Ihre Kontakte
Die EU-Datenschutz-Grundverordnung (DSGVO) betrifft bekanntlich nicht nur Unternehmen mit Sitz in der Europäischen Union, sondern auch Unternehmen aus Drittstaaten wie der Schweiz. Einzelheiten dieser «extraterritorialen» Wirkung sind jedoch nach wie vor umstritten. Vor diesem Hintergrund hat der Europäische Datenschutzausschuss (EDSA) im November den Entwurf der Leitlinien zum räumlichen Anwendungsbereich der DSGVO veröffentlicht. Darin wird der Standpunkt der EU-Datenschützer ausführlich und anhand von Beispielen erläutert. Das Dokument liegt zwar erst im Entwurf vor, liefert aber bereits eine umfassende Analyse zum Anwendungsbereich der DSGVO.
Ausgangslage: extraterritoriale Wirkung
Eines der zentralen Anliegen der Revision des EU-Datenschutzrechts war die Ausweitung des räumlichen Anwendungsbereichs. Dies hatte zur Folge, dass noch mehr Unternehmen mit Sitz in Drittstaaten wie der Schweiz die EU-Vorschriften zu beachten haben. Zahlreiche Einzelheiten sind jedoch nach wie vor umstritten, sodass der Standpunkt der Datenschützer von besonderem Interesse ist.
Der im November veröffentlichte Entwurf der Leitlinien 3/2018 verdeutlicht zunächst die zwei Kriterien, unter welchen ein Unternehmen von der DSGVO erfasst sein kann:
- das Niederlassungskriterium (Art. 3 Abs. 1 DSGVO) und
- das «Targeting»-Kriterium (Art. 3 Abs. 2 DSGVO)
Während zwar primär das Targeting-Kriterium zu einer Ausweitung des räumlichen Anwendungsbereichs des EU-Datenschutzrechts führt, verdeutlichen die Leitlinien, dass bereits das Niederlassungskriterium sehr weit gefasst ist und mehr Unternehmen als der Name vermuten lässt, davon erfasst sind.
Der Begriff der «Niederlassung»
Nach Art. 3 Abs. 1 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung erfolgt. Eine Definition des Begriffs der Niederlassung findet sich weder in der DSGVO noch in den Erwägungen. Der EDSA betont nun unter Bezugnahme auf Erwägungsgrund 22, dass die Rechtsprechung des EuGH, insbesondere der Weltimmo-Entscheid, auch für die Auslegung von Art. 3 DSGVO massgeblich sein soll. Demnach ist auch der Niederlassungsbegriff der DSGVO sehr weit zu verstehen und umfasst nicht nur Tochtergesellschaften, sondern auch Zweigniederlassungen oder Filialen.
Unabhängig von der Rechtsform sei für die Annahme einer Niederlassung ein gewisser Grad an Stabilität in der Organisation («degree of stability of the arrangements») und eine tatsächliche Ausübung einer Tätigkeit in einem Mitgliedsstaat («effective exercise of activities») erforderlich. Ob eine Niederlassung vorliegt, müsse im Einzelfalls aufgrund der Natur der wirtschaftlichen Tätigkeiten des jeweiligen Unternehmens beurteilt werden, wobei die Schwelle relativ tief sei. Dies gelte insbesondere, wenn die angebotene Dienstleistung nur über das Internet erfolgt. Im Ergebnis kann bereits ein einziger Angestellter oder Agent eine Niederlassung begründen, wenn dessen Tätigkeit genügend regelmässig erfolge. Immerhin betont der EDSA unter Hinweis auf die Rechtsprechung des EuGH, die blosse Tatsache, dass eine Website in der EU abrufbar sei, nicht zur Begründung einer Niederlassung ausreiche.
«Im Rahmen der Tätigkeiten einer Niederlassung»
Die Verarbeitung personenbezogener Daten muss nicht durch die Niederlassung des Verantwortlichen oder des Auftragsverarbeiters selber erfolgen, vielmehr genügt es, wenn diese «im Rahmen der Tätigkeiten» erfolgt. Der EDSA will dies weit verstanden wissen, weist aber darauf hin, dass nicht bereits die kleinste Verbindung zur Datenverarbeitung den Anwendungsbereich der DSGVO eröffnet. Darüber hinaus muss die Tätigkeit der Niederlassung und die fragliche Datenverarbeitung im konkreten Einzelfall untrennbar miteinander verbunden sein («inextricable link», vgl. auch den Entscheid des EuGH in Sachen Google Spain). Dies kann insbesondere dann vorliegen, wenn eine in der EU liegende Niederlassung, den Umsatz für das aussereuropäische Hauptunternehmen steigern soll – auch wenn die Niederlassung nicht an der Datenverarbeitung mitwirkt und unabhängig davon, ob die Verarbeitung innerhalb oder ausserhalb der EU erfolgt.
