1 Einleitung

In der Vorstellung der EU-Kommission von einem „Datenschutz-rahmen für das 21. Jahrhundert“1 steht der Entwurf einer Da-tenschutz-Grundverordnung2 (DS-GVO-E) im Mittelpunkt. Als Verordnung im Sinne von Art. 288 Abs. 1 und 2 AEUV wäre sie ohne Umsetzungsakt unmittelbar in den Mitgliedstaaten der EU anwendbar, und würde das deutsche Bundesdatenschutzgesetz (BDSG) sowie die in die Jahre gekommene EG-Datenschutzricht-linie 95/46/EG (EG-DSRL) ablösen.

Ziel der Reform ist die Anpassung des europäischen Daten-schutzrechts an den technologischen Fortschritt. Zugleich soll eine Harmonisierung und Stärkung des europäischen Binnen-marktes herbeigeführt werden. Ein nicht unwesentlicher Be-standteil dessen ist die Anwendbarkeit der Verordnung im ge-samten Geltungsbereich der EU und sogar darüber hinaus. Hier-zu sieht der Entwurf in Art. 3 DS-GVO-E eine Regelung zur Be-stimmung des räumlichen Anwendungsbereiches vor. Diese weist

1 Mitteilung der EU-Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regio-nen vom 25. Januar 2012 (KOM(2012) 9 endgültig): „Der Schutz der Privatsphä-re in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“.

2 Vorschlag der EU-Kommission für eine „Verordnung des Europäischen Par-laments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grund-verordnung)“ vom 25. Januar 2012 (KOM(2012) 11 endgültig 2012/0011 (COD)).

nicht unerhebliche Abweichungen vom geltenden deutschen und europäischen Datenschutzrecht auf.

Der vorliegende Aufsatz3 stellt Art. 3 DS-GVO-E im Folgenden vor und vergleicht ihn mit § 1 Abs. 5 BDSG als maßgeblicher Vor-schrift des geltenden deutschen Rechts. Hierzu werden aktuelle Fälle, unter anderem in der Rechtssache „Facebook“, als Beispie-le herangezogen. Zugleich soll der Frage nachgegangen werden, ob die selbst definierten Reformziele erreicht werden.

2 Anwendungsbereich des BDSG

2.1 Geltendes Recht

Welches Recht in Fällen mit Auslandsberührung anwendbar ist, richtet sich nach § 1 Abs. 5 BDSG.4 Die Vorschrift unterscheidet zwischen zwei Varianten: § 1 Abs. 5 Satz 1 BDSG findet Anwen-dung, wenn die verantwortliche Stelle ihren Sitz in einem anderen Mitgliedsaat der EU/des EWR hat; § 1 Abs. 5 Satz 2 bis 4 BDSG kommt in Betracht, wenn die verantwortliche Stelle ihren Sitz in einem Drittland hat.5

2.1.1 Innergemeinschaftliches Kollisionsrecht

§ 1 Abs.  5 Satz 1 BDSG regelt das innergemeinschaftliche Kolli-sionsrecht. Die Vorschrift unterteilt sich wiederum in zwei Halb-sätze: § 1 Abs. 5 Satz 1 1. Halbs. BDSG bestimmt, dass das BDSG keine Anwendung findet, sofern eine in einem anderen Mit-gliedstaat der EU/des EWR belegene verantwortliche Stelle per-sonenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. § 1 Abs. 5 Satz 1 2. Halbs. BDSG ergänzt, dass dies dann nicht

3 Der Aufsatz wird zudem als Beitrag im Tagungsband der 14. Herbstakade-mie der Deutschen Stiftung für Recht und Informatik (DSRI) erscheinen: Wieczo-rek, Der räumliche Anwendungsbereich der geplanten EU-Datenschutz-Grund-verordnung – ein Vergleich mit § 1 Abs. 5 BDSG, in: Jürgen Taeger (Hrsg.) Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband DS-RI-Herbstakademie 2013, Edewecht 2013, S. 5 – 19.

4 Nach Gabel, in: Taeger/Gabel (Hrsg.), BDSG, 2010, § 1 Rn. 46 ff.5 Gabel (o. Fußn. 4), § 1 Rn. 46.

Dr. Mirko Wieczorek

ist Rechtsanwalt im Bereich IT/IP im Frankfurter Büro von White & Case LLP.

E-Mail: mirko.wieczorek@whitecase.com

Mirko Wieczorek

Der räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung

Ein Vergleich von § 1 Abs. 5 BDSG mit Art. 3 DS-GVO-E

Die Bedeutung der geplanten EU-Datenschutz-Grundverordnung wird nicht unwesentlich durch ihre Reichweite bestimmt. Gerade aus Sicht der Praxis stellt sich die Frage, wer sich zukünftig auf die Einhaltung europäischer Datenschutzvorschriften einstellen muss. Dabei drängen sich auch die Fragen auf, inwieweit Kontinuität zu bestehendem Recht hergestellt, Probleme gelöst bzw. geschaffen und gebotene Reformen verwirklicht werden.

644 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

gilt, wenn diese Erhebung, Verarbeitung oder Nutzung durch ei-ne Niederlassung im Inland erfolgt.

Nach § 1 Abs. 5 Satz 1 1. Halbs. BDSG tritt deutsches Daten-schutzrecht kollisionsrechtlich hinter EU-Recht zurück, wenn die verantwortliche Stelle, um deren Datenverarbeitung im In-land es in der Sache geht, in einem anderen Mitgliedstaat der EU/des EWR belegen ist. Der Begriff „belegen“ bezieht sich dabei auf den Sitz der verantwortlichen Stelle (sog. Sitzlandprinzip) und gilt auch für die Einschaltung eines inländischen Auftragneh-mers im Sinne von § 11 BDSG.6 Dadurch sollen betroffene Un-ternehmen ihr Handeln an bekannten Datenschutzvorschriften ausrichten können.7

