Kitabı oku: «DSGVO - BDSG - TTDSG», sayfa 14

Yazı tipi:

4. Beobachtung von Personen in der Union (Abs. 2 lit. b)

25

Die Beobachtung des Verhaltens natürlicher Personen in der Union durch Verantwortliche oder Auftragsverarbeiter, insbesondere in Form des Profilings (siehe Art. 22 Rn. 15ff.) fallen in den Anwendungsbereich der DSGVO. Der Begriff der Verhaltensbeobachtung ist in der DSGVO nicht legaldefiniert. Einem allgemeinen Begriffsverständnis folgend, fallen unter den Begriff des Verhaltens sämtliche menschliche Aktivitäten, unabhängig davon, ob diese bewusst oder unbewusst erfolgen. Beobachten ist das zielgerichtete Sammeln von Erkenntnissen. Nach einer Ansicht setze der Begriff des Beobachtens eine gewisse Dauer und Intensität voraus.73 Diese Ansicht überzeugt für die Anknüpfung des territorialen Anwendungsbereichs der DSGVO aber nicht. Auch kurzfristige Maßnahmen können nämlich zu erheblichen Beeinträchtigungen der Grundrechte führen und müssen im Hinblick auf das Ziel des umfassenden Grundrechtsschutzes vom Anwendungsbereich der DSGVO erfasst werden. Das beobachtete Verhalten muss in der Union erfolgen, um den Anwendungsbereich der DSGVO gemäß Art. 3 Abs. 2 lit. b DSGVO zu eröffnen. Die Betroffenen müssen sich also physisch in der Union befinden. Art. 3 Abs. 2 lit. b DSGVO knüpft nicht an die Unionsbürgerschaft im Sinne von Art. 9 EUV, die Staatsbürgerschaft eines Mitgliedstaats oder den gewöhnlichen Aufenthalt in der Union an. Erfasst und geschützt werden neben Unionsbürgern damit alle Personen, die sich im Zeitpunkt der Beobachtung in der Union aufhalten. Dieser Aufenthalt kann auch nur von kurzer Dauer sein.74

26

Anders als für Art. 3 Abs. 2 lit. a DSGVO ist es jedenfalls nach dem Wortlaut nicht erheblich, ob die Beobachtung von Personen in der Union im Sinne einer Ausrichtung auf den Marktort bezweckt ist.75 Damit würden auch Sachverhalte erfasst, die praktisch keinen inhaltlichen Bezug zur Union haben. In Online-Sachverhalten etwa, würde die bloße Aufrufbarkeit einer Webseite zur Anwendbarkeit der DSGVO führen. Dies würde praktisch zu einer Weltgeltung der DSGVO führen. Dieses Verständnis des Art. 3 Abs. 2 lit. a DSGVO würde im Widerspruch zur Rechtsprechung des EuGH zur exterritorialen Anwendbarkeit des europäischen Datenschutzrechts76 sowie im Konflikt zum völkerrechtlichen Verbot exterritorialer Herrschaftsausübung stehen.77 Dass eine so weit gehende Regelung vom europäischen Gesetzgeber nicht beabsichtigt war, ergibt sich zudem aus der wesentlich höherschwelligen Verpflichtung zur Bestellung eines Inlandsvertreters gemäß Art. 27 Abs. 1 DSGVO. Diese besteht nicht, wenn die Verarbeitung nur gelegentlich erfolgt, keine besonderen Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen betroffen sind und keine Gefahr für die Rechte und Freiheiten der Betroffenen besteht. Art. 3 Abs. 2 lit. b DSGVO ist daher einschränkend auszulegen, indem Sachverhalte ohne inhaltlichen Bezug zur Union nicht erfasst werden. Gegen die exterritoriale Anwendbarkeit der DSGVO spricht zudem Art. 1 Abs. 2 DSGVO, der den Grundrechtsschutz als zentrale Zweckbestimmung der DSGVO benennt (siehe Art. 1 Rn. 13ff.). Der Grundrechtsschutz ergibt sich im Wesentlichen aus der GRCh. Betroffene außerhalb der Union können sich auf europäische Grundrechte nicht berufen, wenn der Sachverhalt keine direkte Verbindung zum Territorium der Union hat.78

