litres-logo
Leichte Lektüre
Ernsthafte Lektüre
Geschichte
Geschäftsbücher
Wissen und Fähigkeiten
Psychologie, Motivation
Sport, Gesundheit, Schönheit
Hobbys, Freizeit
Haus, Datscha
Kinderbücher
Für Eltern
Journalismus und Zeitschriften
Exklusiv
Entwürfe
Kostenlose Bücher
Alle 142 Genres

Buch lesen: «Praxishandbuch DSGVO», Seite 9

Tobias Rothkegel, Jens Schefzig, Stephan Hansen-Oest, Tina Gausling, Marian ArningUlrich BaumgartnerIngo BraunCay Lennart CorneliusEva Gardyan-EisenlohrCarmen HeinemannPer MeyerdierksFlemming MoosLeif RohwedderLaurenz StrassemeyerAnna Zeiter und andere
Schriftart:

2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO

18

Gemäß Art. 2 Abs. 3 DSGVO gilt die Verordnung nicht für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union. Stattdessen gilt gemäß Art. 2 Abs. 3 DSGVO die Verordnung (EG) Nr. 45/2001. Zudem lässt die Verordnung gemäß Art. 2 Abs. 4 DSGVO die Anwendung der sog. E-Commerce-Richtlinie 2000/31/EG unberührt. Da Art. 1 Abs. 5 lit. b E-Commerce-Richtlinie in Bezug auf Fragen des Datenschutzes auf die DSRL verweist, was gemäß Art. 94 Abs. 2 DSGVO als Verweis auf die DSGVO zu lesen ist, sind die E-Commerce-Richtlinie und die DSGVO für Dienste der Informationsgesellschaft nebeneinander anwendbar.13 Dieses Nebeneinander kann in der Praxis insbesondere dann zu Wertungswidersprüchen führen, wenn sich bezüglich eines Datenverarbeitungsvorgangs die datenschutzrechtlichen Pflichten und die Haftungsprivilegierungen aus Art. 12ff. E-Commerce-Richtlinie überlagern. Ob die Haftungsprivilegierungen auch für datenschutzrechtliche Pflichten gelten, ist umstritten.14

19

Die ePrivacy-Richtlinie 2002/58/EG hat als lex specialis gemäß Art. 95 DSGVO Vorrang gegenüber der DSGVO, soweit in der Richtlinie Pflichten festgelegt sind, die dasselbe Ziel verfolgen.

20

Zudem findet die Verordnung trotz Eröffnung des sachlichen Anwendungsbereichs keine Anwendung, wenn einer der Ausnahmetatbestände aus Art. 2 Abs. 2 DSGVO vorliegt.

21

So findet die Verordnung keine Anwendung, wenn die Verarbeitung im Rahmen einer Tätigkeit erfolgt, die nicht in den Anwendungsbereich des Unionsrechts fällt (Art. 2 Abs. 2 lit. a DSGVO) – also außerhalb der Zuständigkeiten der EU liegt, welche in Art. 3, 4 und 6 des Vertrags von Lissabon (AEUV) festgelegt sind. Dazu gehört unter anderem die nationale Sicherheit.15

22

Die Anwendung ist auch dann ausgeschlossen, wenn die Verarbeitung durch die Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik im Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die EU (EUV) erfolgt (Art. 2 Abs. 2 lit. b DSGVO).

23

Ebenso findet die DSGVO keine Anwendung auf Datenverarbeitung durch zuständige Behörden, zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (Art. 2 Abs. 2 lit. d DSGVO).

24

Der relevanteste der Ausnahmetatbestände ist jedoch Art. 2 Abs. 2 lit. c DSGVO für Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Dieser Ausnahmetatbestand wird entsprechend der Begrifflichkeit in vielen anderen Sprachfassungen („household activity“, „activité domestique“, „husha°llsverksamhet“) auch als „Haushaltsausnahme“ bezeichnet. Sie dient dazu, die private Grundrechtsausübung vor einer übermäßigen Regulierung zu schützen.16

25

In Erwägungsgrund 18 DSGVO wird klargestellt, dass eine Datenverarbeitung mit Bezug zu beruflichen und wirtschaftlichen Tätigkeiten nicht von der Ausnahme umfasst ist, so dass etwa die Verarbeitung von Daten in einem Familienbetrieb nicht von dem Ausnahmetatbestand erfasst wäre.