§ 1 Abs. 5 Satz 1 2. Halbs. BDSG stellt eine Rückausnahme zu dieser Kollisionsnorm für Fälle der Datenverarbeitung durch eine Niederlassung im Inland dar. Deren Reichweite hängt wiederum maßgeblich davon ab, wie der Satzteil „Datenerhebung, -verarbei-tung und -nutzung durch eine Niederlassung im Inland“ ausge-legt wird.8 Da § 1 Abs. 5 Satz 1 2. Halbs. BDSG auf Art. 4 Abs. 1 EG-DSRL beruht, ist die Vorschrift europarechtskonform auszu-legen.9 Nach Erwägungsgrund 19 der EG-DSRL setzt eine Nieder-lassung im Hoheitsgebiet eines Mitgliedstaates die effektive und tatsächliche Ausübung einer (datenschutzrechtlich relevanten) Tätigkeit mittels einer festen Einrichtung voraus.10 Die Rechts-form einer solchen Niederlassung ist nicht maßgeblich. Dies hat zur Folge, dass lediglich auf vorübergehende Dauer angelegte Tä-tigkeiten oder bloße Serverstandorte nach herrschender und eu-roparechtskonformer Auslegung nicht erfasst sind.11

2.1.2 Kollisionsrecht im Verhältnis zu Drittländern

§ 1 Abs. 5 Satz 2 bis 4 BDSG regelt das Kollisionsrecht im Verhält-nis zu Drittländern. Danach soll deutsches Datenschutzrecht An-wendung finden, sofern eine nicht in einem Mitgliedstaat der EU/des EWR belegene verantwortliche Stelle personenbezogene Da-ten im Inland erhebt, verarbeitet oder nutzt. Die Reichweite die-ser Kollisionsvorschrift hängt wiederum maßgeblich davon ab, wie der Satzteil „im Inland erhebt, verarbeitet oder nutzt“ aus-zulegen ist. Für die Datenverarbeitung oder -nutzung genügt die Verwendung einer im Inland genutzten Datenverarbeitungsan-lage, sofern die im Ausland belegene verantwortliche Stelle einen bestimmenden Einfluss auf die Mittel ausüben kann.12 Problema-tisch ist die Beurteilung hingegen bei der Datenerhebung.13 Hier-zu werden unterschiedliche Meinungen vertreten.

6 Gabel (o. Fußn. 4), § 1 Rn. 54 m.w.N.; vgl. Gola/Schomerus, BDSG, 11. Aufl. (2012), § 1 Rn. 27; differenzierend Dammann, in: Simitis (Hrsg.), BDSG, 7. Aufl. (2011), § 1 Rn. 199.

7 Gola/Schomerus (o. Fußn. 6), § 1 Rn. 27; Plath, in: Plath (Hrsg.), BDSG, 2013, § 1 Rn. 46.

8 Stellv. Dammann (o. Fußn. 6), § 1 Rn. 203 ff.9 Gola/Schomerus (o. Fußn. 6), § 1 Rn. 28; Dammann (o. Fußn. 6), § 1 Rn. 198,

203.10 Hierzu stellv. Art. 29-Datenschutzgruppe, WP 56 (5035/01/DE/endg.) vom

30. Mai 2002, S. 9; WP 179 (0836-02/10/DE) vom 16. Dezember 2010, S. 16 f.11 Gabel (o. Fußn. 4), § 1 Rn. 55 m.w.N.; Dammann (o. Fußn. 6), § 1 Rn. 203

a.E.; Plath (o. Fußn. 7), § 1 Rn. 54; Art. 29-Datenschutzgruppe, WP 56 (o. Fußn. 10), S. 9; WP 179 (o. Fußn. 10), S. 16 f.; OVG Schleswig-Holstein, Beschluss (Az. 4 MB 11/13) vom 22. April 2013, S. 6/Rn. 13; vgl. Gola/Schomerus (o. Fußn. 6), § 1 Rn. 28; a.A. Bergmann/Möhrle/Herb, BDSG, § 1 Rn. 43.

12 Gabel (o. Fußn. 4), § 1 Rn. 58 m.w.N.13 Stellv. Dammann (o. Fußn. 6), § 1 Rn. 222 ff.

Bisweilen wird argumentiert, es läge bereits dann eine Date-nerhebung vor, wenn die Daten im Inland rezipierbar seien.14 Es spiele keine Rolle, ob die Datenhergabe, z.B. durch das Ausfüllen eines Anmeldebogens für einen Online-Account, auf der autono-men Entscheidung des aus dem Inland aktiv werdenden Betrof-fenen beruhe.15 Maßgeblich sei die Zielsetzung der Website oder des Umstandes, der den Betroffenen zum Aktivwerden angeregt hat. Die Ansicht nimmt dabei Anleihen am wettbewerbsrecht-lichen Marktortprinzip (mehr dazu unter Punkt 2.3). Entschei-dend im Bereich der Datenerhebung bei Telemedien sei deshalb ausschließlich, dass eine ausländische Website im Inland aufge-rufen werden könne.

Die (wohl) herrschende Meinung geht hingegen davon aus, dass § 1 Abs. 5 Satz 2 bis 4 BDSG die EG-DSRL nur unzurei-chend abbilde und dementsprechend europarechtskonform aus-zulegen sei.16 Danach soll deutsches Datenschutzrecht nur dann anwendbar sein, wenn die nicht im Gebiet der EU niedergelassene verantwortliche Stelle entsprechend Art. 4 Abs. 1 lit. c) EG-DSRL bei der Datenerhebung im Inland auf automatisierte oder nicht automatisierte Mittel zurückgreift. Dies wäre beispielsweise der Fall, wenn eine Website im Inland gehostet, mithilfe spezieller Einwahlknoten oder anderer Zugangseinrichtungen administ-riert, oder IT-Systeme sonst wie durch einen bestimmenden Ein-fluss von außen (z.B. durch den Einsatz von Cookies oder Malwa-re) kontrolliert würden; das BDSG wäre hingegen nicht anwend-bar, wenn lediglich aus dem Inland auf eine in einem Drittland betriebene und gehostete Website zugegriffen würde.17 Aus die-sem Verständnis heraus wird der anderen Ansicht deshalb ent-gegen gehalten, dass eine normative Interpretation anhand von Marktortprinzipien jedenfalls den explizit technischen Wortlaut der EG-DSRL nicht revidieren könne.18

2.2 Praktische Auswirkungen

Die (strittige) Frage der Anwendbarkeit deutschen Datenschutz-rechts hat erhebliche praktische Bedeutung. Dies gilt vor allem dann, wenn global agierende (Internet-)Unternehmen personen-bezogene Daten (vermeintlich) auch im Inland erheben, verarbei-ten oder nutzen. Die Anzahl gerichtlicher Entscheidungen ist hin-gegen (noch) überschaubar und zeigt zudem keine klare Tendenz.