Verhältnis zum Auftragsverarbeiter
Umstritten ist, was die Zusammenarbeit eines Verantwortlichen ausserhalb der EU mit einem Auftragsverarbeiter aus dem EU-Raum für die Anwendbarkeit der DSGVO für den Verantwortlichen bedeuten kann. Der EDSA stellt nun klar: ein EU-basierter Auftragsverarbeiter ist nicht als Niederlassung des Verantwortlichen zu betrachten und die Zusammenarbeit alleine eröffnet für den Verantwortlichen noch nicht den Anwendungsbereich der DSGVO. Auf den in der EU ansässigen Auftragsverarbeiter seinerseits gelangt die DSGVO aber natürlich zur Anwendung.
Sofern der Auftragsverarbeiter der DSGVO nicht untersteht, der Verantwortliche hingegen schon, ist dieser verpflichtet, u.a. vertraglich sicherzustellen, dass der Auftragsverarbeiter die Datenverarbeitung in Übereinstimmung mit den Vorgaben der DSGVO vornimmt (vgl. dazu Art. 28 Abs. 3 DSGVO). Dieser wird damit indirekt den Pflichten der DSGVO unterstellt.
Anwendungsbereich des «Targeting-Kriteriums» im Allgemeinen
Unter das Targeting-Kriterium im Sinne von Art. 3 Abs. 2 DSGVO fallen nach der (nicht unproblematischen) Terminologie der EDSA die folgenden beiden Fälle:
- das Angebot von Waren und Dienstleistungen und
- die Verhaltensbeobachtung
In beiden Fällen greift die DSGVO nur dann, wenn die damit zusammenhängenden Datenverarbeitungen die Daten von Personen betreffen, die sich «in der Union befinden». Die Tragweite dieser letzten Anforderung ist nach wie vor ungeklärt. Der EDSA betont hierzu einleitend, was bereits aus Erwägungsgrund 14 hergeleitet werden kann: die Relevanz des «Targetting-Kriteriums» wird nicht durch die Staatsangehörigkeit, den Wohnsitz oder andere Aspekte des rechtlichen Status bestimmt, resp. eingeschränkt. Entscheidend ist einzig, der Standort der von der Datenverarbeitung betroffenen Person. Muss der Verantwortliche davon ausgehen, dass sich diese in dem Zeitpunkt, in dem auch die übrigen Kriterien (insb. Angebotsausrichtung oder Verhaltensbeobachtung) gegeben sind, in der EU befindet, ist die DSGVO anwendbar. Der EDSA ist bezüglich dieses Zeitpunktes klar: Entscheidend ist der aus Sicht des Verantwortlichen anzunehmende Standort der betroffenen Personen in dem Moment, in dem die Angebotsausrichtung oder die Verhaltensbeobachtung erfolgt, unabhängig von der Dauer des Angebots oder der Beobachtung.
Daraus folgt auch, dass die DSGVO sehr wohl auf Datenbearbeitungen anwendbar sind, die bspw. durch Schweizer Spitäler betreffend Patienten vorgenommen werden, während sich diese in der Schweiz befinden, jedoch vorgängig im EU-Ausland durch entsprechende Angebotsausrichtung «angeworben» wurden.
Anwendung aufgrund der Angebotsausrichtung
In Bezug auf die Frage, was unter «Angebot von Waren und Dienstleistungen» zu verstehen ist, bestätigt der EDSA, dass die Rechtsprechung des EuGH zur Bestimmung der internationalen Zuständigkeit in Verbrauchersachen heranzuziehen ist (vgl. dazu z.B. MLL-News vom 15.12.2010). Entscheidend ist somit die Frage, ob ein Unternehmen seinen Willen zum Ausdruck bringt, sein Angebot auch gegenüber Personen zu erbringen, die sich in der EU befinden. Wie bereits aus Erwägungsgrund 23 hervorgeht, muss dieser Wille «offensichtlich» sein. Der EDSA nennt zusammengefasst folgende Indizien, die einzeln oder gemeinsam für eine Angebotsausrichtung sprechen können:
- ausdrückliche Nennung der EU oder eines Mitgliedstaats im Zusammenhang mit einem Angebot;
- auf die EU ausgerichtete Werbekampagnen, inkl. Suchmaschinenwerbung;
- internationale Natur eines Angebots, bspw. bestimmte touristische Aktivitäten;
- Angabe eigener Adressen oder Telefonnummern zur Kontaktaufnahme aus der EU;
- Verwendung von aus Sicht des Anbieters fremden Top-Level-Domains wie z.B. “.de” oder “.eu”;
- Angabe eines Anfahrtswegs aus der EU zum Erfüllungsort;
- Hinweis auf internationale Kundschaft aus EU-Staaten
- Verwendung einer aus Sicht des Anbieters fremden Sprache oder Währung, besonders einer Sprache oder Währung eines oder mehreren EU-Staaten;
- Angebot einer Lieferung in einen EU-Staat.
