Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 83

13

Der Wortlaut des Art. 3 Abs. 1 DSGVO wird teilweise so verstanden, dass die Beauftragung eines Auftragsverarbeiters in der Union durch einen Verantwortlichen außerhalb der Union zur Anwendbarkeit der DSGVO führe, auch wenn die Voraussetzungen des Art. 3 Abs. 2 DSGVO nicht erfüllt sind, also außer der Beauftragung eines Auftragsverarbeiters in der Union keine weitere territoriale Anknüpfung zum Recht der Union und der Mitgliedstaaten besteht.32 Für die Begründung der Anwendbarkeit der DSGVO käme es dann nicht mehr auf eine Verbindung des datenschutzrechtlich Verantwortlichen selbst zum Gebiet der Union oder der Mitgliedstaaten an. Dieses Ergebnis muss aus der Perspektive des Verantwortlichen außerhalb der Union überraschen, der personenbezogene Daten von Personen ohne inhaltlichen Bezug zur Union verarbeitet. Warum soll etwa ein Verantwortlicher in den USA, der im Zweifel zufällig Dienste eines Auftragsverarbeiters oder eines Unterauftragsverarbeiters in der Union nutzt, für die Verarbeitung dieser personenbezogenen Daten europäisches Datenschutzrecht beachten müssen? Richtigerweise ist der Wortlaut des Art. 3 Abs. 1 DSGVO daher so zu verstehen, dass die Anwendbarkeit der DSGVO auf Verantwortliche und Auftragsverarbeiter separat bestimmt werden und Vorschriften der DSGVO auf den Auftragsverarbeiter in der Union Anwendung findet, soweit dieser Adressat datenschutzrechtlicher Pflichten ist.33 Die Beauftragung eines Auftragsverarbeiters in der Union führt jedoch nicht zur Anwendbarkeit der DSGVO auf den Verantwortlichen außerhalb der Union, der personenbezogene Daten ohne inhaltlichen Bezug zur Union durch diesen Auftragsverarbeiter verarbeiten lässt.34

14

Für diese Ansicht sprechen die Entstehungsgeschichte des Art. 3 Abs. 1 DSGVO und die Regelungsintention des europäischen Gesetzgebers.35 Nach Art. 4 Abs. 1 DSRl war die Anwendbarkeit des Datenschutzrechts primär nach dem Sitz des Verantwortlichen zu bestimmen. Verantwortliche außerhalb der Union mussten europäisches Datenschutzrecht nur beachten, soweit sie dies im Rahmen einer Niederlassung in der Union taten. Mit der Regelung in Art. 3 Abs. 1 DSGVO sollten die Anforderungen zur Anwendbarkeit des europäischen Datenschutzrechts aus der Google/Spain-Entscheidung des EuGH36 umgesetzt werden und auch Verarbeitungen mit Verbindung zu einer Niederlassung in der Union vom Anwendungsbereich des europäischen Datenschutzrechts erfasst werden. Eine darüber hinausgehende Begründung exterritorialer Anwendbarkeit der DSGVO war aber gerade nicht bezweckt.37 Eine exterritoriale Anwendbarkeit der DSGVO würde zudem im Konflikt mit dem völkerrechtlichen Verbot exterritorialer Herrschaftsausübung stehen,38 indem ein Sachverhalt geregelt würde, der keine inhaltliche Verbindung zum Territorium der Union hat. Art. 3 Abs. 1 DSGVO ist daher so auszulegen, dass eine Verletzung des Territorialitätsgrundsatzes vermieden wird, indem nur die Pflichten des Auftragsverarbeiters in der Union in den Anwendungsbereich der DSGVO fallen. Diese Auslegung entspricht zudem dem kollisionsrechtlichen Grundsatz der Vermeidung von Anwendungskonflikten.39 Würde die Anwendbarkeit der DSGVO auf diese Fälle erstreckt, wären Anwendungskonflikte mit dem lokalen und sachnäheren Datenschutzrecht des Orts der Niederlassung des Verantwortlichen vorprogrammiert.

15

Gegen die exterritoriale Anwendbarkeit spricht auch die fehlende Pflicht zur Bestimmung eines Inlandsvertreters gemäß Art. 27 Abs. 1 DSGVO, die in diesem Fall für den Verantwortlichen gerade nicht besteht. Nur in den Fällen des Art. 3 Abs. 2 DSGVO muss der Verantwortliche in einem Drittland diesen nämlich bestellen.40 Der Inlandsvertreter ist gemäß Art. 27 Abs. 4 DSGVO Anlaufstelle für die Aufsichtsbehörden in Fragen der Durchsetzung der DSGVO gegen Verantwortliche in Drittstaaten. Die fehlende Pflicht zur Bestellung des Inlandsvertreters ist ein klares Indiz, das gegen den inhaltlichen Geltungsanspruch des Datenschutzrechts spricht. Für die hier vertretene Auslegung spricht zudem die Reichweite des europäischen Grundrechtsschutzes, der gemäß Art. 1 Abs. 2 DSGVO zentrale Zweckbestimmung der DSGVO ist (siehe Art. 2 Rn. 13ff.). Der Grundrechtsschutz ergibt sich im Wesentlichen aus der GRCh. Betroffene außerhalb der Union können sich auf europäische Grundrechte jedoch nicht berufen, wenn der Sachverhalt keine direkte Verbindung zum Territorium der Union hat.41 In dem Beispiel der Verarbeitung personenbezogener Daten von Personen ohne inhaltlichen Bezug zur Union könnten diese sich nicht auf den europäischen Grundrechtsschutz berufen. In diesem Beispiel und ähnlich gelagerten Fällen spricht die Zweckbestimmung der DSGVO gegen ihre exterritoriale Anwendung.