Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 52

64

Der räumliche Anwendungsbereich kann auch durch das Beobachten von Verhalten betroffener Personen in der EU gemäß Art. 3 Abs. 2 lit. b DSGVO eröffnet sein.

65

Der Begriff der Verhaltensbeobachtung ist in Anbetracht von Erwägungsgrund 24 anscheinend auf das Verhalten einer Person im Internet beschränkt. Zumindest wird in Erwägungsgrund 24 deutlich, dass der Unionsgesetzgeber den Online-Bereich im Fokus hatte.60

66

Die schlichte Erfassung der Daten über die Internetaktivität z.B. in einem gewöhnlichen Serverlog reicht für die Annahme einer Verhaltensbeobachtung allerdings nicht aus. „Beobachtung“ geht schon begrifflich über die reine Erfassung von Daten hinaus.61 Es muss sich vielmehr um ein zielgerichtetes Sammeln von Erkenntnissen handeln.62 Dementsprechend ist gemäß Erwägungsgrund 24 DSGVO für ein Beobachten erforderlich, dass Internetaktivitäten der betroffenen Person tatsächlich nachvollzogen werden. Laut Erwägungsgrund 24 DSGVO liegt ein solches Nachvollziehen unter anderem dann vor, wenn durch die Beobachtung die Erstellung eines Profils der Person ermöglicht wird, welches Grundlage für die Person betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Dies legt nahe, dass der Begriff der Beobachtung eine gewisse Dauer und Intensität voraussetzt.63

67

Offensichtlich sollen damit im Internet eingesetzte Technologien in den räumlichen Anwendungsbereich der Verordnung gebracht werden, die die Internetaktivitätsdaten von Nutzern erfassen (z.B. durch entsprechende Cookies oder sonstige Nutzerkennungen), sofern die erfassten Daten in eine Entscheidung in Bezug auf die betroffene Person münden oder die Daten zur Personalisierung von Funktionalitäten oder Inhalten (z.B. personalisierte Werbung, personalisierte Vorschlagsfunktionen oder personalisierte Suchergebnisse) anhand eines Profils der Person eingesetzt werden.

68

Die Analyse von Internetaktivitätsdaten von Besuchern eines Webangebotes dürfte jedoch keine solche Verhaltensbeobachtung darstellen, sofern die Analyse aggregiert erfolgt und nicht den einzelnen Besucher im Fokus hat. Web-Analyse-Verfahren, die allein dazu dienen, eine Webseite insgesamt bedarfsgerecht zu gestalten oder bestimmte Kennzahlen im Hinblick auf die Funktionsfähigkeit der Webseite zu messen, dürften daher von Art 3 Abs. 2 lit. b DSGVO nicht erfasst sein.64

69

Art. 3 Abs. 2 lit. b DSGVO setzt zudem denklogisch voraus, dass die Person, deren Daten verarbeitet werden, und die Person, deren Verhalten mittels dieser Verarbeitung beobachtet wird, identisch sein müssen, wodurch auch stets der erforderliche Zusammenhang zwischen Verarbeitung und Verhaltensbeobachtung besteht.

70

Schließlich muss das beobachtete Verhalten in der EU erfolgen. Der Umstand, dass Art. 2 Abs. 3 lit. b DSGVO erfordert, dass sich zum einen die Person in der EU befindet und zum anderen ihr beobachtetes Verhalten in der EU erfolgt, legt nahe, dass es der Gesetzgeber für möglich hält, dass sich eine in der EU befindliche Person außerhalb der EU verhalten kann. Gerade bei den von Art. 3 Abs. 2 lit. a DSGVO erfassten Internetaktivitäten erscheint dies durchaus denkbar. So ist zum Beispiel die Frage, wo eine Tat bzw. Handlung mittels einer Webseite begangen wird, im Rahmen des Strafrechts oder des Zivilprozessrechts hoch umstritten. Daher scheint es vertretbar anzunehmen, dass das Verhalten einer in der EU befindlichen Person außerhalb der EU erfolgt, wenn diese Person einen Internetdienst verwendet, der auf Servern außerhalb der EU läuft.

71

Dadurch, dass das in der Vorgängerregelung des Art. 4 Abs. 1 lit. c DSRL verankerte Territorialitätsprinzip nicht in die Verordnung übernommen wurde, wird jedoch zum Ausdruck gebracht, dass der Standort von Datenverarbeitungsanlagen keine Bedeutung für die Eröffnung des räumlichen Anwendungsbereichs haben soll. Zudem wird Art. 3 Abs. 2 lit. b DSGVO in der Regel erst dann relevant werden, wenn die verarbeitende Stelle keine Niederlassung in der EU hat. Insgesamt ist somit der Wille des Unionsgesetzgebers deutlich erkennbar, die in der Union befindlichen betroffenen Personen möglichst umfassend zu schützen. Dementsprechend dürfte sich die Ansicht durchsetzen, dass das Verhalten von in der EU befindlichen Personen aus der Perspektive des europäischen Datenschutzrechts auch stets in der EU erfolgt, selbst wenn sie Internetdienste nutzen, die auf Servern außerhalb der EU angeboten werden.65

Praxishinweis

Art. 3 Abs. 2 lit. b DSGVO dehnt den räumlichen Anwendungsbereich der Verordnung unter Umständen sehr weit aus. Dies hat zum Beispiel die unbillig erscheinende Folge, dass Unternehmen, die keine Niederlassung in der EU haben und ihren Internetdienst ausschließlich an Personen außerhalb der EU richten und diesen zudem auf Servern außerhalb der EU betreiben, dennoch in den räumlichen Anwendungsbereich der Verordnung fallen können, wenn Nutzer aus der EU auf diesen Dienst zugreifen und der Dienst auf Verhaltensprofilen basierte Personalisierungsfunktionen anbietet.