DSGVO - BDSG - TTDSG

6

In Art. 3 DSGVO wird der territoriale Anwendungsbereich der DSGVO normiert. Der sachliche Anwendungsbereichfolgt aus Art. 2 DSGVO und der zeitliche Anwendungsbereich aus Art. 99 DSGVO. Soweit im Rahmen der Öffnungsklauseln mitgliedstaatliche Regelungen zum Datenschutz geschaffen wurden, können die Mitgliedstaaten unter Beachtung der Vorgaben des Völkerrechts deren territoriale Anwendung bestimmen. In diesem Sinne regelt § 1 Abs. 4 BDSG die territoriale Anwendbarkeit des Bundesdatenschutzgesetzes (dazu § 1 BDSG Rn. 25). Erläuterungen und Auslegungshilfen zu Art. 3 DSGVO ergeben sich aus den ErwG 22 bis 25.

7

Für die räumliche Anwendbarkeit der DSGVO knüpft Art. 3 Abs. 1 DSGVO an die Verarbeitung personenbezogener Daten (siehe Art. 4 Rn. 2ff.) im Rahmen der Tätigkeiten einer Niederlassungeines Verantwortlichen (siehe Art. 4 Rn. 170ff.) oder Auftragsverarbeiters (siehe Art. 4 Rn. 238ff.) in der Union an. Das Gebiet der Union ergibt sich aus Art. 52 EUV und Art. 355 AEUV. Eine Anknüpfung an den Ort der Datenverarbeitung oder die Belegenheit der Mittel in der Union ist ausdrücklich nicht erforderlich (zur entgegenstehenden Konzeption im deutschen Datenschutzrecht siehe § 1 BDSG Rn. 30ff.). Hintergrund dieser Entkoppelung der territorialen Anwendbarkeit von der Belegenheit zur Verarbeitung eingesetzter Hardware ist es, technischen Rahmenbedingungen der zunehmend globalen und vernetzten Verarbeitung personenbezogener Daten, etwa in der Cloud, Rechnung zu tragen.8 In diesen IT-Infrastrukturen kann die Belegenheit der Hardware nämlich praktisch unbeschränkt global gewählt und geändert werden. Teilweise ist dies für den Verantwortlichen nicht mehr nachvollziehbar. Die Belegenheitder Hardware wird damit zunehmend ungeeignet als Anknüpfungspunkt zur Bestimmung der territorialen Anwendbarkeit des Datenschutzrechts.

8

Zur Bestimmung der territorialen Anwendbarkeit der DSGVO gemäß Art. 3 Abs. 1 DSGVO gilt ein modifiziertes Sitzprinzip beziehungsweise ein Sitz- und Niederlassungsprinzip. Abzustellen ist nach dem Wortlaut der Norm auf die Belegenheit der Niederlassung, in deren Kontext personenbezogene Daten verarbeitet werden. Befindet sich diese in der Union, findet die DSGVO Anwendung. Ob der Verantwortliche oder Auftragsverarbeiter zusätzlich zu der Niederlassung, in deren Kontext die Verarbeitung erfolgt, weitere Niederlassungen oder seinen Hauptsitz in einem Drittstaat außerhalb der Union hat, ist für die Bestimmung der territorialen Anwendbarkeit der DSGVO nicht relevant.9 Insbesondere ist für die Bestimmung der territorialen Anwendbarkeit nicht auf den offiziellen Sitz des Verantwortlichen, etwa gemäß dem Handelsregister abzustellen.10 Auch wenn Verarbeitungen durch Verantwortliche oder deren Niederlassungen in der Union technisch von Dienstleistern in Drittstaaten ausgeführt werden oder durch den Verantwortlichen oder die Niederlassung selbst auf Hardwarekomponenten außerhalb der Union ausgeführt werden, bleibt die DSGVO anwendbar. Eine Flucht aus der Anwendbarkeit der DSGVO durch IT-Outsourcing ist für Verantwortliche beziehungsweise deren Niederlassungen in der Union nicht möglich.

9

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Tätigkeiten am eingetragenen Sitzfallen natürlich auch weiter in den territorialen Anwendungsbereich der DSGVO. Die DSGVO benennt diese nicht ausdrücklich. Dogmatisch lässt sich dies aus einer teleologischen Erweiterung des Begriffs der Niederlassung begründen. Wenn schon die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung erfolgt, muss dies erst recht für Verarbeitungen im Zusammenhang mit Tätigkeiten des Sitzes gelten. Alternativ wird vorgeschlagen, den Begriff des Sitzes als Unterfall der Niederlassung im Sinne der Norm zu qualifizieren und daraus die Anwendbarkeit der DSGVO für Verarbeitungen im Zusammenhang mit Tätigkeiten am eingetragenen Sitz zu begründen.11 Unabhängig von der dogmatischen Begründung findet die DSGVO aber im gleichen Maße auf Verarbeitungen am eingetragenen Sitz, wie an einer Niederlassung, Anwendung.

