Kitabı oku: «DSGVO - BDSG - TTDSG», sayfa 12

Yazı tipi:

5. Datenverarbeitung durch Einrichtungen und Organe der Union (Abs. 3)

29

Die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen, Ämter und Agenturen der Union fällt gemäß Art. 2 Abs. 3 DSGVO nicht in den Anwendungsbereich der DSGVO. Für diese Datenverarbeitungen galt ursprünglich die Verordnung 45/2001.105 Die Verordnung 45/2001 und andere Rechtsakte der Union über die Verarbeitung personenbezogener Daten sollen nach der rechtlich nicht zwingenden Regelung106 in Art. 2 Abs. 3 Satz 2 DSGVO an die DSGVO angepasst und in deren Lichte ausgelegt werden.107 Zu diesem Zweck wurde inzwischen die Verordnung 2018/1725108 verabschiedet.

IV. Richtlinie 2000/31/EG (Abs. 4)

30

Gemäß Art. 2 Abs. 4 DSGVO bleibt die Anwendung der eCommerce-Richtlinie insgesamt durch die DSGVO unberührt. Die Regelung in Art. 2 Abs. 4 DSGVO ist rein deklaratorisch und keine Ausnahme vom Anwendungsbereich der DSGVO.109 Die eCommerce-Richtlinie soll den freien Verkehr von Diensten der Informationsgesellschaften innerhalb der Union sicherstellen und stellt dafür Anbieter entsprechender Dienste für bestimmte Tätigkeiten von der Haftung frei.110 Dies gilt insbesondere für die Verantwortlichkeit von Vermittlern gemäß Art. 12 (reine Durchleitung), Art. 13 (Caching), Art. 14 (Hosting) und Art. 15 (Freiheit von allgemeinen Überwachungspflichten). In Deutschland sind diese Regelungen durch die §§ 7 bis 10 TMG umgesetzt. Soweit die eCommerce-Richtlinie nicht anwendbar ist, etwa für Dienste der Informationsgesellschaft gemäß Art. 5 eCommerce-Richtlinie, bleibt die DSGVO anwendbar. Spiegelbildlich zu Art. 2 Abs. 4 DSGVO nimmt Art. 1 Abs. 5 lit. b eCommerce-Richtlinie datenschutzrechtliche Fragen von Diensten der Informationsgesellschaft vom Anwendungsbereich der eCommerce-Richtlinie aus. Die eCommerce-Richtlinie und die DSGVO sind damit nebeneinander anwendbar. Rechtspolitisch wird diese Entscheidung des europäischen Gesetzgebers kritisiert, beide Regelungswerke nebeneinander bestehen zu lassen, da sich hieraus Wertungswidersprüche ergeben können.111

