X
Digital
Datenschutz International

DSGVO weltweit?

Die Regelungen zum räumlichen Anwendungsbereich der DSGVO zeigen, dass das EU-Datenschutzrecht bei Weitem nicht auf reine Unions-Sachverhalte beschränkt ist. Hilfestellungen bei der Beantwortung der Frage nach der Geltung der DSGVO für Verantwortliche, Auftragsverarbeiter bzw Betroffene in- und außerhalb der EU bieten die unlängst veröffentlichen Guidelines 3/2018 des Europäischen Datenschutzausschuss (EDSA).

Art 3 DSGVO zum räumlichen Anwendungsbereich

Die DSGVO ist gem deren Art 3 grundsätzlich in drei Konstellationen räumlich anwendbar. Die erste Konstellation stellt auf den Ort der Niederlassung des Verantwortlichen oder Auftragsverarbeiters ab, die zweite auf den Aufenthalt betroffener Personen in der EU, die dritte auf eine völkerrechtliche Anknüpfung.

Anknüpfung an Datenverarbeitung bei einer EU-Niederlassung

Nach der ersten Konstellation ist die DSGVO anzuwenden auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

Zunächst ist somit erforderlich, dass eine „Niederlassung“ vorliegt: Dafür setzt ErwG 22 DSGVO die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus, während die Rechtsform nicht ausschlaggebend ist. Nach den Guidelines 3/2018 kann auch ein einziger Mitarbeiter ausreichen, um das Niederlassungserfordernis zu begründen (European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR (Art 3) – Version for public consultation, angenommen am 16.11.2018, 5).

Erforderlich ist aber auch, dass die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer solchen Niederlassung erfolgt. Der Ort der Verarbeitung selbst ist dagegen ebenso wenig von Relevanz wie jener des Aufenthalts betroffener Personen (European Data Protection Board, Guidelines, 8f). Insbesondere muss auch die Verarbeitung nicht durch die EU‑Niederlassung selbst erfolgen; nach Ansicht des EDSA ist aber zu prüfen, ob es eine untrennbare Verbindung („inextricable link“) zwischen den Tätigkeiten der EU‑Niederlassung und der Verarbeitung durch den Verantwortlichen oder Auftragsverarbeiter im Drittstaat gibt (European Data Protection Board, Guidelines, 6f). Als Beispiel wird etwa eine E‑Commerce‑Website angeführt, die von einem Unternehmen in China betrieben wird: Sämtliche Datenverarbeitungstätigkeiten werden ausschließlich in China durchgeführt, allerdings ist in Berlin ein Büro für Markterschließung und Marketingkampagnen im Hinblick auf EU-Märkte etabliert: In diesem Fall soll die geforderte untrennbare Verbindung insoweit bestehen, als die Markterschließung und Marketingkampagne im Hinblick auf EU-Märkte der Rentabilität des über die Website angebotenen Services dient (European Data Protection Board, Guidelines, 7).

Der EDSA hält fest, dass ein Auftragsverarbeiter in der EU nicht als Niederlassung des Drittstaats-Verantwortlichen im Sinn von Art 3 Abs 1 DSGVO zu verstehen sein soll, widrigenfalls schon die bloße Heranziehung eines EU‑Auftragsverarbeiters die Anwendbarkeit der DSGVO im Hinblick auf den Verantwortlichen nach sich ziehen würde; nichtsdestotrotz müsse ein EU‑Auftragsverarbeiter die DSGVO‑Vorgaben an Auftragsverarbeiter erfüllen (European Data Protection Board, Guidelines, 9). Im umgekehrten Fall, nämlich dass ein EU‑Verantwortlicher einen Auftragsverarbeiter wählt, der nicht der DSGVO unterliegt, müsse er aber dennoch sicherstellen, dass der Auftragsverarbeiter die spezifischen Verpflichtungen im Sinn von Art 28 DSGVO einhält (European Data Protection Board, Guidelines, 9f).

Anknüpfung an Datenverarbeitung von Betroffenen in der EU

In folgenden zwei Fällen gilt die DSGVO nach deren Art 3 Abs 2 auch, wenn personenbezogene Daten von betroffenen Personen verarbeitet werden, die sich in der Union befinden, der Verantwortliche oder Auftragsverarbeiter aber nicht in der Union niedergelassen ist: Die Datenverarbeitung steht entweder in Zusammenhang damit, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder damit, das Verhalten betroffener Personen zu beobachten.

