DSGVO - BDSG - TTDSG

Tekst

Książka w języku niemieckim

Z serii: Kommunikation & Recht

Recenzje

Przeczytaj fragment

Oznacz jako przeczytane

Jak czytać książkę po zakupie

Smartfon,
tablet Komputer,
laptop E-czytnik

Pobierz:
FB2
EPUB
iOS.EPUB
7 więcej

Rozmiar: 4740 str. 6 ilustracji
Kategoria: adwokatura Edytuj

Czcionka:Mniejsze АаWiększe Aa

2. Entstehungsgeschichte

Art. 3 DSGVO ist im Gesetzgebungsprozess in Wortlaut und Regelungsgehalt im Wesentlichen unverändert geblieben. Die aktuelle Fassung entspricht dem Kommissionsentwurf mit geringfügigen Änderungen. So wurde die Klarstellung in Art. 3 Abs. 1 DSGVO, dass die Anwendbarkeit der DSGVO unabhängig davon gilt, ob die Verarbeitung in der Union erfolgt, auf Wunsch des Parlaments aus den Erwägungsgründen in den Verordnungstext aufgenommen.3 Ebenfalls auf Wunsch des Parlaments wurde die Anwendbarkeit des Art. 3 Abs. 2 DSGVO auf Auftragsverarbeiter erweitert4 und die Geltung des Marktortprinzips in Art. 3 Abs. 2 lit. a DSGVO von einer Entgeltzahlung des Betroffenen entkoppelt.5 Zur Formulierung von Art. 3 Abs. 2 lit. b DSGVO hatte das Parlament vorgeschlagen, die Beobachtung jeden Verhaltens zu erfassen, in der finalen Fassung findet sich nun jedoch die Formulierung des Rates, nach der es sich um ein Verhalten in der Union handeln muss.6

Art. 3 DSGVO tritt an Stelle von Art. 4 DSRl und begründet die territoriale Anwendbarkeit der DSGVO für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter durch eine Niederlassung in der Union (Art. 3 Abs. 1 DSGVO) sowie durch eine Niederlassung außerhalb der Union, soweit sich die Verarbeitung auf Betroffene in der Union bezieht (Art. 3 Abs. 2 DSGVO). Art. 3 DSGVO erweitert, im Vergleich zur DSRl, durch die Einführung des Marktortprinzips in Art. 3 Abs. 2 DSGVO den territorialen Anwendungsbereich des europäischen Datenschutzrechts erheblich. Zudem wird neben dem Sitz des Verantwortlichen das Kriterium des Sitzes des Auftragsverarbeiters zur Bestimmung der territorialen Anwendbarkeit der DSGVO eingeführt. Abweichend vom Konzept der Bestimmung des territorialen Anwendungsbereichs des europäischen Datenschutzrechts gemäß Art. 4 Abs. 1 lit. c DSRl wird mit Art. 3 DSGVO das Kriterium der Verwendung von Mitteln innerhalb der Union aufgegeben.

Die DSGVO enthält selbst unmittelbar geltendes Recht, das an Stelle der mitgliedstaatlichen Datenschutzgesetze tritt. Es ist daher konsequent, dass die DSGVO anders als die DSRl als umsetzungsbedürftiger Rechtssatz keine Art. 4 DSRl vergleichbaren Kollisionsnormen für mitgliedstaatliche Datenschutzgesetze enthält, sondern nur positiv regelt, wann die DSGVO Anwendung findet.7 Da es aber faktisch mitgliedstaatliches Datenschutzrecht im Rahmen der Öffnungsklauseln gibt, fehlt nunmehr ein Regime zur Auflösung dieser Anwendungskonflikte (dazu Rn. 39).

3. Verhältnis zu anderen Vorschriften

In Art. 3 DSGVO wird der territoriale Anwendungsbereich der DSGVO normiert. Der sachliche Anwendungsbereich folgt aus Art. 2 DSGVO und der zeitliche Anwendungsbereich aus Art. 99 DSGVO. Soweit im Rahmen der Öffnungsklauseln mitgliedstaatliche Regelungen zum Datenschutz geschaffen wurden, können die Mitgliedstaaten unter Beachtung der Vorgaben des Völkerrechts deren territoriale Anwendung bestimmen. In diesem Sinne regelt § 1 Abs. 4 BDSG die territoriale Anwendbarkeit des Bundesdatenschutzgesetzes (dazu § 1 BDSG Rn. 25). Erläuterungen und Auslegungshilfen zu Art. 3 DSGVO ergeben sich aus den ErwG 22 bis 25.

