EU-Datenschützer (EDSA) veröffentlichen definitive Leitlinien zum räumlichen Anwendungsbereich der DSGVO

Ausgangslage: extraterritoriale Wirkung der DSGVO

Eines der zentralen Anliegen der Revision des EU-Datenschutzrechts war die Ausweitung des räumlichen Anwendungsbereichs. Damit sollte sichergestellt werden, dass gerade auch die Datenverarbeitungen der grossen US-Anbieter wie Google und Facebook den EU-Vorschriften unterstellt sind. Dies hat zur Folge, dass viele Unternehmen mit Sitz in Drittstaaten, wie der Schweiz, in den räumlichen Anwendungsbereich der DSGVO fallen. Zahlreiche Einzelheiten sind jedoch nach wie vor umstritten, sodass die definitiven Leitlinien 3/2018– zumindest teilweise – Klarheit schaffen sollten.

Die räumliche Anwendbarkeit der DSGVO wird basierend auf zwei Kriterien bestimmt. D.h., wenn eines der folgenden beiden Kriterien erfüllt ist, ist die DSGVO anwendbar:

• das Niederlassungskriterium aus Art. 3 Abs. 1 DSGVO oder
• das Targeting»-Kriterium aus Art. 3 Abs. 2 DSGVO

Während zwar primär das Targeting-Kriterium zu einer Ausweitung des räumlichen Anwendungsbereichs des EU-Datenschutzrechts führt, verdeutlichen die Leitlinien, dass bereits das Niederlassungskriterium sehr weit gefasst ist und mehr Unternehmen als der Name vermuten liesse, davon erfasst sind.

Der Begriff der «Niederlassung»

Nach Art. 3 Abs. 1 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung erfolgt und zwar unabhängig davon, ob die Daten in der EU verarbeitet werden, oder nicht.

Eine Definition des Begriffs der Niederlassung findet sich weder in der DSGVO noch in den Erwägungen. Der EDSA betont nun unter Bezugnahme auf Erwägungsgrund 22, dass die Rechtsprechung des EuGH, insbesondere der Weltimmo-Entscheid, auch für die Auslegung von Art. 3 DSGVO massgeblich sein soll. Demnach ist auch der Niederlassungsbegriff der DSGVO sehr weit zu verstehen und umfasst nicht nur Tochtergesellschaften, sondern auch Zweigniederlassungen oder Filialen.

Unabhängig von der Rechtsform sei für die Annahme einer Niederlassung ein gewisser Grad an Stabilität in der Organisation («degree of stability of the arrangements») und eine tatsächliche Ausübung einer Tätigkeit in einem Mitgliedsstaat («effective exercise of activities») erforderlich. Ob eine Niederlassung vorliegt, müsse im Einzelfalls aufgrund der Natur der wirtschaftlichen Tätigkeiten des jeweiligen Unternehmens beurteilt werden, wobei die Schwelle relativ tief sei.

Die tiefe Schwelle gelte insbesondere, wenn die Haupttätigkeit in der Erbringung von Dienstleistungen über das Internet besteht. In einem solchen Fall kann es genügen, dass ein einzelner Mitarbeiter in der EU angesiedelt, um von einer Niederlassung auszugehen. In der definitiven Fassung betont der EDSA nun aber auch, dass die reine Präsenz eines Mitarbeiters in der EU nicht genügt, um den Anwendungsbereich der DSGVO zu eröffnen. Vielmehr müsse auch die betroffene Datenverarbeitung «im Rahmen der Aktivitäten» des in der EU angesiedelten Mitarbeiters erfolgen. Zudem betont der EDSA unter Hinweis auf die Rechtsprechung des EuGH, die blosse Tatsache, dass eine Website in der EU abrufbar sei, reiche nicht zur Begründung einer Niederlassung aus.

