ErwG 24 sieht die Anwendbarkeit der DS-GVO insbesondere dann als geboten, wenn der Verantwortliche oder der Auftragsverarbeiter das Verhalten einer Person beobachtet und dieses Verhalten innerhalb der Union erfolgt. Dies soll immer dann der Fall sein, wenn Internetaktivitäten nachvollzogen oder Techniken angewendet werden, die die Profilerstellung bezüglich einer Person ermöglichen.
4. Erwägungsgrund 25
5
ErwG 25 will sicherstellen, dass die DS-GVO auch auf solche Datenverarbeitungen Anwendung findet, die außerhalb der EU stattfinden, die aufgrund Völkerrechts aber dem Recht eines Mitgliedstaates unterfallen, so etwa im Bereich diplomatischer oder konsularischer Vertretungen.
II. Normengenese und -umfeld
6
Art. 3 führt bspw. bzgl. der Verpflichtung für nicht in der EU niedergelassene Verantwortliche und Auftragsverarbeiter, nach Art. 27, einen Vertreter i.S.d. Art. 4 Nr. 17 in der Union zu benennen, die Regelung nach Art. 4 Abs. 2 DSRL fort.
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
7
Durch den Wechsel von der Richtlinie zur Rechtsform der Verordnung nach Art. 288 UAbs. 2 AEUV wird die Notwendigkeit einer Abgrenzung der Geltung des nationalen Rechts für Unternehmen in den unterschiedlichen Mitgliedstaaten weithin überflüssig.
8
Das in Abs. 1 niederlegte Niederlassungsprinzip bringt keine wesentliche Neuerung gegenüber der Rechtslage nach der DSRL.
9
Anders verhält es sich mit der Regelung nach Abs. 2, wonach das Marktortprinzip auch auf nicht in der Union niedergelassene Verantwortliche und Auftragsverarbeiter ausgedehnt wird. Die Regelung ist insoweit von erheblicher Bedeutung für Diensteanbieter wie etwa Cloud-Betreiber, die außerhalb der EU ansässig sind.
10
Die Vorschrift trägt nicht zuletzt dem Umstand Rechnung, dass in Übereinstimmung mit internationalen Handelsvorschriften, etwa Art. XIV des Allgemeinen Abkommens über den Handel mit Dienstleistungen (General Agreement on Trade in Services – GATS), in Ansehung der Notwendigkeit des allgemeinen Persönlichkeitsrechts Ausnahmen vom Freihandel zum Schutz personenbezogener Daten normiert werden dürfen.[1] So darf entsprechend ErwG 23 natürlichen Person der gem. dieser Verordnung gewährleistete Schutz nicht vorenthalten werden, wenn die Verarbeitung personenbezogener Daten dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten.
11
Die Regelung des Art. 3 liegt auf der Linie der Rechtsprechung des EuGH, der zur DSRL entschieden hat, dass diese im Interesse des Schutzes personenbezogener Daten einen besonders weiten räumlichen Anwendungsbereich finden sollte.[2]
12
Die Erstreckung des Schutzes der DS-GVO auf diplomatische und konsularische Vertretungen, die aufgrund Völkerrechts dem Recht von Mitgliedstaaten unterfallen, entspricht letztlich der Praxis auf Grundlage der DSRL.
II. Räumlicher Anwendungsbereich bei Niederlassung in der Union (Abs. 1)
13
Zu trennen ist bezüglich des räumlichen Anwendungsbereichs zunächst zwischen dem Kreis der geschützten Personen und dem Kreis der Normunterworfenen, der sich über das Merkmal der Niederlassung bestimmt.
1. Kreis der geschützten Personen
14
Irrelevant ist jedenfalls der Aufenthaltsort der betroffenen natürlichen Person; auch wenn eine nicht in der EU ansässige natürliche Person nicht annehmen dürfte, dem Datenschutzregime des EU-Rechts zu unterfallen, lässt sich aus ErwG 14 („Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten.“) herleiten, dass bei Ansässigkeit bspw. eines Auftragsverarbeiters in der EU, der im Auftrag des Verantwortlichen Daten von nicht in der EU ansässigen Personen verarbeitet, auch der Schutz der DS-GVO greift; aus dem Text des Art. 3 Abs. 1 lassen sich insoweit auch keine gegenteiligen Schlüsse ziehen.[3]
15
Rechtsfolge ist zugleich, dass auch die Übermittlung personenbezogener Daten an Staaten außerhalb der EU und an internationale Organisationen der Geltung der DS-GVO unterfällt, so wie das in Art. 44 angelegt ist.[4]
2. Anforderungen an das Merkmal der Niederlassung
16
Die DS-GVO findet nach Abs. 1 dann Anwendung auf die Verarbeitung personenbezogener Daten, wenn diese im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in einem Mitgliedstaat der EU stattfindet. Die Vorschrift bringt damit ungeachtet der Auslegung der jeweiligen Begriffe eine gewisse Selbstverständlichkeit zum Ausdruck. Maßstab für die örtliche Belegenheit der Niederlassung ist Art. 52 EUV, der durch Art. 355 AEUV konkretisiert wird.
17
Für die Begriffe der Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter sei auf Art. 4 Nr. 1, 2, 7 und 8 verwiesen.
18
Zentral ist der Begriff der Niederlassung. Diese ist gegeben, wenn entsprechend ErwG 22 die effektive und tatsächliche Ausübung einer Tätigkeit in einer festen Einrichtung erfolgt.[5] Die Anforderungen an eine solche Niederlassung sind relativ gering. Die Niederlassung muss von gewisser Beständigkeit sein; für die Frage der effektiven und tatsächlichen Ausübung der Tätigkeit ist deren Eigenart mit zu betrachten. Auf Grundlage der DSRL sollte nach der Rechtsprechung des EuGH das Vorhandensein nur eines Vertreters in einem Mitgliedstaat als ausreichend für die Annahme einer Niederlassung