II. Verarbeitung durch Niederlassung in der Union (Abs. 1)

Für die räumliche Anwendbarkeit der DSGVO knüpft Art. 3 Abs. 1 DSGVO an die Verarbeitung personenbezogener Daten (siehe Art. 4 Rn. 2ff.) im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen (siehe Art. 4 Rn. 170ff.) oder Auftragsverarbeiters (siehe Art. 4 Rn. 238ff.) in der Union an. Das Gebiet der Union ergibt sich aus Art. 52 EUV und Art. 355 AEUV. Eine Anknüpfung an den Ort der Datenverarbeitung oder die Belegenheit der Mittel in der Union ist ausdrücklich nicht erforderlich (zur entgegenstehenden Konzeption im deutschen Datenschutzrecht siehe § 1 BDSG Rn. 30ff.). Hintergrund dieser Entkoppelung der territorialen Anwendbarkeit von der Belegenheit zur Verarbeitung eingesetzter Hardware ist es, technischen Rahmenbedingungen der zunehmend globalen und vernetzten Verarbeitung personenbezogener Daten, etwa in der Cloud, Rechnung zu tragen.8 In diesen IT-Infrastrukturen kann die Belegenheit der Hardware nämlich praktisch unbeschränkt global gewählt und geändert werden. Teilweise ist dies für den Verantwortlichen nicht mehr nachvollziehbar. Die Belegenheit der Hardware wird damit zunehmend ungeeignet als Anknüpfungspunkt zur Bestimmung der territorialen Anwendbarkeit des Datenschutzrechts.

1. Niederlassung

Zur Bestimmung der territorialen Anwendbarkeit der DSGVO gemäß Art. 3 Abs. 1 DSGVO gilt ein modifiziertes Sitzprinzip beziehungsweise ein Sitz- und Niederlassungsprinzip. Abzustellen ist nach dem Wortlaut der Norm auf die Belegenheit der Niederlassung, in deren Kontext personenbezogene Daten verarbeitet werden. Befindet sich diese in der Union, findet die DSGVO Anwendung. Ob der Verantwortliche oder Auftragsverarbeiter zusätzlich zu der Niederlassung, in deren Kontext die Verarbeitung erfolgt, weitere Niederlassungen oder seinen Hauptsitz in einem Drittstaat außerhalb der Union hat, ist für die Bestimmung der territorialen Anwendbarkeit der DSGVO nicht relevant.9 Insbesondere ist für die Bestimmung der territorialen Anwendbarkeit nicht auf den offiziellen Sitz des Verantwortlichen, etwa gemäß dem Handelsregister abzustellen.10 Auch wenn Verarbeitungen durch Verantwortliche oder deren Niederlassungen in der Union technisch von Dienstleistern in Drittstaaten ausgeführt werden oder durch den Verantwortlichen oder die Niederlassung selbst auf Hardwarekomponenten außerhalb der Union ausgeführt werden, bleibt die DSGVO anwendbar. Eine Flucht aus der Anwendbarkeit der DSGVO durch IT-Outsourcing ist für Verantwortliche beziehungsweise deren Niederlassungen in der Union nicht möglich.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Tätigkeiten am eingetragenen Sitz fallen natürlich auch weiter in den territorialen Anwendungsbereich der DSGVO. Die DSGVO benennt diese nicht ausdrücklich. Dogmatisch lässt sich dies aus einer teleologischen Erweiterung des Begriffs der Niederlassung begründen. Wenn schon die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung erfolgt, muss dies erst recht für Verarbeitungen im Zusammenhang mit Tätigkeiten des Sitzes gelten. Alternativ wird vorgeschlagen, den Begriff des Sitzes als Unterfall der Niederlassung im Sinne der Norm zu qualifizieren und daraus die Anwendbarkeit der DSGVO für Verarbeitungen im Zusammenhang mit Tätigkeiten am eingetragenen Sitz zu begründen.11 Unabhängig von der dogmatischen Begründung findet die DSGVO aber im gleichen Maße auf Verarbeitungen am eingetragenen Sitz, wie an einer Niederlassung, Anwendung.