1 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 1. 2 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 4; Kranenborg, in: Kuner/Bygrave/Docksey, GDPR, Art. 2 B.; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 3. 3 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 5. 4 EU-Komm., 25.1.2012, 2012/11 endgültig, S. 46. 5 EU-Parl., 22.11.2013, 2012/11 – C7-0025/2012 – 2012/11 endgültig, ABl. Nr. C 378, S. 399. 6 EU-Komm., 25.1.2012, 2012/11 endgültig, S. 46. 7 EU-Parl., 22.11.2013, 2012/11 – C7-0025/2012 – 2012/11 endgültig, ABl. Nr. C 378, S. 399. 8 Dazu Gola/Lepperhoff, ZD 2016, 9, 10f. 9 Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 20. 10 Saeltzer, DuD 2004, 218. 11 Kühling/Schildbach, NJW 2020, 1545, 1546. 12 Dazu Barlag, in: Roßnagel, Europäische Datenschutz-Grundverordnung, S. 110f.; Bergt, ZD 2015, 365; Boehme-Neßler, DuD 2016, 419, 420; Brink/Eckhardt, ZD 2015, 205; Buchner, DuD 2016, 155, 156; Eckhardt/Kramer/Mester, DuD 2013, 623, 627f.; Härting, NJW 2013, 2065; Kühling/Klar, NJW 2013, 3611; Schantz, NJW 2016, 1841, 1842f. 13 Dazu umfassend Bergt, ZD 2015, 365; Brink/Eckhardt, ZD 2015, 205; zur Vermeidung der Anwendbarkeit des Datenschutzrechts durch Anonymisierung Richter, PinG 2020, 181. 14 Dazu Rabe, K&R 2019, 464. 15 Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 23f.; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, S. 31. 16 Martens, PinG 2015, 213, 214. 17 Gola, in: Gola, DS-GVO, Art. 2 Rn. 5; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 6. 18 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 5; Zerdick, in: Ehmann/Selmayr, DSGVO, Art. 2 Rn. 3. 19 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 16. 20 ErwG 15; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 17; Martens, PinG 2015, 213, 214; Plath, in: Plath, BDSG DSGVO, Art. 2 Rn. 6. 21 ErwG 15; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 8. 22 ErwG 15; Gola, in: Gola, DS-GVO, Art. 2 Rn. 1. 23 Martens, PinG 2015, 213, 215. 24 Piltz, K&R 2016, 557. 25 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 7; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 7. 26 Gola, in: Gola, DS-GVO, Art. 2 Rn. 2. 27 Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 18. 28 Gola, in: Gola, DS-GVO, Art. 2 Rn. 3. 29 Albrecht, CR 2016, 88, 90; Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 2; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 21; Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 8. 30 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 16. 31 Dazu Bast, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 5 AEUV Rn. 13ff. 32 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 19; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 8. 33 Grzeszick, NVwZ 2018, 1505, 1508; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 17; Schröder, ZRP 2018, 129, 130. 34 EuGH, 9.7.2020 – C 272/19, ZD 2020, 577, 578; a.A. Grzeszick/Schwartmann/Mühlenbeck, NVwZ 2020, 1491. 35 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 10. 36 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 9; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 9. 37 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 10; Kühling/Raab, in: Kühling/Buchner, DSGVO, Art. 2 Rn. 22. 38 Albrecht, CR 2016, 88, 90; Ehmann/Helfrich, DSRl, Art. 3 Rn. 23; Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 10. 39 Roßnagel/Kroschwald, ZD 2014, 495, 496; Roßnagel/Richter/Nebel, ZD 2013, 103, 104; Gola/Lepperhoff, ZD 2016, 9, 11. 40 So auch Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 12. 41 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 18; Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 37. 42 Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 24. 43 Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 25. 44 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 11; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 21. 45 Vgl. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 26; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, Art. 2 Rn. 41; Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 2 Rn. 16. 46 Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 35; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 23; Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 2 Rn. 23. 47 Englische Sprachfassung: „personal or household activity“; französische Sprachfassung: „activité strictement personelle ou domestique“; italienische Sprachfassung: „attivitá a carattere esclusivamente personale o domestico“; niederländische Sprachfassung: „persoonlijke of huishoudelijke activiteit“; spanische Sprachfassung: „actividades exclusivamente personales o domésticas“; schwedische Sprachfassung: „rent privat natur eller som har samband med hans eller hennes hushll“; die dänische Sprachfassung enthält hingegen ähnlich der deutschen Sprachfassung einen Bezug zum Begriff Familie: „personlige eller familiemæssige aktiviteter“. 48 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 26. 49 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 12; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 14. 50 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 13; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 23. 51 BGH, 11.3.2008, NJW 2008, 2110; OLG Hamburg, 16.12.2008 – 7 U 48/08, AfP 2009, 151; vgl. hierzu auch Born, AfP 2005, 110; Gostomzyk, NJW 2008, 2082. 52 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 15; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 23; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 35; a.A. Derfler, RDV 2020, 128, 132. 53 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 15; Gola/Lepperhoff, ZD 2016, 9, 10; Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 34. 54 Ehmann, ZD 2020, 65, 66; Rauer/Ettig, in: Wybitul, DSGVO, Art. 2 Rn. 12; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 2 Rn. 42; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 11. 