26

Ausnahmetatbestände sind als solche grundsätzlich restriktiv auszulegen.17 Was eine persönliche oder familiäre Tätigkeit ist, wird sich letztlich nach der Verkehrsanschauung richten.18 Persönliche Tätigkeiten im Sinne der Ausnahme sind solche, die der Selbstentfaltung und Freiheitsausübung in der Freizeit- oder im privaten Raum dienen.19 Zu dem typisch persönlichen bzw. familiären Bereich gehören Freizeit, Urlaub und privater Konsum.20 Eine Gewinnerzielungsabsicht schließt die Anwendbarkeit der Ausnahme nicht zwangsläufig aus, so dass die Datenverarbeitung im Rahmen eines privaten Verkaufs von der Ausnahme umfasst sein kann.21 Beispielhaft nennt Erwägungsgrund 18 DSGVO das Führen eines Schriftverkehrs oder eines Anschriftenverzeichnisses. Das Führen eines digitalen Adressbuchs in einer Internetanwendung kann somit ebenso von der Ausnahme erfasst sein wie die Nutzung von elektronischen Kommunikationsdiensten wie E-Mail oder Instant Messaging zu privaten Zwecken oder das Abspeichern von Urlaubsfotos, die andere Personen abbilden.22 Das Betreiben von digitalen Kameras (z.B. Überwachungskameras, sog. Dash-Cams und Drohnenkameras), die Bereiche außerhalb der privaten Sphäre des Betreibers erfassen, ist von der Ausnahme hingegen nicht gedeckt und fällt zumindest bei Speicherung der Bilddaten in den sachlichen Anwendungsbereich der DSGVO.23

27

Ausdrücklich nennt Erwägungsgrund 18 auch die Nutzung sozialer Netzwerke und sonstige Online-Tätigkeiten als weitere Beispiele, die von dieser Ausnahme umfasst sein können. Unklar ist, ob damit von der Lindqvist-Rechtsprechung des EuGH zur Vorgängervorschrift in Art. 3 Abs. 2 DSRL abgewichen werden soll.24 Der EuGH ging davon aus, dass die Veröffentlichung von personenbezogenen Daten im Internet, so dass diese einer unbegrenzten Zahl von Personen zugänglich gemacht werden, offensichtlich nicht zum Privat- oder Familienleben einer Person gehöre und dies von der Haushaltsausnahme daher nicht umfasst sei.25 Ob diese Einschätzung im Rahmen der Verordnung fortgilt, erscheint zumindest fraglich.

28

Die Richtlinie datiert aus dem Jahr 1995 und die Lindqvist-Entscheidung aus dem Jahre 2003. Das heute bekannteste soziale Netzwerk Facebook wurde erst danach im Jahr 2004 gegründet.26 Der Dienst Twitter existiert erst seit 2006. Bereits im Jahr 2012 gaben 71 % von 1008 befragten privaten Internetnutzern an, dass sie private Daten online abspeichern, um diese mit vielen Menschen auf einer Plattform zu teilen.27 In Erwägungsgrund 6 DSGVO erkennt der Unionsgesetzgeber zudem an, dass zunehmend natürliche Personen personenbezogene Daten im Internet weltweit zugänglich machen. Trotz dieser Feststellung hat sich der Gesetzgeber jedoch nicht dazu durchringen können, die Anwendbarkeit der Haushaltsausnahme für Veröffentlichungen im Internet klarzustellen.28

29

Zwar spricht einiges dafür, dass sich die Verkehrsanschauung so entwickelt hat, dass die (unbegrenzte) Veröffentlichung von Daten Dritter in einem sozialen Netzwerk und in anderen Onlinediensten von der Haushaltsausnahme umfasst sein kann. Einer Entscheidung des EuGH vom 14.2.2019 lässt sich jedoch entnehmen, dass dieser an seiner Lindqvist-Entscheidung festhält.29 Und auch die überwiegende Meinung in der Literatur geht davon aus, dass die Haushaltsausnahme in der Verordnung wie schon im Rahmen der Richtlinie „öffentlichkeitsfeindlich“ ist.30 Im Rahmen der Nutzung sozialer Netzwerke wird daraus die Konsequenz gezogen, dass diese Ausnahme nur greift, wenn der Kreis der Empfänger der Daten auf einen engen Familien- und Freundeskreis beschränkt wird.31

30

Eine Datenverarbeitung unterfällt auch nur dann der Haushaltsausnahme, wenn sie zur Ausübung einer Tätigkeit erfolgt, die ausschließlich persönlich oder familiär ist. Sobald eine Tätigkeit neben dem persönlich-familiären Bezug auch nur teilweise einen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit hat, bleibt der sachliche Anwendungsbereich für die im Rahmen dieser Tätigkeit vorgenommene Datenverarbeitung eröffnet.32

