Praxishandbuch DSGVO. Tobias Rothkegel
A.A. wohl Gola/Gola, Art. 2 DSGVO Rn. 22; a.A. auch Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 19; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 28. 35 Zudem wird der Anbieter häufig weder von der Existenz solcher Daten noch von deren Inhalt Kenntnis haben, so dass er im Hinblick auf solche Daten schon nicht in der Lage ist, einen Zweck festzulegen. Viele Pflichten des Verantwortlichen setzen zumindest eine Kenntnis der Existenz personenbezogener Daten voraus, so zum Beispiel die Informationspflichten in Art. 14 DSGVO. 36 In Erwägungsgrund 47 DSRL wurde dies für den Anbieter eines Telekommunikationsdienstes, der eine Nachricht mit personenbezogenen Daten übermittelt, ebenfalls so festgestellt. An den dahinter liegenden Überlegungen dürfte sich nichts geändert haben. 37 Spindler/Schuster/Spindler/Dalby, Art. 2 DSGVO Rn. 6; Auernhammer/v. Lewinsky, Art. 2 DSGVO Rn. 25; a.A. BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 23.
III. Räumlicher Anwendungsbereich, Art. 3 DSGVO
34
Art. 3 DSGVO bestimmt, wann Verarbeitungsvorgänge vom räumlichen Anwendungsbereich der Verordnung erfasst sind.
35
Abgesehen von Art. 3 Abs. 3 DSGVO ist der Ort der Datenverarbeitung als solcher für die Eröffnung des räumlichen Anwendungsbereichs nicht relevant.38 Somit kann jeder Datenverarbeitungsvorgang weltweit im räumlichen Anwendungsbereich der Verordnung liegen.
Praxishinweis
Wie im Folgenden aufgezeigt wird, ist der räumliche Anwendungsbereich der Verordnung sehr weit. Selbst eine Verarbeitung von Daten, die außerhalb der EU vorgenommen wird und Personen betrifft, die keinem Mitgliedstaat der EU angehören, kann dem europäischen Datenschutzrecht unterliegen. Ist der Verantwortliche in der EU niedergelassen, gilt dies unter Umständen sogar dann, wenn sich die betroffenen Personen dauerhaft außerhalb der EU befinden.
1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO
36
Nach Art. 3 Abs. 1 DSGVO findet die Verordnung räumlich Anwendung auf die Verarbeitung personenbezogener Daten, „soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftraggebers in der Union erfolgt, unabhängig davon, ob die Verarbeitung tatsächlich in der Union stattfindet“ (Niederlassungsprinzip).
37
Das europäische Datenschutzrecht hat einen eigenen Begriff der Niederlassung, der sich z.B. von den in Art. 49 AEUV, § 13 HBG oder § 4 Abs. 3 GewO verwendeten Begriffen unterscheidet. Nach Erwägungsgrund 22 DSGVO setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist nach diesem Erwägungsgrund nicht ausschlaggebend.
a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen
38
In Bezug auf die Niederlassung eines Verantwortlichen weisen der Wortlaut des Art. 3 Abs. 1 DSGVO und der Wortlaut der Vorgängerregelung in Art. 4 Abs. 1 lit. a DSRL ebenso wie die entsprechenden Erwägungsgründe große Ähnlichkeiten auf.