55 A.A., nach der es auf den Schwerpunkt der Verarbeitung ankommen soll: Gola/Lepperhoff, ZD 2016, 9, 10. 56 Dieterle, ZD 2020, 135, 136. 57 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 21. 58 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 11; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 21. 59 Gola/Lepperhoff, ZD 2016, 9, 10; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 26. 60 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 26. 61 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 19; Gola/Lepperhoff, ZD 2016, 9, 10; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 24. 62 Gola, in: Gola, DS-GVO, Art. 2 Rn. 15. 63 EuGH, 6.11.2003 – Rs. C-101/01, Slg. 2003, I-12971, Rn. 47f. – Lindqvist. 64 EuGH, 16.12.2008 – Rs. C-73/07, EuZW 2009, 108, Rn. 43f. – Satamedia. 65 EuGH, 14.2.2019 – Rs. C-345/17, Rn. 43f. – Buivids. 66 EuGH 10.7.2018 – Rs. C-25/17, Rn. 42f. – Zeugen Jehovas. 67 So auch Art.-29-Datenschutzgruppe, WP 163 Opinion 5/2009 on online social networking, S. 6f.; Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 21. 68 Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 44. 69 EuGH, 14.2.2019 – Rs. C-345/17 – Buivids. 70 EuGH, 6.11.2003 – Rs. C-101/01, Slg. 2003, I-12971 – Lindqvist. 71 Gola, in: Gola, DS-GVO, Art. 2 Rn. 25; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 29; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 2 Rn. 40. 72 EuGH, 6.11.2003 – Rs. C-101/01, Slg. 2003, I-12971 – Lindqvist. 73 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 21. 74 ErwG 18. 75 ErwG 15 Entwurf des Parlaments; dazu Schantz, NJW 2016, 1841, 1843. 76 EuGH, 14.2.2019 – Rs. C-345/17 – Buivids. 77 EuGH, 6.11.2003 – Rs. C-101/01, Slg. 2003, I-12971 – Lindqvist. 78 EuGH, 6.11.2003 – Rs. C-101/01, Slg. 2003, I-12971 – Lindqvist. 79 EuGH, 14.2.2019 – Rs. C-345/17 – Buivids. 80 Art.-29-Datenschutzgruppe, WP 163 Opinion 5/2009 on online social networking, S. 6f.; Golland, ZD 2020, 397, 397f. 81 Dazu Giesen, NZV 2020, 70, 71. 82 Zu datenschutzrechtlichen Anforderungen an den Einsatz von Wildkameras siehe Dienstbühl, CR 2019, 359. 83 EuGH, 11.12.2014 – Rs. C-212/13, Rn. 33 – Rynes. 84 Dazu Gola/Schomerus, BDSG, § 6b Rn. 8ff. 85 Ernst, CR 2015, 620, 622; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 19; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 27; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 11; kritisch dazu Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 51f.; zur Anwendbarkeit des Datenschutzrechts für den Einsatz von Dashcams siehe VG Ansbach, 12.8.2014 – AN 4 K 13.01634; AG München, 13.8.2014 – 354 C 5551/14, RDV 2014, 345; AG Nienburg, 20.1.2015 – 4 Ds 155/14, 4 Ds 520 Js 39473/14. 86 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 21 und 32. 87 Siehe dazu auch Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 17: „wenn der gewählte Rahmen [...] die entspr. Zweckverfolgung erkennen lässt“; Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 24: „entscheidet die Verkehrsanschauung“; zustimmend Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 37f.; Bischof, DuD 2017, 142, 144, die bspw. evident sportliche Zwecke ausklammert; Fuchs, ZD 2015, 212, 215. 88 Zustimmend Fuchs, ZD 2015, 212, 217; AG München, 6.6.2013 – 343 C 4445/13, ZD 2014, 39 m. Anm. Schröder, dass zur Bestimmung auf die „soziale Adäquanz“ abstellt. 89 Kühling/Raab, in: Kühling/Buchner, DS-GVO BDSG, Art. 2 Rn. 10; Gola/Lepperhoff, ZD 2016, 9, 11; zur Abhängigkeit des Art. 7 GRCh von Art. 8 EMRK Kingreen, in: Calliess/Ruffert, EUGRCharta, Art. 7 Rn. 2. 90 Zur EMRK EGMR, 26.7.2007 – Nr. 64209/01, Rn. 37ff. 91 EGMR, 28.1.2003 – Nr. 44647/98, Rn. 59ff.; EGMR, 24.6.2004 – Nr. 59320/00, Rn. 50ff. 92 EGMR, 28.1.2003 – Nr. 44647/98, Rn. 59ff.; EGMR, 24.6.2004 – Nr. 59320/00, Rn. 50ff.; EGMR, 2.9.2010 – Nr. 35623/05, Rn. 44; EuGH, 14.2.2008 – Rs. C-450/06, Slg. 2008, I-581, Rn. 48 – Varec; EuG, 8.11.2007 – Rs. T-194/04, Slg. 2007, II-4523, Rn. 114f. – Lager; Frenz, Handbuch Europarecht, Rn. 1203; für den Einsatz von Dashcams zustimmend Piltz, BDSG, § 1 Rn. 12. 93 Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates; dazu: Weinhold, in: Roßnagel, Europäische Datenschutzgrundverordnung, S. 118ff.; zum Richtlinienentwurf: Kugelmann, DuD 2012, 581; Seidel, ZD 2020, 455. 94 Richtlinie über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität; dazu: Reif, RDV 2016, 205. 95 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 12. 96 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 25f.; Grafenstein, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 2 Rn. 56; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 12; zur Methodik der Auslegung des europäischen Datenschutzrechts allgemein siehe Hofmann/Johannes, ZD 2017, 221. 97 Kranenborg, in: Kuner/Bygrave/Docksey, GDPR, Art. 2 C. 6. 98 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 27; Hornung/Schindler/Schneider, ZIS 2018, 566, 572f. 99 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 28. 100 ErwG 19; Gola, in: Gola, DS-GVO, Art. 2 Rn. 23. 101 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 2 Rn. 15. 102 Dieterle, ZD 2020, 135, 136. 103 ErwG 20; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 2 Rn. 23; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 2 Rn. 19; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 2 Rn. 48. 104 ErwG 20; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das nationale Recht, S. 20. Schwichtenberg, DuD 2016, 605; Bäcker, in: Perspektiven der digitalen Lebenswelt, 2017, S. 63. 105 Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr. 106 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 2 Rn. 36. 107 ErwG 17. 108 Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG. 109 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 17. 110 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 17. 111 Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, Art. 2 Rn. 34