In einem praktisch bedeutsamen Fall des Aufrufens einer aus-ländischen Website ohne Nutzung inländischer Server urteilte das OLG Hamburg am 2. August 2011, dass deutsches Daten-schutzrecht anwendbar sei.19 Das Gericht stellte dabei auf den „klaren Wortlaut des [Datenschutz-]Gesetzes“20 ab. Hierbei ließ das OLG Hamburg die EG-DSRL bei seiner Urteilsbegründung

14 OLG Hamburg, Urteil (Az. 7 U 134/10) vom 2. August 2011, NJW-RR 2011, S. 1611 (1611 f.): „in Deutschland abgerufen werden können und sollen“, wobei sich das Gericht auf die Datenverarbeitung bezieht (mehr dazu im Anschluss); Jotzo, MMR 2009, S. 232 (236 f.); Weichert, VuR 2009, S. 323 (326); vgl. Duhr/Nau-jok/Schaar, MMR 7/2001, S. XVI (XVII); Ott, MMR 2009, S. 158 (160).

15 Jotzo (o. Fußn. 14), S. 232 (236 f.); Weichert (o. Fußn. 14), S. 323 (326); vgl. hierzu Dammann (o. Fußn. 6), § 1 Rn. 223.

16 Stellv. Gabel (o. Fußn. 4), § 1 Rn. 58 f. m.w.N.; Plath (o. Fußn. 7), § 1 Rn. 62; Dammann (o. Fußn. 6), § 1 Rn. 218 ff.; VG Schleswig-Holstein, Beschlüsse (Az. 8 B 60/12 und 8 B 61/12) vom 14. Februar 2013, S. 5 ff. (bestätigt durch OVG Schles-wig-Holstein (o. Fußn. 11), S. 9/Rn. 18).

17 Gabel (o. Fußn. 4), § 1 Rn. 59; Plath (o. Fußn. 7), § 1 Rn. 64 ff.18 Klar, ZD 2013, S. 109 (112).19 OLG Hamburg (o. Fußn. 14), S. 1611 (1611 ff.).20 OLG Hamburg (o. Fußn. 14), S. 1611 (1611).

DuD • Datenschutz und Datensicherheit 10 | 2013 645

SCHWERPUNKT

nicht gänzlich außer Acht,21 sondern argumentierte, dass es un-schädlich sei, „über den Inhalt der europäischen Richtlinie [...] [hinauszugehen], weil § 1 V 2 BDSG gerade nicht innereuropäi-sches Kollisionsrecht“22 betreffe. Dementsprechend sei das BDSG auch dann anwendbar, wenn sich die betroffenen Server aus-schließlich außerhalb der EU befänden. Maßgeblich sei, dass ge-speicherte oder durch Datenverarbeitung gewonnene personen-bezogene Daten an einen Dritten unter anderem in der Weise weitergegeben würden, dass der Dritte sie einsehen oder abru-fen kann.23 Diese Art der Übermittlung sei auch dann gegeben, wenn die Informationen „in Deutschland abgerufen werden kön-nen und sollen“24. Allerdings stellt das OLG Hamburg klar, dass der vorliegende Fall vom „gleichsam umgekehrten Problem der Erhebung von Daten zum Zweck der Speicherung auf einem im Ausland belegenen Server“25 abzugrenzen sei.

In zwei Aufsehen erregenden Beschlüssen zum sozialen Netz-werk „Facebook“ entschied das VG Schleswig-Holstein – zwi-schenzeitlich bestätigt durch das OVG Schleswig-Holstein – am 14. Februar 2013 im Wege des einstweiligen Rechtsschutzes hin-gegen, dass deutsches Datenschutzrecht nicht anwendbar sei.26 Es schloss sich dabei der herrschenden Meinung zur Auslegung des § 1 Abs. 5 BDSG an und entschied, dass dieser europarechtskon-form auszulegen sei (s.o.). Ein Fall des § 1 Abs. 5 Satz 1 2. Halbs. BDSG läge nicht vor, da die deutsche Niederlassung von Face-book keine datenschutzrechtlich relevanten Tätigkeiten ausübe, sondern lediglich im Bereich der Anzeigenakquise und des Mar-ketings tätig werde.27 Die Anwendbarkeit des § 1 Abs. 5 Satz 2 bis 4 BDSG könne dahinstehen, da jedenfalls eine Niederlassung im EU-Mitgliedstaat Irland bestünde, die datenschutzrechtlich rele-vante Tätigkeiten effektiv und tatsächlich mittels einer festen Ein-richtung im Sinne der EG-DSRL ausübe.28 Deshalb sei ausschließ-lich irisches materielles Datenschutzrecht anzuwenden.

In einem Urteil zu den Allgemeinen Geschäftsbedingungen des Online-Stores von „Apple“ entschied das LG Berlin hingegen kürzlich, dass es auf die Frage, nach welcher Rechtsordnung die angegriffenen Handlungen materiell-rechtlich zu beurteilen sei-en, nicht ankäme.29 Maßgeblich sei die Gesetzeskonformität der Klauseln nach deutschem Recht, da gemäß Art. 6 ROM-I-VO bei Verträgen, die ein Verbraucher mit einem Unternehmer schlie-ße, das Recht des Staates maßgeblich sei, in dem der Verbrau-cher seinen gewöhnlichen Aufenthalt habe – in diesem Fall also Deutschland.30 Demzufolge wurden die Klauseln ausschließlich an den deutschen (Verbraucher-)Rechtsvorschriften gemessen.

2.3 Rechtspolitische Dimension

Die Frage nach dem anzuwendenden Recht weist auch eine rechtspolitische Dimension auf.

21 So aber Plath (o. Fußn. 7), § 1 Rn. 65 a.E.22 OLG Hamburg (o. Fußn. 14), S. 1611 (1611).23 OLG Hamburg (o. Fußn. 14), S. 1611 (1612).24 OLG Hamburg (o. Fußn. 14), S. 1611 (1612).25 OLG Hamburg (o. Fußn. 14), S. 1611 (1612) mit Verweis auf Jotzo (o. Fußn.

14), S. 232 (236 f.).26 VG Schleswig-Holstein (o. Fußn. 16), S. 5 ff.; bestätigt durch das OVG

Schleswig-Holstein (o. Fußn. 11), S. 5 ff./Rn. 13 ff.27 VG Schleswig-Holstein, Beschluss (Az. 8 B 60/12) vom 14. Februar 2013, S. 6.28 VG Schleswig-Holstein, Beschluss (Az. 8 B 61/12) vom 14. Februar 2013, S. 7

ff.; siehe auch OVG Schleswig-Holstein (o. Fußn. 11), S. 9/Rn. 18.29 LG Berlin, Urteil (Az. 15 O 92/12) vom 30. April 2013, S. 7 f.30 LG Berlin (o. Fußn. 29), S. 7.

Bisweilen wird – nicht nur in Bezug auf deutsches Recht – ge-fordert, dass die Anwendbarkeit datenschutz- bzw. telemedi-enrechtlicher Vorschriften danach auszurichten sei, ob sich ein Angebot (erkennbar) an Betroffene des jeweiligen Landes oder Rechtskreises richte (sog. „Marktortprinzip“).31 In diesem Fall solle auf Kriterien wie die Sprache der Internetseite oder die Do-mainendung zurückgegriffen werden. Die Vorzüge werden insbe-sondere darin gesehen, dass die Rechte der Betroffenen auch vor in Drittländern initiierten Internetveröffentlichungen geschützt werden könnten.32 Die Auffassung kann für sich verbuchen, dass sie die technischen Gegebenheiten des Internets, das Territori-albezüge kraft Natur der Sache weitestgehend einebnet, realisti-scher abbildet.

Dagegen wird regelmäßig eingewendet, dass es problema-tisch sei, weltweit den Anspruch zu erheben, das eigene natio-nale (Datenschutz-)Recht zu beachten.33 Während dies bei einer Materie wie dem Datenschutzrecht auf den ersten Blick vertret-bar erschiene, sei ein solcher Anspruch grundsätzlich bedenk-lich. Denn dann könnte im Gegenzug selbst Ländern mit frag-würdigen bzw. den eigenen Rechtsauffassungen widersprechen-den Rechtsauffassungen die weltweite Gültigkeit ihrer Gesetze nicht abgesprochen werden.34 Darüber hinaus sei die Umsetzbar-keit eines solchen Anspruchs fraglich. Nicht nur hinsichtlich sei-ner Durchsetzbarkeit in den betroffenen fremden Rechtsordnun-gen, sondern auch hinsichtlich der Unterscheidbarkeit der zu be-urteilenden Angebote. So könne bei Internetangeboten in engli-scher Sprache oder bei solchen, die auf „neutralen“ Top-Level-Do-mains (z.B. „.com“) gehostet werden, nicht zweifelsfrei pauschal beurteilt werden, an welchen Adressatenkreis sie sich richten.

3 Anwendungsbereich der DS-GVO-E

Der räumliche Anwendungsbereich der Verordnung ist in drei Fällen eröffnet: Erstens, wenn ein nach Art. 4 Abs. 5 DS-GVO-E für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter nach Art. 4 Abs. 6 DS-GVO-E personenbezogene Daten im Rah-men der Tätigkeit einer Niederlassung innerhalb der EU verarbei-tet (Art. 3 Abs. 1 DS-GVO-E). Zweitens, wenn ein nicht in der EU ansässiger für die Verarbeitung Verantwortlicher personenbezo-gene Daten von in der EU ansässigen betroffenen Personen ver-arbeitet, um diesen Personen Waren oder Dienstleistungen an-zubieten (Art. 3 Abs. 2 lit. a) DS-GVO-E) oder deren Verhalten zu beobachten (Art. 3 Abs. 2 lit. b) DS-GVO-E). Oder drittens, wenn ein nicht in der EU niedergelassener für die Verarbeitung Verantwortlicher personenbezogene Daten an einem Ort verar-beitet, der nach internationalem Recht dem Recht eines EU-Mit-gliedstaates unterliegt (Art. 3 Abs. 3 DS-GVO-E).

3.1 Tätigkeit einer Niederlassung

Der räumliche Anwendungsbereich der Verordnung wäre eröff-net, wenn die Verarbeitung von personenbezogenen Daten durch einen für die Verarbeitung Verantwortlichen oder Auftragsver-

31 Stellv. Dix, DuD 2013, S. 44 (44); Jotzo (o. Fußn. 14), S. 232 (236 f.); differen-zierend Klar (o. Fußn. 18), S. 109 (111, 112).

32 Siehe Klar (o. Fußn. 18), S. 109 (111).33 Vgl. Klar (o. Fußn. 18), S. 109 (111); Härting, BB 2012, S. 459 (462).34 Härting (o. Fußn. 33), S. 459 (462).

646 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

arbeiter im Rahmen der Tätigkeit einer Niederlassung innerhalb der EU stattfände, Art. 3 Abs. 1 DS-GVO-E.

Der Begriff der Niederlassung setzt nach Erwägungsgrund 19 der DS-GVO-E die „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.“ Die Rechtsform sowie die Frage, „ob die Verarbeitung in oder außerhalb der Uni-on stattfindet“, ist dabei unerheblich. Damit ist die Definition in ihrem Kern mit der Definition der 20 Jahre alten EG-DSRL iden-tisch. Deshalb liegt es nahe, die Vorschrift ähnlich wie Art. 4 Abs. 1 EG-DSRL in Verbindung mit dessen Erwägungsgrund 19 aus-zulegen. Dann wären nach überwiegender, aber nicht unumstrit-tener Auffassung beispielsweise reine Briefkastenfirmen oder Ser-verstandorte nicht von Art. 3 Abs. 1 DS-GVO-E erfasst (s.o.).

