Praxishandbuch DSGVO

b) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Auftragsverarbeiters

44

Die Bezugnahme auf den Auftragsverarbeiter zur Eröffnung des Anwendungsbereichs des Datenschutzrechts ist neu. Es ist fraglich, inwieweit sich das oben beschriebene Verständnis des Begriffs der „Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen“ auf den Auftragsverarbeiter übertragen lässt.

45

Dieses Begriffsverständnis, welches sich während der Geltungsdauer der Richtlinie unter anderem durch die Rechtsprechung des EuGH herausgebildet hat, ist dadurch geprägt, dass sich der Begriff „im Rahmen der Tätigkeiten einer Niederlassung“ in der Richtlinie ausschließlich auf die Verarbeitung durch einen Verantwortlichen bezog.

46

Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest und die Tätigkeiten seiner Niederlassungen haben potenziell eine sehr große Bandbreite. Der Auftragsverarbeiter hingegen verarbeitet die Daten nach Weisung und im Auftrag des Verantwortlichen. Gegenstand, Dauer, Umfang, Art und Zweck der Verarbeitung werden im Auftragsverarbeitungsvertrag festgelegt.45

47

Die Verarbeitung der Daten durch einen Auftragsverarbeiter ist somit ebenso wie der Rahmen seiner Tätigkeit in Bezug auf die Daten wesentlich durch seine vertraglich definierte Rolle bestimmt und begrenzt. Eine etwaige Datenverarbeitung außerhalb dieses Rahmens lässt den Auftragsverarbeiter, in der Regel zur Verantwortlichen Stelle werden.46 Prüft man die Voraussetzungen des Art. 3 Abs. 1 DSGVO spezifisch für einen Auftragsverarbeiter, erscheint es daher geboten, dabei den Fokus auf den durch den jeweiligen Auftragsverarbeitungsvertrag vorgegebenen Tätigkeitsrahmen zu legen.

48

Im Unterschied zum Verantwortlichen spricht somit einiges dafür, dass für eine (Auftrags-)Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters in der Regel nur solche Niederlassungen relevant sind, die tatsächlich an der Auftragsverarbeitung mitwirken. Denn nur solche Niederlassungen nehmen Tätigkeiten vor, in deren Rahmen die relevante (Auftrags-)Verarbeitung liegen soll bzw. darf. Der Rahmen der Tätigkeiten einer Niederlassung ist somit bei einem Auftragsverarbeiter deutlich enger gefasst als bei einem Verantwortlichen.

2. Marktortprinzip, Art. 3 Abs. 2 DSGVO

49

Ist ein Verantwortlicher oder ein Auftragsverarbeiter nicht in der EU niedergelassen, kann sich die räumliche Anwendbarkeit der Verordnung aus Art. 3 Abs. 2 DSGVO ergeben.47 Danach findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

 1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

 2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

50

Dieses sog. Marktortprinzip ist eine wesentliche und vielleicht sogar die wichtigste Neuerung der DSGVO im Vergleich zur Richtlinie, welche dem Territorialitätsprinzip folgend auf die Belegenheit von Verarbeitungsmitteln in einem Mitgliedstaat abstellte.48 Die physischen Betriebs- und Organisationsstrukturen der verarbeitenden Stelle einschließlich des Standorts von Datenverarbeitungsanlagen ist für die Anwendbarkeit der Verordnung nach Art. 3 Abs. 2 nunmehr irrelevant. Dies ist angesichts der fortschreitenden Virtualisierung der Datenverarbeitung, bei der Datenverarbeitungskapazitäten ohne Bindung an einen bestimmten Ort zur Verfügung gestellt werden können, nur konsequent. Es führt jedoch gleichzeitig zu einer erheblichen Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts.

