David Klein - DS-GVO/BDSG

30

Nicht ausreichend ist in Übereinstimmung mit ErwG 23 zunächst die reine Zugänglichkeit einer Internetseite bzw. die Angabe einer E-Mail-Adresse. Die Frage, ob ein Anbieten von Waren und Dienstleistungen in der Union beabsichtigt ist, kann nur anhand von Indizien festgestellt werden. Kein allein tragendes Indiz ist die auf einer Website verwendete Sprache, auch sofern diese einer Sprache in einem Mitgliedstaat der Union entspricht, jedenfalls wenn die Sprache in Drittstaaten, so dem Sitzstaat des Anbieters, gebräuchlich ist.

31

Notwendig ist vielmehr eine umfassende Betrachtung. Dabei werden Merkmale wie die verwendete Sprache, das Zurverfügungstellen tatsächlicher Angebote, Angaben zu akzeptierten Währungen, insbesondere solche von Mitgliedstaaten der Union, oder von EU-Kredit- und Bezahlungskarten, gezielte Werbung in Mitgliedstaaten in der dort üblichen Sprache, aber auch die tatsächliche Leistungserbringung herangezogen.[21]

32

Erfasst sind auch vorbereitende Datenerhebungen, so die Erstellung von Bilddateien, wenn diese dazu bestimmt und notwendig sind, in Internetangebote („street view“) einzufließen.[22] Zu bemerken ist, dass die Angebote über Internet der häufigste, aber nicht der einzige Anwendungsfall des Art. 3 Abs. 2 lit. aist. Anknüpfungspunkt ist die Datenerhebung i.S.d. DS-GVO, nicht die Art des Angebots. Damit würden auch Datenerhebungen im Zuge postalischer oder telefonischer Kontakte die Anwendung der DS-GVO auslösen.[23]

33

Ohne Belang ist die Entgeltlichkeit oder Unentgeltlichkeit der Leistung; hierunter sind bspw. entsprechende Angebote von Suchmaschinen, Filehosting-Dienste oder soziale Netzwerke zu fassen.[24] Dabei ist zugleich zu beachten, dass häufig auch Angebote, die für den privaten Nutzer unentgeltlich sind, durch Dritte, etwa Werbeanbieter, finanziert werden und damit im Ergebnis nicht als unentgeltlich anzusehen sind.[25]

34

Der räumliche Anwendungsbereich wird nach Art. 3 Abs. 2 lit. bauch dann eröffnet, wenn ein Verantwortlicher oder ein Auftragsverarbeiter ohne Niederlassung in der Union personenbezogene Daten im Zusammenhang mit der Beobachtung des Verhaltens einer natürlichen Person verarbeitet.

35

Der Begriff der Verhaltensbeobachtung ist nicht definiert. Entsprechend ErwG 24 ist danach zu fragen, „ob […] Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

36

Anders als bei lit. a, bei dem neben der Anknüpfung an Internetaktivitäten noch andere Formen der Kontaktherstellung denkbar sind, bezieht sich lit. b nahezu ausschließlich auf die Beobachtung im Internet bzw. auf die Benutzung sozialer Medien oder von Apps.

37

Die Bezugnahme auf die Erstellung von Profilen in der Art, wie sie ErwG 24 voraussetzt, zeigt zudem, dass sich die Beobachtung nicht auf punktuelle Erfassungsvorgänge beschränken darf. Vielmehr ist eine umfassende Überwachung von natürlichen Personen unter Zuhilfenahme von Datenverarbeitungstechniken gemeint.[26] Hierzu zählt die Verwendung sog. „Cookies“, alle Formen des Webtracking und auch der „Like“-Button.[27] Gegenstand der Beobachtung kann auch die physische Fortbewegung einer Person sein.[28] Als Beobachtung ist nur die gewollte Ausspähung durch technische Vorkehrungen gemeint, die also ein aktives Verhalten des Beobachtenden voraussetzt. Das Merkmal ist damit nicht bereits durch zufälliges ungewolltes Übermitteln von Daten erfüllt.[29] Dies folgt bereits daraus, dass auf solche Weise keine lit. b genügende Profilbildung möglich sein dürfte. Auf den Zweck der Beobachtung kommt es dagegen nicht an. Vielmehr stehen wirtschaftliche, wissenschaftliche, politische oder sonstige Zwecksetzungen gleichwertig nebeneinander.[30]