Praxishinweis

Ebenso wie die Eröffnung des Anwendungsbereichs sind auch die Ausnahmen vom Anwendungsbereich auf eine bestimmte Verarbeitung (bzw. Tätigkeit) und nicht auf das Datum als solches bezogen.33 Der für die initiale Erhebung eines Datums geltende Rechtsrahmen bestimmt nicht zwangsläufig den Rechtsrahmen für jegliche zukünftige Verarbeitung dieses Datums. Ein im beruflichen Kontext erhobenes Datum kann daher von einer natürlichen Person zur Ausübung ausschließlich persönlicher Tätigkeiten außerhalb des Anwendungsbereichs der DSGVO verarbeitet werden. Umgekehrt gilt das gleiche. Entgegen einer weit verbreiteten Ansicht erscheinen sogar parallele Verarbeitungen eines Datums innerhalb und außerhalb des Anwendungsbereichs bzw. einer Ausnahme denkbar (z.B. Verwendung von ansonsten beruflich verwendeten Kontaktdaten für eine rein private Verabredung).34

31

Soweit eine natürliche Person die personenbezogenen Daten Dritter im Rahmen der Haushaltsausnahme verarbeitet, stellt sich die Frage, wie die Verarbeitung dieser Daten durch andere Beteiligte zu bewerten ist. Zunächst stellt Erwägungsgrund 18 DSGVO klar, dass die Verordnung für Verantwortliche oder Auftragnehmer gilt, die die Instrumente für persönliche oder familiäre Tätigkeiten bereitstellen. Diese Klarstellung kann jedoch die Prüfung der Voraussetzungen der Eröffnung des Anwendungsbereiches der Verordnung auf die Verarbeitung durch diese Anbieter nicht ersetzen.

32

Im Hinblick auf die personenbezogenen Daten, die die Nutzung eines solchen Instrumentes (z.B. eines Online-Speicherplatzes) betreffen, ergeben sich dabei keine Besonderheiten. Im Hinblick auf die Daten Dritter, die ein Nutzer im Rahmen der Haushaltsausnahme mit einem solchen Instrument verarbeitet (z.B. Speicherung von Familienfotos im Online-Speicherplatz eines Anbieters), wird die Prüfung der Eröffnung des sachlichen Anwendungsbereichs jedoch zunehmend verschachtelt. Der sachliche Anwendungsbereich wird zwar für den Anbieter des jeweiligen Instrumentes regelmäßig nach Art. 2 Abs. 1 DSGVO eröffnet sein. Im Rahmen der Prüfung der Eröffnung des persönlichen Anwendungsbereichs werden jedoch verschiedene Fragen aufgeworfen. So entscheiden zum Beispiel Anbieter von E-Mail-Diensten oder von Online-Speicherplatz in der Regel nicht über den Zweck, zu dem die personenbezogenen Daten in diesem Dienst durch den Nutzer verarbeitet werden.35 Vielmehr werden die Zwecke der Verarbeitung der Daten, die von einem Nutzer in einem Dienst im Rahmen einer persönlichen oder familiären Tätigkeit verarbeitet werden, in der Regel von eben diesem Nutzer allein festgelegt. Der Anbieter des für die „Haushaltsverarbeitung“ verwendeten Instrumentes ist somit kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO, so dass der persönliche Anwendungsbereich der Verordnung für ihn insoweit zumindest nicht als Verantwortlichen eröffnet ist.36 Hält man den Nutzer trotz der Unanwendbarkeit der DSGVO auf die von ihm vorgenommene Verarbeitung für einen Verantwortlichen i.S.d. DSGVO, kann der Anbieter begrifflich ein Auftragsverarbeiter des Nutzers i.S.v. Art. 4 Nr. 8 DSGVO sein, so dass der persönliche Anwendungsbereich für den Anbieter als Auftragsverarbeiter zumindest begrifflich eröffnet wäre.

33

Geht man von der Eröffnung des Anwendungsbereichs für den Anbieter des Instruments zur „Haushaltsverarbeitung“ aus, ergeben sich weitere Schwierigkeiten. Gelangt man zum Beispiel zu dem Ergebnis, die Stelle, die ein Instrument zur „Haushaltsverarbeitung“ bereitstellt, ist ein Verantwortlicher, ergeben sich Fragen, wie dieser Verantwortliche seine Pflichten gegenüber den durch die Haushaltsdatenverarbeitung betroffenen Personen erfüllen kann, ohne inhaltlich von deren Daten Kenntnis zu nehmen und dadurch mit dem Nutzer, der diese Daten verarbeitet, in Konflikt zu geraten. Gelangt man zu dem Ergebnis, der Anbieter, der ein solches Instrument zur Haushaltsverarbeitung bereitstellt, ist ein Auftragsverarbeiter des Nutzers, ergibt sich zum Beispiel die Frage, ob es eines Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 bedarf oder ob ein von der DSGVO eigentlich nicht vorgesehener „halber Auftragsverarbeiter“ vorliegt.

Zumindest bei der Situation der Auftragsverarbeitung erscheint es jedoch angebracht, dass die Tätigkeit des Auftragsverarbeiters, der die Daten auf Weisung des Nutzers verarbeitet, ebenfalls von der Haushaltsausnahme umfasst ist, solange er sich nicht zum Verantwortlichen aufschwingt.37

Praxishinweis

Natürliche Personen verarbeiten Informationen über sich selbst und über andere in einem immer größer werdenden Umfang und sie nutzen dafür oft Instrumente, die von Unternehmen online bereitgestellt werden. Die Verarbeitung durch die natürlichen Personen liegt dabei häufig schon außerhalb des Schutzbereichs der DSGVO oder sie ist von der Haushaltsausnahme abgedeckt. In diesen Fällen sollte nicht vorschnell davon ausgegangen werden, dass die Beteiligung der Unternehmen an der Verarbeitung im Anwendungsbereich der Verordnung liegt. Dies ist vielmehr im Einzelfall genau zu prüfen.

7 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 18. 8 Vgl. Gola/Gola, Art. 2 DSGVO Rn. 5. 9 Plath/Plath, Art. 2 DSGVO Rn. 15; aA Paal/Pauly/Ernst, Art. 2 Rn. 10; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 Rn. 16. 10 Der Begriff des „Dateisystems“ ist augenscheinlich die einzige Neuerung im Vergleich zu der ansonsten wortgleichen Vorgängerregelung in Art. 3 Abs. 1 DSRL, in der der Begriff „Datei“ verwendet wurde. Dieser Änderung ist jedoch keine weitere Bedeutung beizumessen. Dies zeigt ein Vergleich z.B. mit den englischen Sprachfassungen der Richtlinie und der Verordnung, in denen jeweils der Begriff „filing system“ verwendet wird. 11 EuGH, Urt. v. 10.7.2018 – C-25/17, ZD 2018, 469, 471, Rn. 60–62. 12 Plath/Plath, Art. 2 DSGVO Rn. 11. Es existiert in der DSGVO keine dem § 27 Abs. 2 BDSG a.F. entsprechende Regelung, welche den Anwendungsbereich des Datenschutzrechts noch auf personenbezogene Daten erstreckte, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. 13 BeckOK-DS/Bäcker, Art. DSGVO 2 Rn. 33; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 17; anders Plath/Plath, Art. 2 DSGVO Rn. 31, der von einer Ausnahme von der Anwendbarkeit der Verordnung auszugehen scheint. 14 Vgl. BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 33; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 17; Plath/Plath, Art. 2 DSGVO Rn. 31; Sydow/Ennöckl, Art. 2 DSGVO Rn. 17. 15 Vgl. Erwägungsgrund 16. 16 BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 12; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 23; Gola/Gola, Art. 2 DSGVO Rn. 33. 17 Vgl. Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 21. 18 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 18. 19 Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 24; BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 12. 20 Gola/Gola, Art. 2 DSGVO Rn. 15. 21 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 7; Kühling/Buchner/Kühling/Raab, Art. 2 DSGVO Rn. 8. 22 Vgl. Plath/Plath, Art. 2 DSGVO Rn. 22. 23 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 5; vgl. EuGH, Urt. v. 11.12.2014 – C-212/13, Rn. 22, 33. 24 Ausführlich hierzu BeckOK-DS/Bäcker, Art. 2 DSGVO Rn. 17ff. 25 EuGH, Urt. v. 6.11.2003 – C-101/01, Rn. 47. 26 Siehe http://about.fb.com/company-info/, zuletzt abgerufen am 10.2.2021. 27 Bitkom, Vertrauen und Sicherheit im Netz, S. 10. 28 Im Gesetzgebungsverfahren wollte das Europäische Parlament zwar noch aufnehmen lassen, dass die Haushaltsausnahme für Veröffentlichungen gelten soll, bei denen davon auszugehen ist, dass der Kreis der Empfänger begrenzt ist. Dieser Vorschlag hat jedoch keinen Eingang in den Text gefunden. Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 7. 29 EuGH, Urt. v. 14.2.2019 – C-345/17, Rn. 43. 30 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 21; Schantz, NJW 2016, 1841, 1843; Gola/Gola, Art. 2 DSGVO Rn. 21. 31 Gola/Gola, Art. 2 DSGVO Rn. 21. 32 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 19; Härting, Rn. 313. 33 Vgl. Rn. 6 oben. 34 A.A. wohl Gola/Gola, Art. 2 DSGVO Rn. 22; a.A. auch Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 19; Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 2 DSGVO Rn. 28. 35 Zudem wird der Anbieter häufig weder von der Existenz solcher Daten noch von deren Inhalt Kenntnis haben, so dass er im Hinblick auf solche Daten schon nicht in der Lage ist, einen Zweck festzulegen. Viele Pflichten des Verantwortlichen setzen zumindest eine Kenntnis der Existenz personenbezogener Daten voraus, so zum Beispiel die Informationspflichten in Art. 14 DSGVO. 36 In Erwägungsgrund 47 DSRL wurde dies für den Anbieter eines Telekommunikationsdienstes, der eine Nachricht mit personenbezogenen Daten übermittelt, ebenfalls so festgestellt. An den dahinter liegenden Überlegungen dürfte sich nichts geändert haben. 37 Spindler/Schuster/Spindler/Dalby, Art. 2 DSGVO Rn. 6; Auernhammer/v. Lewinsky, Art. 2 DSGVO Rn. 25; a.A. BeckOK-DS/Bäcker Art. 2 DSGVO Rn. 23.

III. Räumlicher Anwendungsbereich, Art. 3 DSGVO

34

Art. 3 DSGVO bestimmt, wann Verarbeitungsvorgänge vom räumlichen Anwendungsbereich der Verordnung erfasst sind.

35

Abgesehen von Art. 3 Abs. 3 DSGVO ist der Ort der Datenverarbeitung als solcher für die Eröffnung des räumlichen Anwendungsbereichs nicht relevant.38 Somit kann jeder Datenverarbeitungsvorgang weltweit im räumlichen Anwendungsbereich der Verordnung liegen.

Praxishinweis

Wie im Folgenden aufgezeigt wird, ist der räumliche Anwendungsbereich der Verordnung sehr weit. Selbst eine Verarbeitung von Daten, die außerhalb der EU vorgenommen wird und Personen betrifft, die keinem Mitgliedstaat der EU angehören, kann dem europäischen Datenschutzrecht unterliegen. Ist der Verantwortliche in der EU niedergelassen, gilt dies unter Umständen sogar dann, wenn sich die betroffenen Personen dauerhaft außerhalb der EU befinden.

1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO

36

Nach Art. 3 Abs. 1 DSGVO findet die Verordnung räumlich Anwendung auf die Verarbeitung personenbezogener Daten, „soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftraggebers in der Union erfolgt, unabhängig davon, ob die Verarbeitung tatsächlich in der Union stattfindet“ (Niederlassungsprinzip).

37

Das europäische Datenschutzrecht hat einen eigenen Begriff der Niederlassung, der sich z.B. von den in Art. 49 AEUV, § 13 HBG oder § 4 Abs. 3 GewO verwendeten Begriffen unterscheidet. Nach Erwägungsgrund 22 DSGVO setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist nach diesem Erwägungsgrund nicht ausschlaggebend.

a) Verarbeitung im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen

38

In Bezug auf die Niederlassung eines Verantwortlichen weisen der Wortlaut des Art. 3 Abs. 1 DSGVO und der Wortlaut der Vorgängerregelung in Art. 4 Abs. 1 lit. a DSRL ebenso wie die entsprechenden Erwägungsgründe große Ähnlichkeiten auf.

