Maßstab

Es stellt sich naturgemäß die Frage an, warum sich ein internationales Unternehmen wie "Electronic Arts, Inc" oder "Valve" mit Sitz in den Staaten an deutsches Datenschutzrecht halten sollen müsste. Die wesentlichen deutschen Regelungen sind im Bundesdatenschutzgesetz (BDSG) sowie im Telemediengesetz (TMG) geregelt, die den Anwendungsbereich der Gesetze in zwei Vorschriften regeln. Die Bestimmungen des § 3 Abs. 1 TMG umfassen jedoch nach § 3 Abs. 3 Nr. 4 TMG nicht den Datenschutz, so dass insoweit auf das BDSG zurückgegriffen wird:

Aufgrund des gemeinsamen europarechtlichen Ursprungs ist vielmehr § 1 Abs. 5 BDSG als Kollisionsnorm auch zur Bestimmung des räumlichen Anwendungsbereichs des TMG heranzuziehen.

Nach dem § 1 Abs. 5 S. 1 BDSG ergeben sich dabei zwei Konstellationen, in denen deutsches Datenschutzrecht zur Anwendung kommt:

Niederlassungsprinzip
Nach § 1 Abs. 5 BDSG sind innerhalb der EU und des EWR "alle datenschutzrelevanten Tätigkeiten […], die ein Verantwortlicher durch eine Niederlassung […] ausführt", der Rechtsordnung des Staates unterworfen, in dessen Hoheitsgebiet sich die Niederlassung befindet. Verantwortlich ist dabei nicht die Stelle, an der die Server stehen, sondern die Niederlassung, die "die Entscheidungsgewalt über den Zweck und die Mittel der Datenverarbeitung hat" Jotzo, Florian, MMR 2009, 232, 233 f.. Mit anderen Worten: Wenn ein Unternehmen in Deutschland eine Niederlassung unterhält, die die Entscheidungsgewalt über die Erhebung von Daten hat, ist hierbei deutsches Recht anzuwenden. Wenn also im Fall von "Electronic Arts" die "Electronic Arts GmbH" in Köln über solche Befugnisse verfügen würde, wäre das deutsche Datenschutzrecht schon von daher anzuwenden.
Territorialprinzip
Wenn sich die für die Datenerhebung verantwortliche Stelle dagegen weder in einem EU- noch in einem EWR-Mitgliedsstaat befindet, gilt nicht das Niederlassungs-, sondern das Territorialprinzip. Darüber, was dieses genau erfordert, gibt es verschiedene Ansichten:
  • Nach der technischen Auslegung genügt es für die Anwendung des deutschen Datenschutzrechts, wenn - z.B. durch das Setzen von Cookies oder durch die Verwendung einer Software - Daten über einen Nutzer in Deutschland gesammelt werden:

    […] Es genügt der Rückgriff auf die in Deutschland belegenen Daten.

  • Die normative Auslegung möchte deutsches Datenschutzrecht dagegen davon abhängig machen, an wen sich die jeweiligen Angebote richten. Dies soll unter anderem anhand der Sprache oder der Verwendung einer länderspezifischen Domain festgemacht werden können:

    Festzuhalten bleibt abschließend, dass eine in einem Drittstaat niedergelassene verantwortliche Stelle […] Daten im Inland erhebt, wenn sie hierbei normativ betrachtet auf die Computer der Nutzer zurückgreift. Sie unterliegt somit den Regeln des BDSG und TMG, wenn sie ihr Angebot äußerlich erkennbar zumindest auch an deutsche Nutzer richtet.

    Wenn man auf einem Angebot wie Steam oder Origin beispielsweise anhand der IP-Adresse auf eine deutsche Version der Seite weitergeleitet wird, beim Support „German“ auswählen werden kann, spezielle für das deutsche Rechte angepasste „gewaltgeminderte“ Versionen angeboten werden oder schlicht in den Nutzungsbedingungen festgehalten wird, dass deutsches Recht gilt, spricht viel dafür, dass das Angebot sich auch nach der „strengsten“ Ansicht an deutsches Datenschutzrecht halten muss.