© 2015 Deutscher Bundestag WD 3 - 3000 - 138/15 

 

Zur Anwendbarkeit des Bundesdatenschutzgesetzes auf  
Internet-Diensteanbieter 
 

Ausarbeitung 

Wissenschaftliche Dienste 



 
 
 

 

Ausarbeitungen und andere Informationsangebote der Wissenschaftlichen Dienste geben nicht die Auffassung des 
Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der 
fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Der Deutsche Bundestag 
behält sich die Rechte der Veröffentlichung und Verbreitung vor. Beides bedarf der Zustimmung der Leitung 
der Abteilung W, Platz der Republik 1, 11011 Berlin. 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 2 

Zur Anwendbarkeit des Bundesdatenschutzgesetzes auf Internet-Diensteanbieter 

Verfasser/in:   
  

Aktenzeichen: WD 3 - 3000 - 138/15 
Abschluss der Arbeit: 18. Juni 2015 
Fachbereich: WD 3: Verfassung und Verwaltung 
Telefon:  

 

  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 3 

1. Fragestellung 

Die Angebote von Internet-Diensteanbietern sind praktisch für Nutzer aus verschiedenen Ländern
 verwendbar und werden auch entsprechend eingesetzt bzw. genutzt. Dies führt zu der 
Frage, welche datenschutzrechtlichen Regelungen auf grenzüberschreitende Konstellationen im 
Internet Anwendung finden. 

Vor diesem Hintergrund wird gefragt, unter welchen Voraussetzungen Internet-Diensteanbieter 
wie Facebook und Google vom europäischen bzw. deutschen Datenschutzrecht erfasst werden. 
Da die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und 
des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
 Daten und zum freien Datenverkehr, im Folgenden DS-RL) in Deutschland durch Novellierung
 des Bundesdatenschutzgesetzes (BDSG) umgesetzt worden ist und die geplante europäische 
Datenschutzgrundverordnung erst ab 2018 geltendes Recht werden soll1, stehen im Folgenden die 
deutschen Datenschutzbestimmungen im Mittelpunkt der Betrachtung. Aufgrund der Kürze der in 
diesem Fall zu Verfügung stehenden Bearbeitungszeit beschränkt sich die Ausarbeitung dabei auf 
eine kursorische Darstellung der Rechtslage in Bezug auf das Bundesdatenschutzgesetz.2 

2. Bestimmung des anwendbaren Rechts durch Rechtswahlklauseln 

Zunächst ist zu untersuchen, ob das auf global tätige Internet-Diensteanbieter anwendbare Recht 
durch die Verwendung von Rechtswahlklauseln beeinflusst werden kann.3 Dies wird von der 
Rechtsprechung uneinheitlich beurteilt.4 So hat das Landgericht Berlin in einem Verfahren gegen 
Facebook die Bestimmung des anwendbaren Rechts durch eine Rechtswahlklausel gemäß Art. 3 
Abs. 1 Rom I-VO5 angenommen.6 Dabei stützt sich das Gericht darauf, dass ein Vertrag zwischen 
Facebook und dessen Nutzer zustande gekommen sei und die einschlägigen Normen des Datenschutzrechts
 zumindest auch zwischen privaten Personen gelten würden, so dass eine Rechtswahl 
nicht ausgeschlossen sei. Das Schleswig-Holsteinische Verwaltungsgericht lehnt hingegen eine 

                                     

1 Siehe hierzu die Pressemitteilung des Bundesministeriums der Justiz und für Verbraucherschutz vom 15. Juni 
2015, abrufbar unter http://www.bmjv.de/SharedDocs/Kurzmeldungen/DE/2015/20150615-JI-Rat-Luxemburg. 
html?nn=3433226, zuletzt abgerufen am 18. Juni 2015. 

2 Siehe zur Anwendbarkeit des Telemediengesetzes Weichert, in: Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz
, Kommentar, 4. Aufl. 2014, § 1 Rn. 19; Gusy, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund 
und Ländern, 2013, § 1 Rn. 119 f. 

3 Siehe Hornung, in: ders./Terpitz (Hrsg.), Rechtshandbuch Social Media, 2015, S. 88, dort zum Folgenden. 

4 Siehe hierzu auch Steinrötter, Kollisionsrechtliche Bewertung der Datenschutzrichtlinien von IT-Dienstleistern, 
MMR 2013, 691 ff. 

5 Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche
 Schuldverhältnisse anzuwendende Recht (Rom I). 

