Der Europäische Datenschutzausschuss (EDSA; die frühere Artikel-29-Datenschutzgruppe) hat am 23. November 2018 den langerwarteten Entwurf der Leitlinien zum räumlichen Anwendungsbereich der DSGVO veröffentlicht (Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation; vorerst nur in englischer Sprache).
Gesamtwürdigung
Das Papier des EDSA versteht den räumlichen Anwendungsbereich nicht so weit, wie es zu befürchten war. Bspw. hält der EDSA fest,
- dass der aussereuropäische Verantwortliche nicht schon deshalb unter die DSGVO fällt, weil er einen europäischen Auftragsverarbeiter einsetzt;
- dass die Einstellung von Mitarbeitern und die Datenbearbeitung im Rahmen des Arbeitsverhältnisses keine Angebotsausrichtung und typischerweise auch keine Verhaltensbeobachtung darstellt;
- dass die Verhaltensbeobachtung die Absicht voraussetzt, die erhobenen Daten in einer bestimmten Weise einzusetzen, die in ihrer Intensität wohl einem Profiling vergleichbar sein muss.
Der EDSA bemüht sich offenbar, eine Balance zwischen dem Schutz der betroffenen Personen im EWR einerseits und einer Aushöhlung der Voraussetzungen von Art. 3 DSGVO andererseits zu finden, und es scheint, dass die DSGVO vor allem auf typische Fälle Anwendung finden soll. Viele Fragen bleiben aber offen, was vermutlich damit zu tun hat, dass eine erste Fassung des Papiers nochmals diskutiert wurde und dass dabei einige Ausführungen und Hinweise gestrichen worden sein dürften. Unklar ist bspw., ob auch allgemein-internationale Angebote (d.h. Angebote mit internationaler Ausrichtung, aber ohne Bezug spezifisch zum EWR) erfasst sind und ob auch Angebote gegenüber Bestandskunden eine Angebotsausrichtung darstellen können. Man wird hier die Rechtsprechung abwarten müssen.
Das Papier liegt nun zur öffentlichen Stellungnahme auf, bevor eine finale Fassung verabschiedet wird.
Art. 3 DSGVO
Der räumliche Anwendungsbereich der DSGVO ist in Art. 3 geregelt:
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Zum Niederlassungsprinzip
Begriff der Niederlassung
Wenig Überraschendes findet sich zur Definition der “Niederlassung” i.S.v. Art. 3 Abs. 1 DSGVO. Der EDSA verweist hier auf ErwGr 22 und die Rechtsprechung des EuGH, insb. den Weltimmo-Entscheid, bei dem der EuGH den Niederlassungsbegriff funktional und sehr weit verstanden hat. Massgebend sind die Festigkeit (“degree of stability”) der als Niederlassung in Frage kommenden Struktur und die effektive Tätigkeit in EWR-Gebiet. Im Extremfall könne bereits die Anwesenheit eines einzigen Mitarbeiters oder Vertreters auf dem Gebiet des EWR ausreichen, sofern dieser Mitarbeiter oder Vertreter “with a sufficient degree of stability” tätig wird. Ein zufälliger, flüchtiger oder sonstwie nicht auf Dauer angelegter Aufenthalt dürfte daher nicht genügen. Der EDSA nennt als Beispiel eine operative Zweigniederlassung mit Büroräumlichkeiten; hier sind die Kriterien der Festigkeit und der effektiven Ausübung einer Tätigkeit gegeben. Ebenfalls genannt wird eine Tochtergesellschaft.
Demgegenüber ist ein Auftragsverarbeiter keine Niederlassung des Verantwortlichen nur aufgrund der Auftragsbeziehung. Auch verarbeitet der Verantwortliche Personendaten nicht “im Zusammenhang mit der Niederlassung des Auftragsverarbeiters” im EWR. Ein aussereuropäischer Verantwortlicher fällt demnach nicht schon deshalb in den Anwendungsbereich der DSGVO, weil er einen im EWR niedergelassenen Auftragsverarbeiter verwendet. Der europäische Auftragsverarbeiter fällt aber natürlich seinerseits unter die DSGVO.