38

Teilweise wird die Annahme einer Schutzlücke diskutiert, wenn ein Verantwortlicher oder ein Auftragsverarbeiter zwar den Hauptsitz in einem Drittstaat hat, über eine Niederlassung in der Union verfügt, die Verarbeitung personenbezogener Daten jedoch nicht im Rahmen der Tätigkeiten dieser Niederlassung geschieht; dann wäre lit. a nicht einschlägig. Gegen die Einschlägigkeit von lit. b würde dann sprechen, dass der Betreffende über eine Niederlassung verfügt.[31] Dem kann zunächst mit der Argumentation widersprochen werden, dass einerseits die Anforderungen an das Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ nach dem Vorgesagten relativ gering sind. Darüber hinaus ist zu bedenken, dass nach zutreffender Auslegung nur relevante Niederlassungen dem Bereich des lit. a unterfallen.[32] So ist es kaum vorstellbar, dass Verantwortliche oder Auftragsverarbeiter Profilermittlungen auf dem Gebiet der Union durchführen und zum Zweck der Nichtgeltung des DS-GVO minimale Niederlassungen im Unionsgebiet errichten, die gezielt keine datenschutzrelevante Tätigkeit entfalten sollen.

39

Fraglich bleibt, ob die Erweiterung des räumlichen Anwendungsbereichs tatsächlich eine effektive und praktikable[33] Möglichkeit zur Durchsetzung des Datenschutzregimes darstellt.[34] So mögen vielleicht große im Nicht-EU-Ausland ansässige Internet-Konzerne über den Sanktionsapparat der DS-GVO belangt werden können. Die Vielzahl kleinerer Anbieter dagegen dürfte sich dagegen eher entziehen können. Dennoch stellt die Regelung des Art. 3 Abs. 2jedenfalls einen begrüßenswerten Versuch dar, den Grundrechtsschutz natürlicher Personen zu effektivieren.

40

Die DS-GVO ist gem. Art. 3 Abs. 3räumlich auch dann anwendbar, wenn Orte in einem Drittstaat aufgrund völkerrechtlicher Regelungen nicht der Hoheitsgewalt des betreffenden Staates, sondern der eines Mitgliedstaates unterliegen. Die Verarbeitung personenbezogener Daten an einem solchen Ort unterliegt der Geltung der DS-GVO.

41

Erfasst sind entsprechend ErwG 25 Datenverarbeitungsvorgänge in diplomatischen oder konsularischen Vertretungen, einschließlich mobiler Datenverarbeitungen durch Mitarbeiter im Rahmen des diplomatischen Schutzes.[35]

42

Die räumliche Erstreckung des Anwendungsbereichs insbesondere auf Grundlage des Art. 3 Abs. 2ist so weit, dass jedem Verantwortlichen oder Auftragsverarbeiter aus Drittstaaten zu raten ist, bei datenschutzrelevanten Kontakten mit dem Unionsgebiet das eigene Verhalten vorsichtshalber anhand der Regelungen der DS-GVO kritisch zu hinterfragen.

[1]

Ehmann/Selmayr- Zedick Art. 3 Rn. 1.

[2]

EuGH v. 13.5.2014 – C-131/12 (Google Inc. und Google Spain SL ./. Agencia Española de Protección de Datos), NJW 2014, 2257, 2260, Rn. 54.

[3]

Vgl. insoweit auch BeckOK DatenSR/ Hanloser Art. 3 Rn. 24.

[4]

Paal/Pauly- Ernst Art. 3 Rn. 22.

[5]

EuGH v. 1.10.2015 – C-230/14, Weltimmo, EuZW 2015, 3636, 3639, Rn. 41, zu Art. 4 Abs. 1 lit. a RL 95/46/EG.

[6]

EuGH v. 1.10.2015 – C-230/14, Weltimmo, EuZW 2015, 3636, 3639, Rn. 30, zu Art. 4 Abs. 1 lit. a RL 95/46/EG; Paal/Pauly- Ernst Art. 3 Rn. 7.

[7]

BeckOK DatenSR- Hanloser Art. 3 Rn. 15.

[8]

In diesem Sinne Paal/Pauly- Ernst Art. 3 Rn. 8; auch BeckOK DatenSR- Hanloser Art. 3 Rn. 20.