Art. 3 Abs. 1 DS-GVO-E stellt damit einen territorialen Bezug zur Eröffnung des räumlichen Anwendungsbereiches der Verord-nung dar. Ausschlaggebend ist die (datenschutzrechtlich relevan-te) Tätigkeit im Rahmen einer Niederlassung. Die Norm bezieht sich dabei sowohl auf für die Verarbeitung Verantwortliche nach Art. 4 Abs. 5 DS-GVO-E, wie auch auf Auftragsverarbeiter nach Art. 4 Abs. 6 DS-GVO-E. Hat der für die Verarbeitung Verant-wortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat, so ist gemäß Art. 51 Abs. 2 DS-GVO-E die Aufsichtsbehörde der Hauptniederlassung zuständig (sog. „One-Stop-Shop“). Der Begriff der Hauptniederlassung ist in Art. 4 Abs. 13 DS-GVO-E i.V.m. Erwägungsgrund 27 legal definiert.

3.2 Angebot von Waren oder Dienstleistungen

Der räumliche Anwendungsbereich der Verordnung wäre auch eröffnet, wenn personenbezogene Daten von in der EU ansässi-gen betroffenen Personen durch einen nicht in der EU niederge-lassenen für die Verarbeitung Verantwortlichen verarbeitet wer-den, um den betroffenen Personen Waren oder Dienstleistungen anzubieten, Art. 3 Abs. 2 lit. a) DS-GVO-E.

Die Vorschrift soll nach Erwägungsgrund 20 der DS-GVO-E dazu dienen, dass die betroffenen Personen nicht ihres (Persön-lichkeits-)Schutzes verlustig gehen, wenn ein nicht in der EU nie-dergelassener für die Verarbeitung Verantwortlicher ihre Daten verarbeitet, um ihnen Waren oder Dienstleistungen anzubieten. Die Vorschrift ist – wenn auch nicht ganz so offensichtlich wie Art. 3 Abs. 2 lit. b) DS-GVO-E (mehr dazu unter Punkt 3.3) – er-kennbar auf Internetsachverhalte zugeschnitten.

In welchen Fällen von einem Angebot von Waren oder Dienst-leistungen auszugehen ist, geht aus der Verordnung nicht expli-zit hervor.35 Die weitestgehend unreflektiert der EG-DSRL ent-nommenen Begriffsbestimmungen des Art. 4 DS-GVO-E wur-den auch insofern nicht aktualisiert. Auf europarechtlicher Ebe-ne liegt es nahe, den Begriff der Dienstleistung anhand von Art. 4 Nr. 1 Dienstleistungsrichtlinie 2006/123/EG (DLRL) bzw. Art. 57 AEUV auszulegen.36 Nach Art. 4 Nr. 1 DLRL sind Dienstleistun-gen alle nach Art. 57 AEUV erfassten selbstständigen Tätigkeiten, die in der Regel gegen Entgelt erbracht werden, soweit sie nicht den Vorschriften über den freien Waren- und Kapitalverkehr und über die Freizügigkeit der Person unterliegen. Nach Art. 57 AE-UV gelten insbesondere gewerbliche, kaufmännische, handwerk-liche und freiberufliche Tätigkeiten als Dienstleistungen.

35 Klar (o. Fußn. 18), S. 109 (113); vgl. Wagner, DuD 2012, S. 676 (677): „zahlrei-che unbestimmte Rechtsbegriffe“.

36 Klar (o. Fußn. 18), S. 109 (113).

Vor allem das Merkmal der Entgeltlichkeit wirft dabei Fragen auf.37 So kann der Verordnung und den zur Auslegung herange-zogenen Materialien nicht entnommen werden, wie mit grund-sätzlich kostenlosen Angeboten zu verfahren ist, die sich mittel-bar (z.B. über Werbung) finanzieren.38 Fraglich ist, ob das Merk-mal der Entgeltlichkeit mit dem der kommerziellen Ausgestal-tung einer Website gleichgesetzt werden kann.39 Vorzugswürdig wäre sicherlich eine Klarstellung im Bereich der Legaldefinitio-nen.

Der Begriff der Waren kann nicht in gleichem Umfang wie der der Dienstleistungen anhand europarechtlicher Vorschriften aus-gelegt werden. Nach Art. 28 Abs. 2 AEUV gelten für den Bereich der Zollunion die aus den Mitgliedstaaten stammenden Waren sowie Waren aus Drittländern, die sich in den Mitgliedstaaten im freien Verkehr befinden, als solche des AEUV. Dabei handelt es sich um Gegenstände, die im Hinblick auf Handelsgeschäfte über eine Grenze verbracht werden können, ungeachtet der Natur der Geschäfte.40 Die Gegenstände müssen nicht zwingend körper-lich sein, aber einen Verkehrswert besitzen. Insofern wären über das Internet angebotene Gegenstände sehr umfassend von Art. 3 Abs. 2 lit. a) 1. Alt. DS-GVO-E erfasst. Fraglich bleibt, ob auch die Datenübertragung als solche als Ware qualifiziert werden könn-te. Auch insofern erscheint eine Klarstellung bei den Begriffsbe-stimmungen des Art. 4 DS-GVO-E sinnvoll.