6 LG Berlin, WRP 2012, 613 (615); vgl. auch LG Berlin, NJW 2013, 2605 (2606). 





 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 4 

Rechtswahlfreiheit für das Datenschutzrecht ab, da es sich bei den Regelungen des Bundesdatenschutzgesetzes
 und des Telemediengesetzes um Normen mit öffentlich-rechtlichem Charakter 
handele, bei denen nach Art. 9 Rom I-VO eine Rechtswahl ausgeschlossen sei.7 

Die Literatur geht in ihrer Mehrheit davon aus, dass im Bereich des Datenschutzrechts keine 
Rechtswahlfreiheit besteht und die Anwendung des deutschen Datenschutzrechtes nicht zur 
Disposition der Vertragsparteien steht.8 

3. Bestimmung des anwendbaren Rechts auf der Grundlage des Bundesdatenschutzgesetzes 

Bezüglich der Anwendbarkeit des Bundesdatenschutzgesetzes auf Internet-Diensteanbieter sind 
im Wesentlichen vier Konstellationen zu unterscheiden.9 

3.1. Inländischer Anbieter 

Die Geltung des Bundesdatenschutzgesetzes für inländische Internet-Diensteanbieter ist unumstritten
.10 Diese Unternehmen werden von der Generalklausel in § 1 Abs. 2 Nr. 3 BDSG erfasst, 
wonach das Bundesdatenschutzgesetz grundsätzlich für jede Datenverarbeitung durch nichtöffentliche
 Stellen gilt. Für inländische Stellen gelten dabei keine Ausnahmen von diesem 
Grundsatz.11 

3.2. Anbieter mit Sitz in der EU bzw. dem EWR mit Niederlassung in Deutschland, die personenbezogene
 Daten erhebt, verarbeitet oder nutzt 

Nach § 1 Abs. 5 S. 1, 2. HS BDSG findet das Bundesdatenschutzgesetz Anwendung, sofern eine 
in einem anderen Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat
 des Abkommens über den Europäischen Wirtschaftsraum (EWR) belegene verantwortliche 
Stelle personenbezogene Daten durch eine Niederlassung in Deutschland erhebt, verarbeitet oder 
nutzt. Dies bedeutet, dass auch Internet-Diensteanbieter mit Sitz in einem anderen Mitgliedstaat
 der EU oder einem anderen Vertragsstaat des EWR vom Anwendungsbereich des Bundesdatenschutzgesetzes
 erfasst werden, soweit sie eine Niederlassung in Deutschland besitzen und 
durch diese Niederlassung personenbezogene Daten erhoben, verarbeitet oder genutzt werden. 

                                     

7 VG Schleswig-Holstein, K&R 2013, 280 (281). 

8 Siehe zum Beispiel Piltz, Rechtswahlfreiheit im Datenschutzrecht?, K&R 2012, 640 ff.; Kremer/Buchalik, Zum 
anwendbaren Datenschutzrecht im internationalen Geschäftsverkehr, CR 2013, 789 (791 ff.). 

9 Siehe Karg, Anwendbares Datenschutzrecht bei Internet-Diensteanbietern, ZD 2013, 371 (372 f.); Hornung, in: 
ders./Terpitz (Hrsg.), Rechtshandbuch Social Media, 2015, S. 88 f. 

10 Siehe den Beschluss des Düsseldorfer Kreises (der Zusammenkunft der obersten Datenschutzaufsichtsbehörden 
des Bundes und der Länder) vom 8. Dezember 2011, S. 1, abrufbar unter http://www.bfdi.bund.de/SharedDocs/ 
Publikationen/Entschliessungssammlung/DuesseldorferKreis/08122011DSInSozialenNetzwerken.pdf, zuletzt 
abgerufen am 18. Juni 2015. 

11 Siehe Hornung, in: ders./Terpitz (Hrsg.), Rechtshandbuch Social Media, 2015, S. 88. 





 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 5 

3.3. Anbieter mit Sitz in der EU bzw. dem EWR ohne Niederlassung in Deutschland, die personenbezogene
 Daten erhebt, verarbeitet oder nutzt 

Ausgeschlossen ist gemäß § 1 Abs. 5 S. 1, 1. HS BDSG die Anwendung des Bundesdatenschutzgesetzes
, sofern eine in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des 
EWR belegene verantwortliche Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet 
oder nutzt, dies jedoch nicht durch eine Niederlassung in Deutschland erfolgt. Für Internet-Diensteanbieter
 mit Sitz in einem anderen Mitgliedstaat der EU bzw. einem anderen Vertragsstaat der 
EWR, die keine Niederlassung in Deutschland besitzen (oder deren Niederlassung in Deutschland 
keine personenbezogenen Daten erhebt, verarbeitet oder nutzt), kommt danach das jeweilige 
Recht des europäischen Sitzstaates zur Anwendung. 