51

Ein gewisser räumlicher Bezug der Datenverarbeitung zum Territorium EU ist jedoch auch im Rahmen des Marktortprinzips erforderlich. Dieser Bezug wird durch die betroffene Person vermittelt, welche sich gemäß Art. 3 Abs. 2 DSGVO in der EU befinden muss. Art. 3 Abs. 2 lit. a DSGVO setzt zudem voraus, dass Waren oder Dienstleistungen an betroffene Personen in der EU angeboten werden. Wohingegen Art. 3 Abs. 2 lit. b DSGVO voraussetzt, dass das beobachtete Verhalten einer Person in der EU erfolgt.

a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO

52

Eine „Ware“ im Sinne des Europarechts ist jeder körperliche Gegenstand, der einen Geldwert hat und Gegenstand eines Handelsgeschäfts sein kann.49 Eine „Dienstleistung“ im Sinne des Europarechts ist eine vom Begriff der „Ware“ abgegrenzte, in der Regel gegen Entgelt erbrachte Leistung.50 Mit einem Zusatz in Art. 3 Abs. 2 lit. a DSGVO hat der Unionsgesetzgeber allerdings klargestellt, dass auch solche Angebote erfasst sein sollen, bei denen keine Zahlung zu leisten ist. Dadurch sollen offenbar insbesondere Online-Dienste erfasst werden, bei denen die Entgeltlosigkeit die Regel ist. Um willkürlich erscheinende Schutzlücken zu vermeiden, ist davon auszugehen, dass die Begriffe „Ware“ und „Dienstleistung“ nicht formalistisch zu betrachten sind, sondern auch unkörperliche Gegenstände wie Software oder Grenzfälle wie ein Gewinnspiel erfassen.51

53

Laut Erwägungsgrund 23 DSGVO ist für die Frage, ob ein Verantwortlicher oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, festzustellen, dass es dessen offensichtliche Absicht ist, ein solches Angebot betroffenen Personen in mindestens einem Mitgliedstaat zu machen.

54

Die Verwendung des Begriffs „Absicht“ legt zwar nahe, dass es auf die tatsächliche innere Absicht der verarbeitenden Stelle ankommt. Die geforderte Offensichtlichkeit der Absicht und ein Vergleich mit anderen Sprachfassungen der Verordnung machen jedoch deutlich, dass es auf den Empfängerhorizont ankommt und eine etwaige abweichende innere Absicht daher unbeachtlich sein dürfte.52 Entscheidend ist die inhaltliche Gestaltung des Angebots.53

55

Gemäß Erwägungsgrund 23 DSGVO reicht die bloße Möglichkeit, aus der EU heraus mit dem Verantwortlichen, dem Auftragsverarbeiter oder einem Vermittler über eine Webseite, eine E-Mail-Adresse oder auf anderem Wege in Kontakt zu treten, nicht aus, um eine solche Absicht anzunehmen.

56

Erwägungsgrund 23 DSGVO beschreibt jedoch auch Faktoren, die Anhaltspunkte für eine solche Absicht sein können. Dazu gehört die Verwendung einer Sprache, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, in dieser Sprache zu bestellen. Dabei muss es sich jedoch um eine andere Sprache handeln als die, die in dem Drittland gebräuchlich ist, in dem der Verantwortliche niedergelassen ist. Auch die Verwendung der englischen Sprache dürfte aufgrund ihrer weltweiten Gebräuchlichkeit keinen starken Anhaltspunkt bieten. Als weitere Anhaltspunkte werden in dem Erwägungsgrund die Verwendung der Währung eines Mitgliedstaates und die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, genannt.

57

Die Aufzählung der Kriterien in Erwägungsgrund 23 DSGVO ist nicht abschließend. Weitere Kriterien lassen sich aus der Rechtsprechung zu europäischen Vorschriften entnehmen, die schon länger auf das Marktortprinzip abstellen.54 Insbesondere die Pammer- und Alpenhof-Entscheidung des EuGH zu Art. 15 Abs. 1 lit. c. der Brüssel-I-Verordnung ist hierfür relevant und wird in diesem Zusammenhang auch vom Europäischen Datenschutzausschuss herangezogen.55 Dazu gehören zum Beispiel der Betrieb einer nationalen Telefonnummer in einem Mitgliedstaat oder die Verwendung einer länderspezifischen Top-Level-Domain mit Bezug zu einem Mitgliedstaat (z.B. „.de“ für Deutschland oder „.fr“ für Frankreich). Die Kriterien sind in einer Gesamtbetrachtung zu würdigen.

