DSGVO - BDSG - TTDSG. Группа авторов
europäischen Datenschutzrechts erfasst werden. Eine darüber hinausgehende Begründung exterritorialer Anwendbarkeit der DSGVO war aber gerade nicht bezweckt.37 Eine exterritoriale Anwendbarkeit der DSGVO würde zudem im Konflikt mit dem völkerrechtlichen Verbot exterritorialer Herrschaftsausübung stehen,38 indem ein Sachverhalt geregelt würde, der keine inhaltliche Verbindung zum Territorium der Union hat. Art. 3 Abs. 1 DSGVO ist daher so auszulegen, dass eine Verletzung des Territorialitätsgrundsatzes vermieden wird, indem nur die Pflichten des Auftragsverarbeiters in der Union in den Anwendungsbereich der DSGVO fallen. Diese Auslegung entspricht zudem dem kollisionsrechtlichen Grundsatz der Vermeidung von Anwendungskonflikten.39 Würde die Anwendbarkeit der DSGVO auf diese Fälle erstreckt, wären Anwendungskonflikte mit dem lokalen und sachnäheren Datenschutzrecht des Orts der Niederlassung des Verantwortlichen vorprogrammiert.
15
Gegen die exterritoriale Anwendbarkeit spricht auch die fehlende Pflicht zur Bestimmung eines Inlandsvertreters gemäß Art. 27 Abs. 1 DSGVO, die in diesem Fall für den Verantwortlichen gerade nicht besteht. Nur in den Fällen des Art. 3 Abs. 2 DSGVO muss der Verantwortliche in einem Drittland diesen nämlich bestellen.40 Der Inlandsvertreter ist gemäß Art. 27 Abs. 4 DSGVO Anlaufstelle für die Aufsichtsbehörden in Fragen der Durchsetzung der DSGVO gegen Verantwortliche in Drittstaaten. Die fehlende Pflicht zur Bestellung des Inlandsvertreters ist ein klares Indiz, das gegen den inhaltlichen Geltungsanspruch des Datenschutzrechts spricht. Für die hier vertretene Auslegung spricht zudem die Reichweite des europäischen Grundrechtsschutzes, der gemäß Art. 1 Abs. 2 DSGVO zentrale Zweckbestimmung der DSGVO ist (siehe Art. 2 Rn. 13ff.). Der Grundrechtsschutz ergibt sich im Wesentlichen aus der GRCh. Betroffene außerhalb der Union können sich auf europäische Grundrechte jedoch nicht berufen, wenn der Sachverhalt keine direkte Verbindung zum Territorium der Union hat.41 In dem Beispiel der Verarbeitung personenbezogener Daten von Personen ohne inhaltlichen Bezug zur Union könnten diese sich nicht auf den europäischen Grundrechtsschutz berufen. In diesem Beispiel und ähnlich gelagerten Fällen spricht die Zweckbestimmung der DSGVO gegen ihre exterritoriale Anwendung.
III. Verarbeitung ohne Niederlassung in der Union (Abs. 2)
16
Die DSGVO findet für die Verarbeitung personenbezogener Daten unter den Voraussetzungen gemäß Art. 3 Abs. 2 DSGVO auch auf Verantwortliche und Auftragsverarbeiter Anwendung, die keine Niederlassung in der Union haben (sog. Marktortprinzip). Die Anknüpfung an den Marktort zur kollisionsrechtlichen Bestimmung des anwendbaren Datenschutzrechts ist ein Novum des europäischen Datenschutzrechts, das zu einer erheblichen Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts führt. Die DSRl sah statt der Anknüpfung an den Marktort ein strenges Territorialitätsprinzip vor.42 Verantwortliche außerhalb der Union, die keine Niederlassung in der Union hatten, fielen nur bei der Nutzung von automatisierten oder nicht automatisierten Mitteln in der Union in den Anwendungsbereich des europäischen Datenschutzrechts (vgl. Art. 4 Abs. 1 lit. c DSRl).43 Mit dem Marktortprinzip wird sichergestellt, dass Unternehmen, die keine Niederlassung in der Union haben und dennoch am europäischen Binnenmarkt teilnehmen, an die Anforderungen des europäischen Datenschutzrechts gebunden sind.44
1. Völkerrechtliches Verbot exterritorialer Wirkung
17
Aufgrund des völkerrechtlichen Verbots der exterritorialen Wirkung staatlichen Handelns45 muss die Erstreckung des Anwendungsbereichs der DSGVO für Verantwortliche außerhalb der Union auf Fälle eingeschränkt werden, die eine unmittelbare Verbindung zum Territorium der Union haben. Diese Voraussetzung ist erfüllt, wenn Personen betroffen sind, die sich in der Union befinden.46 Hinreichend ist der jedenfalls vorübergehende Aufenthalt in der Union, ohne dass es auf den Wohnsitz ankommt.47 Der Schutz der DSGVO erstreckt sich also auf Unionsbürger, Nichtunionsbürger und Staatenlose gleichermaßen.48 Die Anforderung des Verbots exterritorialer Wirkung wird in Art. 3 Abs. 2 lit. a und b DSGVO umgesetzt. Die DSGVO gilt danach, wenn der Verantwortliche personenbezogene Daten verarbeitet, um Waren oder Dienstleistungen an Betroffene in der Union anzubieten (Art. 3 Abs. 2 lit. a DSGVO) oder wenn er das Verhalten von Betroffenen in der Union beobachtet (Art. 3 Abs. 2 lit. b DSGVO).
