Tobias Rothkegel - Praxishandbuch DSGVO

38

In Bezug auf die Niederlassung eines Verantwortlichenweisen der Wortlaut des Art. 3 Abs. 1 DSGVO und der Wortlaut der Vorgängerregelung in Art. 4 Abs. 1 lit. a DSRL ebenso wie die entsprechenden Erwägungsgründe große Ähnlichkeiten auf.

39

Angesichts dieser Parallelen dürfte die Rechtsprechung des EuGH zum Begriff der Niederlassung in der Richtlinie auch für die DSGVO weiterhin Bedeutung haben.39 Zuletzt hat der EuGH im Fall „ Weltimmo“ die Grenzen dieses Begriffs ausgedehnt und eine sehr niedrige Schwelle für das Eingreifen des Niederlassungsprinzips angelegt. Nach dieser Entscheidung kann schon das Betreiben einer Webseite in der Sprache eines Mitgliedstaates mit auf den Mitgliedstaat bezogenen Angeboten als „effektive und tatsächliche Ausübung einer Tätigkeit“ eines Unternehmens in dem Mitgliedstaat angesehen werden. Und ein einziger Vertreter des Unternehmens in diesem Mitgliedstaat, der im Zusammenhang mit der Website tätig wird, kann eine „feste Einrichtung“ des Unternehmens sein.40 Lediglich vorübergehend verortete Einrichtungen, wie z.B. Messestände, reichen hingegen nicht aus. Auch die Beauftragung eines Auftragsverarbeiters in der Union lässt keine Niederlassung des Verantwortlichen entstehen.41

Praxishinweis

Es reichen bereits sehr geringe Aktivitäten in einem Mitgliedstaat der EU, um eine Niederlassung des Verantwortlichen im Sinne der Verordnung entstehen zu lassen. Der Umstand, dass keine Tochtergesellschaften oder Zweigniederlassungen in der EU existieren, schließt die Anwendbarkeit der Verordnung nicht aus.

40

Liegt eine Niederlassung in der EU vor, ist weiterhin zu prüfen, ob die jeweilige Verarbeitung im Rahmen der Tätigkeitendieser Niederlassung erfolgt.

41

Dies ist in der Regel unschwer zu bejahen, wenn die in Betracht gezogene Niederlassung in der EU zugleich der satzungsmäßige Sitzdes Verantwortlichen ist (bzw. bei einer Einzelperson der Geschäfts-oder Wohnsitz). Denn mit Ausnahme von reinen Briefkastenfirmen ist der Sitz des Verantwortlichen in der Regel eine Niederlassung, an der sich eine Tätigkeit festmachen lässt, im Rahmen derer die Datenverarbeitung durch den Verantwortlichen erfolgt.

42

Die Datenverarbeitung erfolgt auch stets dann im Rahmen der Tätigkeit einer Niederlassung, wenn die Niederlassung an der betrachteten Datenverarbeitung direkt beteiligtist.

43

Schwieriger ist die Prüfung dieses Merkmals in Fällen, in denen der Sitz des Verantwortlichen in einem Drittstaat liegt und keine Niederlassung in der EU an der Datenverarbeitung direkt beteiligt ist. Diese Konstellation liegt in der Praxis insbesondere bei über das Internet aus einem Drittland angebotenen Dienstleistungen vor. Solche Fälle waren während der Geltungsdauer der Richtlinie lange umstritten. Der EuGH hatte in der Entscheidung „ Google-Spain“ jedoch klargestellt, dass eine Verarbeitung durch die Niederlassung selbst nicht erforderlich ist und es schon ausreicht, wenn die Niederlassung mit ihrer Tätigkeit in einem Mitgliedstaat zur Rentabilität der betrachteten Datenverarbeitung beiträgt.42 Dies begründet nach Ansicht des EuGH eine „untrennbare Verbindung“ zwischen der Tätigkeit der Niederlassung und der betrachteten Datenverarbeitung, was dazu führt, dass die Datenverarbeitung im Rahmen dieser Tätigkeit erfolgt.43 Seit dieser Entscheidung fielen eine Vielzahl zuvor strittiger Szenarien klar in den räumlichen Anwendungsbereich der Richtlinie. Aufgrund der Parallelen zur Richtlinie kann auch im Rahmen der Verordnung auf diese Rechtsprechung des EuGH zurückgegriffen werden. Dagegen ließe sich zwar einwenden, dass mit der Einführung des Marktortprinzips durch Art. 3 Abs. 2 ein wesentlicher Grund für die extensive und flexible Auslegung der Vorgängerregelung durch den EuGH weggefallen ist. An dem Ansatz des EuGH, zur Gewährleistung eines wirksamen und umfassenden Schutzes des Rechts auf Privatleben eine weite Auslegung der Vorschriften zur Anwendbarkeit vorzunehmen, hat dies jedoch nichts geändert.44