58

Die Feststellung derartiger Kriterien ist in Bezug auf den Verantwortlichen unproblematisch möglich. Der Auftragsverarbeiter hat jedoch auf diese Kriterien in der Regel keinen Einfluss. Sie sind daher nicht geeignet, um auf eine entsprechende Absicht des Auftragsverarbeiters zu schließen. Zudem richtet sich das Angebot eines Auftragsverarbeiters an den Verantwortlichen und besteht darin, die Daten für den Verantwortlichen zu verarbeiten. Es richtet sich daher schon begrifflich nicht an die betroffenen Personen, so dass damit auch keine Absicht im Sinne des Erwägungsgrundes 23 verbunden ist.56 Dementsprechend dürfte der räumliche Anwendungsbereich der Verordnung über Art. 3 Abs. 2 lit. a DSGVO in der Praxis für Auftragsverarbeiter fast nie eröffnet sein.57

59

Liegt ein Angebot im Sinne des Art. 3 Abs. 2 lit. a DSGVO vor, ist zu prüfen, ob die in Betracht gezogene Verarbeitung personenbezogener Daten im Zusammenhang mit diesem Angebot steht. Detaillierte Anhaltspunkte in der Verordnung dafür, wann ein solcher Zusammenhang anzunehmen ist, fehlen.58

60

Sofern die betroffene Personen in der EU, bezüglich derer personenbezogene Daten verarbeitet werden, und die Person in der EU, an die sich das Angebot richtet, identisch sind, dürfte ein solcher Zusammenhang stets gegeben sein.

61

Fraglich ist, ob ein relevanter Zusammenhang ebenfalls bestehen kann, wenn betroffene Person und Adressat des Angebots nicht identisch sind. Diese Frage wird zum Beispiel aufgeworfen, wenn eine Person in der EU bewusst ein Angebot in Anspruch nimmt, welches sich an Personen außerhalb der EU richtet, obwohl es vom selben Anbieter auch ein Angebot für die EU gibt.59

62

Richtet die verarbeitende Stelle einen Teil ihres Angebotes erkennbar an Personen außerhalb der EU, erscheint es unbillig zu fordern, dass sie Daten von Personen in der EU, die diesen Teil des Angebots in Anspruch nehmen, dennoch der Verordnung gemäß verarbeitet. Der jeweiligen Person, die sich bewusst gegen ein europäisches und für ein außereuropäisches Angebot entscheidet, wird der Schutz der Verordnung nicht im Sinne des Erwägungsgrundes 23 „vorenthalten“. Zudem scheint der Wortlaut des Art. 3 Abs. 2 lit. a DSGVO eine Identität von betroffener Person und Angebotsempfänger vorauszusetzen, wenn dort von einer Zahlung von „diesen Personen“ die Rede ist. Dieser Formulierung liegt das Verständnis zugrunde, dass die Personen, an die sich ein Angebot richtet, und die Personen, die das Angebot in Anspruch nehmen und gegebenenfalls bezahlen, identisch sind. In Erwägungsgrund 23 findet sich eine ähnliche Formulierung („diesen betroffenen Personen“).

63

Somit spricht vieles dafür, dass ein ausreichender Zusammenhang zwischen Datenverarbeitung und Angebot nur dann bestehen kann, wenn betroffene Person und Angebotsempfänger identisch sind. Gleichzeitig ist bei einer derartigen Personenidentität in der Regel der erforderliche Zusammenhang zwischen dem Angebot und der Datenverarbeitung gegeben. Durch diesen Ansatz wird das ansonsten sehr unscharfe Merkmal des „Zusammenhangs“ deutlich handhabbarer.

Praxishinweis

Soweit ein Unternehmen beabsichtigt, bestimmte Waren oder Dienstleistungen oder Teile davon nur Personen außerhalb der EU anzubieten, sollte darauf geachtet werden, dass dabei keine Anhaltspunkte erzeugt werden, die für ein Angebot an Personen in der EU sprechen. So wird vermieden, dass der räumliche Anwendungsbereich der Verordnung versehentlich für ein Produkt eröffnet wird, welches hierfür nicht geeignet ist. Ein aktives Aussperren oder Umleiten europäischer Kunden weg von solchen Angeboten erscheint zwar nicht erforderlich, kann aber, ebenso wie ein entsprechender Disclaimer, als zusätzliche Vorsichtsmaßnahme sinnvoll sein.

b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO

64

Der räumliche Anwendungsbereich kann auch durch das Beobachten von Verhalten betroffener Personen in der EU gemäß Art. 3 Abs. 2 lit. b DSGVO eröffnet sein.