27

Art. 3 Abs. 2 lit. b DSGVO zielt im Besonderen auf Internetaktivitäten ab, insbesondere, soweit diese geeignet sind, natürliche Personen zu profilieren und anhand des Profils Vorlieben, Verhaltensweisen oder Gepflogenheiten der betroffenen Person zu analysieren oder vorherzusagen.79 Hiervon wird das Webtracking erfasst,80 etwa mittels Cookies,81 Browser Fingerprints, Social-Media-Plug-Ins82 oder anderer Methoden. Der Zweck der Verhaltensbeobachtung ist nicht erheblich.83 Erfasst werden etwa die Verhaltensbeobachtung zu Zwecken der Marktforschung,84 zum Scoring,85 zur wissenschaftlichen Forschung86 oder zur technischen Systemanalyse. Für Online-Sachverhalte ist neben der Feststellung der territorialen Anwendbarkeit der DSGVO die Abgrenzung des sachlichen Anwendungsbereichs im Verhältnis zur ePrivacy-Richtlinie bzw. deren Umsetzung im mitgliedstaatlichen Recht zu beachten und deren Anwendungsvorrang.

28

Auch, wenn in ErwG 24 für Art. 3 Abs. 2 lit. b DSGVO ein enger Bezug zu Online-Sachverhalten hergestellt wird, ist die Norm darauf nicht beschränkt.87 Der Wortlaut der Norm umfasst auch Offline-Sachverhalte. Zudem spricht der bezweckte umfassende Grundrechtsschutz gegen eine einschränkende Auslegung. In den Anwendungsbereich der DSGVO fällt damit auch die Beobachtung von Personen in der Union außerhalb des Internets, auch wenn die Anwendungsfälle in der Praxis begrenzt sein dürften. Denkbar wäre die Anwendung der DSGVO etwa auf den Einsatz von Aufklärungsdrohnen oder Satelliten.

29

In den Anwendungsbereich der DSGVO können unter den Voraussetzungen von Art. 3 Abs. 2 lit. b DSGVO auch Tätigkeiten der Behörden von Drittstaaten fallen,88 etwa wenn diese eine Webseite mit Informationen und Kontaktmöglichkeiten für Personen in der Union enthalten und das Verhalten der Nutzer auf der Webseite analysieren,89 oder wenn auf andere Weise Informationen zur Beobachtung von Betroffenen in der Union gesammelt werden.

5. Kritik am Marktortprinzip

30

An der Konzeption des Marktortprinzips wird kritisiert, dass es trotz seiner herausragenden Bedeutung für Verantwortliche außerhalb der Union inhaltlich nicht hinreichend präzise gefasst sei.90 So enthalte Art. 3 Abs. 2 DSGVO neue Begrifflichkeiten, die nicht näher definiert oder in den Gesetzgebungsmaterialien erläutert würden.91 Zudem führe das Marktortprinzip zu Anwendungskonflikten für international tätige Verantwortliche, die im Zweifel eine Vielzahl von Datenschutzrechten beachten müssten und so hohe Kosten für Rechtsinformationen zu tragen hätten.92 Schließlich gehe die exterritoriale Erstreckung des Datenschutzrechts mit einem Vollstreckungsdefizit gegenüber Verantwortlichen in Drittländern einher.93 Diese Kritikpunkte sind inhaltlich nicht von der Hand zu weisen, beruhen aber auf einer bewussten Entscheidung des europäischen Gesetzgebers zum umfassenden Schutz der Grundrechte der Bürger der Union94 und sind somit für die Rechtsanwendung hinzunehmen.