Der Begriff der Niederlassung ist anders als der Begriff der Hauptniederlassung (siehe Art. 4 Rn. 421ff.) im Text der DSGVO nicht legaldefiniert, wird aber in ErwG 22 angesprochen. Eine Niederlassung setzt danach die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.12 Die DSGVO knüpft damit an das Begriffsverständnis von ErwG 19 DSRl an. Ob eine Niederlassung rechtlich selbstständig ist, eigene Rechtspersönlichkeit hat oder in die Organisation des Verantwortlichen eingebunden ist, spielt keine Rolle.13 Die Einrichtung muss aber aktiv – wenn auch geringfügig – in die Tätigkeiten zur Verarbeitung personenbezogener Daten des Verantwortlichen einbezogen sein.14 Der Begriff der Niederlassung ist unionsautonom auszulegen und nicht inhaltsgleich mit dem Begriff der Niederlassung im Sinne der Niederlassungsfreiheit des Art. 49 AEUV oder der gewerberechtlichen Niederlassung im Sinne des § 4 Abs. 3 GewO.15 Der Begriff ist nicht formalistisch zu verstehen, sondern entsprechend der Interpretation des EuGH flexibel auszulegen.16 Eine Niederlassung kann danach bereits vorliegen, wenn ein Vertreter des Verantwortlichen sich in der Union befindet und in die Verarbeitung einbezogen ist.17 Eine Niederlassung kann daher etwa eine Tochtergesellschaft, ein Marketing- oder Vertriebsbüro, eine Gesellschaft mit einem Vertreter und einem Bankkonto18 oder eine Zweigniederlassung oder Tochtergesellschaft zur Förderung des Vertriebs von Werbeflächen eines Suchmaschinenbetreibers19 sein. Auf die Rechtsform kommt es dabei nicht an.20

Nicht hinreichend für die Begründung einer Niederlassung ist das Vorliegen von Hardwarekomponenten wie Servern oder Rechnern ohne Personal, Organisation oder bauliche Substanz21 oder rein technische oder rechtliche Stützpunkte ohne menschliche Aktivität, wie Briefkastenfirmen.22 Nicht hinreichend ist ebenfalls die bloße Abrufbarkeit einer Webseite aus dem Inland23 oder die Bestellung eines Inlandsvertreters gemäß Art. 27 DSGVO.24 Mit der Beauftragung eines Auftragsverarbeiters in der Union entsteht ebenfalls keine Niederlassung.25 Auch Einrichtungen, die nur eingeschränkt beständig sind, wie Messestände oder mobile Geschäftsstätten begründen keine Niederlassung.26 Ebenfalls keine Niederlassung begründet der Einsatz von Personal ohne Beständigkeit, wie die Entsendung von Geschäftsreisenden oder Messevertretern.27

2. Zuordnung von Verarbeitungen zu einer Niederlassung

Die Verarbeitung personenbezogener Daten muss „im Rahmen der Tätigkeiten einer Niederlassung“ erfolgen.28 Diese Zuordnung der konkreten Verarbeitung zu einer Niederlassung ist einzelfallspezifisch vorzunehmen, wobei die Voraussetzungen weit zu verstehen sind, um durch die daraus folgende Anknüpfung zum Recht der Jurisdiktion, in der die Niederlassung belegen ist (einschließlich des Rechts der Union), einen umfassenden Schutz der Grundrechte und Grundfreiheiten der Betroffenen zu gewährleisten.29 Entscheidend für die Zuordnung einer Tätigkeit zu einer Niederlassung sind Maß und Umfang der Beteiligung der Niederlassung an der Aktivität zur Verarbeitung personenbezogener Daten.30 Neben der Zuordnung der Verarbeitung zur Tätigkeit der Niederlassung muss eine Zuordnung zu dem Verantwortlichen möglich sein,31 sonst handelt es sich nämlich im Zweifel um eine Verarbeitung der Niederlassung, für die sie selbst datenschutzrechtlich verantwortlich ist. Wo die Verarbeitung tatsächlich geografisch erfolgt oder wo personenbezogene Daten tatsächlich physisch liegen, ist unerheblich.