Verarbeitung “im Zusammenhang” mit der Niederlassung
Nach Art. 3 Abs. 1 findet die DSGVO nur Anwendung auf Datenverarbeitungen, die mit der Tätigkeit der Niederlassung “im Zusammenhang” stehen. Ein aussereuropäisches Unternehmen fällt daher nicht stets mit allen Verarbeitungstätigkeiten unter die DSGVO, nur weil es über eine Niederlassung im EWR verfügt. Der EDSA legt diese Anforderung aber ebenfalls weit aus. Es ist nicht erforderlich, dass sich die Niederlassung selbst an der fraglichen Datenbearbeiters des Verantwortlichen oder Auftragsverarbeiters ausserhalb des EWR beteiligt. Es genügt vielmehr – hier verweist der EDSA auf den Entscheid des EuGH i.S. Google Spain -, dass die Tätigkeit der Niederlassung und die Datenverarbeitung im konkreten Einzelfalls als untrennbar verbunden erscheinen (“inextricably linked”). Eine solche Verbindung kann etwa dann bestehen, wenn eine Niederlassung durch ihre Tätigkeit dazu bestimmt ist, Umsatz für das nichteuropäische Hauptunternehmen zu generieren (z.B. bei einem Sales Office im EWR), auch wenn sich diese Niederlassung selbst nicht an der Datenverarbeitung beteiligt. Damit bestätigt der EDSA ebenfalls den Google Spain-Entscheid. Ein Beispiel sei ein chinesischer Webshop, dessen deutsche Niederlassung die europäischen Werbeaktivitäten des Shops leitet.
Dabei spielt es keine Rolle, ob dabei Personendaten von Personen im EWR bearbeitet werden oder wo die Bearbeitung stattfindet. Eine französische Gesellschaft, deren Mobile App ausschliesslich in Nordafrika verfügbar ist, untersteht daher der DSGVO, ebenso wie ein schwedisches Unternehmen, das für eine Datenverarbeitung verantwortlich ist, die in Singapur stattfindet. Umgekehrt untersteht der aussereuropäische Auftragsverarbeiter eines europäischen Auftragsverarbeiters nicht der DSGVO, ist aber nach Art. 28 Abs. 3 DSGVO – und ggf. Art. 44 ff. DSGVO – vertraglich einzubinden.
Angebotsausrichtung
Wenn eine Niederlassung im EWR fehlt bzw. wenn die fragliche Verarbeitung keinen ausreichenden Zusammenhang mit einer solchen Niederlassung aufweist, kann die Angebotsausrichtung i.S.v. Art. 3 Abs. 2 lit. a die Anwendung der DSGVO auslösen. Was unter “Waren oder Dienstleistungen” zu verstehen ist, führt der EDSA nicht näher aus. Er stellt aber klar, dass die Bearbeitung von Mitarbeiterdaten durch ein nicht im EWR niedergelassenes Unternehmen nicht unter Art. 3 Abs. 2 lit. a DSGVO fällt, auch nicht wenn die Mitarbeiter des aussereuropäischen Unternehmens in einem EWR-Staat ansässig sind:
In this case, […] the processing […] does not takes place in the context of an offer of goods or services. Indeed human resources management, including salary payment by a third-country company cannot be considered as an offer of service within the meaning of Art 3(2)a. The processing at stake does not relate to the offer of goods or services to data subjects in the Union (nor to the monitoring of behaviour) and, as a consequence, is not subject to the provisions of the GDPR, as per Article 3.