65

Der Begriff der Verhaltensbeobachtung ist in Anbetracht von Erwägungsgrund 24 anscheinend auf das Verhalten einer Person im Internet beschränkt. Zumindest wird in Erwägungsgrund 24 deutlich, dass der Unionsgesetzgeber den Online-Bereich im Fokus hatte.60

66

Die schlichte Erfassung der Daten über die Internetaktivität z.B. in einem gewöhnlichen Serverlog reicht für die Annahme einer Verhaltensbeobachtung allerdings nicht aus. „Beobachtung“ geht schon begrifflich über die reine Erfassung von Daten hinaus.61 Es muss sich vielmehr um ein zielgerichtetes Sammeln von Erkenntnissen handeln.62 Dementsprechend ist gemäß Erwägungsgrund 24 DSGVO für ein Beobachten erforderlich, dass Internetaktivitäten der betroffenen Person tatsächlich nachvollzogen werden. Laut Erwägungsgrund 24 DSGVO liegt ein solches Nachvollziehen unter anderem dann vor, wenn durch die Beobachtung die Erstellung eines Profils der Person ermöglicht wird, welches Grundlage für die Person betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Dies legt nahe, dass der Begriff der Beobachtung eine gewisse Dauer und Intensität voraussetzt.63

67

Offensichtlich sollen damit im Internet eingesetzte Technologien in den räumlichen Anwendungsbereich der Verordnung gebracht werden, die die Internetaktivitätsdaten von Nutzern erfassen (z.B. durch entsprechende Cookies oder sonstige Nutzerkennungen), sofern die erfassten Daten in eine Entscheidung in Bezug auf die betroffene Person münden oder die Daten zur Personalisierung von Funktionalitäten oder Inhalten (z.B. personalisierte Werbung, personalisierte Vorschlagsfunktionen oder personalisierte Suchergebnisse) anhand eines Profils der Person eingesetzt werden.

68

Die Analyse von Internetaktivitätsdaten von Besuchern eines Webangebotes dürfte jedoch keine solche Verhaltensbeobachtung darstellen, sofern die Analyse aggregiert erfolgt und nicht den einzelnen Besucher im Fokus hat. Web-Analyse-Verfahren, die allein dazu dienen, eine Webseite insgesamt bedarfsgerecht zu gestalten oder bestimmte Kennzahlen im Hinblick auf die Funktionsfähigkeit der Webseite zu messen, dürften daher von Art 3 Abs. 2 lit. b DSGVO nicht erfasst sein.64

69

Art. 3 Abs. 2 lit. b DSGVO setzt zudem denklogisch voraus, dass die Person, deren Daten verarbeitet werden, und die Person, deren Verhalten mittels dieser Verarbeitung beobachtet wird, identisch sein müssen, wodurch auch stets der erforderliche Zusammenhang zwischen Verarbeitung und Verhaltensbeobachtung besteht.

70

Schließlich muss das beobachtete Verhalten in der EU erfolgen. Der Umstand, dass Art. 2 Abs. 3 lit. b DSGVO erfordert, dass sich zum einen die Person in der EU befindet und zum anderen ihr beobachtetes Verhalten in der EU erfolgt, legt nahe, dass es der Gesetzgeber für möglich hält, dass sich eine in der EU befindliche Person außerhalb der EU verhalten kann. Gerade bei den von Art. 3 Abs. 2 lit. a DSGVO erfassten Internetaktivitäten erscheint dies durchaus denkbar. So ist zum Beispiel die Frage, wo eine Tat bzw. Handlung mittels einer Webseite begangen wird, im Rahmen des Strafrechts oder des Zivilprozessrechts hoch umstritten. Daher scheint es vertretbar anzunehmen, dass das Verhalten einer in der EU befindlichen Person außerhalb der EU erfolgt, wenn diese Person einen Internetdienst verwendet, der auf Servern außerhalb der EU läuft.

