Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nach unserem Blick auf Artikel 2 nun: Wo die Datenschutz-Grundverordnung eigentlich gilt – der sogenannte räumliche Geltungsbereich. Außerdem schauen wir uns heute an, was die DS-GVO mit der Sonne zu tun hat – und wir lösen ein Neujahrsrätsel. Auf gehts!
Erster Absatz
Absatz 1 klärt gleich das Wichtigste und alle typischen Fälle: Die DS-GVO gilt immer, wenn Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung […] in der Union verarbeiten. Das heißt unter anderem:
- Die Datenverarbeitung muss einer Niederlassung in der Europäischen Union zugeordnet werden können. Niederlassung umfasst jede ortsfeste Einrichtung, die für eine gewisse Dauer besteht (mindestens: bestehen soll) und an der sich Ressourcen des Verantwortlichen oder Auftragsverarbeiters bündeln. Hierzu zählen Personal- und Sachmittel, wie zum Beispiel Büroeinrichtung, IT-Infrastruktur und Maschinen.
Der Geschäftssitz eines Verantwortlichen oder Auftragsverarbeiters ist immer Niederlassung. Ebenso müssen sich Unternehmen daran festhalten lassen, wenn sie zum Beispiel im Handelsregister Niederlassungen ihrer Unternehmen eintragen.
Trotzdem gibt es natürlich Zweifelsfälle, sowohl hinsichtlich des erforderlichen Zeitraums, als auch mit Blick auf die notwendige Substanz. Konkrete Beispiele: Beschäftigt ein US-amerikanisches Unternehmen einen Außendienstmitarbeiter, der in Berlin wohnt und arbeitet, dort vom Home-Office aus für den Absatzmarkt Deutschland zuständig ist, dann liegt eine Niederlassung des US-Unternehmens vor. Anders ist es, wenn das Unternehmen einen selbständigen Handelsvertreter in Deutschland für den Vertrieb beauftragt. Dann ist der Handelsvertreter Verantwortlicher und das US-Unternehmen besitzt keine Niederlassung in der Europäischen Union. So auch, wenn das US-Unternehmen mit eigenem Personal eine „Absatz-Tour“ quer durch Deutschland veranstaltet, dabei umfangreich personenbezogene Daten potentieller Kunden einsammelt und auf der zweimonatigen Tour insgesamt 20 Großstädte für jeweils drei Tage besucht. Hierbei liegt keine Niederlassung vor, da keine ortsfeste Einrichtung von einiger Dauer besteht. - Entscheidend ist ausdrücklich der Ort der Niederlassung, nicht der Ort der Datenverarbeitung. Das ist weise, weil bei automatisierter Datenverarbeitung – und dort liegt ja der Schwerpunkt der DS-GVO – der Verarbeitungsort gar nicht immer sicher bestimmt werden kann. In welchem Rechenzentrum weltweit befinden sich die in der Cloud gespeicherten Daten gerade? Außerdem erleichtert es den Aufsichtsbehörden die Rechtsdurchsetzung oder ermöglicht sie überhaupt erst: Die Niederlassung kann man „greifen“ und Sanktionen notfalls dort vollstrecken. Das ist beim Ort der Verarbeitung viel schwieriger.
- Die DS-GVO gilt auch, wenn nur der Auftragsverarbeiter sich im räumlichen Geltungsbereich befindet. EU-Auftragsverarbeiter dürfen also auch für Auftraggeber außerhalb der EU nur das durchführen, was die DS-GVO erlaubt. Das ist gut so – aber definitiv kein Wettbewerbsvorteil…
Fehlt noch was zu Absatz 1? Ja: Die DS-GVO gilt auch in den Staaten des Europäischen Wirtschaftsraums (EWR) Island, Liechtenstein und Norwegen, weil der gemeinsame EWR-Ausschuss am 06. Juli 2018 die Anwendung der DS-GVO ab 20. Juli 2018 beschlossen hat.
Und – vielleicht eher ein Funfact: Die DS-GVO gilt auch außerhalb Europas nach Art. 3 Abs. 1, nämlich in denjenigen Gebieten, die nach Art. 349 und 355 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) als Gebiete in äußerster Randlage zur Europäischen Union gehören. Bei einigen Territorien klingt Datenschutz plötzlich wie Sommer, Sonne, Badestrand: Martinique, Guadeloupe, Französisch-Guyana, Réunion und Mayotte sowie Saint Martin (für Frankreich), Madeira und die Azoren (für Portugal) und die Kanaren (für Spanien).