31

Die Umsetzung des Marktortprinzips in Art. 3 Abs. 2 DSGVO ist im Detail unscharf und klärungsbedürftig. Das Marktortprinzip als solches ist aber ein geeigneter Kompromiss zwischen den möglichen Anknüpfungspunkten Sitz des Verantwortlichen einerseits und Herkunft oder Wohnort des Betroffenen andererseits.95 Die exklusive Anknüpfung am Sitz des Verantwortlichen birgt nämlich die Gefahr des Forum Shoppings, die Anknüpfung an der Herkunft des Betroffenen hingegen die Gefahr der ungerechtfertigten Erfassung von Auslandssachverhalten und der Schaffung von Anwendungskonflikten etwa für Online-Sachverhalte aufgrund der Ubiquität des Internets.96

6. Beauftragung von Auftragsverarbeitern in Drittstaaten

32

Spiegelbildlich zur Frage der Anwendbarkeit der DSGVO für Verantwortliche in Drittstaaten, die Auftragsverarbeiter in der Union beauftragen (siehe Rn. 13ff.), stellt sich die Frage, ob die Beauftragung eines Auftragsverarbeiters im Drittland durch einen Verantwortlichen im Anwendungsbereich der DSGVO für den Auftragsverarbeiter zur Anwendbarkeit der DSGVO führen kann. Dabei gilt, dass die Anwendbarkeit der DSGVO auf den Verantwortlichen nicht automatisch zur Anwendbarkeit der DSGVO für den Auftragsverarbeiter führt. Die reflexartige Erstreckung der Anwendung der DSGVO auf Auftragsverarbeiter in diesem Fall würde den Anwendungsbereich der DSGVO in völkerrechtlich kritischer Weise auf Drittsaaten erstrecken,97 wenn kein hinreichend erkennbarer Zusammenhang zum Wirkungskreis der Union besteht. Die Frage der Anwendbarkeit der DSGVO ist daher für Verantwortlichen und Auftragsverarbeiter jeweils separat zu bestimmen.98 Die Kriterien gemäß Art. 3 Abs. 2 lit. a und b passen dabei nur bedingt für die Tätigkeit von Auftragsverarbeitern in Drittstaaten. Bietet ein Auftragsverarbeiter seine Dienstleistungen nämlich Personen in der Union an (Art. 3 Abs. 2 lit. a) und verarbeitet er dabei personenbezogene Daten, erfolgt diese Verarbeitung nämlich gerade nicht im Auftrag, sondern zu eigenen Zwecken. Für Auftragsverarbeiter läuft die Regelung in Art. 3 Abs. 2 lit. a damit praktisch leer. Der Auftragsverarbeiter ist insoweit nämlich selbst Verantwortlicher.99 Das gilt in ähnlicher Weise auch für das Kriterium der Beobachtung von Personen in der Union, das in Einzelfällen durch den Auftragsverarbeiter im Auftrag erfüllbar sein mag,100 das Gros praxisrelevanter Fälle jedoch nicht löst.

33

Geboten ist daher eine Beschränkung der Anwendbarkeit der DSGVO für Auftragsverarbeiter in Drittsaaten, die in Übereinstimmung mit dem völkerrechtlichen Territorialitätsgrundsatz steht und die Anwendbarkeit der DSGVO für Auftragsverarbeiter in Drittsaaten vorhersehbar macht. Für die Anwendbarkeit der DSGVO auf Auftragsverarbeiter in Drittstaaten ist daher erforderlich, dass die Verarbeitung „zielgerichtet“ in einem inneren Zusammenhang zur Union steht.101 Dann sind den Auftragsverarbeiter adressierende Regelungen der DSGVO auch für Auftragsverarbeiter in Drittstaaten anwendbar. Dieses Abgrenzungskriterium bedarf weiterer Schärfung durch Rechtsprechung und Literatur, ermöglicht aber heute schon eine angemessene Bestimmung des Anwendungsbereichs der DSGVO für Auftragsverarbeiter in Drittstaaten. Danach findet die DSGVO keine Anwendung auf einen globalen Hosting-Dienst-Anbieter, dessen Dienst (zufällig) auch von Verantwortlichen in der Union genutzt wird. Für den Anbieter eines für den europäischen Markt optimierten Trackingtools findet die DSGVO hingegen Anwendung.