44

Die Bezugnahme auf den Auftragsverarbeiter zur Eröffnung des Anwendungsbereichs des Datenschutzrechts ist neu. Es ist fraglich, inwieweit sich das oben beschriebene Verständnis des Begriffs der „Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen“ auf den Auftragsverarbeiter übertragen lässt.

45

Dieses Begriffsverständnis, welches sich während der Geltungsdauer der Richtlinie unter anderem durch die Rechtsprechung des EuGH herausgebildet hat, ist dadurch geprägt, dass sich der Begriff „im Rahmen der Tätigkeiten einer Niederlassung“ in der Richtlinie ausschließlich auf die Verarbeitung durch einen Verantwortlichen bezog.

46

Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest und die Tätigkeiten seiner Niederlassungen haben potenziell eine sehr große Bandbreite. Der Auftragsverarbeiter hingegen verarbeitet die Daten nach Weisung und im Auftrag des Verantwortlichen. Gegenstand, Dauer, Umfang, Art und Zweck der Verarbeitung werden im Auftragsverarbeitungsvertrag festgelegt.45

47

Die Verarbeitung der Daten durch einen Auftragsverarbeiter ist somit ebenso wie der Rahmen seiner Tätigkeit in Bezug auf die Daten wesentlich durch seine vertraglich definierte Rolle bestimmt und begrenzt. Eine etwaige Datenverarbeitung außerhalb dieses Rahmens lässt den Auftragsverarbeiter, in der Regel zur Verantwortlichen Stelle werden.46 Prüft man die Voraussetzungen des Art. 3 Abs. 1 DSGVO spezifisch für einen Auftragsverarbeiter, erscheint es daher geboten, dabei den Fokus auf den durch den jeweiligen Auftragsverarbeitungsvertragvorgegebenen Tätigkeitsrahmen zu legen.

48

Im Unterschied zum Verantwortlichen spricht somit einiges dafür, dass für eine (Auftrags-)Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters in der Regel nur solche Niederlassungen relevant sind, die tatsächlich an der Auftragsverarbeitung mitwirken. Denn nur solche Niederlassungen nehmen Tätigkeiten vor, in deren Rahmen die relevante (Auftrags-)Verarbeitung liegen soll bzw. darf. Der Rahmen der Tätigkeiten einer Niederlassung ist somit bei einem Auftragsverarbeiter deutlich enger gefasst als bei einem Verantwortlichen.

49

Ist ein Verantwortlicher oder ein Auftragsverarbeiter nicht in der EU niedergelassen, kann sich die räumliche Anwendbarkeit der Verordnung aus Art. 3 Abs. 2 DSGVO ergeben.47 Danach findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

50

Dieses sog. Marktortprinzipist eine wesentliche und vielleicht sogar die wichtigste Neuerungder DSGVO im Vergleich zur Richtlinie, welche dem Territorialitätsprinzipfolgend auf die Belegenheit von Verarbeitungsmitteln in einem Mitgliedstaat abstellte.48 Die physischen Betriebs- und Organisationsstrukturen der verarbeitenden Stelle einschließlich des Standorts von Datenverarbeitungsanlagen ist für die Anwendbarkeit der Verordnung nach Art. 3 Abs. 2 nunmehr irrelevant. Dies ist angesichts der fortschreitenden Virtualisierung der Datenverarbeitung, bei der Datenverarbeitungskapazitäten ohne Bindung an einen bestimmten Ort zur Verfügung gestellt werden können, nur konsequent. Es führt jedoch gleichzeitig zu einer erheblichen Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts.