Wal

Exterritoriale Anwendbarkeit des europäischen Datenschutzrechts. EU Data Protection Law First?

Bernd Schmidt Datenschutz International, Datenschutzgrundverordnung Leave a Comment

Die Datenschutzgrundverordnung (DSGVO) erweitert die Anwendbarkeit des europäischen Datenschutzrechts stark. In zunehmendem Maße fallen daher auch nichteuropäische Unternehmen in den Anwendungsbereich des europäischen Datenschutzrechts. Die genauen Grenzen bleiben unklar und können nichteuropäische Unternehmen vor große rechtliche Herausforderungen stellen, wenn der Geltungsanspruch des europäischen Datenschutzrecht in Konflikt mit den Regelungen ihres nationalen Datenschutzrechts tritt.

Die territoriale Anwendbarkeit der DSGVO und damit des europäischen Datenschutzrechts ergibt sich aus Art. 3 DSGVO und knüpft für die Bestimmung der Anwendbarkeit an den Ort der Niederlassung eines Verantwortlichen an (dazu 1.) oder den Marktort, auf den ein Verantwortlicher seine Datenverarbeitung ausrichtet (dazu 2.).

1. Niederlassungsprinzip – Art. 3 Abs. 1 DSGVO

Nach dem Niederlassungsprinzip gemäß Art. 3 Abs. 1 DSGVO fallen Verantwortliche in den Anwendungsbereich des europäischen Datenschutzrechts, wenn sie eine Niederlassung im Territorium der Europäischen Union haben und die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten dieser Niederlassung erfolgt.

„Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“

Es kommt dabei ausdrücklich nicht auf den Ort der Verarbeitung oder die Belegenheit der zur Datenverarbeitung eingesetzten Hardware an. Das bedeutet, ein Unternehmen mit Sitz in der Europäischen Union kann der Anwendung des europäischen Datenschutzrechts nicht durch Outsourcing von Datenverarbeitungen in ein nichteuropäisches Land entkommen.

Anforderungen an das Vorliegen einer Niederlassung sind gering. Nach Erwägungsgrund 22 setzt eine Niederlassung

„die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus“.

Nach den Grundsätzen der Rechtsprechung des EuGH kann hierfür bereits das Vorhandensein eines einzigen Vertreters in der Europäischen Union ausreichen,

„wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist“ (Weltimmo-Urteil).

Um als nichteuropäisches Unternehmen in den Anwendungsbereich des europäischen Datenschutzrechts zu fallen, genügt es daher mitunter ein dauerhaftes Büro innerhalb der Europäischen Union mit einem Computer und einem Angestellten zu haben, der z.B. für den Vertrieb in der Europäischen Union zuständig ist, auch wenn alle personenbezogenen Daten im EU-Ausland gespeichert und verarbeitet werden. Einzige Voraussetzung ist, dass die Tätigkeiten des Angestellten einen wirtschaftlichen oder organisatorischen Bezug zu der Datenverarbeitung haben. Dieses weite Verständnis des Niederlassungsbegriffs setzt sich in der Rechtsprechung des EuGH fort. Letzter vieldiskutierter Meilenstein dieser Rechtsprechung ist das sogenannte Google Spain-Urteil des EuGH. In diesem Urteil entschied der EuGH, dass die Suchmaschinentätigkeiten von Google mit Sitz in den USA im Rahmen der Tätigkeiten des Tochterunternehmens Google Spain erfolgen und in den Anwendungsbereich des europäischen Datenschutzrechts fallen. Die Aufgabe des Tochterunternehmens bestand in dem entscheidungserheblichen Sachverhalt in der Vermarktung von Werbung für Google; personenbezogene Daten wurden durch Google Spain selbst nicht verarbeitet.

Die Grundsätze aus der Rechtsprechung des EuGH zur Rechtslage vor Inkrafttreten der DSGVO sind auch auf die Interpretation des Niederlassungsbegriffs nach der DSGVO übertragbar. Für die Anwendbarkeit des europäischen Datenschutzrechts ist es daher auch künftig nicht Voraussetzung, dass die Daten von der Niederlassung selbst verarbeitet werden. Für eine Datenverarbeitung im Rahmen der Tätigkeiten der Niederlassung genügt es, wenn die Datenverarbeitung außerhalb der Europäischen Union und die Tätigkeiten der Niederlassung in der Europäischen Union untrennbar miteinander verbunden sind.

2. Marktortprinzip

Weitreichende Veränderungen im Hinblick auf die exterritoriale Anwendbarkeit der DSGVO ergeben sich aus der Einführung des Marktortprinzip in Art. 3 Abs. 2 DSGVO. Danach findet die DSGVO Anwendung

„auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“

Selbst wenn ein Unternehmen nach dem weiten Verständnis des Niederlassungsbegriffs der DSGVO (siehe oben) keine Niederlassung in der Europäischen Union hat, kann das europäische Datenschutzrecht auf dieses Unternehmen Anwendung finden, nämlich wenn personenbezogene Daten verarbeitet werden, um Waren oder Dienstleistungen in der Europäischen Union anzubieten oder wenn das Verhalten von Personen in der Europäischen Union beobachtet wird.

2.1 Marktortprinzip: Waren oder Dienstleistungen – Art. 3 Abs. 2 lit. a DSGVO

Wer als nichteuropäisches Unternehmen natürlichen Personen in der Europäischen Union Waren oder Dienstleistungen anbietet und in diesem Zusammenhang personenbezogene Daten verarbeitet, fällt in den Anwendungsbereich der DSGVO. Das gilt sogar, wenn er diese Waren oder Dienstleistungen kostenlos anbietet. Nach Erwägungsgrund 23 kommt es darauf an

„ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.“

Klassischer Anwendungsfall ist der Betrieb einer Webseite mit einem Online-Shop. Die bloße Zugänglichkeit der Webseite in der Europäischen Union ist dann allerdings nicht hinreichend, um die Anwendbarkeit des europäischen Datenschutzrechts zu begründen. Hinzutreten muss die Ausrichtung auf den europäischen Markt. Indiz dafür kann die Verfügbarkeit der Webseite in einer Sprache der Europäischen Union oder die Möglichkeit zur Zahlung in einer Währung der Europäischen Union sein. Wenn ein Betroffener in der Europäischen Union etwa eine Reise nach New York über die Webseite eines amerikanischen Reiseveranstalters bucht und diese Webseite auf Englisch, Französisch und Spanisch angeboten wird und die Möglichkeit bietet, in Euro zu zahlen, dann findet das europäische Datenschutzrecht Anwendung.

2.2 Verhaltensbeobachtung von Personen – Art. 3 Abs. 2 lit. b DSGVO

Auch Art. 3 Abs. 2 lit. b DSGVO erweitert den Anwendungsbereich der DSGVO und damit des europäischen Datenschutzrechts und erklärt dieses für anwendbar, wenn eine Verarbeitung personenbezogener Daten im Zusammenhang mit der Beobachtung des Verhaltens natürlicher Personen in der Europäischen Union erfolgt. Die Regelung ist technologieneutral formuliert. Aus Erwägungsgrund 24 lässt sich jedoch klar ableiten, dass der Gesetzgeber damit Webtracking und Profiling durch nichteuropäische Unternehmen dem Anwendungsbereich des europäischen Datenschutzrechts unterwerfen wollte.

„Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

Ob die Webseite den europäischen Markt adressiert, ist nach dem Wortlaut von Art. 3 Abs. 2 lit. b DSGVO unerheblich. Die faktische Abrufbarkeit einer Webseite in der Europäischen Union könnte damit zur Anwendbarkeit des europäischen Datenschutzrechts führen. Wird also eine Webseite durch einen Betroffenen in der Europäischen Union aufgerufen, fände europäisches Datenschutzrecht Anwendung, wenn etwa Cookies gesetzt würden, um das Surfverhalten zu analysieren. Richtigerweise müsste man vor den Hintergrund des völkerrechtlichen Verbots exterritorialer Anwendbarkeit des eigenen Rechts den Anwendungsbereich von Art. 3 Abs. 2 lit. b DSGVO jedoch entsprechend der Regelung in Art. 3 Abs. 2 lit. a DSGVO auf Webseiten einschränken, die sich an europäische User richten. Ob sich diese Ansicht durchsetzen wird, ist offen.

3. Konsequenz und fehlende kollisionsrechtliche Lösung

Durch den weit gefassten Anwendungsbereich in Art. 3 DSGVO findet das europäische Datenschutzrecht in vielen Fällen Anwendung auf die Verarbeitung nichteuropäischer Unternehmen, die gleichzeitig ihr nationales (Datenschutz)recht beachten müssen. Dadurch kann es zu Pflichtenkollisionen kommen. Das ist etwa der Fall, wenn das US-Sicherheitsrecht eine Pflicht zur Herausgabe von bestimmten personenbezogenen Daten vorsieht, die Herausgabe aber einen Verstoß gegen europäisches Datenschutzrecht darstellt.

Konflikte in der Anwendbarkeit des Rechts verschiedener Rechtsordnungen kommen in vielen Rechtsgebieten vor und müssen im Einzelfall zugunsten der Anwendbarkeit einer Rechtsordnung entschieden werden. Solche Kollisionen verschiedener Rechtsordnungen werden in vielen Rechtgebieten durch kollisionsrechtliche Regelungen entschieden. Ein konsistentes Datenschutz-Kollisionsrecht hat sich bisher jedoch noch nicht gebildet und auch die DSGVO sieht dafür keine Regelungen vor. Aus der Perspektive des europäischen Datenschutzrechts gilt daher: „EU Data Protection Law First.“

Wenn das nationale Datenschutzrecht des betroffenen Unternehmens die Frage seiner Anwendbarkeit ähnlich entscheidet, ist guter Rat teuer. In Einzelfällen mag man hier zu angemessenen rechtlichen oder technischen Lösungen kommen und häufig wird es möglich sein, den Konflikt zu verringern. In vielen Fällen bleibt für betroffene Unternehmen aber nur, den Bruch einer Rechtsordnung zugunsten der Befolgung einer anderen Rechtsordnung in Kauf zu nehmen. Die Lösung dieses Dilemmas liegt in der Entwicklung eines internationalen Datenschutzkollisionsrechts.

4. Fazit

Mit der DSGVO wird der Anwendungsbereich des europäischen Datenschutzrechts stark ausgeweitet. Auch Unternehmen mit nur geringen Bezügen zur Europäischen Union können daher in den Anwendungsbereich des europäischen Datenschutzrechts fallen. Für sie ergeben sich Konflikte bei der Anwendung des europäischen und des nationalen Datenschutzrechts, die sich nicht immer angemessen auflösen lassen. Bis zur Schaffung eines internationalen Datenschutzkollisionsrechts wird es hier auf kreative Lösungen im Einzelfall ankommen – vollständige Compliance mit den Pflichten nach sämtlichen Rechtsordnungen wird es dabei im Zweifel nicht geben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.