Art. 3 Räumlicher Anwendungsbereich

(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

1 a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

2 b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Mit der Norm korrespondieren die Erwägungsgründe 22–25.

Literatur: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Brauneck, Marktortprinzip der DSGVO: Weltgeltung für EU-Datenschutz?, EuZW 2019, 494; Grabitz/Hilf/Nettesheim (Begr./Hrsg.), Das Recht der Europäischen Union: EUV/AEUV, Loseblatt 5/2018, München; Hoffmann, Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing, ZD-Aktuell 2017, 05488; Klar, Die extraterritoriale Wirkung des neuen europäischen Datenschutzrechts, DuD 2017, 533; Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation (GDPR), Oxford 2018; Laue, Öffnungsklauseln in der DS-GVO – Öffnung wohin?, ZD 2016, 463; Piltz, Die Datenschutz-Grundverordnung, K&R 2016, 557; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841;Uecker, Extraterritorialer Anwendungsbereich der DS-GVO, ZD 2019, 67; Voigt, Anforderungen an Drittlandtransfers, CR 2020, 315; Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, Edewecht 2020.

Übersicht


Rn.
I. Allgemeines1
1. Zweck der Vorschrift1
2. Entstehungsgeschichte3
3. Verhältnis zu anderen Vorschriften6
II. Verarbeitung durch Niederlassung in der Union (Abs. 1)7
1. Niederlassung8
2. Zuordnung von Verarbeitungen zu einer Niederlassung12
3. Beauftragung von Auftragsverarbeitern in der Union13
III. Verarbeitung ohne Niederlassung in der Union (Abs. 2)16
1. Völkerrechtliches Verbot exterritorialer Wirkung17
2. Keine Niederlassung in der Union18
3. Angebot von Waren oder Dienstleistungen in der Union (Abs. 2 lit. a)19
4. Beobachtung von Personen in der Union (Abs. 2 lit. b)25
5. Kritik am Marktortprinzip30
6. Beauftragung von Auftragsverarbeitern in Drittstaaten32
IV. Völkerrechtliche Vorgaben (Abs. 3).34
V. Geltung der DSGVO im EWR35
VI. Kollisionsrecht36
1. Kollision mit drittstaatlichem Datenschutzrecht37
2. Kollision mitgliedstaatlicher Datenschutzgesetze39

I. Allgemeines
1. Zweck der Vorschrift

1

Art. 3 DSGVO bestimmt den räumlichen Anwendungsbereich der DSGVO und damit des europäischen Datenschutzrechts. Als Anknüpfungspunkte, die zur Anwendbarkeit des europäischen Datenschutzrechts führen, ergeben sich aus Art. 3 DSGVO die Niederlassung des Verantwortlichen (Art. 3 Abs. 1 DSGVO), die Niederlassung des Auftragsverarbeiters (Art. 3 Abs. 1 DSGVO) und der Marktort (Art. 3 Abs. 2 DSGVO). In Art. 3 Abs. 3 DSGVO ist der Spezialfall der Anwendbarkeit der DSGVO an Orten außerhalb der Union geregelt, die völkerrechtlich dem Recht eines Mitgliedstaates und deshalb dem Recht der Union unterliegen und an denen die DSGVO entsprechend anwendbar ist.

2

Der Anwendungsbereich der DSGVO ist weit gefasst und bezweckt die Anwendung des europäischen Datenschutzrechts für alle Sachverhalte mit Unionsbezug, um Betroffene davor zu schützen, dass der Schutz ihrer Grundrechte durch die Verarbeitung ihrer personenbezogenen Daten von Verantwortlichen oder Auftragsverarbeitern in Drittstaaten unterlaufen wird.1 Dafür wird in Art. 3 Abs. 2 DSGVO das Marktortprinzip für die Begründung der Anwendung der DSGVO auf nicht in der Union niedergelassene Stellen eingeführt. Im Vergleich zur DSRl wird der Anwendungsbereich des europäischen Datenschutzrechts mit Art. 3 DSGVO erheblich ausgeweitet. Die weite Definition des Anwendungsbereichs des europäischen Datenschutzrechts für Verantwortliche in Drittstaaten führt zur parallelen Anwendung des europäischen Datenschutzrechts neben ihrem lokalen Datenschutzrecht2 und schafft damit Anwendungskonflikte. Die Entwicklung kollisionsrechtlicher Lösungen dafür hat gerade erst begonnen.

₺10.287,79