Abschließend lässt sich feststellen, dass die Kommission mit Art. 3 Abs. 2 lit. a) DS-GVO-E keinen ausschließlich territoria-len Bezug mehr verfolgt, sondern Art. 3 Abs. 1 DS-GVO-E um einen zuleitungsbasierten Tatbestand ergänzt (sog. Targeting).41 Die marktortspezifischen Anknüpfungspunkte sind unverkenn-bar; damit „kauft“ sich die Verordnung sowohl deren Vor- als auch Nachteile ein (hierzu bereits Punkt 2.3).42 Da die betroffe-nen für die Verarbeitung Verantwortlichen gemäß Art. 25 DS-GVO-E zudem einen Vertreter in der EU benennen müssten, er-scheinen gewisse Konflikte vorprogrammiert.43

Interessant erscheint auch ein Blick in die Zukunft: Sofern die Verhandlungen über ein transatlantisches Freihandelsabkom-men (Transatlantische Handels- und Investment-Partnerschaft) erfolgreich verlaufen und der Datenschutz nicht wie zurzeit an-gekündigt ausgenommen wäre, böte die jetzige Fassung der Ver-ordnung Konfliktpotential. Fände die Vorschrift auf US-ameri-kanische Internetangebote keine Anwendung mehr (vgl. Art. 57 AEUV), liefe sie nämlich weitgehend leer, da viele marktbeherr-schende Angebote US-amerikanischen Ursprungs sind. Das in Erwägungsgrund 20 der Verordnung ausgerufene Ziel der Wah-rung des Persönlichkeitsschutzes (s.o.) könnte so nur bedingt auf-recht erhalten werden. Dies gilt umso mehr, nachdem im Früh-

37 Nach Klar (o. Fußn. 18), S. 109 (113).38 Die Art. 29-Datenschutzgruppe, WP 191 (00530/12/DE) vom 23. März 2012,

S. 10, spricht sich deshalb dafür aus, den Begriff zu präzisieren.39 So Klar (o. Fußn. 18), S. 109 (113) m.w.N. und (wohl) auch der BfDI und die

LfD in ihrer gemeinsamen Stellungnahme vom 13. Januar 2011 („Konsultation zur Mitteilung der Europäischen Kommission ‚Gesamtkonzept für den Datenschutz in der EU‘ KOM(2010) 609 endg., vom 04.11.2009“), Pkt. III.7, sowie die Art. 29-Da-tenschutzgruppe, WP 191 (o. Fußn. 38), S. 10.

40 EuGH, Urteil (C-2/90) vom 9. Juli 1992, Rn. 26.41 Härting (o. Fußn. 33), S. 459 (462); Klar (o. Fußn. 18), S. 109 (112 f.); vgl.

Moos, K&R 2012, S. 151 (151, 155): „extraterritoriale Anwendung“.42 Der BfDI und die LfD halten in ihrer gemeinsamen Stellungnahme vom 13.

Januar 2011, Pkt. III.7 (o. Fußn. 39), hingegen ein Ausufern des Anwendungsberei-ches durch die Herstellung eines Inlandsbezuges über das Kriterium des Wohn-ortes oder das der Niederlassung für abwegig.

43 Vgl. Härting (o. Fußn. 33), S. 459 (462).

DuD • Datenschutz und Datensicherheit 10 | 2013 647

SCHWERPUNKT

sommer 2013 bekannt geworden ist, wie intensiv personenbezo-gene Daten, beispielsweise über US-amerikanische soziale Netz-werke, abgeschöpft werden („Prism“).

Fände die Vorschrift auf US-amerikanische Internetangebo-te hingegen Anwendung, bestünde Bedarf nach einer „echten“ Kollisionsregelung, wenn – wovon auszugehen ist – auf Verhand-lungsebene ein Ausgleich zwischen europäischen und US-ame-rikanischen Datenschutzvorstellungen gefunden werden müss-te. Da es sich bei Art. 3 DS-GVO-E jedoch nicht um eine Kollisi-onsvorschrift im eigentlichen Sinne handelt (vgl. Punkt. 4), könn-te sie den Ausgleich zumindest in ihrer jetzigen Form jedenfalls nicht herstellen. Insofern käme eine separate multilaterale Ver-einbarung infrage.

3.3 Beobachtung des Verhaltens

Der räumliche Anwendungsbereich der Verordnung wäre ferner eröffnet, wenn personenbezogene Daten von in der EU ansässi-gen betroffenen Personen durch einen nicht in der EU niederge-lassenen für die Verarbeitung Verantwortlichen verarbeitet wer-den, um das Verhalten der betroffenen Personen zu beobachten, Art. 3 Abs. 2 lit. b) DS-GVO-E.

Die Vorschrift soll nach Erwägungsgrund 21 der DS-GVO-E greifen, wenn die Verarbeitungstätigkeit der Beobachtung des Verhaltens der betroffenen Person dient. Etwa dann, wenn Inter-netaktivitäten mit Hilfe von Datenverarbeitungstechniken nach-vollzogen werden, durch die einer Person ein Profil zugeordnet werden kann, das die Grundlage für sie betreffende Entscheidun-gen bildet oder anhand dessen die persönlichen Vorlieben, Ver-haltensweisen oder Gepflogenheiten analysiert oder vorausge-sagt werden sollen. Dabei wird nicht eindeutig klar, ob bereits das punktuelle Beobachten oder erst eine umfassendere, syste-matische Überwachung erfasst sein soll.44

Damit bezieht sich Art. 3 Abs. 2 lit. b) DS-GVO-E expli-zit auf Internetangebote. Betroffen sind insbesondere sog. Tra-cking-Tools, die über den Einsatz von Cookies operieren.45 Betrof-fen sind jedoch auch alle anderen Anwendungen, die zum Schal-ten personalisierter Werbung dienen.46 Die Vorschrift würde im Bereich grundsätzlich kostenloser, aber drittfinanzierter Interne-tangebote deshalb (wohl) umfassend Anwendung finden, da die-se in der Regel auf solche Analysetools angewiesen sind, um ihr Angebot anderweitig vergüten zu können. Allerdings finden Da-tenverarbeitungstechniken, die ein Beobachten im Sinne der vor-stehenden Definition ermöglichen, bei Internetangeboten jedwe-der Couleur beinahe standardmäßig Anwendung.

3.4 Dem Recht eines Mitgliedstaates unterliegende Orte

Nach Art. 3 Abs. 3 DS-GVO-E findet die Verordnung schließ-lich auf jede Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen für die Verarbeitung Verant-wortlichen an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaates unterliegt, Anwendung. Nach Erwä-

44 Hierzu Klar (o. Fußn. 18), S. 109 (113), der sich für eine Überwachung aus-spricht; demgegenüber wohl a.A. die Art. 29-Datenschutzgruppe, WP 191 (o. Fußn. 38), S. 10.

