Unsere Kunden, die „Verträge in der Cloud“ abschließen möchten haben häufig Fragen, die mit der Anwendbarkeit des Datenschutz im internationalen Rechtsverkehr zusammenhängen.
Fall 1: A ist ein typisches Systemhaus. Im Laufe der Zeit nahm die Bedeutung der Hardware immer weiter ab, die Bedeutung der Software in demselben Maße zu. Und nun wollen die Kunden des A mit der Hardware eigentlich nichts mehr zu tun haben. Sie wollen, daß A die von ihm gepflegten Software „in der Cloud“ betreibt, also in Rechenzentren und am besten nur noch per Browser auf die von A erstellten Funktionen der Software zugreifen. Gleichzeitig wollen sie Daten im Rechenzentrum speichern. A ist auf der Suche nach einem geeignetem Betreiber von Rechenzentren auf B gestoßen, der seine Rechenzentren an vielen Stellen im Ausland betreibt und seinen Hauptsitz in Irland hat. Als A seine Kunden nach der Akzeptanz dieser Lösung befragt schallt ihm immer wieder die Frage nach dem Datenschutz entgegen. In Deutschland heißt es, gelten empfindliche Geldstrafen, wenn man sich nicht an das deutsche Datenschutzrecht hielte. Schließlich gäbe es da eine Entscheidung des LG Berlin, nach deren Inhalt sich auch Apple (Sitz in Irland) zu halten habe. Darf man also mit einem Rechenzentrumsbetreiber, der seinen Sitz im Ausland hat einen Vertrag abschließen, wenn der sich nicht an das deutsche Datenschutzrecht hält?
Vorab der Fall des LG Berlin (CR 2013,402ff).
Fall 2:
Eine deutsche Verbraucherzentrale klagte in Berlin gegen die Apple Inc. Diese – mit einzigem Sitz in Irland – würde mit ihren Webshop auch gezielt auch Geschäfte mit deutschen Verbrauchern machen wollen. Deshalb habe sie sich an deutsches Datenschutzrecht zu halten. Die AGB des Webshops genügten den Anforderungen des Webshops aber nicht. Apple verlor den Streit.
Das LG Berlin hat eine falsche Entscheidung getroffen. Die Entscheidung ist hinter nahezu einhellig scharf kritisiert worden. Die Anwendbarkeit des deutschen Datenschutzrechts wäre nach § 1 Abs.5 S.1 Hs.1 BDSG ,Art 9 Abs.1 Rom I nicht gegeben, wenn der Sitz der Appple als für die Datenverarbeitung verantwortlichen Stelle ausschließlich in Irland ist. Das ist nach dem Sachverhalt der Fall. Entsprechend ist anhand des irischen Datenschutzrechts zu überprüfen, ob ein Verstoß gegen gesetzliche Regelungen vorliegt oder nicht.
Aber: Was macht unser A in seinem Fall 1? Der Sachverhalt ist so gestellt, daß A wegen § 11 Abs.5 BDSG selbst verpflichtet ist, mit seinen Kunden einen Vertrag über die Auftragsdatenverarbeitung abzuschließen. Das ergibt sich daraus, daß A auch mit B einen Vertrag abzuschließen hat, der den Anforderungen des § 11 BDSG genügt. In dem Fall hat sich das irische Recht in dem vom § 11 BDSG genannten Umfang an das deutsche Datenschutzrecht zu halten. A kann also nicht einfach akzeptieren, daß B vorgibt, das irische Datenschutzrecht einzuhalten.