3.4. Anbieter mit Sitz in Drittstaat, der im Inland personenbezogene Daten erhebt, verarbeitet 
oder nutzt 

Die vierte Konstellation betrifft schließlich den Fall, dass eine verantwortliche Stelle (im vorliegenden
 Fall ein Internet-Diensteanbieter), die nicht in der EU oder dem EWR belegen ist, personenbezogene
 Daten in Deutschland erhebt, verarbeitet oder nutzt. Gemäß § 1 Abs. 5 S. 2 BDSG ist 
in einem solchen Fall das Bundesdatenschutzgesetz anzuwenden. 

Teilweise wird in der Literatur kritisiert, dass die Regelung des § 1 Abs. 5 S. 2 BDSG die Vorgaben 
des Art. 4 Abs. 1 lit. c DS-RL nicht vollständig umsetze und richtlinienkonform auszulegen sei.12 Es 
reiche nicht aus, wenn in irgendeiner Art und Weise personenbezogene Daten aus oder in 
Deutschland erhoben, verarbeitet oder genutzt würden. Es müsse ein körperlich-territorialer Bezug 
zwischen der Verwendung der Daten und dem Gebiet, auf dem die Datenverwendung erfolgt, 
bestehen. Auch dürfe nicht jede Verwendung von technischen Einrichtungen als tatbestandsmäßig 
angesehen werden. 

4. Relevante Rechtsprechung 

Im Fokus der Rechtsprechung bezüglich des für global tätige Internet-Diensteanbieter maßgeblichen 
Datenschutzrechts steht der Begriff der datenverarbeitenden Niederlassung im Sinne der dem 
Bundesdatenschutzgesetz zugrundeliegenden Datenschutzrichtlinie. In diesem Zusammenhang 
ist neben der Rechtsprechung des Kammergerichts Berlin13 und des Schleswig-Holsteinischen 

                                     

12 Siehe Klar, Räumliche Anwendbarkeit des (europäischen) Datenschutzrechts, ZD 2013, 109 (110); Karg, Anwendbares
 Datenschutzrecht bei Internet-Diensteanbietern, ZD 2013, 371 (373), m.w.N. 

13 KG Berlin, ZD 2014, 412 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 6 

Oberverwaltungsgerichts14 insbesondere auch die Entscheidung des Europäischen Gerichtshofs 
in der Rechtssache „Google Spain and Google“15 anzusprechen.16 

4.1. Kammergericht Berlin 

Das Kammergericht Berlin hat in Bezug auf Facebook die Anwendung des deutschen Datenschutzrechts
 gemäß § 1 Abs. 5 S. 2 BDSG bejaht.17 Nach dieser Regelung ist das Bundesdatenschutzgesetz 
anzuwenden, sofern eine verantwortliche Stelle, die nicht in der EU oder dem EWR belegen ist, 
personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Diese Voraussetzungen 
waren aus Sicht des Gerichts gegeben. Die Server und Anlagen würden im Ausgangspunkt von 
der Muttergesellschaft in den USA und damit außerhalb der EU bzw. des EWR vorgehalten. 
Durch die Verwendung von Cookies setze die Muttergesellschaft auf dem Computer eines Nutzers 
eine Datenverarbeitung in Gang und verwende so in Deutschland „Mittel“ zur Datenverarbeitung 
im Sinne des Art. 4 Abs. 1 lit. c DS-RL bzw. „erhebe“ und „verarbeite“ sie Daten im Sinne des § 1 
Abs. 5 S. 2 BDSG. 

Die Anwendbarkeit des deutschen Datenschutzrechts werde auch nicht gemäß § 1 Abs. 5 S. 1, 
1. HS BDSG durch irisches Datenschutzrecht ausgeschlossen. Das Gericht knüpft dabei insbesondere
 an den 19. Erwägungsgrund der Datenschutzrichtlinie an, wonach eine Niederlassung die effektive
 und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraussetze. 
Es hielt jedoch den Vortrag zur Ausübung einer solchen Tätigkeit durch die Facebook Ireland Ltd. 
für nicht ausreichend. Maßgeblich sei nach Art. 2 lit. d DS-RL nicht die rechtliche Entscheidungsbefugnis
, sondern die tatsächliche Entscheidungsmacht. Die rechtliche Entscheidungsbefugnis der 
Facebook Ireland Ltd. werde durch die tatsächliche Entscheidungsbefugnis von Facebook Inc. (das 
heißt durch die gesellschaftsrechtliche Stellung der Facebook Inc. gegenüber der Facebook Ireland 
Ltd. als deren hundertprozentiger Tochtergesellschaft) verdrängt. Eine eigenverantwortliche Datenverarbeitung
 der Facebook Ireland Ltd. scheide daher aus. 

