Praxishandbuch DSGVO. Tobias Rothkegel
erscheinende Folge, dass Unternehmen, die keine Niederlassung in der EU haben und ihren Internetdienst ausschließlich an Personen außerhalb der EU richten und diesen zudem auf Servern außerhalb der EU betreiben, dennoch in den räumlichen Anwendungsbereich der Verordnung fallen können, wenn Nutzer aus der EU auf diesen Dienst zugreifen und der Dienst auf Verhaltensprofilen basierte Personalisierungsfunktionen anbietet.
c) Betroffene Person in der EU
72
Für die Eröffnung des räumlichen Anwendungsbereichs nach Art. 3 Abs. 2 lit. a oder lit. b DSGVO ist es zudem erforderlich, dass sich die betroffene Person, deren Daten verarbeitet werden, in der EU befindet. Die Staatsangehörigkeit der Person ist irrelevant. Das Gleiche gilt für ihren Wohnsitz. Zwar wurde in der Entwurfsphase der Verordnung noch darauf abgestellt, wo die Person ansässig ist. Dies wurde jedoch für die Endfassung nicht übernommen. Entscheidend ist vielmehr der tatsächliche Aufenthaltsort der betroffenen Person.66
73
Ob sich eine betroffene Person in der EU aufhält oder nicht, ist eine Frage der Tatsachen. Damit ist diese Voraussetzung des Art. 3 Abs. 2 DSGVO zunächst rein deskriptiver Natur. Allerdings werden die Zeiträume des Aufenthalts einer Person in der EU und der Zeitraum der Verarbeitung der Daten dieser Person in vielen Fällen auseinanderfallen, so dass fraglich ist, wie mit einem solchen Auseinanderfallen umzugehen ist.
74
Unter anderem wird hierzu vertreten, dass der jeweilige Zeitpunkt der Verarbeitung auch der relevante Zeitpunkt für die Bestimmung des Aufenthaltsortes und damit des räumlichen Anwendungsbereichs sei.67 Dies führt zu willkürlichen Ergebnissen. Einerseits erscheint es im Interesse des effektiven Schutzes der Person nicht angemessen, dass bei der Datenverarbeitung zum Beispiel für die Dauer eines Aufenthaltes in einem Drittland nicht mehr die Vorschriften der Verordnung zu beachten sind.68 Andererseits erscheint es im Interesse der Vorhersehbarkeit der Anwendbarkeit der Verordnung nicht angemessen, dass umgekehrt die Verarbeitung der Daten einer Person aus dem außereuropäischen Ausland für die Dauer eines kurzen Aufenthaltes in einem EU-Mitgliedstaat der Verordnung unterliegt.
75
Auch ein Abstellen auf den Zeitpunkt der Erhebung der Daten während des Aufenthalts in der EU führt zu derart willkürlichen Szenarien.69 Das gleiche gilt für den Vorschlag des Europäischen Datenschutzausschusses, auf den Zeitpunkt der Unterbreitung des Angebots bzw. der Beobachtung abzustellen.70
76
Bei wechselnden Aufenthaltsorten der betroffenen Person innerhalb und außerhalb der EU erscheint vielmehr eine wertende Betrachtung angebracht, die frühestens beginnend mit dem erstmaligen Aufenthalt der Person in der EU so lange von einer Anwendbarkeit der Verordnung ausgeht, wie der Schwerpunkt des Aufenthalts der Person in der EU liegt.
3. Räumlicher Anwendungsbereich bei mehreren Beteiligten
77
Die Eröffnung des räumlichen Anwendungsbereichs ist für den Verantwortlichen und seinen Auftragsverarbeiter separat zu prüfen. Dies kann dazu führen, dass derselbe Verarbeitungsvorgang vom Verantwortlichen innerhalb des räumlichen Anwendungsbereichs vorgenommen wird, während der Auftragsverarbeiter diese Verarbeitung außerhalb des räumlichen Anwendungsbereichs durchführt, und umgekehrt.71 Ein solches Auseinanderfallen ist ebenfalls denkbar, wenn es sich bei den Beteiligten um gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO handelt.
Praxishinweis
Der Feststellung des Auseinanderfallens des räumlichen Anwendungsbereichs der DSGVO bei mehreren Stellen, die an derselben Datenverarbeitung beteiligt sind, sollte eine sorgfältige Prüfung vorausgehen. Auch wenn ein Beteiligter nicht in der EU niedergelassen ist, vermag seine Kooperation mit in der EU niedergelassenen Stellen einen territorialen Bezug zur EU zu begründen, der unter Art. 3 Abs. 2 DSGVO fällt.