10

Der Begriff der Niederlassungist anders als der Begriff der Hauptniederlassung (siehe Art. 4 Rn. 421ff.) im Text der DSGVO nicht legaldefiniert, wird aber in ErwG 22 angesprochen. Eine Niederlassung setzt danach die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.12 Die DSGVO knüpft damit an das Begriffsverständnis von ErwG 19 DSRl an. Ob eine Niederlassung rechtlich selbstständig ist, eigene Rechtspersönlichkeit hat oder in die Organisation des Verantwortlichen eingebunden ist, spielt keine Rolle.13 Die Einrichtung muss aber aktiv – wenn auch geringfügig – in die Tätigkeiten zur Verarbeitung personenbezogener Daten des Verantwortlichen einbezogen sein.14 Der Begriff der Niederlassung ist unionsautonom auszulegen und nicht inhaltsgleich mit dem Begriff der Niederlassung im Sinne der Niederlassungsfreiheit des Art. 49 AEUV oder der gewerberechtlichen Niederlassungim Sinne des § 4 Abs. 3 GewO.15 Der Begriff ist nicht formalistisch zu verstehen, sondern entsprechend der Interpretation des EuGH flexibel auszulegen.16 Eine Niederlassung kann danach bereits vorliegen, wenn ein Vertreter des Verantwortlichen sich in der Union befindet und in die Verarbeitung einbezogen ist.17 Eine Niederlassung kann daher etwa eine Tochtergesellschaft, ein Marketing- oder Vertriebsbüro, eine Gesellschaft mit einem Vertreter und einem Bankkonto18 oder eine Zweigniederlassung oder Tochtergesellschaft zur Förderung des Vertriebs von Werbeflächen eines Suchmaschinenbetreibers19 sein. Auf die Rechtsform kommt es dabei nicht an.20

11

Nicht hinreichend für die Begründung einer Niederlassung ist das Vorliegen von Hardwarekomponenten wie Servern oder Rechnern ohne Personal, Organisation oder bauliche Substanz21 oder rein technische oder rechtliche Stützpunkte ohne menschliche Aktivität, wie Briefkastenfirmen.22 Nicht hinreichend ist ebenfalls die bloße Abrufbarkeit einer Webseite aus dem Inland23 oder die Bestellung eines Inlandsvertreters gemäß Art. 27 DSGVO.24 Mit der Beauftragung eines Auftragsverarbeiters in der Union entsteht ebenfalls keine Niederlassung.25 Auch Einrichtungen, die nur eingeschränkt beständig sind, wie Messestände oder mobile Geschäftsstätten begründen keine Niederlassung.26 Ebenfalls keine Niederlassung begründet der Einsatz von Personal ohne Beständigkeit, wie die Entsendung von Geschäftsreisenden oder Messevertretern.27

12

Die Verarbeitung personenbezogener Daten muss „im Rahmen der Tätigkeiten einer Niederlassung“ erfolgen.28 Diese Zuordnung der konkreten Verarbeitung zu einer Niederlassung ist einzelfallspezifisch vorzunehmen, wobei die Voraussetzungen weit zu verstehen sind, um durch die daraus folgende Anknüpfung zum Recht der Jurisdiktion, in der die Niederlassung belegen ist (einschließlich des Rechts der Union), einen umfassenden Schutz der Grundrechte und Grundfreiheiten der Betroffenen zu gewährleisten.29 Entscheidend für die Zuordnung einer Tätigkeit zu einer Niederlassung sind Maß und Umfang der Beteiligung der Niederlassung an der Aktivität zur Verarbeitungpersonenbezogener Daten.30 Neben der Zuordnung der Verarbeitung zur Tätigkeit der Niederlassung muss eine Zuordnung zu dem Verantwortlichen möglich sein,31 sonst handelt es sich nämlich im Zweifel um eine Verarbeitung der Niederlassung, für die sie selbst datenschutzrechtlich verantwortlich ist. Wo die Verarbeitung tatsächlich geografisch erfolgt oder wo personenbezogene Daten tatsächlich physisch liegen, ist unerheblich.