«Im Rahmen der Tätigkeiten einer Niederlassung»

Die Verarbeitung personenbezogener Daten muss nicht durch die Niederlassung des Verantwortlichen oder des Auftragsverarbeiters selber erfolgen, vielmehr genügt es, wenn diese «im Rahmen der Tätigkeiten» erfolgt. Der EDSA empfiehlt hier, auf eine Einzelfallanalyse abzustellen.

Die Auslegung des Kriteriums soll dabei aber nicht restriktiv sein, um einen effektiven und umfassenden Schutz von Daten zu gewährleisten. Auf der anderen Seite dürfe aber auch nicht zu extensiv ausgelegt werden, damit nicht jede Präsenz in der EU automatisch unter die DSGVO fällt. Die Tätigkeit der Niederlassung und die fragliche Datenverarbeitung müssen deshalb im konkreten Einzelfall untrennbar miteinander verbunden sein («inextricable link», vgl. auch den Entscheid des EuGH in Sachen Google Spain). Dies kann insbesondere dann vorliegen, wenn eine in der EU liegende Niederlassung, den Umsatz für das aussereuropäische Hauptunternehmen steigern soll – auch wenn die Niederlassung nicht an der Datenverarbeitung mitwirkt und unabhängig davon, ob die Verarbeitung innerhalb oder ausserhalb der EU erfolgt. So bekräftigt auch ein aktuelles Urteil des EuGH (vgl. MLL-News vom 27.11.19), dass die Datenverarbeitungen der Google LLC, mit Sitz in den USA, zum Betrieb der Suchmaschine dem EU-Datenschutzrecht unterstellt sind. Denn die Werbe-Tätigkeiten der EU-Niederlassungen von Google (u.a. in Frankreich) sei untrennbar mit den Datenverarbeitungen zum Betrieb der Suchmaschine verbunden.

Verhältnis zum Auftragsverarbeiter

Umstritten ist, was die Zusammenarbeit eines Verantwortlichen ausserhalb der EU mit einem Auftragsverarbeiter aus dem EU-Raum für die Anwendbarkeit der DSGVO für den Verantwortlichen bedeuten kann. Der EDSA stellt nun klar: ein EU-basierter Auftragsverarbeiter ist nicht als Niederlassung des Verantwortlichen zu betrachten und die Zusammenarbeit alleine eröffnet für den Verantwortlichen noch nicht den Anwendungsbereich der DSGVO. Auf den in der EU ansässigen Auftragsverarbeiter seinerseits gelangt die DSGVO aber natürlich zur Anwendung.

Sofern der Auftragsverarbeiter der DSGVO nicht untersteht, der Verantwortliche hingegen schon, ist dieser verpflichtet, u.a. vertraglich sicherzustellen, dass der Auftragsverarbeiter die Datenverarbeitung in Übereinstimmung mit den Vorgaben der DSGVO vornimmt (vgl. dazu Art. 28 Abs. 3 DSGVO). Dieser wird damit indirekt den Pflichten der DSGVO unterstellt.

Anwendungsbereich des «Targeting-Kriteriums» im Allgemeinen

Unter das Targeting-Kriterium im Sinne von Art. 3 Abs. 2 DSGVO fallen nach der (nicht unproblematischen) Terminologie des EDSA die folgenden beiden Fälle:

• das Angebot von Waren und Dienstleistungen und
• die Verhaltensbeobachtung

In beiden Fällen greift die DSGVO nur dann, wenn die damit zusammenhängenden Datenverarbeitungen die Daten von Personen betreffen, die sich «in der Union befinden». Die Tragweite dieser letzten Anforderung ist nach wie vor ungeklärt. Der EDSA betont hierzu einleitend, was bereits aus Erwägungsgrund 14 hergeleitet werden kann: die Relevanz des „Targeting-Kriteriums“ wird nicht durch die Staatsangehörigkeit, den Wohnsitz oder andere Aspekte des rechtlichen Status bestimmt, resp. eingeschränkt. Entscheidend ist einzig, der Standort der von der Datenverarbeitung betroffenen Person. Muss der Verantwortliche davon ausgehen, dass sich diese in dem Zeitpunkt, in dem auch die übrigen Kriterien (insb. Angebotsausrichtung oder Verhaltensbeobachtung) gegeben sind, in der EU befindet, ist die DSGVO anwendbar. Der EDSA ist bezüglich dieses Zeitpunktes klar: Entscheidend ist der aus Sicht des Verantwortlichen anzunehmende Standort der betroffenen Personen in dem Moment, in dem die Angebotsausrichtung oder die Verhaltensbeobachtung erfolgt, unabhängig von der Dauer des Angebots oder der Beobachtung. Daraus folgt auch, dass die DSGVO sehr wohl auf Datenbearbeitungen anwendbar sind, die bspw. durch Schweizer Spitäler betreffend Patienten vorgenommen werden, während sich diese in der Schweiz befinden, jedoch vorgängig im EU-Ausland durch entsprechende Angebotsausrichtung „angeworben“ wurden.

Erforderlich ist aber auch nach Ansicht des EDSA, dass die Angebote bewusst und nicht bloss zufällig an Individuen in der EU ausgerichtet werden. In den definitiven Leitlinien betont der EDSA insofern, dass es nicht erforderlich ist, Dauerleistungen, die nur auf Personen ausserhalb des EWR ausgerichtet sind, einzustellen, wenn diese Personen in den EWR einreisen. Ein australischer Anbieter eines News-Dienstes, der nur von Personen mit australischer Telefonnummer abonniert werden kann, muss die DSGVO insofern nicht bloss deshalb beachten, weil einer der australischen Kunden in die EU einreist.

Anwendung aufgrund der Angebotsausrichtung

In Bezug auf die Frage, was unter «Angebot von Waren und Dienstleistungen» zu verstehen ist, bestätigt der EDSA, dass die Rechtsprechung des EuGH zur Bestimmung der internationalen Zuständigkeit in Verbrauchersachen heranzuziehen ist (vgl. dazu z.B. MLL-News vom 15.12.2010). Entscheidend ist somit die Frage, ob ein Unternehmen seinen Willen zum Ausdruck bringt, sein Angebot auch gegenüber Personen zu erbringen, die sich in der EU befinden. Wie bereits aus Erwägungsgrund 23 hervorgeht, muss dieser Wille «offensichtlich» sein. Der EDSA nennt zusammengefasst folgende Indizien, die einzeln oder gemeinsam für eine Angebotsausrichtung sprechen können:

• ausdrückliche Nennung der EU oder eines Mitgliedstaats im Zusammenhang mit einem Angebot;
• auf die EU ausgerichtete Werbekampagnen, inkl. Suchmaschinenwerbung;
• internationale Natur eines Angebots, bspw. bestimmte touristische Aktivitäten;
• Angabe eigener Adressen oder Telefonnummern zur Kontaktaufnahme aus der EU;
• Verwendung von aus Sicht des Anbieters fremden Top-Level-Domains wie z.B. “.de” oder “.eu”;
• Angabe eines Anfahrtswegs aus der EU zum Erfüllungsort;
• Hinweis auf internationale Kundschaft aus EU-Staaten
• Verwendung einer aus Sicht des Anbieters fremden Sprache oder Währung, besonders einer Sprache oder Währung eines oder mehreren EU-Staaten;
• Angebot einer Lieferung in einen EU-Staat.

Anwendung aufgrund der Verhaltensbeobachtung

Klärend sind auch die Ausführungen des EDSA zur Bedeutung der zweiten Variante und was unter dem «Beobachten» des Verhaltens von betroffenen Personen zu verstehen ist. So hält der EDSA fest, dass über das in ErwGr 24 hinaus erwähnte Monitoring im Internet hinaus, auch andere Netzwerke oder Technologien, die ein Verhaltensmonitoring zulassen, in den Anwendungsbereich der DSGVO fallen. Er verweist dabei ausdrücklich auf «wearables» und andere «smart devices».

Hinsichtlich des Monitorings selber, stellt der EDSA klar, dass nicht jedes Sammeln oder Analysieren personenbezogener Daten von Personen in der EU automatisch den Anwendungsbereich der DSGVO eröffnen. Vielmehr sind auch der Zweck der Datenverarbeitung sowie eine nachträgliche Verhaltensanalyse oder Profiling-Technik zu berücksichtigen. Der ESDA listet dazu eine Vielzahl von Techniken auf, die den Anwendungsbereich des Abs. 2 lit. b eröffnen können:

• Personalisierte Werbung
• Geolokalisierung, insbesondere für Marketingzwecke
• Online-Tracking über Cookies und andere Tracking Technologien wie «fingerprinting»
• Personalisierte Ernährungsberatung und Online-Gesundheitsanalyse
• CCTV (Videoüberwachung)
• Marktforschung und andere auf individualisierten Profilen basierte Verhaltensstudien
• Überwachung oder regelmässige Berichterstattung zum Gesundheitszustand

Die Erläuterungen des EDSA sind insofern zu begrüssen, als sie klären, dass bspw. die Nutzung von Cookies oder Tracking-Tools alleine noch keine Anwendbarkeit der DSGVO bedeuten (muss) und eine bestimmte Weiterverwendung der erhobenen Daten erforderlich ist. Welche Anforderungen an diese Weiterverwendung im konkreten Anwendungsfall gestellt werden, bleibt jedoch unklar.

Targeting-Kriterium und Auftragsverarbeiter ohne Niederlassung in der EU

Datenverarbeitungen, welche im Zusammenhang mit einer der beiden Targeting-Aktivitäten stehen, fallen unter die DSGVO. In der definitiven Fassung der Leitlinien äussert sich der EDSA nun auch zur Frage, inwiefern ein Auftragsverarbeiter ohne Niederlassung in der EU aufgrund des «Targeting-Kriteriums» der DSGVO unterstellt sein kann.

Zur Beantwortung dieser Frage, muss gemäss EDSA geprüft werden, ob die Datenverarbeitung des Auftragsverarbeiters mit den «Targeting-Aktivitäten» des Verantwortlichen zusammenhängt. Bei Datenverarbeitungen im Zusammenhang mit dem Angebot von Produkten oder der Verhaltensbeobachtung sei jeder Auftragsverarbeiter, der vom Verantwortlichen zur Ausführung dieser Datenverarbeitung beauftragt wird, der DSGVO unterstellt – zumindest in Bezug auf diese Datenverarbeitung. Insofern beziehen sich die relevanten «Targeting-Aktivitäten» (Anbieten/Beobachten) offenbar regelmässig auf einen Verantwortlichen. Es ist zu prüfen, ob die Datenverarbeitungen des Auftragsverarbeiters mit diesen Aktivitäten zusammenhängen. Denn nach Ansicht des EDSA kann die Entscheidung über das Targeting nur von einem Verantwortlichen – und somit nicht von einem Auftragsverarbeiter – gefällt werden. Daran ändere auch der Umstand nichts, dass ein Auftragsverarbeiter aktiv an der Datenverarbeitung beteiligt sei und die Datenverarbeitung für das «Targeting» im Auftrag und nach Weisung des Verantwortlichen durchführt.

Diese Interpretation macht die extensive Anwendung der DSGVO auf Auftragsverarbeiter ohne Niederlassung im EWR deutlich. Dies veranschaulicht das nachfolgende Beispiel in den Leitlinien:

Ein US-Unternehmen stellt eine Gesundheits-App, die es ihren Nutzern erlaubt, persönliche Werte (Schlaf, Gewicht, Blutdruck, Puls etc.) zu messen, auch Personen in der EU zur Verfügung. Das Unternehmen verarbeitet die Daten aller Nutzer (inkl. Personen im EWR) in den USA zur Bereitstellung von täglichen Sport- und Ernährungs-Tipps. Für die Datenspeicherung greift der US-Anbieter auf einen ebenfalls in den USA ansässigen Cloud-Anbieter zurück.

Nach der Auffassung des EDSA sind in diesem Beispiel beide US-Unternehmen in Bezug auf die mit der Verhaltensbeobachtung zusammenhängenden Datenverarbeitungen der DSGVO unterstellt.

Der Auftragsverarbeiter ohne Niederlassung im EWR ist in solchen Fällen demnach – zumindest für die entsprechenden Datenverarbeitungen – vollumfänglich der DSGVO unterstellt und kann für Pflichtverletzungen auch gebüsst werden. Er hat also nicht nur, wie bei der Auftragsverarbeitung für einen Verantwortlichen mit Niederlassung im EWR, vertraglich bzw. indirekt aufgrund des Auftragsverarbeitungsvertrags einzelnen Pflichten der DSGVO zu erfüllen.

Der Vertreter in der EU

Wer in den Anwendungsbereich der DSGVO fällt, aber keine Niederlassung im EWR hat, ist unter den Voraussetzungen von Art. 27 DSGVO verpflichtet, einen Vertreter zu bestimmen. Der EDSA betont in den Leitlinien, dass ein Vertreter in der EU nicht als Niederlassung im Sinne von Abs. 1 gilt. Vertreter könne sowohl eine natürlich wie auch eine juristische Person sein. Die Zusammenarbeit soll auf einer vertraglichen Grundlage («service contract») beruhen. Ein Vertreter könne zudem mehrere Nicht-EU basierte Verantwortliche oder Auftragsverarbeiter vertreten. Nimmt er jedoch gleichzeitig die Funktion des Datenschutzverantwortlichen («DPO») der jeweiligen Unternehmung wahr, liege ein Interessenkonflikt vor.

Der EDSA bekräftigt ferner, dass die Ernennung eines Vertreters den Verantwortlichen oder den Auftragsverarbeiter nicht von seiner Verantwortung und Verantwortlichkeit unter der DSGVO entlastet. Auch stellt der EDSA in der definitiven Fassung der Leitlinien klar, dass die DSGVO keine ersatzweise Verantwortlichkeit des Vertreters in der EU für den Verantwortlichen oder den Auftragsverarbeiter begründet.

Fazit

Knapp ein Jahr nach dem Entwurf der Leitlinien (vgl. MLL-News vom 10. Dezember 2018) wurde nun also die definitive Fassung der Leitlinien publiziert. Darin werden im Vergleich zum Entwurf zahlreiche Klarstellungen vorgenommen. Gleichwohl werden mehrere Aspekte nach wie vor nicht behandelt und insofern der Klärung durch die Gerichts- und Behördenpraxis überlassen.

Der ergänzte Abschnitt in Bezug auf Auftragsverarbeiter ohne Niederlassung in der EU veranschaulicht jedenfalls einmal mehr den sehr weit gefassten Anwendungsbereich. Demnach können diese Dienstleister, selbst wenn sie ihre Dienste nur an Unternehmen ausserhalb der EU vermarkten, der DSGVO unterstellt sein, sofern das Angebot ihrer Auftraggeber auf Kunden in der EU ausgerichtet ist oder diese das Verhalten von Personen in der EU beobachten. Zwar muss die Auftragsverarbeitung in Zusammenhang mit diesen «Targeting»-Aktivitäten stehen, jedoch zeigt das Beispiel in den Leitlinien, wie rasch die Behörden diesen als gegeben betrachten.

Weitere Informationen:

• Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version adopted after public consultation
• Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation
• EU – Datenschutzgrundverordnung (DSGVO)