4.2. Schleswig-Holsteinisches Oberverwaltungsgericht 

Das Schleswig-Holsteinische Oberverwaltungsgericht hat hingegen im Ergebnis eine Anwendbarkeit 
des deutschen Datenschutzrechts auf Facebook gemäß § 1 Abs. 5 S. 1, 1. HS BDSG verneint.18 
Nach dieser Regelung findet das Bundesdatenschutzgesetz keine Anwendung, sofern eine in einem
 anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des EWR belegene verantwortliche
 Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Eine solche 
Stelle ist nach der Auffassung des Gerichts Facebook Ireland Ltd. So sei Facebook Ireland Ltd. eine 
Niederlassung im Sinne des 19. Erwägungsgrundes der Datenschutzrichtlinie. Danach könne nur 

                                     

14 OVG Schleswig-Holstein, ZD 2013, 364 ff. 

15 EuGH, EuZW 2014, 541 ff. 

16 Siehe Beyvers/Herbrich, Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook, ZD 2014, 
558 (559 ff.). 

17 KG Berlin, ZD 2014, 412 (415), dort zum Folgenden. 

18 OVG Schleswig-Holstein, ZD 2013, 364 (365 f.). 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 138/15 

Seite 7 

dann nicht von einer Niederlassung in diesem Sinne ausgegangen werden, wenn an dem Standort
 keine menschliche Tätigkeit stattfinde, also nur ferngesteuerte EDV-Systeme wie zum Beispiel 
Server, vorhanden seien. Das Gericht führt weiter aus, es sei jedoch eine andere Frage, ob eine 
Niederlassung auch eine verantwortliche Stelle im Sinne des § 1 Abs. 5 S. 1, 1. HS BDSG bzw. 
Art. 4 Abs. 1 lit. a DS-RL sei bzw. ob eine Niederlassung die hier relevanten personenbezogenen 
Daten erhebe, verarbeite oder nutze. Dies bejaht das Gericht in Hinblick auf Facebook Ireland Ltd. 
im Ergebnis unter Bezugnahme auf Dokumente des Hamburgischen und des Irischen Datenschutzbeauftragten
 sowie auf das „Data Transfer and Processing Agreement“ zwischen Facebook Inc. und 
Facebook Ireland Ltd. 

Die Voraussetzungen für die Rückausnahme in § 1 Abs. 5 S. 1, 2. HS BDSG, nach der in einer 
derartigen Konstellation das Bundesdatenschutzgesetz Anwendung findet, wenn die Datenerhebung
, -verarbeitung oder -nutzung durch eine Niederlassung im Inland erfolgt, lagen aus Sicht des 
Gerichts nicht vor. Facebook Germany GmbH sei ausschließlich im Bereich der Anzeigenakquise 
und des Marketings tätig und operiere unter der Kontrolle von Facebook Ireland Ltd., so dass § 1 
Abs. 5 S. 1, 2. HS BDSG nicht eingreife. 

4.3. Europäischer Gerichtshof 

Schließlich enthält auch die Entscheidung des Europäischen Gerichtshofs zum Löschungsanspruch 
gegen Google Aussagen zum datenschutzrechtlichen Niederlassungsbegriff.19 Unstreitig war in dem 
Fall, dass Google Spain SL eine Niederlassung im Sinne des Art. 4 Abs. 1 lit. a DS-RL darstellt. Im 
Fokus stand vielmehr die Frage, ob auch eine Datenverarbeitung „im Rahmen der Tätigkeiten“ 
dieser Niederlassung im Sinne der Datenschutzrichtlinie erfolgt. Dies hat das Gericht bejaht und 
die Betätigung der Google Spain SL im Bereich des Verkaufs von Werbeflächen der Suchmaschine 
als relevante Tätigkeit im Sinne des Art. 4 Abs. 1 lit. a DS-RL angesehen.20 

Die Werbetätigkeit von Google Spain SL sei aufgrund ihrer Bedeutung für das Suchmaschinenangebot
 untrennbar mit den Tätigkeiten des Suchmaschinenbetreibers Google Inc. verbunden, so 
dass eine Datenverarbeitung für den Suchmaschinendienst auch „im Rahmen der Tätigkeiten“ 
von Google Spain SL stattfinde. Außerdem fordere Art. 4 Abs. 1 lit. a DS-RL nicht, dass die Verarbeitung
 personenbezogener Daten „von“ der betreffenden Niederlassung ausgeführt wird, 
sondern lediglich, dass sie „im Rahmen der Tätigkeiten“ der Niederlassung ausgeführt wird. 
Auch dürfe die Formulierung in Art. 4 Abs. 1 lit. a DS-RL aufgrund des Ziels der Datenschutzrichtlinie
 – der Gewährleistung eines wirksamen und umfassenden Schutzes insbesondere des 
Rechts auf Privatleben – nicht eng ausgelegt werden. 

 
 

  

 

                                     

19 EuGH, EuZW 2014, 541 (544 f.). 

20 Hierzu Beyvers/Herbrich, Das Niederlassungsprinzip im Datenschutzrecht – am Beispiel von Facebook, ZD 
2014, 558 (560).