78
Fällt der räumliche Anwendungsbereich bei mehreren Beteiligten auseinander, stellen sich einige Fragen im Hinblick auf die datenschutzrechtlichen Pflichten, die die einzelnen Beteiligten treffen.72
79
Ist der räumliche Anwendungsbereich für den Verantwortlichen eröffnet, für seinen Auftragsverarbeiter jedoch nicht, sind die Abweichungen im Verhältnis zu der Situation, in der die DSGVO für beide anwendbar ist, dadurch abgemildert, dass der Verantwortliche jeden Auftragsverarbeiter gemäß Art 28 Abs. 3 DSGVO vertraglich umfangreich datenschutzrechtlich verpflichten muss. Zudem ist es in solchen Fällen wahrscheinlich, dass auch die Vorschriften zum internationalen Datenverkehr aus Kapitel V der DSGVO zur Anwendung kommen.73
80
Ist die Situation umgekehrt, ist also der Auftragsverarbeiter im und der Verantwortliche außerhalb des Anwendungsbereichs, ergeben sich erhebliche Abweichungen. Zwar dürfte die Pflicht zum Abschluss eines Vertrages nach Art. 28 DSGVO den Auftragsverarbeiter grundsätzlich treffen. Dieser Vertrag muss aber nicht diejenigen Pflichten enthalten, die offensichtlich von der Anwendbarkeit der DSGVO auf den Verantwortlichen abhängen, wie z.B. die Pflicht zur Unterstützung der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nach Art. 28 Abs. 3 lit. e DSGVO, da Betroffenenrechte gegenüber dem Verantwortlichen in einem solchen Fall nicht existieren. Letztlich ist in einem solchen Fall jede Pflicht, die den Auftragsverarbeiter trifft, dahingehend zu prüfen, ob sie von der Anwendbarkeit der DSGVO auf den Verantwortlichen abhängig ist oder in sonstiger Weise geprägt wird. Damit ist eine erhebliche Rechtsunsicherheit für den Auftragsverarbeiter verbunden. Besonders prägnant ist diese Unsicherheit im Hinblick auf die Pflichten aus Kapitel V der DSGVO. Stellt die weisungsgemäße Übermittlung personenbezogener Daten an den im Drittland ansässigen Verantwortlichen für den in der EU niedergelassenen Auftragsverarbeiter eine Drittlandübermittlung im Sinne des Kapitel V dar? Dies erscheint kaum interessengerecht, wird aber vertreten.74
4. Räumliche Reichweite der Betroffenenrechte
81
Vom räumlichen Anwendungsbereich der DSGVO ist die räumliche Reichweite der Betroffenenrechte zu unterscheiden. Zumindest für das Recht auf Vergessenwerden nach Art. 17 DGSVO im Verhältnis zum Betreiber einer Suchmaschine hat der EuGH – unter anderem gestützt auf die Erwägungsgründe 10, 11 und 13 – festgestellt, dass der Unionsgesetzgeber diesem Recht keine Reichweite verliehen hat, die über das Gebiet der Union hinausgeht.75
Praxishinweis
Die Auswirkungen dieser Rechtsprechung des EuGH in der Praxis sind nur schwer greifbar. Sie erscheinen zumindest in Fällen erwägenswert, in denen die grundsätzlich denkbare exterritoriale Wirkung der DSGVO augenscheinlich dem völkerrechtlichen Prinzip der Nichteinmischung zuwiderläuft.
5. Geltung der DSGVO im EWR
82
Mit Beschluss des EWR-Ausschusses wurde die DSGVO in das EWR-Abkommen aufgenommen und die DSRL gelöscht. Die DSGVO wirkt seit Inkrafttreten des Beschlusses am 20.7.2018 gemäß Art. 7 EWR-Abkommen in Island, Liechtenstein und Norwegen verbindlich als innerstaatliches Recht wie in den Mitgliedstaaten der EU. Der Beschluss nimmt eine Reihe notwendiger Anpassungen und Klarstellungen der DSGVO für die EFTA-Staaten vor. Unter anderem sieht er vor, dass die Aufsichtsbehörden der EFTA-Staaten zwar an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen, sie haben jedoch kein Stimmrecht und sind nicht für den Vorsitz wählbar. Es wird zudem klargestellt, dass die Ausdrücke „Mitgliedstaat“ und „Aufsichtsbehörde“ neben ihrer Bedeutung in der DSGVO auch die EFTA-Staaten