EDPB: Defi­ni­ti­ve Fas­sung der Leit­li­ni­en zum Anwen­dungs­be­reich der DSGVO

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA oder eng­lisch EDPB) hat sei­ne Stel­lung­nah­me zum inter­na­tio­na­len Anwen­dungs­be­reich der DSGVO nach einer öffent­li­chen Anhö­rung (an der wir uns betei­ligt haben) in einer defi­ni­ti­ven Fas­sung ver­ab­schie­det (Gui­de­lines 3/2018 on the ter­ri­to­ri­al scope of the GDPR (Artic­le 3)). In wei­ten Tei­len ent­spricht die defi­ni­ti­ve der Ent­wurfs­fas­sung (vgl. Del­ta­view).

Bemer­kens­wert sind aller­dings die fol­gen­den Punkte:

Ange­bots­aus­rich­tung

Im Zusam­men­hang mit der Ange­bots­aus­rich­tung i.S.v. Art. 3 Abs. 2 lit. a DSGVO hält das EDPB leicht ein­schrän­kend oder prä­zi­sie­rend fest, dass es nur um bewuss­te Aus­rich­tung geht (“the pro­vi­si­on is aimed at acti­vi­ties that inten­tio­nal­ly, rather than inad­ver­t­ent­ly or inci­den­tal­ly, tar­get indi­vi­du­als in the EU”).

Das schlie­sse die Anwen­dung der DSGVO etwa dann aus, wenn eine Dau­er­lei­stung Per­so­nen ausser­halb der EU erbracht wird und die­se Lei­stung in der Fol­ge auch inner­halb der EU erbracht wird: “In this case the pro­ce­s­sing is not rela­ted to the inten­tio­nal tar­ge­ting of indi­vi­du­als in the EU but rela­tes to the tar­ge­ting of indi­vi­du­als out­side the EU which will con­ti­n­ue whe­ther they remain out­side the EU or whe­ther they visit the Union.”

Ver­hal­tens­be­ob­ach­tung

In die­sem Zusam­men­hang fin­det sich ein inter­es­san­ter, wei­te­rer Abschnitt zur Anwen­dung der DSGVO auf den Pro­ces­sor mit Sitz ausser­halb der EU. Das EPDB bezieht hier Stel­lung zum in sei­ner Bedeu­tung unkla­ren Wort­laut von Art. 3 Abs. 2 DSGVO, wonach die DSGVO unter den Vor­aus­set­zun­gen von Art. 3 Abs. 2 lit. a und b auf den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter Anwen­dung finde.

Hier stellt das EDPB klar – mehr oder weni­ger -, dass sich die Anwend­bar­keit der DSGVO auf den Pro­ces­sor von der Tätig­keit des Ver­ant­wort­li­chen ablei­te: Wenn eine Tätig­keit des Ver­ant­wort­li­chen unter die DSGVO fal­le und der Ver­ant­wort­li­che dabei einen Pro­ces­sor bei­zieht, dann kann auch die­ser Pro­ces­sor unter die DSGVO fal­len. Aus­gangs­punkt ist dabei die Tätig­keit des Ver­ant­wort­li­chen, denn bspw. das Tar­ge­ting kann aber nur durch den Ver­ant­wort­li­chen aus­ge­löst wer­den – nur er kann die ent­spre­chen­de Ent­schei­dung fäl­len (was im Umkehr­schluss wohl auch heisst, dass die­se Ent­schei­dung die Con­trol­ler-Eigen­schaft begrün­det). Aus Sicht des Pro­ces­sors fragt sich daher, wel­ches sei­ne Ver­bin­dung zur ent­spre­chen­den Tätig­keit des Con­trol­lers ist. Dabei soll bereits eine Tätig­keit wie bspw. Data Sto­rage genü­gen (vgl. das neue Bei­spiel 20). Nicht erfor­der­lich (aber natür­lich eben­falls aus­rei­chend) ist dem­nach eine Mit­wir­kung spe­zi­fisch gera­de bei jener Tätig­keit des Con­trol­lers, wel­che die Anwen­dung der DSGVO auslöst.

Zum EU-Ver­tre­ter

Die Leit­li­ni­en ent­hal­ten eini­ge Klar­stel­lun­gen zum EU-Ver­tre­ter, bspw. im Zusam­men­hang mit dem Ver­ar­bei­tungs­ver­zeich­nis. Will­kom­men ist fer­ner die Klar­stel­lung, dass der Ver­tre­ter nicht etwa ersatz­wei­se für den Ver­ant­wort­li­chen haf­tet (“The GDPR does not estab­lish a sub­sti­tu­ti­ve lia­bi­li­ty of the repre­sen­ta­ti­ve in place of the con­trol­ler or pro­ces­sor it repres­ents in the Uni­on.”). Der Repre­sen­ta­ti­ve haf­tet selbst viel­mehr nur für Ver­let­zun­gen sei­ner eige­nen Pflichten.

Behörde

Gebiet

Themen

Ähnliche Beiträge