Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt (Art 3 Abs 2 lit b DSGVO).
Anbieten von Waren oder Dienstleistungen
Damit der Anwendungsbereich der DSGVO gegeben ist, muss das Anbieten der Waren oder Dienstleistungen an Personen, die sich innerhalb der EU befinden, durch den außerhalb der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter offensichtlich beabsichtigt sein. Eine solche offensichtliche Absicht ist zB durch das reine Zugänglichmachen der Webseite eines Verantwortlichen, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, noch nicht gegeben (ErwGr 23 DSGVO). Allein die faktische Möglichkeit, auf einer Webseite Waren oder Dienstleistungen zu bestellen, ist nicht ausreichend.[21] Im Gegensatz dazu deuten die Verwendung einer Sprache oder Währung, die in einem oder mehreren MS gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren oder Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, darauf hin, dass der Verantwortliche beabsichtigt, den Personen in der EU Waren oder Dienstleistungen anzubieten (ErwGr 23 DSGVO). Grundsätzlich ist jedoch bei der Beantwortung der Frage, ob das Anbieten von Waren oder Dienstleistungen offensichtlich erfolgt, auf eine Gesamtbetrachtung abzustellen. Entsprechend dem Wortlaut „Waren oder Dienstleistungen anzubieten“ ist es außerdem nicht erforderlich, dass tatsächlich ein Vertrag geschlossen wird.[22]
Verhaltensbeobachtung
Ob eine Verarbeitungstätigkeit im Zusammenhang mit der Verhaltensbeobachtung betroffener Personen steht, kann vor allem daran festgemacht werden, ob die Internetaktivitäten eines Betroffenen nachvollzogen werden (einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Datenverarbeitung), um ein Profil von einer natürlichen Person zu erstellen, das insbesondere die Grundlage für die die natürliche Person betreffenden Entscheidungen bildet oder anhand dessen deren persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen (ErwGr 24 DSGVO). Von Art 3 Abs 2 lit b DSGVO werden daher vor allem Maßnahmen erfasst, die ihrer Intensität nach als Überwachung qualifiziert werden können und nicht nur als punktuelle Handlung, so etwa Profiling- bzw. Trackingmaßnahmen (zB Cookies, Social Plug-ins).[23] Unerheblich ist, ob der Verantwortliche oder Auftragsverarbeiter primär technische Abläufe auf seiner Webseite nachvollziehen möchte, als Nebeneffekt jedoch auch personenbezogene Daten verarbeitet werden, wodurch die Internetaktivitäten eines Betroffenen ersichtlich werden.[24]
Die mit der Verhaltensbeobachtung in Zusammenhang stehende Datenverarbeitung fällt jedoch nur dann in den Anwendungsbereich der DSGVO, wenn das beobachtete Verhalten in der EU erfolgt. Voraussetzung ist somit, dass sich die Betroffenen während der Beobachtung des Verhaltens physisch innerhalb der EU befinden, was sich zB über die IP-Adresse eines Endgeräts feststellen lässt.[25]
1.2.2.3Anwendbarkeit aufgrund des Völkerrechts
Die DSGVO findet ebenfalls Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen an einem Ort, der aufgrund des Völkerrechts dem Recht eines MS unterliegt (Art 3 Abs 3 DSGVO). Die Formulierung des Art 3 Abs 3 DSGVO ist dahingehend etwas irreführend, da es nicht erforderlich ist, dass die Verarbeitung der personenbezogenen Daten am entsprechenden Ort stattfinden muss. Es ist bereits ausreichend, dass der Verantwortliche über eine Niederlassung an diesem Ort verfügt.[26] Dies gilt zB für diplomatische oder konsularische Vertretungen eines MS (ErwGr 25 DSGVO).
1.2.3 Anwendungsbereich des DSG
1.2.3.1Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich der DSGVO und jener des österreichischen DSG gestalten sich nahezu identisch. So gilt auch das DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 4 Abs 1 DSG). Im Gegensatz zu Art 2 DSGVO nimmt jedoch § 4 Abs 1 DSG in seinem Wortlaut ausdrücklich Bezug auf die natürliche Person. Auch muss beachtet werden, ob nicht die spezifischeren Bestimmungen des 3. Hauptstücks[27] des DSG vorgehen, wobei diese in der Praxis für Unternehmen weniger relevant sind.
Keinen Bezug nimmt das DSG auf die in Art 2 Abs 2, 3 und 4 DSGVO geregelten Ausnahmetatbestände. Gemäß den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 soll jedoch das DSG auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung finden („Haushaltsausnahme“).[28] Durch die ausdrückliche Nennung dieses Ausnahmetatbestandes in den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 kann im Umkehrschluss davon ausgegangen werden, dass das DSG in den anderen Ausnahmetatbeständen sehr wohl Anwendung findet.[29]
1.2.3.2Räumlicher Anwendungsbereich
Mit Ablauf des 31. Dezember 2019 ist § 3 DSG, welcher den räumlichen Anwendungsbereich des DSG regelte, außer Kraft getreten (§ 70 Abs 14 DSG).
Das Außerkrafttreten des § 3 DSG hinterlässt eine (vermeintliche) Regelungslücke dahingehend, ob und wann das österreichische DSG zur Anwendung kommt. Da der österreichische Gesetzgeber offensichtlich die Regelungen der DSGVO als ausreichend ansieht, lässt sich die Antwort wohl nur aus deren Bestimmungen ableiten. Aus der Sicht der Autoren spricht daher vieles dafür, den Anwendungsbereich des DSG analog zu Art 3 DSGVO zu bestimmen. Dies würde zu folgendem Ergebnis führen:
Der räumliche Anwendungsbereich des DSG wäre gegeben, wenn und soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiter in Österreich erfolgt, und zwar ebenfalls unabhängig davon, ob die Verarbeitung in Österreich stattfindet.
Das DSG würde außerdem Anwendung finden auf die Verarbeitung personenbezogener Daten von Betroffenen, die sich in Österreich befinden, durch einen nicht in Österreich niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,
+betroffenen Personen in Österreich Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen eine Zahlung zu leisten ist;
+das Verhalten Betroffener zu beobachten, soweit ihr Verhalten in Österreich erfolgt.
1.3 Wesentliche Begriffe der DSGVO
Wenn ein Gesetzgeber Begriffsbestimmungen vornimmt, bietet er den Normadressaten eine Orientierung für die Subsumtion ihrer Sachverhalte: Diese Begriffsdefinitionen dienen also der Rechtsharmonisierung, da ähnliche Sachverhalte dieselbe Rechtsfolge nach sich ziehen sollen.[30] In Art 4 DSGVO finden sich die datenschutzrechtlichen Begriffsdefinitionen, wobei im Folgenden lediglich auf die zentralen Begriffe eingegangen wird.
1.3.1 Personenbezogene Daten
Unter personenbezogenen Daten sind nach Art 4 Z 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“, zu verstehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Juristische