71

Dadurch, dass das in der Vorgängerregelung des Art. 4 Abs. 1 lit. c DSRL verankerte Territorialitätsprinzip nicht in die Verordnung übernommen wurde, wird jedoch zum Ausdruck gebracht, dass der Standort von Datenverarbeitungsanlagen keine Bedeutung für die Eröffnung des räumlichen Anwendungsbereichs haben soll. Zudem wird Art. 3 Abs. 2 lit. b DSGVO in der Regel erst dann relevant werden, wenn die verarbeitende Stelle keine Niederlassung in der EU hat. Insgesamt ist somit der Wille des Unionsgesetzgebers deutlich erkennbar, die in der Union befindlichen betroffenen Personen möglichst umfassend zu schützen. Dementsprechend dürfte sich die Ansicht durchsetzen, dass das Verhalten von in der EU befindlichen Personen aus der Perspektive des europäischen Datenschutzrechts auch stets in der EU erfolgt, selbst wenn sie Internetdienste nutzen, die auf Servern außerhalb der EU angeboten werden.65

Praxishinweis

Art. 3 Abs. 2 lit. b DSGVO dehnt den räumlichen Anwendungsbereich der Verordnung unter Umständen sehr weit aus. Dies hat zum Beispiel die unbillig erscheinende Folge, dass Unternehmen, die keine Niederlassung in der EU haben und ihren Internetdienst ausschließlich an Personen außerhalb der EU richten und diesen zudem auf Servern außerhalb der EU betreiben, dennoch in den räumlichen Anwendungsbereich der Verordnung fallen können, wenn Nutzer aus der EU auf diesen Dienst zugreifen und der Dienst auf Verhaltensprofilen basierte Personalisierungsfunktionen anbietet.

c) Betroffene Person in der EU

72

Für die Eröffnung des räumlichen Anwendungsbereichs nach Art. 3 Abs. 2 lit. a oder lit. b DSGVO ist es zudem erforderlich, dass sich die betroffene Person, deren Daten verarbeitet werden, in der EU befindet. Die Staatsangehörigkeit der Person ist irrelevant. Das Gleiche gilt für ihren Wohnsitz. Zwar wurde in der Entwurfsphase der Verordnung noch darauf abgestellt, wo die Person ansässig ist. Dies wurde jedoch für die Endfassung nicht übernommen. Entscheidend ist vielmehr der tatsächliche Aufenthaltsort der betroffenen Person.66

73

Ob sich eine betroffene Person in der EU aufhält oder nicht, ist eine Frage der Tatsachen. Damit ist diese Voraussetzung des Art. 3 Abs. 2 DSGVO zunächst rein deskriptiver Natur. Allerdings werden die Zeiträume des Aufenthalts einer Person in der EU und der Zeitraum der Verarbeitung der Daten dieser Person in vielen Fällen auseinanderfallen, so dass fraglich ist, wie mit einem solchen Auseinanderfallen umzugehen ist.

74

Unter anderem wird hierzu vertreten, dass der jeweilige Zeitpunkt der Verarbeitung auch der relevante Zeitpunkt für die Bestimmung des Aufenthaltsortes und damit des räumlichen Anwendungsbereichs sei.67 Dies führt zu willkürlichen Ergebnissen. Einerseits erscheint es im Interesse des effektiven Schutzes der Person nicht angemessen, dass bei der Datenverarbeitung zum Beispiel für die Dauer eines Aufenthaltes in einem Drittland nicht mehr die Vorschriften der Verordnung zu beachten sind.68 Andererseits erscheint es im Interesse der Vorhersehbarkeit der Anwendbarkeit der Verordnung nicht angemessen, dass umgekehrt die Verarbeitung der Daten einer Person aus dem außereuropäischen Ausland für die Dauer eines kurzen Aufenthaltes in einem EU-Mitgliedstaat der Verordnung unterliegt.