39
Angesichts dieser Parallelen dürfte die Rechtsprechung des EuGH zum Begriff der Niederlassung in der Richtlinie auch für die DSGVO weiterhin Bedeutung haben.39 Zuletzt hat der EuGH im Fall „Weltimmo“ die Grenzen dieses Begriffs ausgedehnt und eine sehr niedrige Schwelle für das Eingreifen des Niederlassungsprinzips angelegt. Nach dieser Entscheidung kann schon das Betreiben einer Webseite in der Sprache eines Mitgliedstaates mit auf den Mitgliedstaat bezogenen Angeboten als „effektive und tatsächliche Ausübung einer Tätigkeit“ eines Unternehmens in dem Mitgliedstaat angesehen werden. Und ein einziger Vertreter des Unternehmens in diesem Mitgliedstaat, der im Zusammenhang mit der Website tätig wird, kann eine „feste Einrichtung“ des Unternehmens sein.40 Lediglich vorübergehend verortete Einrichtungen, wie z.B. Messestände, reichen hingegen nicht aus. Auch die Beauftragung eines Auftragsverarbeiters in der Union lässt keine Niederlassung des Verantwortlichen entstehen.41
Praxishinweis
Es reichen bereits sehr geringe Aktivitäten in einem Mitgliedstaat der EU, um eine Niederlassung des Verantwortlichen im Sinne der Verordnung entstehen zu lassen. Der Umstand, dass keine Tochtergesellschaften oder Zweigniederlassungen in der EU existieren, schließt die Anwendbarkeit der Verordnung nicht aus.
40
Liegt eine Niederlassung in der EU vor, ist weiterhin zu prüfen, ob die jeweilige Verarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt.
41
Dies ist in der Regel unschwer zu bejahen, wenn die in Betracht gezogene Niederlassung in der EU zugleich der satzungsmäßige Sitz des Verantwortlichen ist (bzw. bei einer Einzelperson der Geschäfts- oder Wohnsitz). Denn mit Ausnahme von reinen Briefkastenfirmen ist der Sitz des Verantwortlichen in der Regel eine Niederlassung, an der sich eine Tätigkeit festmachen lässt, im Rahmen derer die Datenverarbeitung durch den Verantwortlichen erfolgt.
42
Die Datenverarbeitung erfolgt auch stets dann im Rahmen der Tätigkeit einer Niederlassung, wenn die Niederlassung an der betrachteten Datenverarbeitung direkt beteiligt ist.
43
Schwieriger ist die Prüfung dieses Merkmals in Fällen, in denen der Sitz des Verantwortlichen in einem Drittstaat liegt und keine Niederlassung in der EU an der Datenverarbeitung direkt beteiligt ist. Diese Konstellation liegt in der Praxis insbesondere bei über das Internet aus einem Drittland angebotenen Dienstleistungen vor. Solche Fälle waren während der Geltungsdauer der Richtlinie lange umstritten. Der EuGH hatte in der Entscheidung „Google-Spain“ jedoch klargestellt, dass eine Verarbeitung durch die Niederlassung selbst nicht erforderlich ist und es schon ausreicht, wenn die Niederlassung mit ihrer Tätigkeit in einem Mitgliedstaat zur Rentabilität der betrachteten Datenverarbeitung beiträgt.42 Dies begründet nach Ansicht des EuGH eine „untrennbare Verbindung“ zwischen der Tätigkeit der Niederlassung und der betrachteten Datenverarbeitung, was dazu führt, dass die Datenverarbeitung im Rahmen dieser Tätigkeit erfolgt.43 Seit dieser Entscheidung fielen eine Vielzahl zuvor strittiger Szenarien klar in den räumlichen Anwendungsbereich der Richtlinie. Aufgrund der Parallelen zur Richtlinie kann auch im Rahmen der Verordnung auf diese Rechtsprechung des EuGH zurückgegriffen werden. Dagegen ließe sich zwar einwenden, dass mit der Einführung des Marktortprinzips durch Art. 3 Abs. 2 ein wesentlicher Grund für die extensive und flexible Auslegung der Vorgängerregelung durch den EuGH weggefallen ist. An dem Ansatz des EuGH, zur Gewährleistung eines wirksamen und umfassenden Schutzes des Rechts auf Privatleben eine weite Auslegung der Vorschriften zur Anwendbarkeit vorzunehmen, hat dies jedoch nichts geändert.44
b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters
44
Die Bezugnahme auf den Auftragsverarbeiter zur Eröffnung des Anwendungsbereichs des Datenschutzrechts ist neu. Es ist fraglich, inwieweit sich das oben beschriebene Verständnis des Begriffs der „Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen“ auf den Auftragsverarbeiter übertragen lässt.
45
Dieses Begriffsverständnis,