2. Keine Niederlassung in der Union
18
Art. 3 Abs. 2 DSGVO findet nur Anwendung, soweit der Verantwortliche oder Auftragsverarbeiter keine Niederlassung in der Union hat. Erfolgt die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung in der Union, ergibt sich die Anwendbarkeit der DSGVO aus Art. 3 Abs. 1 DSGVO. Hat der Verantwortliche eine Niederlassung in der Union, erfolgt die Verarbeitung personenbezogener Daten von Personen in der Union allerdings nicht im Rahmen der Tätigkeit dieser Niederlassung, sondern im Zusammenhang mit der Tätigkeit einer Niederlassung oder dem eingetragenen Sitz außerhalb der Union, findet die DSGVO weder nach dem Wortlaut von Art. 3 Abs. 1 DSGVO, noch nach Art. 3 Abs. 2 DSGVO Anwendung, auch wenn die übrigen Voraussetzungen gemäß Art. 3 Abs. 2 lit. a und b DSGVO erfüllt wären. Diese Schutzlücke ist durch den Gesetzgeber offensichtlich nicht gewollt und durch Auslegung der Norm zu schließen. Die territoriale Anwendbarkeit der DSGVO ist durch den Gesetzgeber bewusst weit gefasst, um Schutzlücken zu vermeiden. Der Begriff „nicht in der Union niedergelassen“ ist daher teleologisch erweitert zu verstehen, sodass alle Verantwortlichen und Auftragsverarbeiter in Drittstaaten erfasst werden, die im Rahmen der Tätigkeiten in diesem Drittstaat personenbezogenen Daten von Betroffenen in der Union verarbeiten.49 Auch eine Betrachtung des im Wortlaut ähnlichen Art. 4 Abs. 1 lit. c DSRl spricht für diese Auslegung, indem „nicht in dem Gebiet der Gemeinschaft niedergelassen“ so verstanden wurde, dass eine bestehende aber irrelevante Niederlassung die Anwendbarkeit nicht ausschließen kann.50
3. Angebot von Waren oder Dienstleistungen in der Union (Abs. 2 lit. a)
19
Soweit ein Verantwortlicher oder ein Auftragsverarbeiter Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet und in diesem Zusammenhang personenbezogene Daten verarbeitet, findet die DSGVO Anwendung.
20
Eine Legaldefinition der Begriffe Ware und Dienstleistung ergibt sich aus der DSGVO nicht. Zur Bestimmung des Begriffs der Waren im Sinn des Art. 3 Abs. 2 lit. a DSGVO kann zunächst auf den Warenbegriff nach dem Verständnis der Warenverkehrsfreiheit gemäß Art. 28ff. AEUV zurückgegriffen werden.51 Waren sind danach bewegliche, körperliche Gegenstände sowie Gas und elektrischer Strom, soweit diese ein geldwertes und handelbares Erzeugnis sind, das Gegenstand von Handelsgeschäften sein kann.52 Waren im Sinn dieser Definition fallen auch unter den Begriff im Sinne des Art. 3 Abs. 2 lit. a DSGVO. Nach dem Zweck des Art. 3 DSGVO, einen umfassenden Betroffenenschutz zu gewährleisten, ist der datenschutzrechtliche Warenbegriff aber weiter zu verstehen, als der Warenbegriff gemäß Art. 28ff. AEUV.53 Um Schutzlücken zu vermeiden, müssen etwa auch nicht-körperliche Erzeugnisse vom Warenbegriff im Sinne des Art. 3 Abs. 2 lit. a DSGVO umfasst werden, wie Software, die per Download vertrieben wird oder Münzen, die nicht vom Warenbegriff des Art. 28ff. AEUV erfasst sind.54
21
Nach Art. 57 AEUV sind Dienstleistungen Leistungen, die in der Regel gegen Entgelt erbracht werden. Beispielhaft listet Art. 57 AEUV gewerbliche, kaufmännische, handwerkliche und freiberufliche Tätigkeiten auf. Anders als der Begriff in Art. 57 AEUV ist der Dienstleistungsbegriff gemäß Art. 3 Abs. 2 lit. a DSGVO nicht auf entgeltliche Leistungen beschränkt55 und damit weiter, als die Definition in Art. 57 AEUV. Die in Art. 57 AEUV genannten Tätigkeiten sind aber als Teilmenge auch im Dienstleistungsbegriff der DSGVO enthalten. Darüber hinaus sind weitere Leistungen erfasst, die nicht mit einem Entgelt vergütet werden, wie kostenlose E-Mailing-Dienste, Soziale Netzwerke, Suchmaschinen, Cloud-basierte Softwarelösungen oder Gewinnspiele. Für Anbieter dieser