75

Auch ein Abstellen auf den Zeitpunkt der Erhebung der Daten während des Aufenthalts in der EU führt zu derart willkürlichen Szenarien.69 Das gleiche gilt für den Vorschlag des Europäischen Datenschutzausschusses, auf den Zeitpunkt der Unterbreitung des Angebots bzw. der Beobachtung abzustellen.70

76

Bei wechselnden Aufenthaltsorten der betroffenen Person innerhalb und außerhalb der EU erscheint vielmehr eine wertende Betrachtung angebracht, die frühestens beginnend mit dem erstmaligen Aufenthalt der Person in der EU so lange von einer Anwendbarkeit der Verordnung ausgeht, wie der Schwerpunkt des Aufenthalts der Person in der EU liegt.

3. Räumlicher Anwendungsbereich bei mehreren Beteiligten

77

Die Eröffnung des räumlichen Anwendungsbereichs ist für den Verantwortlichen und seinen Auftragsverarbeiter separat zu prüfen. Dies kann dazu führen, dass derselbe Verarbeitungsvorgang vom Verantwortlichen innerhalb des räumlichen Anwendungsbereichs vorgenommen wird, während der Auftragsverarbeiter diese Verarbeitung außerhalb des räumlichen Anwendungsbereichs durchführt, und umgekehrt.71 Ein solches Auseinanderfallen ist ebenfalls denkbar, wenn es sich bei den Beteiligten um gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO handelt.

Praxishinweis

Der Feststellung des Auseinanderfallens des räumlichen Anwendungsbereichs der DSGVO bei mehreren Stellen, die an derselben Datenverarbeitung beteiligt sind, sollte eine sorgfältige Prüfung vorausgehen. Auch wenn ein Beteiligter nicht in der EU niedergelassen ist, vermag seine Kooperation mit in der EU niedergelassenen Stellen einen territorialen Bezug zur EU zu begründen, der unter Art. 3 Abs. 2 DSGVO fällt.

78

Fällt der räumliche Anwendungsbereich bei mehreren Beteiligten auseinander, stellen sich einige Fragen im Hinblick auf die datenschutzrechtlichen Pflichten, die die einzelnen Beteiligten treffen.72

79

Ist der räumliche Anwendungsbereich für den Verantwortlichen eröffnet, für seinen Auftragsverarbeiter jedoch nicht, sind die Abweichungen im Verhältnis zu der Situation, in der die DSGVO für beide anwendbar ist, dadurch abgemildert, dass der Verantwortliche jeden Auftragsverarbeiter gemäß Art 28 Abs. 3 DSGVO vertraglich umfangreich datenschutzrechtlich verpflichten muss. Zudem ist es in solchen Fällen wahrscheinlich, dass auch die Vorschriften zum internationalen Datenverkehr aus Kapitel V der DSGVO zur Anwendung kommen.73

80

Ist die Situation umgekehrt, ist also der Auftragsverarbeiter im und der Verantwortliche außerhalb des Anwendungsbereichs, ergeben sich erhebliche Abweichungen. Zwar dürfte die Pflicht zum Abschluss eines Vertrages nach Art. 28 DSGVO den Auftragsverarbeiter grundsätzlich treffen. Dieser Vertrag muss aber nicht diejenigen Pflichten enthalten, die offensichtlich von der Anwendbarkeit der DSGVO auf den Verantwortlichen abhängen, wie z.B. die Pflicht zur Unterstützung der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nach Art. 28 Abs. 3 lit. e DSGVO, da Betroffenenrechte gegenüber dem Verantwortlichen in einem solchen Fall nicht existieren. Letztlich ist in einem solchen Fall jede Pflicht, die den Auftragsverarbeiter trifft, dahingehend zu prüfen, ob sie von der Anwendbarkeit der DSGVO auf den Verantwortlichen abhängig ist oder in sonstiger Weise geprägt wird. Damit ist eine erhebliche Rechtsunsicherheit für den Auftragsverarbeiter verbunden. Besonders prägnant ist diese Unsicherheit im Hinblick auf die Pflichten aus Kapitel V der DSGVO. Stellt die weisungsgemäße Übermittlung personenbezogener Daten an den im Drittland ansässigen Verantwortlichen für den in der EU niedergelassenen Auftragsverarbeiter eine Drittlandübermittlung im Sinne des Kapitel V dar? Dies erscheint kaum interessengerecht, wird aber vertreten.74