Ein Angebot ist sodann nur erfasst, wenn die offensichtliche Absicht besteht, Personen im EWR Waren oder Dienstleistungen anzubieten. Dafür sind objektive Indizien zu würdigen, wofür der EDSA auf ErwGr 23 und die Rechtsprechung des EuGH verweist, v.a. den Entscheid Alpenhof. Der EDSA nennt folgende Indizien, die – je nach Umständen für sich genommen oder auch nur im Verbund – auf eine Angebotsausrichtung schliessen lassen:
- Die ausdrückliche Angabe eines Mitgliedstaats im Zusammenhang mit einem Angebot;
- Ausgaben für die Plazierung eines Angebots in den Ergebnissen einer Suchmaschine, um Personen im EWR anzusprechen;
- auf die EU ausgerichtete Werbekampagnen;
- die internationale Natur eines Angebots, bspw. bestimmte touristische Aktivitäten;
- die Angabe eigener Adressen oder Telefonnummern zur Kontaktaufnahme aus dem EWR;
- die Verwendung von aus Sicht des Anbieters ausländischen Top-Level-Domains wie z.B. “.de” oder “.eu”;
- die Angabe eines Anfahrtswegs aus dem EWR zum Erfüllungsort;
- die Angabe internationaler Kundschaft aus EWR-Staaten (“The mention of an international clientele composed of customers domiciled in various EU Member
States, in particular by presentation of accounts written by such customers”); - die Verwendung einer aus Sicht des Anbieters fremden Sprache oder Währung, besonders einer Sprache oder Währung, die in einem oder mehreren EWR-Staaten gebräuchlich sind;
- das Angebot einer Lieferung in einen EWR-Staat.
Nicht genügend wäre etwa das Angebot einer Universität (der EDSA nennt das Beispiel einer Universität in Zürich), die Masterkurse anbietet und dafür ausreichende Deutsch- und Englischkenntnisse verlangt:
A Swiss University in Zurich is launching its Master degree selection process, by making available an online platform where candidates can upload their CV and cover letter, together with their contact details. The selection process is open to any student with a sufficient level of German and English and holding a Bachelor degree. The University does not specifically advertise to students in EU Universities, and only takes payment in Swiss currency.
As there is no distinction or specification for students from the Union in the application and selection process for this Master degree, it cannot be established that the Swiss University has the intention to target students from a particular EU member states. The sufficient level of German and English is a general requirement that applies to any applicant whether a Swiss resident, a person in the Union or a student from a third country. Without other factors to indicate the specific targeting of students in EU member states, it therefore cannot be established that the processing in question relates to the offer of an education service to data subject in the Union, and such processing will therefore not be subject to the GDPR provisions.
Dabei müssen sich die betroffenen Personen, an die sich das Angebot ausrichtet, physisch im EWR aufhalten, und zwar zu dem Zeitpunkt, zu dem das Angebot erfolgt:
The requirement that the data subject be located in the Union must be assessed at the moment when the relevant trigger activity takes place, i.e. at the moment of offering of goods or services or the moment when the behaviour is being monitored, regardless of the duration of the offer made or monitoring undertaken.
Sodann fallen im Fall einer Angebotsausrichtung alle Datenverarbeitungen unter die DSGVO, die mit dem Angebot einen Zusammenhang aufweisen. Laut EDSA genügt auch ein “indirekter” Zusammenhang, was aber nicht näher erläutert wird.
Insgesamt entsteht der Eindruck, dass der EDSA allgemein-internationale Angebote nicht ausreichen lässt, d.h. Angebote, die sich zwar an ein internationales Publikum richten, aber ohne einen besonderen Bezug zum Gebiet des EWR (bspw. eine Website in englischer Sprache und mit einer .com-Domain). So klar hält der EDSA das nicht fest; er nennt als Indiz für die Angebotsausrichtung aber “The mention of an international clientele composed of customers domiciled in various EU MemberStates”. Auch das Beispiel der Universität deutet auf dieses Verständnis hin.
Verhaltensbeobachtung
Ein Verantwortlicher oder Auftragsverarbeiter ohne Niederlassung im EWR kann ferner auch dann unter die DSGVO fallen, wenn er das Verhalten betroffener Personen im EWR beobachtet. Der EDSA hält zunächst fest, dass trotz ErwGr 24 nicht nur Verhalten “im Internet” erfasst wird, sondern auch ein Tracking auf andere Weise:
While Recital 24 exclusively relates to the monitoring of a behaviour through the tracking of a person on the internet, the EDPB considers that tracking through other types of network or technology involving personal data processing should also be taken into account in determining whether a processing activity amounts to a behavioural monitoring, for example through wearable and other smart devices.
