home / Aktuelles

07.03.2017, Anwendbares Datenschutzrecht im elektronischen Geschäftsverkehr

EuGh, Urteil vom 28. Juli 2016, C-191/15 (VKI gegen Amazon EU Sàrl)

Der EuGH wurde durch den österreichischen OGH unter anderem dazu befragt, nach welchem einzelstaatlichen Recht zur Umsetzung der Datenschutzrichtlinie (RL 95/46/EG) die Rechtmäßigkeit von Vertragsklauseln zu beurteilen ist, die eine Verarbeitung personenbezogener Daten durch ein Unternehmen des elektronischen Geschäftsverkehrs wie Amazon EU vorsehen, das seine Tätigkeiten auf einen anderen Mitgliedstaat ausrichtet als den, in dem es seinen Sitz hat.

 

Ausgangsrechtsstreit war eine Unterlassungsklage des Vereins für Konsumenteninformation (VKI), einem Verbraucherverband mit Sitz in Österreich, mit der dieser begehrte, der Amazon EU S.à r.l. (Société à responsabilité limitée) mit Sitz in Luxemburg zu untersagen, in ihren allgemeinen Geschäftsbedingungen gegenüber Verbrauchern mit Wohnsitz in Österreich Klauseln zu verwenden, die er für missbräuchlich hielt.

 

Dazu sprach der EuGH aus, dass jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Datenschutzrichtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

 

Eine solche Niederlassung des für die Datenverarbeitung verantwortlichen Unternehmens in einem Mitgliedstaat, worunter etwa eine Tochtergesellschaft oder eine Zweigniederlassung fällt ("jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird, selbst wenn sie geringfügig ist") ist grundsätzlich weit zu verstehen.

 

Die Verarbeitung selbst muss nun nicht "von" der betroffenen (Zweig-)Niederlassung selbst ausgeführt werden, sondern lediglich "im Rahmen der Tätigkeiten" der Niederlassung, um das Datenschutzrecht des jeweiligen Mitgliedstaates zur Anwendung kommen zu lassen.

 

Der EuGH sprach damit aus, dass Art 4 Abs 1 lit a der Richtlinie 95/46/EG vom 24. Oktober 1995 dahin auszulegen ist, dass eine Verarbeitung personenbezogener Daten durch ein im elektronischen Geschäftsverkehr tätiges Unternehmen dem Recht jenes Mitgliedstaats unterliegt, auf den das Unternehmen seine Geschäftstätigkeit ausrichtet, wenn sich zeigt, dass das Unternehmen die fragliche Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung vornimmt, die sich in diesem Mitgliedstaat befindet.

 

Es sei jedoch Sache des jeweiligen nationalen Gerichts, zu beurteilen, ob dies der Fall ist.