39

Angesichts dieser Parallelen dürfte die Rechtsprechung des EuGH zum Begriff der Niederlassung in der Richtlinie auch für die DSGVO weiterhin Bedeutung haben.39 Zuletzt hat der EuGH im Fall „Weltimmo“ die Grenzen dieses Begriffs ausgedehnt und eine sehr niedrige Schwelle für das Eingreifen des Niederlassungsprinzips angelegt. Nach dieser Entscheidung kann schon das Betreiben einer Webseite in der Sprache eines Mitgliedstaates mit auf den Mitgliedstaat bezogenen Angeboten als „effektive und tatsächliche Ausübung einer Tätigkeit“ eines Unternehmens in dem Mitgliedstaat angesehen werden. Und ein einziger Vertreter des Unternehmens in diesem Mitgliedstaat, der im Zusammenhang mit der Website tätig wird, kann eine „feste Einrichtung“ des Unternehmens sein.40 Lediglich vorübergehend verortete Einrichtungen, wie z.B. Messestände, reichen hingegen nicht aus. Auch die Beauftragung eines Auftragsverarbeiters in der Union lässt keine Niederlassung des Verantwortlichen entstehen.41

Praxishinweis

Es reichen bereits sehr geringe Aktivitäten in einem Mitgliedstaat der EU, um eine Niederlassung des Verantwortlichen im Sinne der Verordnung entstehen zu lassen. Der Umstand, dass keine Tochtergesellschaften oder Zweigniederlassungen in der EU existieren, schließt die Anwendbarkeit der Verordnung nicht aus.

40

Liegt eine Niederlassung in der EU vor, ist weiterhin zu prüfen, ob die jeweilige Verarbeitung im Rahmen der Tätigkeiten dieser Niederlassung erfolgt.

41

Dies ist in der Regel unschwer zu bejahen, wenn die in Betracht gezogene Niederlassung in der EU zugleich der satzungsmäßige Sitz des Verantwortlichen ist (bzw. bei einer Einzelperson der Geschäfts- oder Wohnsitz). Denn mit Ausnahme von reinen Briefkastenfirmen ist der Sitz des Verantwortlichen in der Regel eine Niederlassung, an der sich eine Tätigkeit festmachen lässt, im Rahmen derer die Datenverarbeitung durch den Verantwortlichen erfolgt.

42

Die Datenverarbeitung erfolgt auch stets dann im Rahmen der Tätigkeit einer Niederlassung, wenn die Niederlassung an der betrachteten Datenverarbeitung direkt beteiligt ist.

43

Schwieriger ist die Prüfung dieses Merkmals in Fällen, in denen der Sitz des Verantwortlichen in einem Drittstaat liegt und keine Niederlassung in der EU an der Datenverarbeitung direkt beteiligt ist. Diese Konstellation liegt in der Praxis insbesondere bei über das Internet aus einem Drittland angebotenen Dienstleistungen vor. Solche Fälle waren während der Geltungsdauer der Richtlinie lange umstritten. Der EuGH hatte in der Entscheidung „Google-Spain“ jedoch klargestellt, dass eine Verarbeitung durch die Niederlassung selbst nicht erforderlich ist und es schon ausreicht, wenn die Niederlassung mit ihrer Tätigkeit in einem Mitgliedstaat zur Rentabilität der betrachteten Datenverarbeitung beiträgt.42 Dies begründet nach Ansicht des EuGH eine „untrennbare Verbindung“ zwischen der Tätigkeit der Niederlassung und der betrachteten Datenverarbeitung, was dazu führt, dass die Datenverarbeitung im Rahmen dieser Tätigkeit erfolgt.43 Seit dieser Entscheidung fielen eine Vielzahl zuvor strittiger Szenarien klar in den räumlichen Anwendungsbereich der Richtlinie. Aufgrund der Parallelen zur Richtlinie kann auch im Rahmen der Verordnung auf diese Rechtsprechung des EuGH zurückgegriffen werden. Dagegen ließe sich zwar einwenden, dass mit der Einführung des Marktortprinzips durch Art. 3 Abs. 2 ein wesentlicher Grund für die extensive und flexible Auslegung der Vorgängerregelung durch den EuGH weggefallen ist. An dem Ansatz des EuGH, zur Gewährleistung eines wirksamen und umfassenden Schutzes des Rechts auf Privatleben eine weite Auslegung der Vorschriften zur Anwendbarkeit vorzunehmen, hat dies jedoch nichts geändert.44

Praxishandbuch DSGVO
Tobias Rothkegel
et al.
Text
0
Bewertung hinterlassen
194,99 €
Genres und Tags
Rechtsanwaltschaft
Altersbeschränkung:
0+
Umfang:
2206 S. 44 Illustrationen
ISBN:
9783800593545
Editor:
Verleger:
Rechteinhaber:
Bookwire
Download-Format:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip

Mit diesem Buch lesen Leute