3. Beauftragung von Auftragsverarbeitern in der Union

Der Wortlaut des Art. 3 Abs. 1 DSGVO wird teilweise so verstanden, dass die Beauftragung eines Auftragsverarbeiters in der Union durch einen Verantwortlichen außerhalb der Union zur Anwendbarkeit der DSGVO führe, auch wenn die Voraussetzungen des Art. 3 Abs. 2 DSGVO nicht erfüllt sind, also außer der Beauftragung eines Auftragsverarbeiters in der Union keine weitere territoriale Anknüpfung zum Recht der Union und der Mitgliedstaaten besteht.32 Für die Begründung der Anwendbarkeit der DSGVO käme es dann nicht mehr auf eine Verbindung des datenschutzrechtlich Verantwortlichen selbst zum Gebiet der Union oder der Mitgliedstaaten an. Dieses Ergebnis muss aus der Perspektive des Verantwortlichen außerhalb der Union überraschen, der personenbezogene Daten von Personen ohne inhaltlichen Bezug zur Union verarbeitet. Warum soll etwa ein Verantwortlicher in den USA, der im Zweifel zufällig Dienste eines Auftragsverarbeiters oder eines Unterauftragsverarbeiters in der Union nutzt, für die Verarbeitung dieser personenbezogenen Daten europäisches Datenschutzrecht beachten müssen? Richtigerweise ist der Wortlaut des Art. 3 Abs. 1 DSGVO daher so zu verstehen, dass die Anwendbarkeit der DSGVO auf Verantwortliche und Auftragsverarbeiter separat bestimmt werden und Vorschriften der DSGVO auf den Auftragsverarbeiter in der Union Anwendung findet, soweit dieser Adressat datenschutzrechtlicher Pflichten ist.33 Die Beauftragung eines Auftragsverarbeiters in der Union führt jedoch nicht zur Anwendbarkeit der DSGVO auf den Verantwortlichen außerhalb der Union, der personenbezogene Daten ohne inhaltlichen Bezug zur Union durch diesen Auftragsverarbeiter verarbeiten lässt.34

Für diese Ansicht sprechen die Entstehungsgeschichte des Art. 3 Abs. 1 DSGVO und die Regelungsintention des europäischen Gesetzgebers.35 Nach Art. 4 Abs. 1 DSRl war die Anwendbarkeit des Datenschutzrechts primär nach dem Sitz des Verantwortlichen zu bestimmen. Verantwortliche außerhalb der Union mussten europäisches Datenschutzrecht nur beachten, soweit sie dies im Rahmen einer Niederlassung in der Union taten. Mit der Regelung in Art. 3 Abs. 1 DSGVO sollten die Anforderungen zur Anwendbarkeit des europäischen Datenschutzrechts aus der Google/Spain-Entscheidung des EuGH36 umgesetzt werden und auch Verarbeitungen mit Verbindung zu einer Niederlassung in der Union vom Anwendungsbereich des europäischen Datenschutzrechts erfasst werden. Eine darüber hinausgehende Begründung exterritorialer Anwendbarkeit der DSGVO war aber gerade nicht bezweckt.37 Eine exterritoriale Anwendbarkeit der DSGVO würde zudem im Konflikt mit dem völkerrechtlichen Verbot exterritorialer Herrschaftsausübung stehen,38 indem ein Sachverhalt geregelt würde, der keine inhaltliche Verbindung zum Territorium der Union hat. Art. 3 Abs. 1 DSGVO ist daher so auszulegen, dass eine Verletzung des Territorialitätsgrundsatzes vermieden wird, indem nur die Pflichten des Auftragsverarbeiters in der Union in den Anwendungsbereich der DSGVO fallen. Diese Auslegung entspricht zudem dem kollisionsrechtlichen Grundsatz der Vermeidung von Anwendungskonflikten.39 Würde die Anwendbarkeit der DSGVO auf diese Fälle erstreckt, wären Anwendungskonflikte mit dem lokalen und sachnäheren Datenschutzrecht des Orts der Niederlassung des Verantwortlichen vorprogrammiert.

