Datenschutz für Unternehmen. Ricarda Kreindl,
Reihenfolgen, in Betracht kommen.[9] Auch mündlich, akustisch oder visuell erlangte Daten sind vom Anwendungsbereich ausgenommen, soweit diese nicht gespeichert werden sollen.[10]
1.2.1.2Ausnahmen
Auch wenn die Voraussetzungen des Art 2 Abs 1 DSGVO gegeben sind, kann die Anwendung der DSGVO in bestimmten Fällen ausgeschlossen sein. Dies gilt bei der Verarbeitung von personenbezogenen Daten
+im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt[11];
+durch die MS im Rahmen von Tätigkeiten im Bereich der Gemeinsamen Außen- und Sicherheitspolitik (Titel V Kapitel 2 EUV);
+durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (zB Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen solcher Tätigkeiten)[12];
+durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art 2 Abs 2 DSGVO).
Die DSGVO findet ebenfalls keine Anwendung auf die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der EU, da diesbezüglich die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr gilt (VO (EG) Nr. 45/2001), wobei diese an die Grundsätze und Vorschriften der DSGVO angepasst und im Lichte der DSGVO angewandt werden sollte (Art 2 Abs 3; ErwGr 17 DSGVO).
1.2.2 Räumlicher Anwendungsbereich der DSGVO
1.2.2.1Niederlassung in der EU
Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten[13] einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art 3 Abs 1 DSGVO). Es spielt dabei keine Rolle, ob personenbezogene Daten von EU- oder Nicht-EU-Bürgern verarbeitet werden (ErwGr 14 DSGVO).[14]
Der Begriff der Niederlassung setzt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Dabei ist die Rechtsform einer solchen Einrichtung nicht ausschlaggebend. Es kann sich dabei sowohl um eine rechtlich unselbständige Zweigstelle als auch um eine rechtlich selbständige Tochtergesellschaft handeln und setzt somit zumindest eine gesellschaftsrechtliche Verbundenheit zwischen dem Verantwortlichen bzw. dem Auftragsverarbeiter und der Niederlassung voraus (ErwGr 22 DSGVO).[15] Auch auf die technische Umgebung der Datenverarbeitung, wie zB der physische Standort von Servern oder der Ort der technischen Implementierung von Schnittstellen, ist nicht abzustellen.[16]
Ein nur mit einer Person besetztes Büro wäre somit wohl als Niederlassung in diesem Sinne zu qualifizieren, soweit das Büro aktiv in die Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet werden.[17] Nicht als Niederlassung in diesem Sinne ist dagegen der gemäß Art 27 iVm Art 3 Abs 2 DSGVO zu benennende Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern zu qualifizieren.[18]
1.2.2.2Niederlassung außerhalb der EU
Die DSGVO findet aber auch Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen (im Folgenden auch „Betroffene“), die sich in der EU befinden[19], durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,
+betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen eine Zahlung zu leisten ist[20] (Art 3 Abs 2 lit a DSGVO);
+das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt (Art 3 Abs 2 lit b DSGVO).
Anbieten von Waren oder Dienstleistungen
Damit der Anwendungsbereich der DSGVO gegeben ist, muss das Anbieten der Waren oder Dienstleistungen an Personen, die sich innerhalb der EU befinden, durch den außerhalb der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter offensichtlich beabsichtigt sein. Eine solche offensichtliche Absicht ist zB durch das reine Zugänglichmachen der Webseite eines Verantwortlichen, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, noch nicht gegeben (ErwGr 23 DSGVO). Allein die faktische Möglichkeit, auf einer Webseite Waren oder Dienstleistungen zu bestellen, ist nicht ausreichend.[21] Im Gegensatz dazu deuten die Verwendung einer Sprache oder Währung, die in einem oder mehreren MS gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren oder Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, darauf hin, dass der Verantwortliche beabsichtigt, den Personen in der EU Waren oder Dienstleistungen anzubieten (ErwGr 23 DSGVO). Grundsätzlich ist jedoch bei der Beantwortung der Frage, ob das Anbieten von Waren oder Dienstleistungen offensichtlich erfolgt, auf eine Gesamtbetrachtung abzustellen. Entsprechend dem Wortlaut „Waren oder Dienstleistungen anzubieten“ ist es außerdem nicht erforderlich, dass tatsächlich ein Vertrag geschlossen wird.[22]
Verhaltensbeobachtung
Ob eine Verarbeitungstätigkeit im Zusammenhang mit der Verhaltensbeobachtung betroffener Personen steht, kann vor allem daran festgemacht werden, ob die Internetaktivitäten eines Betroffenen nachvollzogen werden (einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Datenverarbeitung), um ein Profil von einer natürlichen Person zu erstellen, das insbesondere die Grundlage für die die natürliche Person betreffenden Entscheidungen bildet oder anhand dessen deren persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen (ErwGr 24 DSGVO). Von Art 3 Abs 2 lit b DSGVO werden daher vor allem Maßnahmen erfasst, die ihrer Intensität nach als Überwachung qualifiziert werden können und nicht nur als punktuelle Handlung, so etwa Profiling- bzw. Trackingmaßnahmen (zB Cookies, Social Plug-ins).[23] Unerheblich ist, ob der Verantwortliche oder Auftragsverarbeiter primär technische Abläufe auf seiner Webseite nachvollziehen möchte, als Nebeneffekt jedoch auch personenbezogene Daten verarbeitet werden, wodurch die Internetaktivitäten eines Betroffenen ersichtlich werden.[24]
Die mit der Verhaltensbeobachtung in Zusammenhang stehende Datenverarbeitung fällt jedoch nur dann in den Anwendungsbereich der DSGVO, wenn das beobachtete Verhalten in der EU erfolgt. Voraussetzung ist somit, dass sich die Betroffenen während der Beobachtung des Verhaltens physisch innerhalb der EU befinden, was sich zB über die IP-Adresse eines Endgeräts feststellen lässt.[25]
1.2.2.3Anwendbarkeit aufgrund des Völkerrechts
Die DSGVO findet ebenfalls Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen an einem Ort, der aufgrund des Völkerrechts dem Recht eines MS unterliegt (Art 3 Abs 3 DSGVO). Die Formulierung des Art 3 Abs 3 DSGVO ist dahingehend etwas irreführend, da es nicht erforderlich ist, dass die Verarbeitung der personenbezogenen Daten am entsprechenden Ort stattfinden muss. Es ist bereits ausreichend, dass der Verantwortliche über eine Niederlassung an diesem Ort verfügt.[26] Dies gilt zB für diplomatische oder konsularische Vertretungen eines MS (ErwGr 25 DSGVO).
1.2.3 Anwendungsbereich des DSG
1.2.3.1Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich der DSGVO und jener des österreichischen DSG gestalten sich nahezu identisch. So gilt auch das DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 4 Abs