IV. Völkerrechtliche Vorgaben (Abs. 3)

34

Die DSGVO gilt auch außerhalb der Union, soweit der Ort der Niederlassung des Verantwortlichen aufgrund des Völkerrechts dem Recht eines Mitgliedstaates unterliegt. Ob die Datenverarbeitung auch an diesem Ort erfolgt, ist wie für Art. 3 Abs. 1 und Abs. 2 DSGVO nicht relevant.102 Damit ist insbesondere die Datenverarbeitung durch Auslandsvertretungen vom Anwendungsbereich der DSGVO erfasst.103 Dies sind insbesondere diplomatische und konsularische Vertretungen der Mitgliedstaaten in Staaten außerhalb der Union.104 Extraterritoriale Anwendbarkeit der DSGVO kann sich darüber hinaus auch für Schiffe oder Flugzeuge ergeben.105

V. Geltung der DSGVO im EWR

35

Die DSGVO ist ein Rechtsakt mit Bedeutung für den EWR. Gemäß Art. 7 lit. a des EWR-Abkommens sind alle EWR-Staaten verpflichtet, die DSGVO innerstaatlich zu übernehmen. Neben den Mitgliedstaaten der Union gilt daher auch für die EFTA-Staaten Island, Liechtenstein und Norwegen eine Inkorporationspflicht. Um die Anwendbarkeit der DSGVO auf die EFTA-Staaten zu erstrecken, muss diese in das EWR-Abkommen aufgenommen werden.106 Dies erfolgt gemäß Art. 102 Abs. 1 EWR-Abkommen, indem die Union den gemeinsamen EWR-Ausschuss informiert und dieser den Rechtsakt prüft und im Anschluss durch Beschluss in das EWR-Abkommen inkorporiert. Der Prozess zur Inkorporation von Unionsrecht umfasst fünf Phasen.107 Die DSGVO wurde in der ersten Phase als EFTA-relevant eingestuft und wird aktuell in der zweiten Phase von den EFTA-Staaten geprüft. Innerhalb dieser Prüfung geben die drei Mitgliedstaaten Stellungnahmen zu erforderlichen Anpassungen und der verfassungsrechtlichen Relevanz ab. Die Stellungnahmen werden dem Gemischten Ausschuss vorgelegt, der einen Entwurf zur Umsetzung verfasst und diesen dem Europäischen Parlament übergibt (dritte Phase). In der vierten Phase erfolgt eine erneute Prüfung und sofern keine Einwände erhoben werden, kann dann in der fünften Phase der finale Beschluss zur Inkorporation durch den Gemeinsamen-EWR-Ausschuss gefasst werden.

VI. Kollisionsrecht

36

Der weit gefasste Anwendungsbereich des europäischen Datenschutzrechts und die Erfassung von Verantwortlichen außerhalb der Union im Rahmen des Marktortprinzips gemäß Art. 3 Abs. 2 DSGVO bedeutet für diese eine parallele Anwendung des europäischen Datenschutzrechts, des lokalen Datenschutzrechts108 und ggf. weiterer Datenschutzregime. Daneben stellt sich die Frage, wie mit Kollisionen zwischen den mitgliedstaatlichen Datenschutzrechten im Rahmen der Öffnungsklauseln umgegangen wird.

1. Kollision mit drittstaatlichem Datenschutzrecht

37

Die Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts durch das Marktortprinzip geht mit der Begründung paralleler Regelungsregime einher. Diese kristallisieren sich etwa in der Frage, ob US-Cloud-Anbieter im Anwendungsbereich des europäischen Datenschutzrechts personenbezogene Daten von Verantwortlichen in der Union herausgeben müssen, weil sie dazu aufgrund des US-Sicherheitsrechts verpflichtet sind.109 Für diese kollisionsrechtliche Frage gibt es eine dogmatische Lösung, nämlich die Anwendung des Rechts nach den Regelungen des eigenen Kollisionsrechts. Der europäische Rechtsanwender würde entsprechend der Regelung in Art. 3 Abs. 1 oder Abs. 2 DSGVO die DSGVO anwenden, der US-amerikanische Rechtsanwender die Regelungen des US-Sicherheitsrechts. In der Praxis führt dies für Verantwortliche und Auftragsverarbeiter zu erheblichen praktischen Problemen, für die es in der DSGVO keine Lösung gibt. Insbesondere können die Parteien diesen Konflikt nicht durch Rechtswahl lösen. Gemäß Art. 3 Abs. 1 Satz 1 Rom-I-VO ist eine Rechtswahl nämlich auf das für einen schuldrechtlichen Vertrag anwendbare Recht beschränkt. Die Parteien können aber nicht von den Voraussetzungen gemäß Art. 3 DSGVO abweichende Regelungen zum anwendbaren Datenschutzrecht treffen.110 Art. 3 DSGVO ist nämlich eine Eingriffsnorm im Sinne des Art. 9 Abs. 1 Rom-I-VO, die gemäß Art. 9 Abs. 2 Rom-I-VO nicht zur Disposition der Vertragsparteien steht.