Gegen die exterritoriale Anwendbarkeit spricht auch die fehlende Pflicht zur Bestimmung eines Inlandsvertreters gemäß Art. 27 Abs. 1 DSGVO, die in diesem Fall für den Verantwortlichen gerade nicht besteht. Nur in den Fällen des Art. 3 Abs. 2 DSGVO muss der Verantwortliche in einem Drittland diesen nämlich bestellen.40 Der Inlandsvertreter ist gemäß Art. 27 Abs. 4 DSGVO Anlaufstelle für die Aufsichtsbehörden in Fragen der Durchsetzung der DSGVO gegen Verantwortliche in Drittstaaten. Die fehlende Pflicht zur Bestellung des Inlandsvertreters ist ein klares Indiz, das gegen den inhaltlichen Geltungsanspruch des Datenschutzrechts spricht. Für die hier vertretene Auslegung spricht zudem die Reichweite des europäischen Grundrechtsschutzes, der gemäß Art. 1 Abs. 2 DSGVO zentrale Zweckbestimmung der DSGVO ist (siehe Art. 2 Rn. 13ff.). Der Grundrechtsschutz ergibt sich im Wesentlichen aus der GRCh. Betroffene außerhalb der Union können sich auf europäische Grundrechte jedoch nicht berufen, wenn der Sachverhalt keine direkte Verbindung zum Territorium der Union hat.41 In dem Beispiel der Verarbeitung personenbezogener Daten von Personen ohne inhaltlichen Bezug zur Union könnten diese sich nicht auf den europäischen Grundrechtsschutz berufen. In diesem Beispiel und ähnlich gelagerten Fällen spricht die Zweckbestimmung der DSGVO gegen ihre exterritoriale Anwendung.

III. Verarbeitung ohne Niederlassung in der Union (Abs. 2)

Die DSGVO findet für die Verarbeitung personenbezogener Daten unter den Voraussetzungen gemäß Art. 3 Abs. 2 DSGVO auch auf Verantwortliche und Auftragsverarbeiter Anwendung, die keine Niederlassung in der Union haben (sog. Marktortprinzip). Die Anknüpfung an den Marktort zur kollisionsrechtlichen Bestimmung des anwendbaren Datenschutzrechts ist ein Novum des europäischen Datenschutzrechts, das zu einer erheblichen Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts führt. Die DSRl sah statt der Anknüpfung an den Marktort ein strenges Territorialitätsprinzip vor.42 Verantwortliche außerhalb der Union, die keine Niederlassung in der Union hatten, fielen nur bei der Nutzung von automatisierten oder nicht automatisierten Mitteln in der Union in den Anwendungsbereich des europäischen Datenschutzrechts (vgl. Art. 4 Abs. 1 lit. c DSRl).43 Mit dem Marktortprinzip wird sichergestellt, dass Unternehmen, die keine Niederlassung in der Union haben und dennoch am europäischen Binnenmarkt teilnehmen, an die Anforderungen des europäischen Datenschutzrechts gebunden sind.44

1. Völkerrechtliches Verbot exterritorialer Wirkung

Aufgrund des völkerrechtlichen Verbots der exterritorialen Wirkung staatlichen Handelns45 muss die Erstreckung des Anwendungsbereichs der DSGVO für Verantwortliche außerhalb der Union auf Fälle eingeschränkt werden, die eine unmittelbare Verbindung zum Territorium der Union haben. Diese Voraussetzung ist erfüllt, wenn Personen betroffen sind, die sich in der Union befinden.46 Hinreichend ist der jedenfalls vorübergehende Aufenthalt in der Union, ohne dass es auf den Wohnsitz ankommt.47 Der Schutz der DSGVO erstreckt sich also auf Unionsbürger, Nichtunionsbürger und Staatenlose gleichermaßen.48 Die Anforderung des Verbots exterritorialer Wirkung wird in Art. 3 Abs. 2 lit. a und b DSGVO umgesetzt. Die DSGVO gilt danach, wenn der Verantwortliche personenbezogene Daten verarbeitet, um Waren oder Dienstleistungen an Betroffene in der Union anzubieten (Art. 3 Abs. 2 lit. a DSGVO) oder wenn er das Verhalten von Betroffenen in der Union beobachtet (Art. 3 Abs. 2 lit. b DSGVO).

