Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 56

82

Mit Beschluss des EWR-Ausschusses wurde die DSGVO in das EWR-Abkommen aufgenommen und die DSRL gelöscht. Die DSGVO wirkt seit Inkrafttreten des Beschlusses am 20.7.2018 gemäß Art. 7 EWR-Abkommen in Island, Liechtenstein und Norwegen verbindlich als innerstaatliches Recht wie in den Mitgliedstaaten der EU. Der Beschluss nimmt eine Reihe notwendiger Anpassungen und Klarstellungen der DSGVO für die EFTA-Staaten vor. Unter anderem sieht er vor, dass die Aufsichtsbehörden der EFTA-Staaten zwar an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen, sie haben jedoch kein Stimmrecht und sind nicht für den Vorsitz wählbar. Es wird zudem klargestellt, dass die Ausdrücke „Mitgliedstaat“ und „Aufsichtsbehörde“ neben ihrer Bedeutung in der DSGVO auch die EFTA-Staaten beziehungsweise ihre Aufsichtsbehörden umfassen.76

38 Art. 3 Abs. 3 DSGVO regelt in erster Linie die Datenverarbeitung am Ort von diplomatischen oder konsularischen Vertretungen der EU-Mitgliedstaaten außerhalb der EU, für die aufgrund des Völkerrechts das Recht des jeweiligen Mitgliedstaates gilt (vgl. Erwägungsgrund 25). 39 Plath/Plath, Art. 3 DSGVO Rn. 8; Gola/Piltz, Art. 3 DSGVO Rn. 7. 40 EuGH, Urt. v. 1.10.2015 – C-230/14, Rn. 24ff. 41 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 9; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 33; Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 4; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9. 42 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 52ff. 43 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 56, 57. 44 Zuletzt EuGH, Urt. v. 24.9.2019 – C-507/17, Rn. 50. 45 Art. 28 Abs. 3 DSGVO; vgl. Kap. 7 Rn. 38. 46 Art. 28 Abs. 10 DSGVO; vgl. Kap. 7 Rn. 10. 47 Aufgrund der eindeutigen Formulierung „nicht in der Union niedergelassenen“ in Art. 3 Abs. 2 DSGVO entsteht zwischen Art. 3 Abs. 1 und Abs. 2 DSGVO eine Lücke für solche Stellen, die zwar Niederlassungen in der EU haben, deren Tätigkeiten aber einen Rahmen haben, in dem die fragliche Datenverarbeitung nicht stattfindet. Insbesondere bei Mischkonzernen ist eine solche Konstellation durchaus denkbar. In der Richtlinie existierte zwar eine vergleichbare Lücke, diese wurde jedoch durch die mitgliedstaatlichen Umsetzungsgesetze (z.B. auch im BDSG (bis 2018)) teilweise geschlossen. Ob und wie sich diese neue Lücke in der Praxis auswirkt, bleibt abzuwarten. Teilweise wird vorgeschlagen, die Lücke im Wege einer teleologischen Auslegung zu schließen. 48 Art. 4 Abs. 1 lit. c DSRL. Nach § 1 Abs. 5 S. 2 BDSG (bis 2018) war erforderlich, dass personenbezogene Daten „im Inland“ erhoben, verarbeitet oder genutzt werden. 49 EuGH, Urt. v. 10.12.1968 – C-7/68, Slg. 1968, 633, Rn. 2; EuGH, Urt. v. 14.7.1977 – C-1/77, Slg. 1977, 1473, Rn. 4. 50 Art. 57 AEUV. 51 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 20: Plath/Plath Art. 3 DSGVO Rn. 18; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 48. 52 Laut der englischen Sprachfassung des Erwägungsgrundes 23 DSGVO ist zu prüfen, „whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.“ 53 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 16. 54 Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 10. Art. 6 Abs. 1 lit. b Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht („Rom I“); Art. 6 Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“); Art. 15 Abs. 1 lit. c Verordnung (EG) Nr. 44/2001 des Rates vom 22.12.2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen („Brüssel I“). 55 EuGH Urt. v. 7.12.2010 – C-585/08 und C-144/09 Rn. 83; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 17. 56 Im Ergebnis ebenso BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 34; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 89. Würde der Auftragsverarbeiter den betroffenen Personen Waren oder Dienstleistungen anbieten, wäre er im Hinblick auf die damit im Zusammenhang stehende Verarbeitung personenbezogener Daten in der Regel selbst Verantwortlicher. 57 A.A. wohl Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 54, zumindest dann, wenn der Auftragsverarbeiter die Infrastruktur betreibt, die sich an betroffene Personen in der Union richtet. 58 Nach der deutschen Sprachfassung des Erwägungsgrundes 23 soll die Datenverarbeitung der Verordnung unterliegen, wenn sie dem Anbieten von Waren oder Dienstleistungen „dient“. Allerdings zeigt ein Vergleich mit anderen Sprachfassungen, dass ein andersartiger Zusammenhang ebenfalls ausreichend sein dürfte. So reicht laut der englischen Sprachfassung ein „related to offering goods or services“. 59 Dies ist bei Online-Diensten durchaus üblich. Europäische Nutzer verwenden außereuropäische Dienste häufig aufgrund ihrer Muttersprache. 60 Die Beobachtung von Offline-Verhalten, welches in der EU erfolgt, wird ohnehin häufig eine Tätigkeit einer Niederlassung im Sinne des Art. 3 Abs. 1 DSGVO sein. 61 Die englische Sprachfassung des Art. 3 Abs. 2 lit. b DSGVO verwendet den Begriff „monitoring“. In der schwedischen Sprachfassung ist von „övervakning“, also „Überwachung“ die Rede. 62 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 63 Vgl. Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 12; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 20; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 94; a.A. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 64 Sofern im Rahmen der Web-Analyse personenbezogene Daten verarbeitet werden, kann diese Verarbeitung jedoch sehr wohl im räumlichen Anwendungsbereich der Verordnung liegen, wenn das analysierte Webangebot ein Angebot an Personen in der EU im Sinne des Art 3 Abs. 2 lit. a DSGVO darstellt. 65 So auch Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 Rn. 59. 66 So auch Plath/Plath, Art. 3 DSGVO Rn. 13. 67 Albrecht, CR 2016, 88, 90. 68 Vgl. Plath/Plath, Art. 3 DSGVO Rn. 14. 69 So aber wohl Plath/Plath, Art. 3 DSGVO Rn. 14. 70 Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 13. 71 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 13; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32, 62; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 11; a.A. BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 12, für den Fall, dass der Verantwortliche einen in der Union niedergelassenen Verarbeiter beauftragt. 72 Vgl. hierzu insgesamt Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9ff. 73 Vgl. Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 10; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32. 74 Gegen eine Anwendbarkeit der Regeln aus Kapitel V: Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38. Dafür: Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 34; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 11. 75 EuGH, Urt. v. 24.9.2019 – C-507/17, Rn. 54, 62. 76 Beschluss des gemeinsamen EWR-Ausschusses Nr. 154/2018 vom 6.7.2018 zur Änderung des Anhangs XI (Elektronische Kommunikation, audiovisuelle Dienste und Informationsgesellschaft) und des Protokolls 37 (mit der Liste gemäß Artikel 101) des EWR-Abkommens [2018/1022].