Dabei geht es dem EDSA aber um Vorgänge in der Nähe eines Tracking oder Profiling:
As opposed to the provision of Article 3(2)(a), neither Article 3(2)(b) nor Recital 24 introduce a necessary degree of “intention to target” on the part of the data controller or processor to determine whether the monitoring activity would trigger the application of the GDPR to the processing activities. However, the use of the word “monitoring” implies that the controller has a specific purpose in mind for the collection and subsequent reuse of the relevant data about an individual’s behaviour within the EU. The EDPB does not consider that any online collection or analysis of personal data of individuals in the EU would automatically count as “monitoring”. It will be necessary to consider the controller’s purpose for processing the data and, in particular, any subsequent behavioural analysis or profiling techniques involving that data. The EDPB takes into account the wording of Recital 24, which indicates that to determine whether processing involves monitoring of a data subject behaviour, the tracking of natural persons on the Internet, including the potential subsequent use of profiling techniques, is a key consideration.
Der EDSA nennt sodann folgende Beispiele, bei denen eine Verhaltensbeobachtung möglich ist:
- personalisierte Werbung;
- Geolokalisierung, besonders für Marketingzwecke;
- Online-Tracking über Cookies oder ähnliche Technologien wie Fingerprinting;
- personalisierte Ernährungsberatung und Gesundheitsanalyse online;
- Videoüberwachung;
- Marktforschung und andere Verhaltensanalysen gestützt auf individuelle Profile;
- Überwachung oder regelmässige Berichterstattung über den Gesundheitszustand.
Damit klärt der EDSA keineswegs alle offenen Fragen. Er entzieht aber immerhin der verbreiteten Auffassung den Boden, die Verwendung z.B. von Cookies führe per se zu einer Verhaltensbeobachtung. Erforderlich ist vielmehr
- die Erhebung von Daten von Personen im EWR über deren ebenfalls im EWR erfolgendes Verhalten,
- mit der Absicht,
- diese Daten zu erheben, um sie in einer bestimmten, geplanten Weise weiterzuverwenden, die eine bestimmte Intensität erreicht, insbesondere ein Profiling.
Zum EU-Vertreter
Der EDSA äussert sich auch zum EU-Vertreter und hält hierzu u.a. folgendes fest:
- Der Vertreter ist keine Niederlassung des Verantwortlichen.
- Beim Vertreter kann es sich um eine natürliche oder eine juristische im EWR niedergelassene Person handeln, z.B. eine Anwaltskanzlei, einen Berater, eine private Gesellschaft etc. Bei juristischen Personen sei es empfehlenswert, eine Kontaktperson zu bezeichnen, z.B. im Vertrag mit dem Vertreter.
- Der Vertreter muss in einem Staat niedergelassen sein, in dem sich die von der relevanten Tätigkeit betroffenen Personen aufhalten (Angebotsadressaten/beobachtete Personen) (Art. 27 Abs. 3 DSGVO). Wenn dies auf mehrere Staaten zutrifft, die Mehrheit der betroffenen Personen aber in einem einzigen Staat ansässig sind, sollte der Vertreter der Empfehlung des EDSA zufolge in diesem Staat bestellt werden. Er müsse für betroffene Personen jedoch gut erreichbar sein.
- Ein Vertreter kann mehrere Unternehmen vertreten. Er kann aber nicht gleichzeitig die Funktion eines Datenschutzverantwortlichen (DPO) für dasselbe Unternehmen wahrnehmen.
- Die Aufgabe des Vertreters besteht darin, die Kommunikation zwischen dem aussereuropäischen Unternehmen und den betroffenen Personen oder den Behörden zu erleichtern. Er muss daher in der Lage sein, mit diesen effektiv zu kommunizieren, was u.a. entsprechende Sprachkenntnisse voraussetzt.
Weitere Punkte
Der EDSA hält weiter fest:
- Für Unternehmen ohne Niederlassung im EWR ist der One-Stop-Mechanismus nach Art. 56 DSGVO nicht anwendbar.
- Wenn die DSGVO anwendbar ist, ist sie es grundsätzlich insgesamt, d.h. alle Bestimmungen (und nicht bspw. nur die Grundsätze der Verarbeitung) finden Anwendung;
- Unternehmen ausserhalb des EWR müssen das Recht der Mitgliedstaaten beachten, das eigene kollisionsrechtliche Bestimmungen vorsehen kann.