Anwendung aufgrund der Verhaltensbeobachtung
Klärend sind auch die Ausführungen der EDSA zur Bedeutung von Abs. 2 lit. a und was unter dem «Beobachten» des Verhaltens von betroffenen Personen zu verstehen ist. So hält die EDSA fest, dass über das in ErwGr 24 hinaus erwähnte Monitoring im Internet hinaus, auch andere Netzwerke oder Technologien, die ein Verhaltensmonitoring zulassen, unter Abs. 2 lit. a fallen. Er verweist dabei ausdrücklich auf «wearables» und andere «smart devices». Hinsichtlich des Monitorings selber, stellt der EDSA klar, dass nicht jedes Sammeln oder Analysieren personenbezogener Daten von Personen in der EU automatisch den Anwendungsbereich der DSGVO eröffnen. Vielmehr sind auch der Zweck der Datenverarbeitung sowie eine nachträgliche Verhaltensanalyse oder Profiling-Technik zu berücksichtigen. Der ESDA listet dazu eine Vielzahl von Techniken auf, die den Anwendungsbereich des Abs. 2 lit. b eröffnen können:
- Personalisierte Werbung
- Geolokalisierung, insbesondere für Marketingzwecke
- Online-Tracking über Cookies und andere Tracking Technologien wie «fingerprinting»
- Personalisierte Ernährungsberatung und Online-Gesundheitsanalyse
- CCTV (Videoüberwachung)
- Marktforschung und andere auf individualisierten Profilen basierte Verhaltensstudien
- Überwachung oder regelmässige Berichterstattung zum Gesundheitszustand
Die Erläuterungen des EDSA sind insofern zu begrüssen, als sie klären, dass bspw. die Nutzung von Cookies oder Tracking-Tools alleine noch keine Anwendbarkeit der DSGVO bedeuten (muss) und eine bestimmte Weiterverwendung der erhobenen Daten erforderlich ist. Wie diese im konkreten Anwendungsfall zu behandeln ist, bleibt jedoch unklar.
Der Vertreter in der EU
Wer in den Anwendungsbereich des Abs. 2 fällt, ist unter den Voraussetzungen von Art. 17 DSGVO verpflichtet, einen Vertreter zu bestimmen. Der EDSA hält nun fest, dass ein Vertreter in der EU nicht als Niederlassung im Sinne von Abs. 1 gilt. Dieser kann sowohl eine natürlich wie auch eine juristische Person sein und die Zusammenarbeit soll auf einer vertraglichen Grundlage («service contract») beruhen. Ein Vertreter kann zudem mehrere Nicht-EU basierte Verantwortliche oder Auftragsverarbeiter vertreten. Nimmt er jedoch gleichzeitig die Funktion des Datenschutzverantwortlichen («DPO») der jeweiligen Unternehmung wahr, liege ein Interessenkonflikt vor.
Fazit
Da es sich bei den vorliegenden Leitlinien noch um einen Entwurf handelt, bleibt abzuwarten, welche Änderungen die definitive Fassung gegenüber diesem Entwurf noch erfahren wird. Wichtig zu beachten ist, dass unter den entsprechenden Umständen bereits eine einzelne Person eine Niederlassung im Sinne der DSGVO darstellen kann. Klärend sind zudem die Stellungnahmen, dass nicht jede Zusammenarbeit mit einem EU-basierten Auftragsverarbeiter und auch nicht schon jede Verwendung von Cookies und anderen Tracking-Tools den Anwendungsbereich eröffnet. Hier bleibt zu hoffen, dass in der definitiven Fassung der Guidelines noch eine genauere Auslegeordnung erfolgen wird.
Weitere Informationen: