Dr. Björn Steinrötter: Dogmatische Kohärenz im Internationalen Wirtschaftsrecht der EU – der EuGH kann es jetzt richten!

Die zutreffende Ermittlung des auf grenzüberschreitende Sachverhalte anwendbaren Datenschutzrechts bleibt ein „juristischer Dauerbrenner“. Zwei jüngere Vorlagen an den EuGH legen hierfür einmal mehr Zeugnis ab; gleichzeitig haben diese Ersuchen das Zeug dazu, dem Gericht Aussagen über die Dogmatik des Internationalen Datenschutzrechts zu entlocken, die über die Bedeutung dieses Rechtsgebietes hinauswiesen.

Die Geltung der geplanten EU-Datenschutzgrund-VO, welche Abhilfe von dieser kollisionsrechtlichen Problematik verspricht (kritisch Revolidis, ZD-Aktuell 04756), ist nach wie vor in weiter Ferne. Dies folgt bereits aus dem Umstand, dass sie – selbst wenn sie nun kurzfristig auf den Weg gebracht würde – erst zwei Jahre nach ihrem Inkrafttreten Anwendung finden soll. Das hat zur Folge, dass die mitgliedstaatlichen Gerichte bis dato das jeweils maßgebliche nationale Recht zu eruieren haben, welches weithin das Resultat der Transformation von Vorgaben der Datenschutz-RL 95/46/EG darstellt. Dies ist bei sorgfältiger Beachtung der Methodik des Kollisionsrechts, namentlich der gebotenen Differenzierung zwischen Internationalem Öffentlichen und Internationalem Privatrecht, nicht einfach (dazu Steinrötter, EWS 2015, 83).

Die angesprochenen Vorabentscheidungsersuchen – unterschiedlich weit gediehen – bilden diese verweisungsrechtliche Zweispurigkeit ab, indem sie Fragestellungen des IÖR und IPR beinhalten.

In der Rs. Weltimmo (C-230/14) wandte sich im Ausgangsrechtsstreit vor dem Verwaltungs- und Arbeitsgericht Budapest die Weltimmo s.r.o., eine Gesellschaft mit Sitz in der Slowakei, die eine Website zur Immobilienvermittlung betreibt, gegen ein Bußgeld der ungarischen Datenschutzadministration. Die Sanktion beruhte auf dem Umstand, dass das Unternehmen die Inserate und personenbezogenen Daten derjenigen Kunden nicht löschte, welche dies per Mail nach dem ersten kostenfreien Monat verlangten. Vielmehr stellte Weltimmo für die kostenpflichtigen Folgemonate entsprechende Rechnungen aus und übermittelte die personenbezogenen Daten bei Nichtzahlung an Inkassounternehmen. Weltimmo trug u. a. vor, ausweislich Art. 4 Abs. 1 lit. a Datenschutz-RL 95/46/EG finde das ungarische Datenschutzrecht keine Anwendung. Im damit angesprochenen kollisionsrechtlichen Kontext verdienen zunächst die Rn. 23, 26 f., 31-42 der Schlussanträge des GA Cruz Villalónvom 25. 6. 2015 Beachtung, welche den zentralen Niederlassungsbegriff i. S. der sekundärrechtlichen Bestimmung behandeln. Insofern handelt es sich zuallererst um Aspekte des IÖR. Diesen Befund bestätigt auch die überzeugende Stellungnahme des GA zu Vorlagefrage 7, wonach das Auseinanderfallen von anwendbarem (ausdrücklich: öffentlichem) Recht und Behördenzuständigkeit aufgrund des Grundsatzes der territorialen Souveränität von Staaten, rechtsstaatlicher Erwägungen und des Prinzips der Gesetzmäßigkeit der Verwaltung nicht möglich ist (Rn. 50, 60, 62 a.E., 63). Diese Betonung eines Territorialitäts- und Gleichlaufprinzips ist auf der internationalrechtlichen Ebene nachgerade typisch für IÖR-Regelungen (vgl. nur Weller, ZGR 2010, 679, 688; s. a. v. Bar/Mankowski, IPR, Band I, 2. Aufl. 2003, § 4, Rn. 66).

Aktualisierung: Am 1. 10. 2015 erging das EuGH-Urteil in der Rs. C-230/14. Bezüglich der Frage der originären Rechtsermittlung (Vorlagefragen 1-6) geht der EuGH in der Rs. Weltimmo gewohnt "ergebnisbezogen" vor, ohne irgend geartete dogmatische Hinweise zu kollisionsrechtlichen Aspekten zu geben. Implizit mag sich aber aus seiner Beantwortung der Vorlagefrage 7 (Anwendung ausländischer Sanktionsbefugnisse durch eine Behörde) ergeben, dass es sich hier insgesamt um eine Problematik des Internationalen Öffentlichen Rechts handelt. Denn er zieht Grenzen, welche im weiteren Sinne als Territorialitätsprinzip gekennzeichnet werden können, das wiederum für das IÖR typisch ist. Nun wird sich hoffentlich in Abgrenzung hierzu in der beim EuGH noch anhängigen Rs. C-191/15 erweisen, ob es im Datenschutzrecht nach Auffassung des Gerichtshofs eine von den Vorgaben der Datenschutz-RL losgelöste IPR-Anknüpfung gibt.