Auf die Frage Wo gilt die DSGVO schon am längsten? wäre also die richtige Antwort: auf Réunion, weil dieser Teil der Europäischen Union einfach ihr östlichster Zipfel ist. Der 25. Mai 2018 begann dort, als in Berlin am 24. Mai die Glocken gerade 22:00 Uhr schlugen. Von drei Stunden Zeitverschiebung hatte Berlin infolge Sommerzeit eine Stunde aufgeholt. Réunion kennt keine Zeitumstellung.
Zweiter Absatz
Nach diesem „Badeausflug“ bummeln wir weiter zu Absatz 2 mit dem sogenannten Marktortprinzip. Verantwortliche und Auftragsverarbeiter sind weltweit der DS-GVO unterworfen, wenn sie Daten verarbeiten, um Betroffenen in der Europäischen Union Waren oder Dienstleistungen anzubieten – auch wenn es kostenlos geschieht – oder wenn sie das Verhalten Betroffener in der Europäischen Union beobachten.
Das Ziel ist klar und ehrenwert: Datenschutz für alle, die sich in der Europäischen Union aufhalten. Die Durchsetzung ist allerdings teils schwer bis unmöglich: Wie erreicht eine Datenschutz-Aufsichtsbehörde chinesische Verantwortliche, die über einen kenianischen Auftragsverarbeiter über ein Internetportal personenbezogene Daten in der Europäischen Union einsammeln? Oder noch ehrgeiziger und vielleicht noch absurder: Wie setzt die Aufsichtsbehörde durch, dass australische, indische und russische Geheimdienste beobachtete Personen in der Europäischen Union korrekt gemäß Art. 13 DS-GVO informieren? Ist es richtig, dass der EU-Gesetzgeber derartige Ansagen macht? Oder macht er sich damit lächerlich? Vielleicht ist das eine gute Frage für die nächste Evaluierung der DS-GVO; wahrscheinlich lässt sie sich auf einem Spaziergang nicht abschließend beantworten.
Dritter Absatz
Da kommt auf dem Wege noch Absatz 3 in den Blick. Die DS-GVO soll auch gelten, wenn ein nicht in der Union niedergelassener Verantwortlicher (hier sind Auftragsverarbeiter nicht gleichgestellt!) personenbezogene Daten an einem Ort verarbeitet, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Wer könnte hier gemeint sein? Bitte Hände weg vom Kommentar und nicht gleich weiterlesen! Notieren Sie mal Ihre eigenen Vermutungen!
Mein erster Gedanke betraf die Botschaften von EU-Mitgliedstaaten. Kraft Völkerrechts gelten sie als exterritorial. Die deutsche Botschaft in Washington ist also zum Beispielder Bundesrepublik zugehörig. Dafür hätte es Absatz 3 aber bei näherer Überlegung nicht gebraucht: Verantwortlicher ist dort ja der jeweilige Mitgliedstaat selbst und der ist allemal in der Europäischen Union „niedergelassen“. Wegen der fehlenden Anwendbarkeit der DS-GVO auf die Außenpolitik greift die Verordnung zwar nicht für diplomatische Akten, aber zum Beispiel durchaus für die Verarbeitung der Beschäftigtendaten.
Ist also der US-amerikanische Putzdienst gemeint, wenn er in der deutschen Botschaft die Papierkörbe leert? Vielleicht ein schlechtes Beispiel, weil man diplomatische Papierkörbe dann doch lieber selbst leert. Oder? Die Vermutung passt aber juristisch auch nicht. Absatz 3 nimmt ja – wie erwähnt – gerade nicht auf Auftragsverarbeiter Bezug. Den Washingtoner Putzdienst – wenn es ihn gibt – muss die DS-GVO also nicht kümmern.
Aber Erwägungsgrund 25 deutet darauf hin, dass wir mit Botschaften und Konsulaten schon auf der richtigen Spur sind. Nur komisch: Wer soll denn an solchen Orten als Verantwortlicher nach eigenem Gusto Daten verarbeiten und nicht zum jeweiligen Heimatstaat gehören? Die Facebook/Meta-Fanpage einer deutschen Botschaft, die sich ausschließlich an Publikum vor Ort wendet – bei Erstellung für einen deutschen Adressatenkreis würde ja schon das Marktortprinzip nach Absatz 2 greifen? Vielleicht ist es wirklich nur dieser winzige Anwendungsbereich. Denn wenn wir jetzt in die Kommentare schauen … finden wir auch nichts anderes. Oder haben Sie noch Ideen, während wir dem dem langen, langen Artikel 4 entgegenschlendern?
Ihnen jedenfalls ein gesundes und glückliches 2024!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