2. Keine Niederlassung in der Union

Art. 3 Abs. 2 DSGVO findet nur Anwendung, soweit der Verantwortliche oder Auftragsverarbeiter keine Niederlassung in der Union hat. Erfolgt die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung in der Union, ergibt sich die Anwendbarkeit der DSGVO aus Art. 3 Abs. 1 DSGVO. Hat der Verantwortliche eine Niederlassung in der Union, erfolgt die Verarbeitung personenbezogener Daten von Personen in der Union allerdings nicht im Rahmen der Tätigkeit dieser Niederlassung, sondern im Zusammenhang mit der Tätigkeit einer Niederlassung oder dem eingetragenen Sitz außerhalb der Union, findet die DSGVO weder nach dem Wortlaut von Art. 3 Abs. 1 DSGVO, noch nach Art. 3 Abs. 2 DSGVO Anwendung, auch wenn die übrigen Voraussetzungen gemäß Art. 3 Abs. 2 lit. a und b DSGVO erfüllt wären. Diese Schutzlücke ist durch den Gesetzgeber offensichtlich nicht gewollt und durch Auslegung der Norm zu schließen. Die territoriale Anwendbarkeit der DSGVO ist durch den Gesetzgeber bewusst weit gefasst, um Schutzlücken zu vermeiden. Der Begriff „nicht in der Union niedergelassen“ ist daher teleologisch erweitert zu verstehen, sodass alle Verantwortlichen und Auftragsverarbeiter in Drittstaaten erfasst werden, die im Rahmen der Tätigkeiten in diesem Drittstaat personenbezogenen Daten von Betroffenen in der Union verarbeiten.49 Auch eine Betrachtung des im Wortlaut ähnlichen Art. 4 Abs. 1 lit. c DSRl spricht für diese Auslegung, indem „nicht in dem Gebiet der Gemeinschaft niedergelassen“ so verstanden wurde, dass eine bestehende aber irrelevante Niederlassung die Anwendbarkeit nicht ausschließen kann.50

3. Angebot von Waren oder Dienstleistungen in der Union (Abs. 2 lit. a)

Soweit ein Verantwortlicher oder ein Auftragsverarbeiter Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet und in diesem Zusammenhang personenbezogene Daten verarbeitet, findet die DSGVO Anwendung.

Eine Legaldefinition der Begriffe Ware und Dienstleistung ergibt sich aus der DSGVO nicht. Zur Bestimmung des Begriffs der Waren im Sinn des Art. 3 Abs. 2 lit. a DSGVO kann zunächst auf den Warenbegriff nach dem Verständnis der Warenverkehrsfreiheit gemäß Art. 28ff. AEUV zurückgegriffen werden.51 Waren sind danach bewegliche, körperliche Gegenstände sowie Gas und elektrischer Strom, soweit diese ein geldwertes und handelbares Erzeugnis sind, das Gegenstand von Handelsgeschäften sein kann.52 Waren im Sinn dieser Definition fallen auch unter den Begriff im Sinne des Art. 3 Abs. 2 lit. a DSGVO. Nach dem Zweck des Art. 3 DSGVO, einen umfassenden Betroffenenschutz zu gewährleisten, ist der datenschutzrechtliche Warenbegriff aber weiter zu verstehen, als der Warenbegriff gemäß Art. 28ff. AEUV.53 Um Schutzlücken zu vermeiden, müssen etwa auch nicht-körperliche Erzeugnisse vom Warenbegriff im Sinne des Art. 3 Abs. 2 lit. a DSGVO umfasst werden, wie Software, die per Download vertrieben wird oder Münzen, die nicht vom Warenbegriff des Art. 28ff. AEUV erfasst sind.54

Nach Art. 57 AEUV sind Dienstleistungen Leistungen, die in der Regel gegen Entgelt erbracht werden. Beispielhaft listet Art. 57 AEUV gewerbliche, kaufmännische, handwerkliche und freiberufliche Tätigkeiten auf. Anders als der Begriff in Art. 57 AEUV ist der Dienstleistungsbegriff gemäß Art. 3 Abs. 2 lit. a DSGVO nicht auf entgeltliche Leistungen beschränkt55 und damit weiter, als die Definition in Art. 57 AEUV. Die in Art. 57 AEUV genannten Tätigkeiten sind aber als Teilmenge auch im Dienstleistungsbegriff der DSGVO enthalten. Darüber hinaus sind weitere Leistungen erfasst, die nicht mit einem Entgelt vergütet werden, wie kostenlose E-Mailing-Dienste, Soziale Netzwerke, Suchmaschinen, Cloud-basierte Softwarelösungen oder Gewinnspiele. Für Anbieter dieser Dienstleistungen, erweitert sich der datenschutzrechtliche Pflichtenrahmen im Vergleich zur DSRl erheblich. Sie fallen in den Anwendungsbereich der DSGVO und müssen sämtliche datenschutzrechtlichen Pflichten erfüllen, etwa die Verzeichnisse von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO führen oder unter den Voraussetzungen gemäß Art. 37 DSGVO einen Datenschutzbeauftragten bestellen (siehe Art. 37 Rn. 1ff.).56