Das Vorabentscheidungsverfahren in der Rs. C-191/15 hat der österreichische OGH mit Beschluss vom 9. 4. 2015 – 2 Ob 204/14k eingeleitet. Hierbei geht es im Wesentlichen um kollisionsrechtliche Fragen im Bereich grenzüberschreitender Verbandsklagen. Gegenstand der Unterlassungsklage war u. a. eine Formularabrede, welche vorsah, dass das verwendende Versandhandelsunternehmen (Amazon EU Sàrl) „Datenangaben der Besteller“ prüft sowie bewertet und „einen Datenaustausch mit anderen Unternehmen innerhalb des A.-Konzerns, Wirtschaftsauskunfteien und ggf. der B. GmbH & Co. KG“ pflegt. Das erstinstanzliche Gericht sah insoweit die Datenschutz-RL 95/46/EG als gegenüber den IPR-Normen der Rom I-VO vorrangig an. Die zweite Instanz beurteilte dies anders und rekurrierte im Lichte der vorhandenen Rechtswahlklausel auf Art. 6 Abs. 2 i.V.m. Art. 3 Rom I-VO. Der OGH tendiert wiederum dahin, das Unterlassungsstatut als kollisionsrechtliche Hauptfrage nach der Rom II-VO zu bestimmen, wobei er offenbar auch den Weg über Art. 6 Abs. 1 Rom II-VO für gangbar hält. Der Verstoß gegen Datenschutzprivatrecht i. R .der AGB-Kontrolle bedürfte sodann nach hiesiger Auffassung einer gesonderten Anknüpfung als Vorfrage nach Maßgabe der Rom I-VO. Der erkennende Senat ist indes der Ansicht, Art. 4 Abs. 1 der Datenschutz-RL 95/46/EG sei eine „Unionsprivatrecht berufende Unionskollisionsnorm“, welche den Rom-VOen nach Art. 23 Rom I-VO bzw. Art. 27 Rom II-VO vorgehe. Dies möchte er vom Gerichtshof geklärt wissen.

Es bleibt abzuwarten, inwieweit der EuGH diese Möglichkeit ergreift und damit der Rechtsunsicherheit um die Ermittlung des anwendbaren Datenschutzrechts entgegentritt. Die Chance auf Klarstellung ist – vor allem mit Blick auf das letztere Verfahren – greifbar. Ein erlösendes Wort dazu, ob originär privatrechtliche Aspekte wie die oft in AGB geregelte datenschutzrechtliche Einwilligung auf kollisionsrechtlicher Ebene tatsächlich (allein) nach Maßgabe von Art. 4 Datenschutz-RL oder vielmehr den IPR-Normen der Rom I-VO zu ermitteln ist, wäre von großem praktischen Wert.

Im Datenschutzrecht sind weitere potentielle Gerichtsverfahren, bei welchen das anwendbare Datenschutzrecht eine Rolle spielen wird, in der Pipeline: Der Datenschutzbeauftragte Hamburgs, Johannes Caspar, ging jüngst (erneut) formell gegen die Klarnamenpflicht von Facebook vor. Es erscheint nicht ausgeschlossen, dass sich Facebook gerichtlich gegen die Verwaltungsanordnung wehren wird. Von der Internetsuchmaschine Google forderte die französische Datenschutzbehörde (CNIL) (s. dazu Revolidis, ZD-Aktuell 2015, 04756), das in Europa durch den EuGH in der Rs. Google Spain (C-131/12) herausgestrichene Recht auf Vergessen(werden) – welches in der Sache freilich nur ein Recht auf schwierigere Auffindbarkeit sein kann – global umzusetzen. In seiner bisherigen Praxis hat Google Löschanfragen nur auf Websites in EU-Mitgliedstaaten (wie Google.de), nicht aber auf Google.com bezogen. Eine Klärung durch den EuGH ist auch hier denkbar, da Google der informellen Beschwerde nicht nachgekommen ist.

Äußerungen des Gerichtshofs zur „Zweispurigkeit“ des Internationalen Datenschutzrechts reichten aber weit über dessen Gegenstand hinaus. Sie beträfen ganz allgemein die Anwendbarkeit von reguliertem EU-Wirtschaftsrecht in grenzüberschreitenden Sachverhalten.

Dr. Björn Steinrötter, Institut für Rechtsinformatik, Leibniz Universität Hannover