38

Dieses Dilemma lässt sich für den Normadressaten im Zweifel nicht angemessen lösen, da zwei Rechtsordnungen für sich Geltung beanspruchen und die Frage der anzuwendenden Regelung von dem angerufenen Gericht oder der angerufenen Stelle abhängt. Für Verantwortliche und Auftragsverarbeiter läuft dies häufig auf die Entscheidung zwischen zwei nicht gewollten Alternativen hinaus. Sie können den Anwendungskonflikt vermeiden und damit den Anforderungen beider Rechtsordnungen entsprechen, indem sie den Dienstleister nicht beauftragen oder einen Prozess nicht in einen Staat außerhalb der Union auslagern. Alternativ kann man den Konflikt mit einer Rechtsordnung zulasten des Konflikts mit der anderen Rechtsordnung lösen. Soweit dies als pragmatisches Vorgehen bezeichnet wird,111 ist es im Ergebnis nur eine Umschreibung für einen Rechtsbruch, der aufgrund höher bewerteter Geschäftsinteressen im Rahmen einer wirtschaftlichen Risikobewertung in Kauf genommen wird.

2. Kollision mitgliedstaatlicher Datenschutzgesetze

39

Die DSGVO enthält keine Art. 4 DSRl vergleichbaren Kollisionsregelungen für Anwendungskonflikte zwischen mitgliedstaatlichen Datenschutzgesetzen, die im Rahmen der Öffnungsklauseln erlassen wurden.112 Territoriale Anwendungskonflikte zwischen mitgliedstaatlichen Datenschutzgesetzen sind aber nicht ausgeschlossen, sodass sich die Frage nach deren Auflösung stellt. Dafür sollte zunächst geklärt werden, ob mitgliedstaatliche Regelungen vom Rahmen der Öffnungsklauseln erfasst sind. Soweit dies nicht der Fall ist, besteht ein Anwendungskonflikt mit der DSGVO, der stets zur Anwendbarkeit der DSGVO führt. Soweit die mitgliedstaatliche Regelung sich im Rahmen der Öffnungsklausel befindet, muss im nächsten Schritt nach dem mitgliedstaatlichen Datenschutzrecht die territoriale Anwendbarkeit geklärt werden (zur deutschen Regelung siehe § 1 BDSG Rn. 25ff.).113 Für eine direkte oder analoge Anwendung des Art. 3 DSGVO besteht – jedenfalls aus der Perspektive des deutschen Rechts – keine Notwendigkeit.114 Ebenfalls bedarf es keiner fortgesetzten Anwendung der Regelungen gemäß Art. 4 DSRl.115

