind aber nicht ausgeschlossen, sodass sich die Frage nach deren Auflösung stellt. Dafür sollte zunächst geklärt werden, ob mitgliedstaatliche Regelungen vom Rahmen der Öffnungsklauseln erfasst sind. Soweit dies nicht der Fall ist, besteht ein Anwendungskonflikt mit der DSGVO, der stets zur Anwendbarkeit der DSGVO führt. Soweit die mitgliedstaatliche Regelung sich im Rahmen der Öffnungsklausel befindet, muss im nächsten Schritt nach dem mitgliedstaatlichen Datenschutzrecht die territoriale Anwendbarkeit geklärt werden (zur deutschen Regelung siehe § 1 BDSG Rn. 25ff.).113 Für eine direkte oder analoge Anwendung des Art. 3 DSGVO besteht – jedenfalls aus der Perspektive des deutschen Rechts – keine Notwendigkeit.114 Ebenfalls bedarf es keiner fortgesetzten Anwendung der Regelungen gemäß Art. 4 DSRl.115
1 ErwG 23; Albrecht, CR 2016, 88, 90; Piltz, K&R 2016, 557, 558. 2 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 4. 3 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 3; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 30. 4 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 31; Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 131. 5 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 3; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 32. 6 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 33. 7 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 4. 8 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 4. 9 EuGH, 13.5.2014 – Rs. C-131/12, Rn. 49 – Google/Spain; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 9. 10 Dazu EuGH, 1.10.2015 – Rs. C-230/14, Rn. 29 – Weltimmo; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 9; Piltz, K&R 2016, 557, 558. 11 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 3. 12 ErwG 22. 13 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 7; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 10. 14 EuGH, 1.10.2015 – Rs. C-230/14 – Weltimmo; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 8. 15 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 42. 16 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 44. 17 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 7; Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 19f. 18 EuGH, 1.10.2015 – Rs. C-230/14, Rn. 33 – Weltimmo. 19 EuGH, 24.9.2019 – Rs. C-507/17, Rn. 49 – Google vs CNIL. 20 Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 20; Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 22f.; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 3 Rn. 19. 21 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 8; a.A. Bergmann/Möhrle/Herb, Datenschutzrecht, Art. 3 Rn. 10. 22 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 7; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 46. 23 EuGH, 28.7.2016 – Rs. C-191/15, Rn. 76 – Verein für Konsumenteninformation; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 12. 24 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 13. 25 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 38. 26 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 45. 27 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 45. 28 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 8; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 17. 29 EuGH, 13.5.2014 – Rs. C-131/12 – Google/Spain; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 15. 30 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 55. 31 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 19. 32 So Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 12; wohl auch Hoffmann, ZD-Aktuell 2017, 05488; zur Beauftragung von Auftragsverarbeitern in Drittstaaten durch Verantwortliche im Anwendungsbereich der DSGVO siehe Rn. 32f. 33 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 34. 34 Freund, in: Schuster/Grützmacher, Kommentar zum IT-Recht, Art. 28 DSGVO Rn. 53f.; Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 33; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 38; im Ergebnis ebenfalls: Ernst,