45 Hierzu Art. 29-Datenschutzgruppe, WP 194 (00879/12/DE) vom 7. Juni 2012, S. 1 ff. und insbesondere S. 10 f.

46 Klar (o. Fußn. 18), S. 109 (113).

gungsgrund 22 der DS-GVO-E betrifft dies beispielsweise Orte wie diplomatische oder konsularische Vertretungen.47

4 Vergleich der Vorschriften

Ähnlich wie nach § 1 Abs. 5 Satz 1 BDSG unterfallen nach Art. 3 Abs. 1 DS-GVO-E Tätigkeiten im Rahmen einer Niederlassung eines für die Verarbeitung Verantwortlichen dem räumlichen Anwendungsbereich der Verordnung. Art. 3 Abs. 2 DS-GVO-E kehrt dem Territorialprinzip hingegen weitgehend den Rücken und stellt auf eine zuleitungsbasierte Sichtweise ab (s.o.). Die Vor-schrift ist § 1 Abs. 5 Satz 2 bis 4 BDSG jedoch insofern ähnlich, als dass sie Regelungen für die Anwendbarkeit der Verordnung für Verantwortliche außerhalb der EU/des EWR aufstellt.

4.1 Art. 3 Abs. 1 DS-GVO-E und § 1 Abs. 5 Satz 1 BDSG

Art. 3 Abs. 1 DS-GVO-E ähnelt § 1 Abs. 5 Satz 1 2. Halbs. BDSG. Wie Erwägungsgrund 19 zu Art. 4 Abs. 1 EG-DSRL setzt der Be-griff der Niederlassung nach Erwägungsgrund 19 zu Art. 3 Abs. 1 DS-GVO-E die effektive und tatsächliche Ausübung einer Tä-tigkeit durch eine feste Einrichtung voraus, wobei die Rechtsform unerheblich ist (s.o.). Die Kommission stellt damit (gewollt oder ungewollt) Kontinuität zu der jahrzehntealten, territorial- und niederlassungsbasierten Eröffnung des räumlichen Anwendungs-bereiches des europäischen Datenschutzrechts her. Die Verwen-dung bekannter Begriffe und Textbausteine bietet zum einen ge-wisse Vorteile in punkto Rechtsklarheit und Anwendungssicher-heit. Zum anderen werden auch althergebrachte Probleme impor-tiert bzw. zumindest nicht aus der Welt geschafft (hierzu bereits Punkt 2.1.1). Art. 3 Abs. 1 DS-GVO-E stellt insoweit weder eine Evolution noch Revolution des geltenden Rechts dar.

4.2 Art. 3 Abs. 2 DS-GVO-E und § 1 Abs. 5 Satz 2 bis 4 BDSG

Der Anwendungsbereich von Art. 3 Abs. 2 DS-GVO-E geht im Verhältnis zu den Kollisionsregelungen des § 1 Abs. 5 Satz 2 bis 4 BDSG erheblich weiter. Art. 3 Abs. 2 DS-GVO-E schwenkt auf eine zuleitungsbasierte Regelung des räumlichen Anwendungs-bereiches der Verordnung um, die sich an Marktortprinzipien orientiert (s.o.).48 Folgt man der bislang herrschenden Meinung zur Auslegung von § 1 Abs. 5 Satz 2 bis 4 BDSG, die sich an ei-ner technisch orientierten Auslegung der Norm vor dem Hin-tergrund von Art. 4 Abs. 1 lit. c) EG-DSRL orientiert (s.o.), dann stellt dies durchaus einen Paradigmenwechsel dar.

Damit regelt Art. 3 Abs. 2 DS-GVO-E im Grunde nicht die Vor- bzw. Nachrangigkeit der eigenen datenschutzrechtlichen Vorschriften gegenüber solchen aus anderen Rechtsordnungen im Sinne einer echten Kollisionsnorm, sondern die grundsätzli-che und dann globale Anwendbarkeit der Verordnung in ausge-wählten Bereichen. Diese Bereiche beträfen eine Vielzahl der be-kannten und bedeutenden Internetangebote, insbesondere den

47 Vgl. hierzu die Art. 29-Datenschutzgruppe, WP 179 (o. Fußn. 10), S. 22 ff.48 Nach Hornung, ZD 2012, S. 99 (102 Fn. 27), sollte nach dem ursprünglichen

Text entscheidend sein, ob sich die Datenverarbeitungsaktivitäten an betroffene Personen in der Union „richten“.

648 DuD • Datenschutz und Datensicherheit 10 | 2013

SCHWERPUNKT

gesamten Bereich des E-Commerce sowie (wohl) auch weite Tei-le drittmittelfinanzierter Internetangebote.49

Gleichzeitig würde Art. 3 Abs. 2 DS-GVO-E die bei § 1 Abs. 5 Satz 2 bis 4 BDSG i.V.m. Art. 4 Abs. 1 lit. c) EG-DSRL bekannten Probleme möglicherweise nicht aus der Welt schaffen. So wie der Satzteil „im Inland erhebt, verarbeitet oder nutzt“ des § 1 Abs. 5 Satz 2 bis 4 BDSG Auslegungsschwierigkeiten verursacht (siehe Punkt 2.1.2), könnte dies auf den Satzbestandteil „in der Union“ des Art. 3 Abs. 2 DS-GVO-E übertragen werden.50 Jedenfalls bö-te es sich für den Gesetzgeber an, die Reform zu einer Klarstel-lung zu nutzen.

