Tobias Rothkegel - Praxishandbuch DSGVO

33

Geht man von der Eröffnung des Anwendungsbereichs für den Anbieter des Instruments zur „Haushaltsverarbeitung“ aus, ergeben sich weitere Schwierigkeiten. Gelangt man zum Beispiel zu dem Ergebnis, die Stelle, die ein Instrument zur „Haushaltsverarbeitung“ bereitstellt, ist ein Verantwortlicher, ergeben sich Fragen, wie dieser Verantwortliche seine Pflichten gegenüber den durch die Haushaltsdatenverarbeitung betroffenen Personen erfüllen kann, ohne inhaltlich von deren Daten Kenntnis zu nehmen und dadurch mit dem Nutzer, der diese Daten verarbeitet, in Konflikt zu geraten. Gelangt man zu dem Ergebnis, der Anbieter, der ein solches Instrument zur Haushaltsverarbeitung bereitstellt, ist ein Auftragsverarbeiter des Nutzers, ergibt sich zum Beispiel die Frage, ob es eines Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 bedarf oder ob ein von der DSGVO eigentlich nicht vorgesehener „halber Auftragsverarbeiter“ vorliegt.

Zumindest bei der Situation der Auftragsverarbeitung erscheint es jedoch angebracht, dass die Tätigkeit des Auftragsverarbeiters, der die Daten auf Weisung des Nutzers verarbeitet, ebenfalls von der Haushaltsausnahme umfasst ist, solange er sich nicht zum Verantwortlichen aufschwingt.37

Praxishinweis

Natürliche Personen verarbeiten Informationen über sich selbst und über andere in einem immer größer werdenden Umfang und sie nutzen dafür oft Instrumente, die von Unternehmen online bereitgestellt werden. Die Verarbeitung durch die natürlichen Personen liegt dabei häufig schon außerhalb des Schutzbereichs der DSGVO oder sie ist von der Haushaltsausnahme abgedeckt. In diesen Fällen sollte nicht vorschnell davon ausgegangen werden, dass die Beteiligung der Unternehmen an der Verarbeitung im Anwendungsbereich der Verordnung liegt. Dies ist vielmehr im Einzelfall genau zu prüfen.

7Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 18. 8Vgl. Gola/Gola, Art. 2 DSGVO Rn. 5. 9Plath/Plath, Art. 2 DSGVO Rn. 15; aA Paal/Pauly/Ernst, Art. 2 Rn. 10; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 Rn. 16. 10Der Begriff des „Dateisystems“ ist augenscheinlich die einzige Neuerung im Vergleich zu der ansonsten wortgleichen Vorgängerregelung in Art. 3 Abs. 1 DSRL, in der der Begriff „Datei“ verwendet wurde. Dieser Änderung ist jedoch keine weitere Bedeutung beizumessen. Dies zeigt ein Vergleich z.B. mit den englischen Sprachfassungen der Richtlinie und der Verordnung, in denen jeweils der Begriff „filing system“ verwendet wird. 11EuGH, Urt. v. 10.7.2018 – C-25/17, ZD 2018, 469, 471, Rn. 60–62. 12Plath/Plath, Art. 2 DSGVO Rn. 11. Es existiert in der DSGVO keine dem § 27 Abs. 2 BDSG a.F. entsprechende Regelung, welche den Anwendungsbereich des Datenschutzrechts noch auf personenbezogene Daten erstreckte, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. 13BeckOK-DS/Bäcker, Art. DSGVO 2 Rn. 33; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 17; anders Plath/Plath, Art. 2 DSGVO Rn. 31, der von einer Ausnahme von der Anwendbarkeit der Verordnung auszugehen scheint. 14Vgl. BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 33; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 17; Plath/Plath, Art. 2 DSGVO Rn. 31; Sydow/Ennöckl, Art. 2 DSGVO Rn. 17. 15Vgl. Erwägungsgrund 16. 16BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 12; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 23; Gola/Gola, Art. 2 DSGVO Rn. 33. 17Vgl. Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 21. 18Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 18. 19Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 24; BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 12. 20Gola/Gola, Art. 2 DSGVO Rn. 15. 21Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 7; Kühling/Buchner/Kühling/Raab, Art. 2 DSGVO Rn. 8. 22Vgl. Plath/Plath, Art. 2 DSGVO Rn. 22. 23Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 5; vgl. EuGH, Urt. v. 11.12.2014 – C-212/13, Rn. 22, 33. 24Ausführlich hierzu BeckOK-DS/Bäcker, Art. 2 DSGVO Rn. 17ff. 25EuGH, Urt. v. 6.11.2003 – C-101/01, Rn. 47. 26Siehe http://about.fb.com/company-info/, zuletzt abgerufen am 10.2.2021. 27Bitkom, Vertrauen und Sicherheit im Netz, S. 10. 28Im Gesetzgebungsverfahren wollte das Europäische Parlament zwar noch aufnehmen lassen, dass die Haushaltsausnahme für Veröffentlichungen gelten soll, bei denen davon auszugehen ist, dass der Kreis der Empfänger begrenzt ist. Dieser Vorschlag hat jedoch keinen Eingang in den Text gefunden. Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 7. 29EuGH, Urt. v. 14.2.2019 – C-345/17, Rn. 43. 30Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 21; Schantz, NJW 2016, 1841, 1843; Gola/Gola, Art. 2 DSGVO Rn. 21. 31Gola/Gola, Art. 2 DSGVO Rn. 21. 32Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 19; Härting, Rn. 313. 33Vgl. Rn. 6 oben. 34A.A. wohl Gola/Gola, Art. 2 DSGVO Rn. 22; a.A. auch Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 19; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 28. 35Zudem wird der Anbieter häufig weder von der Existenz solcher Daten noch von deren Inhalt Kenntnis haben, so dass er im Hinblick auf solche Daten schon nicht in der Lage ist, einen Zweck festzulegen. Viele Pflichten des Verantwortlichen setzen zumindest eine Kenntnis der Existenz personenbezogener Daten voraus, so zum Beispiel die Informationspflichten in Art. 14 DSGVO. 36In Erwägungsgrund 47 DSRL wurde dies für den Anbieter eines Telekommunikationsdienstes, der eine Nachricht mit personenbezogenen Daten übermittelt, ebenfalls so festgestellt. An den dahinter liegenden Überlegungen dürfte sich nichts geändert haben. 37Spindler/Schuster/Spindler/Dalby, Art. 2 DSGVO Rn. 6; Auernhammer/v. Lewinsky, Art. 2 DSGVO Rn. 25; a.A. BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 23.

34

Art. 3 DSGVO bestimmt, wann Verarbeitungsvorgänge vom räumlichen Anwendungsbereich der Verordnung erfasst sind.

35

Abgesehen von Art. 3 Abs. 3 DSGVO ist der Ort der Datenverarbeitungals solcher für die Eröffnung des räumlichen Anwendungsbereichs nicht relevant.38 Somit kann jeder Datenverarbeitungsvorgang weltweit im räumlichen Anwendungsbereich der Verordnung liegen.

Praxishinweis

Wie im Folgenden aufgezeigt wird, ist der räumliche Anwendungsbereich der Verordnung sehr weit. Selbst eine Verarbeitung von Daten, die außerhalb der EU vorgenommen wird und Personen betrifft, die keinem Mitgliedstaat der EU angehören, kann dem europäischen Datenschutzrecht unterliegen. Ist der Verantwortliche in der EU niedergelassen, gilt dies unter Umständen sogar dann, wenn sich die betroffenen Personen dauerhaft außerhalb der EU befinden.

36

Nach Art. 3 Abs. 1 DSGVO findet die Verordnung räumlich Anwendung auf die Verarbeitung personenbezogener Daten, „ soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftraggebers in der Union erfolgt, unabhängig davon, ob die Verarbeitung tatsächlich in der Union stattfindet “ ( Niederlassungsprinzip).

37

Das europäische Datenschutzrecht hat einen eigenen Begriff der Niederlassung, der sich z.B. von den in Art. 49 AEUV, § 13 HBG oder § 4 Abs. 3 GewO verwendeten Begriffen unterscheidet. Nach Erwägungsgrund 22 DSGVO setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist nach diesem Erwägungsgrund nicht ausschlaggebend.