Nach richtiger Ansicht des EDSA kommt es für beide Varianten zunächst auf den Aufenthalt der betroffenen Personen in der EU an (European Data Protection Board, Guidelines, 13). Nach Literaturmeinungen reicht ein bloß flüchtiger oder vorübergehender Aufenthalt in der Union: Erfasst wären demnach auch etwa Touristen oder bloß Durchreisende (Vgl Uecker, Extraterritorialer Anwendungsbereich der DS-GVO, ZD 2/2019, 67). Wesentlich ist, dass der Unionsaufenthalt in dem Moment vorliegen muss, in dem das jeweils auslösende Moment stattfindet, also entweder das Anbieten von Waren oder Dienstleistungen oder die Verhaltensbeobachtung (European Data Protection Board, Guidelines, 13).

Erster Fall: Anbieten von Waren oder Dienstleistungen

Die Verarbeitung personenbezogener Daten von Betroffenen in der EU muss nach Art 3 Abs 2 lit a DSGVO in Zusammenhang damit stehen, diesen Betroffenen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. Nach Ansicht des EDSA ist auch das Anbieten von Diensten der Informationsgesellschaft umfasst (European Data Protection Board, Guidelines, 14).

Wesentlich ist nach ErwG 23 DSGVO, festzustellen, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedsstaaten der Union Dienstleistungen anzubieten: Die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines EU-Vermittlers, einer E-Mail-Adresse, anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Niederlassungsstaat des Verantwortlichen allgemein gebräuchlich ist, seien kein ausreichender Anhaltspunkt; sehr wohl könnten hingegen etwa die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, auf die geforderte Absicht des Verantwortlichen hindeuten.

Hinsichtlich des geforderten Zusammenhangs zwischen der Datenverarbeitung und dem Anbieten von Waren oder Dienstleistungen seien nach Ansicht des EDSA sowohl direkte als auch indirekte Zusammenhänge zu berücksichtigen (European Data Protection Board, Guidelines, 15); dazu, worin diese Zusammenhänge bestehen können, wird in den Guidelines jedoch nichts näher ausgeführt. In der Literatur findet sich etwa der Hinweis, dass auch Datenverarbeitungen zu erfassen sein können, die einem Angebot in zeitlicher Hinsicht vor- oder nachgelagert sind, wie etwa die Datenverarbeitung in Zusammenhang mit der Bestellung von Werbe- oder Informationsmaterial von einer Hotel-Website (Klar, DS-GVO², Art 3 Rz 69).

Der EDSA nennt aber folgende Faktoren, die (neben anderen) zu berücksichtigen wären, um festzustellen, ob Waren oder Dienstleistungen an Betroffene in der Union angeboten werden (wobei stets eine Einzelfallanalyse durchzuführen wäre):

  • Nennung der EU oder zumindest eines Mitgliedsstaats in Zusammenhang mit den angebotenen Waren oder Dienstleistungen;
  • Bezahlung von Suchmaschinenbetreibern in Zusammenhang mit einem Internetreferenzierungsdienst, um den Zugang für Kunden in der Union zu erleichtern bzw Lancieren von Marketing- oder Werbekampagnen, die an das Publikum eines EU-Staats gerichtet sind;
  • internationale Natur der relevanten Tätigkeit, etwa im Bereich Tourismus;
  • Erwähnung bestimmter Adressen oder Telefonnummern, die von einem Mitgliedsstaat aus erreicht werden können;
  • Verwendung einer Top-Level-Domain, die von jener des Drittstaats abweicht, in dem der Verantwortliche oder Auftragsverarbeiter niedergelassen ist;
  • Anfahrtsbeschreibungen von einem oder mehreren Mitgliedsstaaten;
  • Erwähnung internationaler Kunden, die aus verschiedenen Unionsstaaten stammen;
  • Verwendung einer Sprache oder Währung, die grundsätzlich von jener des Anbieters abweicht;
  • Angebot, direkt in EU-Mitgliedsstaaten zu senden (European Data Protection Board, Guidelines, 15f).

Zweiter Fall: Beobachtung des Verhaltens Betroffener

Wenn die Verarbeitung personenbezogener Daten betroffener Personen in der EU in Zusammenhang damit steht, das Verhalten der betroffenen Personen zu beobachten, soweit es in der EU erfolgt, ist der Fall des Art 3 Abs 2 lit b DSGVO erfüllt. Das beobachtete Verhalten muss sich somit auf eine Person in der EU beziehen, muss aber zusätzlich auch in der EU stattfinden (European Data Protection Board, Guidelines, 17).

