Der Europäische Datenschutzausschuss (EDSA oder englisch EDPB) hat seine Stellungnahme zum internationalen Anwendungsbereich der DSGVO nach einer öffentlichen Anhörung (an der wir uns beteiligt haben) in einer definitiven Fassung verabschiedet (Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)). In weiten Teilen entspricht die definitive der Entwurfsfassung (vgl. Deltaview).
Bemerkenswert sind allerdings die folgenden Punkte:
Angebotsausrichtung
Im Zusammenhang mit der Angebotsausrichtung i.S.v. Art. 3 Abs. 2 lit. a DSGVO hält das EDPB leicht einschränkend oder präzisierend fest, dass es nur um bewusste Ausrichtung geht (“the provision is aimed at activities that intentionally, rather than inadvertently or incidentally, target individuals in the EU”).
Das schliesse die Anwendung der DSGVO etwa dann aus, wenn eine Dauerleistung Personen ausserhalb der EU erbracht wird und diese Leistung in der Folge auch innerhalb der EU erbracht wird: “In this case the processing is not related to the intentional targeting of individuals in the EU but relates to the targeting of individuals outside the EU which will continue whether they remain outside the EU or whether they visit the Union.”
Verhaltensbeobachtung
In diesem Zusammenhang findet sich ein interessanter, weiterer Abschnitt zur Anwendung der DSGVO auf den Processor mit Sitz ausserhalb der EU. Das EPDB bezieht hier Stellung zum in seiner Bedeutung unklaren Wortlaut von Art. 3 Abs. 2 DSGVO, wonach die DSGVO unter den Voraussetzungen von Art. 3 Abs. 2 lit. a und b auf den Verantwortlichen oder den Auftragsverarbeiter Anwendung finde.
Hier stellt das EDPB klar – mehr oder weniger -, dass sich die Anwendbarkeit der DSGVO auf den Processor von der Tätigkeit des Verantwortlichen ableite: Wenn eine Tätigkeit des Verantwortlichen unter die DSGVO falle und der Verantwortliche dabei einen Processor beizieht, dann kann auch dieser Processor unter die DSGVO fallen. Ausgangspunkt ist dabei die Tätigkeit des Verantwortlichen, denn bspw. das Targeting kann aber nur durch den Verantwortlichen ausgelöst werden – nur er kann die entsprechende Entscheidung fällen (was im Umkehrschluss wohl auch heisst, dass diese Entscheidung die Controller-Eigenschaft begründet). Aus Sicht des Processors fragt sich daher, welches seine Verbindung zur entsprechenden Tätigkeit des Controllers ist. Dabei soll bereits eine Tätigkeit wie bspw. Data Storage genügen (vgl. das neue Beispiel 20). Nicht erforderlich (aber natürlich ebenfalls ausreichend) ist demnach eine Mitwirkung spezifisch gerade bei jener Tätigkeit des Controllers, welche die Anwendung der DSGVO auslöst.
Zum EU-Vertreter
Die Leitlinien enthalten einige Klarstellungen zum EU-Vertreter, bspw. im Zusammenhang mit dem Verarbeitungsverzeichnis. Willkommen ist ferner die Klarstellung, dass der Vertreter nicht etwa ersatzweise für den Verantwortlichen haftet (“The GDPR does not establish a substitutive liability of the representative in place of the controller or processor it represents in the Union.”). Der Representative haftet selbst vielmehr nur für Verletzungen seiner eigenen Pflichten.