An die Rechtsprechung des EuGH zur Anwendbarkeit von Art. 15 Abs. 1 lit. c Brüssel I-VO anknüpfend,57 ist für die Frage, ob ein Angebot an Personen in der Union vorliegt, zu prüfen, ob der Dienstleister erkennbar offensichtlich beabsichtigt, Waren oder Dienstleistungen Personen in der Union anzubieten. Der Vertrieb von Waren und Dienstleistungen über das Internet ist ein Hauptanwendungsfall von Art. 3 Abs. 2 lit. a, darauf aber nicht beschränkt. Im Fall des Vertriebs über eine Webseite ist die bloße Zugänglichkeit der Webseite des Dienstleisters zur Begründung der Anwendbarkeit der DSGVO allein nicht hinreichend.58 Hinzutreten müssen weitere Anhaltspunkte, wie die Verwendung der lokalen Sprache oder Währung eines Mitgliedstaates oder die gezielte Ansprache von Nutzern in der Union,59 die Verwendung einer Top-Level-Domain der Union (.eu) oder eines Mitgliedstaates (z.B. .de, .fr, .dk),60 die Verwendung lokaler Vorwahlnummern,61 die ausdrückliche Benennung von einem oder mehreren Mitgliedstaaten im Zusammenhang mit der angebotenen Ware oder Dienstleistung,62 die gezielte Förderung des Zugriffs auf die Webseite aus der Union etwa durch regionale AdWords-Kampagnen,63 Anfahrtsbeschreibungen zum Ort der Leistungserbringung aus einem oder mehreren Mitgliedstaaten64 und die Veröffentlichung von Kundenbewertungen mit der Herkunftsangabe aus einem Mitgliedstaat.65 Gegenteilige Indizwirkung soll hingegen einer erhöhten Versandpauschale oder deutlich verlängerten Lieferzeiten für Bestellungen aus der Union zukommen.66 Diese Kriterien zur Bewertung der Ausrichtung eines Angebots können aber nicht formalistisch angewendet werden. Erforderlich ist vielmehr eine wertende und gewichtende Interpretation. Wird etwa eine europäische Sprache verwendet, die auch Sprache am Sitz des Verantwortlichen ist, so ist dies allein kein hinreichendes Indiz für die Ausrichtung des Angebots auf die Union.67 Die Verwendung einer europäischen Sprache, die nicht Sprache am Sitz des Verantwortlichen ist, wäre hingegen ein starkes Indiz für ein Angebot an Personen in der Union. Allgemein gegen die Ausrichtung auf den europäischen Markt soll die Verwendung einer nicht-europäischen Sprache sprechen.68 Richtigerweise wird man dies aber ebenfalls nur als starkes Indiz berücksichtigen können.

Für das Anbieten von Waren oder Dienstleistungen kommt es nicht darauf an, ob dafür ein Vertrag geschlossen wird.69 Damit wird dem Umstand Rechnung getragen, dass zahlreiche (Online-)Geschäftsmodelle nicht auf ihrer Entgeltlichkeit beruhen, sondern der „Bezahlung“ mit Nutzerdaten und deren wirtschaftlichen Verwertung durch den Anbieter, etwa zur gezielten Vermarktung von Werbeflächen. Dass Daten als Entgeltsurrogat zur Verfügung gestellt werden, ist aber nicht im Sinne eines Umkehrschlusses dieser Ratio erforderlich.70 Internetsachverhalte, insbesondere das Anbieten von Waren oder Dienstleistungen im Netz bilden den klassischen Anwendungsfall, Art. 3 Abs. 2 lit. a DSGVO ist darauf aber nicht beschränkt. Erfasst werden aus der analogen Welt etwa Datenverarbeitungen im Zusammenhang mit telefonischen Angeboten oder papiergebundenen Angeboten.71

Ein Disclaimer, dass Waren nicht an Empfänger in der Union versendet werden, verbunden mit einer entsprechenden Umsetzung des Disclaimers, kann die Anwendbarkeit der DSGVO gemäß Art. 3 Abs. 2 lit. a DSGVO für Verantwortliche in Drittstaaten ausschließen.72

Poprzedni 1 ...11 121314 15 ...30 ...45 ...60 ...75 ...76 Kolejny