Nach ErwG 24 DSGVO sollte die Frage, ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Der EDSA erachtet auch Tracking in Zusammenhang mit anderen Netzwerktypen oder Technologien, das die Verarbeitung personenbezogener Daten einschließt, als relevant, etwa in Zusammenhang mit tragbaren bzw „smarten“ Geräten (European Data Protection Board, Guidelines, 17f).

Anders als für den Fall des Art 3 Abs 2 lit a DSGVO im Hinblick auf das Anbieten von Waren oder Dienstleistungen fordert Art 3 Abs 2 lit b DSGVO nicht, dass auf Verhaltensbeobachtung „abgezielt“ wird; jedoch impliziert nach Ansicht des EDSA bereits die Verwendung des Wortes „beobachten“, dass der Verantwortliche einen bestimmten Zweck vor Augen hat, warum er personenbezogene Daten über das Verhalten eines Betroffenen in der EU sammelt und verwendet; nicht jede (Online-)Sammlung oder Analyse personenbezogener Daten Betroffener in der EU sei jedoch automatisch ein „Beobachten“ (European Data Protection Board, Guidelines, 18). Einer Sichtweise in der Literatur zufolge kommt es lediglich auf die objektive Eignung der Datenverarbeitung (für Zwecke des Trackings und Profilings) an, nicht jedoch auf die Motivation des Verantwortlichen oder Auftragsverarbeiters (Klar in Kühling/Buchner, DS-GVO², Art 3 Rz 96f). Immerhin aber wird an anderer Stelle in einem ersten Schritt ein aktives Verhalten des Verantwortlichen oder Auftragsverarbeiters in dem Sinne gefordert, dass bewusst und gewollt entsprechende Vorkehrungen getroffen werden, um das Verhalten Betroffener zu beobachten (Piltz in Gola, DS-GVO, Art 3 Rz 31).

Art 3 Abs 2 lit b DSGVO kann nach Ansicht des EDSA ein breites Spektrum an Beobachtungstätigkeiten umfassen, insbesondere folgende:

  • verhaltensbasierte Werbung;
  • Aktivitäten im Zusammenhang mit Geolokalisation, insbesondere für Marketingzwecke;
  • Online-Tracking durch Verwendung von Cookies oder anderer Trackingtechniken;
  • personalisierte Online-Services zur Diät- und Gesundheitsanalyse;
  • Videoüberwachung;
  • Marktstudien auf Basis individueller Profile;
  • Beobachtung oder regelmäßiges Reporting im Hinblick auf den Gesundheitszustand von Personen (European Data Protection Board, Guidelines, 18).

Anknüpfung an das Völkerrecht

Die letzte Variante des räumlichen Anwendungsbereichs der DSGVO betrifft die Verarbeitung personenbezogener Daten durch einen Verantwortlichen im EU-Ausland, der aufgrund Völkerrechts dem Recht eines Mitgliedsstaats unterliegt. Von dieser Variante sind etwa diplomatische oder konsularische Vertretungen von Mitgliedsstaaten erfasst.

Conclusio

In vielen Fällen wird die DSGVO für Verantwortliche bzw Auftragsverarbeiter in Drittstaaten schon deshalb anwendbar sein, weil eine EU-Niederlassung existiert, im Rahmen deren Tätigkeiten eine entsprechende Verarbeitung personenbezogener Daten erfolgt, zumal die Anforderungen an eine „Niederlassung“ denkbar gering sind und es nicht erforderlich ist, dass die EU-Niederlassung die relevante Datenverarbeitung selbst durchführt. Existiert keine Niederlassung im Unionsgebiet, wird – gleichsam als Faustregel – einerseits zu prüfen sein, ob eine Datenverarbeitungstätigkeit ausgeübt wird, die mit dem (auch) auf den EU-Markt ausgerichteten Anbieten von Waren und Dienstleistungen in Zusammenhang steht. Soweit andererseits die Variante der Verhaltensbeobachtung Betroffener in der EU als Anknüpfungspunkt infrage kommt, ist insbesondere zu prüfen, was der Zweck der relevanten Verarbeitung ist bzw ob diese zur Beobachtung Betroffener geeignet ist.