5 Fazit

Die Reform des europäischen Datenschutzrechts sieht auch eine Anpassung der Vorschriften über den räumlichen Anwendungs-bereich vor. Während Art. 3 Abs. 1 DS-GVO-E gegenüber gelten-dem Recht – übertragen auf europäische Ebene – kaum Neuerun-gen bereithält, betritt die Kommission mit der zuleitungsorien-tierten Vorschrift des Art. 3 Abs. 2 DS-GVO-E Neuland. Beiden Vorschriften ist jedoch zu eigen, dass grundlegende Auslegungs-probleme womöglich nicht aus der Welt geschafft würden.51 Dies liegt jedoch weniger an der Norm selbst – die aber eigene Fra-gen aufwirft –, als an den veralteten Begriffsbestimmungen, die weitestgehend unreflektiert, nicht erweitert und nicht aktualisiert der EG-DSRL entnommen wurden.52 Da der räumliche Anwen-dungsbereich europäischen Datenschutzrechts in seinem Kern er-heblich ausgedehnt würde, bleibt zu hoffen, dass der europäische Gesetzgeber die Begriffsbestimmungen im Reformprozess eben-falls realitätsnah und zugleich zukunftsfest aktualisiert.

49 So auch Klar (o. Fußn. 18), S. 109 (114); vgl. Moos (o. Fußn. 44), S. 151 (155).50 Ähnlich Hornung (o. Fußn. 48), S. 99 (102); Klar (o. Fußn. 18), S. 109 (113);

vgl. Hornung/Städtler, CR 2012, S. 638 (640); Roßnagel/Richter/Nebel, ZD 2013, S. 103 (104); a.A. wohl Lang, K&R 2012, S. 145 (146); vgl. zum Cloud Computing aber die Art. 29-Datenschutzgruppe, WP 179 (oben Fn. 10), S. 27; WP 196 (01037/12/DE) vom 1. Juli 2012, S. 8 ff.

51 Optimistischer Klar (o. Fußn. 18), S. 109 (114): „vermag die unter der ge-genwärtigen Rechtslage bestehenden Rechtsunsicherheiten und -unklarheiten überwiegend auszuräumen“.

52 So hätte es sich auch angeboten, zwischen personenbezogenen Daten und personenbezogenen Informationen zu differenzieren, um den Persönlich-keitsschutz insgesamt zu modernisieren; siehe hierzu Härting (o. Fußn. 33), S. 459 (462 f.); Härting/Schneider, ZRP 2011, S. 233 (233 f.); Schneider/Härting, ZD 2012, S. 199 (200, 203); Wieczorek, DuD 2011, S. 476 (476 ff.); vgl. auch die Art. 29-Da-tenschutzgruppe, WP 136 (01248/07/DE) vom 20. Juni 2007, S. 7 ff.; Schwartz, ZD 2011, S. 97 (97 f.) und Wagner (o. Fußn. 35): „zahlreiche unbestimmte Rechtsbe-griffe“, „erheblicher Auslegungsbedarf“.

Literatur

[1] Bergmann, Lutz/Möhrle, Roland/Herb, Armin: Kommentar zum BDSG, Lo-seblattsammlung, Stand Juli 2012, München.

[2] Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo: Bundesda-tenschutzgesetz – Kompaktkommentar zum BDSG, 3. Aufl., Frankfurt am Main 2010.

[3] Dix, Alexander: Persönlichkeits- und Datenschutz im Internet – Anforde-rungen und Grenzen einer Regulierung, DuD 2013, S. 44-45.

[4] Duhr, Elisabeth/Naujok, Helga/Schaar, Peter: Anwendbarkeit des deut-schen Datenschutzrechts auf Internetangebote, MMR aktuell 7/2001, S. XVI-XVIII.

[5] Gola, Peter/Schomerus, Rudolf: Kommentar zum BDSG, 11. Aufl., München 2012.

[6] Härting, Niko: Starke Behörden, schwaches Recht – der neue EU-Daten-schutzentwurf, BB 2012, S. 459-466.

[7] Härting, Niko/Schneider, Jochen: Das Dilemma der Netzpolitik, ZRP 2011, S. 233-236.

[8] Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa?, ZD 2012, S. 99-106.

[9] Hornung, Gerrit/Städtler, Stephan: Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Com-puting, CR 2012, S. 638-645.

[10] Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, S. 232-237.

[11] Klar, Manuel: Räumliche Anwendbarkeit des (europäischen) Datenschutz-rechts, ZD 2013, S. 109-115.

[12] Lang, Markus: Reform des EU-Datenschutzrechts, K&R 2012, S. 145-151.[13] Moos, Flemming: Die Entwicklung des Datenschutzrechts im Jahr 2011,

K&R 2012, S. 151-159.[14] Ott, Stephan: Das Internet vergisst nicht – Rechtsschutz für Suchobjekte?,

MMR 2009, S. 158-163.[15] Plath, Kai-Uwe: BDSG – Kommentar zum BDSG sowie den Datenschutzbe-

stimmungen von TMG und TKG, Köln 2013.[16] Roßnagel, Alexander/Richter, Philipp/Nebel, Maxi: Besserer Internetdaten-

schutz für Europa, ZD 2013, S. 103-108.[17] Schaffland, Hans-Jürgen/Wiltfang, Noeme: Bundesdatenschutzgesetz

(BDSG) – Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschrif-ten, Loseblattsammlung, Stand 1/2013, Berlin.

[18] Schneider, Jochen/Härting, Niko: Wird der Datenschutz nun endlich inter-nettauglich? Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, S. 199-203.

[19] Schwartz, Paul M.: „Personenbezogene Daten“ aus internationaler Pers-pektive, ZD 2011, S. 97-98.

[20] Simitis, Spiros: Bundesdatenschutzgesetz, 7. Aufl., Baden-Baden 2011.[21] Taeger, Jürgen/Gabel, Detlev: Kommentar zum BDSG und zu den Daten-

schutzvorschriften des TKG und TMG, Frankfurt am Main 2010.[22] Wagner, Edgar: Der Entwurf einer Datenschutz-Grundverordnung der Eu-

ropäischen Kommission, DuD 2012, S. 676-678.[23] Weichert, Thilo: Datenschutz im Wettbewerbs- und Verbraucherrecht, VuR

2006, S. 377-383.[24] Wieczorek, Mirko: Informationsbasiertes Persönlichkeitsrecht – Überle-

gungen zur Restauration des Persönlichkeitsschutzes im Internetzeital-ter, DuD 2011, S. 476-482.

DuD • Datenschutz und Datensicherheit 10 | 2013 649

SCHWERPUNKT