1 ErwG 23; Albrecht, CR 2016, 88, 90; Piltz, K&R 2016, 557, 558. 2 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 4. 3 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 3; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 30. 4 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 31; Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 131. 5 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 3; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 32. 6 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 33. 7 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 4. 8 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 4. 9 EuGH, 13.5.2014 – Rs. C-131/12, Rn. 49 – Google/Spain; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 9. 10 Dazu EuGH, 1.10.2015 – Rs. C-230/14, Rn. 29 – Weltimmo; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 9; Piltz, K&R 2016, 557, 558. 11 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 3. 12 ErwG 22. 13 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 7; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 10. 14 EuGH, 1.10.2015 – Rs. C-230/14 – Weltimmo; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 8. 15 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 42. 16 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 44. 17 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 7; Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 19f. 18 EuGH, 1.10.2015 – Rs. C-230/14, Rn. 33 – Weltimmo. 19 EuGH, 24.9.2019 – Rs. C-507/17, Rn. 49 – Google vs CNIL. 20 Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 20; Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 22f.; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 3 Rn. 19. 21 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 8; a.A. Bergmann/Möhrle/Herb, Datenschutzrecht, Art. 3 Rn. 10. 22 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 7; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 46. 23 EuGH, 28.7.2016 – Rs. C-191/15, Rn. 76 – Verein für Konsumenteninformation; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 12. 24 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 13. 25 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 38. 26 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 45. 27 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 45. 28 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 8; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 17. 29 EuGH, 13.5.2014 – Rs. C-131/12 – Google/Spain; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 15. 30 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 55. 31 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 19. 32 So Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 12; wohl auch Hoffmann, ZD-Aktuell 2017, 05488; zur Beauftragung von Auftragsverarbeitern in Drittstaaten durch Verantwortliche im Anwendungsbereich der DSGVO siehe Rn. 32f. 33 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 34. 34 Freund, in: Schuster/Grützmacher, Kommentar zum IT-Recht, Art. 28 DSGVO Rn. 53f.; Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 33; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 38; im Ergebnis ebenfalls: Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 12. 35 Diese Ähnlichkeit für die Auslegung auch heraushebend Rauer/Ettig, in: Wybitul, DSGVO, Art. 3 Rn. 1; zwar stellt Art. 4 Abs. 1 lit. a DSRl vielmehr eine Kollisionsnorm zwischen den Mitgliedstaaten selbst dar, dieses ist jedoch ausschließlich dem Regelungsmittel als Richtlinie geschuldet und ist vom Regelungsziel ähnlich. 36 EuGH, 13.5.2014 – Rs. C-131/12, Rn. 32ff. – Google/Spain. 37 EuGH, 13.5.2014 – Rs. C-131/12, Rn. 32ff. – Google/Spain. 38 StIGH, 10 7.9.1927 – P.C.I.J., Series A – No. 10 – Rn. 45 – S.S. Lotus; ausführlich dazu Ipsen, Völkerrecht, § 5 Rn. 59ff. 39 Dazu Funken, Das Anerkennungsprinzip im internationalen Privatrecht, S. 269f. 40 Dies außer Acht lassend Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 12; ebenso wohl auch Bergmann/Möhrle/Herb, Datenschutzrecht, Art. 3 DSGVO Rn. 12. 41 EGMR, 10.5.2001 – Nr. 25781/94, Rn. 75ff., 135ff. – Zypern v. Türkei; EGMR, 8.4.2004 – Nr. 71503/01, Rn. 138f. – Assanidze v. Georgia; Jarass, in: Jarass, GRCh, Art. 51 Rn. 39. 42 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 15. 43 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 15. 44 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 12; Klar, DuD 2017, 533. 45 StIGH, 107.9.1927 – P.C.I.J., Series A – No. 10 – Rn. 45 – S.S. Lotus; ausführlich dazu Ipsen, Völkerrecht, § 5 Rn. 59ff., Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 172f. 46 Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 3 Rn. 25f.; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 14. 47 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 16. 48 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 16. 49 Dazu ohne inhaltliche Festlegung: Piltz, in: Gola, DS-GVO, Art. 3 Rn. 35; Piltz, K&R 2016, 557, 559; Hoffmann, ZD-Aktuell 2017, 05488. 50 Art.-29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht, WP 179, S. 24, die auch nach der Google/Spain-Entscheidung sich zu Recht nur bestätigt sahen, Art.-29-Datenschutzgruppe, Update of Opinion 8/2010, WP 179 update, S. 6f. 51 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 76f. 52 Herrmann, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 28 AEUV Rn. 40; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 76f. 53 Herrmann, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 28 AEUV Rn. 41; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 79; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 17. 54 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 79. 55 ErwG 23; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 6; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 17. 56 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 88. 57 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 18. 58 ErwG 23; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 16; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 28. 59 ErwG 23; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 83; Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6; Uecker, ZD 2019, 67, 69. 60 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 84; Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 18. 61 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 14; Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 18. 62 Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6. 63 Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6. 64 Svantesson, in: Kuner/Bygrave/Docksey, GDPR, Art. 3 C. 6. 65 Brauneck, in: EuZW 2019, 494, 497; Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 32. 66 Schlender, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 3 Rn. 23. 67 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 16; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 87; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 3 Rn. 30. 68 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 16. 69 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 27; Piltz, K&R 2016, 557, 559. 70 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 17. 71 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 29; Schwartmann/Jaspers/Thüsing/Kugelmann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 3 Rn. 32. 72 Ennöckel, in: Sydow, EU-Datenschutzgrundverordnung, Art. 3 Rn. 13; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 82. 73 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 94f. 74 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 64. 75 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 23. 76 EuGH, 7.12.2010 – Rs. C-585/08, C-144/09, C-324/09 – Pammer/Hotel Alpenhof. 77 StIGH, 107.9.1927 – P.C.I.J., Series A – No. 10 – Rn. 45 – S.S. Lotus; ausführlich dazu Ipsen, Völkerrecht, § 5 Rn. 59ff. 78 EGMR, 10.5.2001 – Nr. 25781/94, Rn. 75ff., 135ff. – Zypern v. Türkei; EGMR, 8.4.2004 – Nr. 71503/01, Rn. 138f. – Assanidze v. Georgia; Jarass, in: Jarass, GRCh, Art. 51 Rn. 39. 79 ErwG 24. 80 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 20; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 98; Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 3 Rn. 19. 81 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 98; Piltz, K&R 2016, 557, 559; Schantz, NJW 2016, 1841, 1842. 82 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 98; Schantz, NJW 2016, 1841, 1842. 83 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 20. 84 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 20. 85 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 20. 86 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 20. 87 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 58; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 31; a.A. Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 92. 88 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 2; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 25; Schlender, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 3 Rn. 24. 89 Ratsdokument, 27.3.2013, 8004/13, S. 50, Fn. 59; Piltz, in: Gola, DS-GVO Art. 3 Rn. 25. 90 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 11. 91 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 11. 92 Klar, DuD 2017, 533, 534; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 11. 93 Piltz, in: Gola, DS-GVO, Art. 3 Rn. 26; Schlender, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 3 Rn. 29; Hanloser, in: Wolff/Brink, BeckOK DatenschutzR, Art. 3 Rn. 46. 94 Siehe dazu Ratsdokument, 4.12.2012, 16529/12, Fn. 47. 95 Klar, DuD 2017, 533, 535; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 18. 96 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 18. 97 Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 223f. 98 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 32. 99 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 54; Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 117f. 100 Dazu Voigt, Die räumliche Anwendbarkeit der EU Datenschutz-Grundverordnung auf Auftragsverarbeiter im Drittland, S. 121f. 101 Vgl. EDPB Leitlinien 3/2018, S. 24f. 102 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 103. 103 ErwG 25; Schlender, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 3 Rn. 25. 104 Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 3 Rn. 21. 105 Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 Rn. 66. 106 Zum Verfahren der Inkorporation siehe auch Piltz, BDSG, § 1 Rn. 56ff.; Voigt, CR 2020, 315, 316. 107 Zur Kurzdarstellung des Verfahrenshergangs siehe Note by Subcommittee V, 23.5.2013, Ref. 1113623, S. 2; im Detail geregelt in der Verordnung (EG) Nr. 2894/94 des Rates über die Modalitäten der Durchführung des EWR-Abkommens, ABl. L 305, 30.11.1994, S. 6. 108 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 3. 109 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 26. 110 EuGH, 28.7.2016 – Rs. C-191/15, Rn. 45ff.; Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 105; Laue, ZD 2016, 463, 466f.; Piltz, in: Gola, DS-GVO, Art. 3 Rn. 38 und 42; Piltz, K&R 2012, 640, 641. 111 von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 26. 112 Dazu Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 107; Laue, ZD 2016, 463, 464; von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 27ff.; Piltz, in: Gola, DS-GVO Art. 3 Rn. 37; Piltz, K&R 2016, 557, 559. 113 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 108. 114 Klar, in: Kühling/Buchner, DS-GVO BDSG, Art. 3 Rn. 108; Laue, ZD 2016, 463, 464. 115 So aber von Lewinski, in: Auernhammer, DSGVO BDSG, Art. 3 Rn. 28.

₺10.397,73