betroffenen Personen, so dass damit auch keine Absicht im Sinne des Erwägungsgrundes 23 verbunden ist.56 Dementsprechend dürfte der räumliche Anwendungsbereich der Verordnung über Art. 3 Abs. 2 lit. a DSGVO in der Praxis für Auftragsverarbeiter fast nie eröffnet sein.57
59
Liegt ein Angebot im Sinne des Art. 3 Abs. 2 lit. a DSGVO vor, ist zu prüfen, ob die in Betracht gezogene Verarbeitung personenbezogener Daten im Zusammenhang mit diesem Angebot steht. Detaillierte Anhaltspunkte in der Verordnung dafür, wann ein solcher Zusammenhang anzunehmen ist, fehlen.58
60
Sofern die betroffene Personen in der EU, bezüglich derer personenbezogene Daten verarbeitet werden, und die Person in der EU, an die sich das Angebot richtet, identisch sind, dürfte ein solcher Zusammenhang stets gegeben sein.
61
Fraglich ist, ob ein relevanter Zusammenhang ebenfalls bestehen kann, wenn betroffene Person und Adressat des Angebots nicht identisch sind. Diese Frage wird zum Beispiel aufgeworfen, wenn eine Person in der EU bewusst ein Angebot in Anspruch nimmt, welches sich an Personen außerhalb der EU richtet, obwohl es vom selben Anbieter auch ein Angebot für die EU gibt.59
62
Richtet die verarbeitende Stelle einen Teil ihres Angebotes erkennbar an Personen außerhalb der EU, erscheint es unbillig zu fordern, dass sie Daten von Personen in der EU, die diesen Teil des Angebots in Anspruch nehmen, dennoch der Verordnung gemäß verarbeitet. Der jeweiligen Person, die sich bewusst gegen ein europäisches und für ein außereuropäisches Angebot entscheidet, wird der Schutz der Verordnung nicht im Sinne des Erwägungsgrundes 23 „vorenthalten“. Zudem scheint der Wortlaut des Art. 3 Abs. 2 lit. a DSGVO eine Identität von betroffener Person und Angebotsempfänger vorauszusetzen, wenn dort von einer Zahlung von „diesen Personen“ die Rede ist. Dieser Formulierung liegt das Verständnis zugrunde, dass die Personen, an die sich ein Angebot richtet, und die Personen, die das Angebot in Anspruch nehmen und gegebenenfalls bezahlen, identisch sind. In Erwägungsgrund 23 findet sich eine ähnliche Formulierung („diesen betroffenen Personen“).
63
Somit spricht vieles dafür, dass ein ausreichender Zusammenhang zwischen Datenverarbeitung und Angebot nur dann bestehen kann, wenn betroffene Person und Angebotsempfänger identisch sind. Gleichzeitig ist bei einer derartigen Personenidentität in der Regel der erforderliche Zusammenhang zwischen dem Angebot und der Datenverarbeitung gegeben. Durch diesen Ansatz wird das ansonsten sehr unscharfe Merkmal des „Zusammenhangs“ deutlich handhabbarer.
Praxishinweis
Soweit ein Unternehmen beabsichtigt, bestimmte Waren oder Dienstleistungen oder Teile davon nur Personen außerhalb der EU anzubieten, sollte darauf geachtet werden, dass dabei keine Anhaltspunkte erzeugt werden, die für ein Angebot an Personen in der EU sprechen. So wird vermieden, dass der räumliche Anwendungsbereich der Verordnung versehentlich für ein Produkt eröffnet wird, welches hierfür nicht geeignet ist. Ein aktives Aussperren oder Umleiten europäischer Kunden weg von solchen Angeboten erscheint zwar nicht erforderlich, kann aber, ebenso wie ein entsprechender Disclaimer, als zusätzliche Vorsichtsmaßnahme sinnvoll sein.
b) Verhaltensbeobachtung, Art. 3 Abs. 2 lit. b DSGVO
64
Der räumliche Anwendungsbereich kann auch durch das Beobachten von Verhalten betroffener Personen in der EU gemäß Art. 3 Abs. 2 lit. b DSGVO eröffnet sein.
65
Der Begriff der Verhaltensbeobachtung ist in Anbetracht von Erwägungsgrund 24 anscheinend auf das Verhalten einer Person im Internet beschränkt. Zumindest wird in Erwägungsgrund 24 deutlich, dass der Unionsgesetzgeber den Online-Bereich im Fokus hatte.60
66
Die schlichte Erfassung der Daten über die Internetaktivität z.B. in einem gewöhnlichen Serverlog reicht für die Annahme einer Verhaltensbeobachtung allerdings nicht aus. „Beobachtung“ geht schon begrifflich über die reine Erfassung von Daten hinaus.61 Es muss sich vielmehr um ein zielgerichtetes Sammeln von Erkenntnissen handeln.62 Dementsprechend ist gemäß Erwägungsgrund 24 DSGVO für ein Beobachten erforderlich, dass Internetaktivitäten der betroffenen Person tatsächlich nachvollzogen werden. Laut Erwägungsgrund 24 DSGVO liegt ein solches Nachvollziehen unter anderem dann vor, wenn durch die Beobachtung die Erstellung eines Profils der Person ermöglicht wird, welches Grundlage für die Person betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Dies legt nahe, dass der Begriff der Beobachtung eine gewisse Dauer und Intensität voraussetzt.63
67
Offensichtlich sollen damit im Internet eingesetzte Technologien in den räumlichen Anwendungsbereich der Verordnung gebracht werden, die die Internetaktivitätsdaten von Nutzern erfassen (z.B. durch entsprechende Cookies oder sonstige Nutzerkennungen), sofern die erfassten Daten in eine Entscheidung in Bezug auf die betroffene Person münden oder die Daten zur Personalisierung von Funktionalitäten oder Inhalten (z.B. personalisierte Werbung, personalisierte Vorschlagsfunktionen oder personalisierte Suchergebnisse) anhand eines Profils der Person eingesetzt werden.
68
Die Analyse von Internetaktivitätsdaten von Besuchern eines Webangebotes dürfte jedoch keine solche Verhaltensbeobachtung darstellen, sofern die Analyse aggregiert erfolgt und nicht den einzelnen Besucher im Fokus hat. Web-Analyse-Verfahren, die allein dazu dienen, eine Webseite insgesamt bedarfsgerecht zu gestalten oder bestimmte Kennzahlen im Hinblick auf die Funktionsfähigkeit der Webseite zu messen, dürften daher von Art 3 Abs. 2 lit. b DSGVO nicht erfasst sein.64
69
Art. 3 Abs. 2 lit. b DSGVO setzt zudem denklogisch voraus, dass die Person, deren Daten verarbeitet werden, und die Person, deren Verhalten mittels dieser Verarbeitung beobachtet wird, identisch sein müssen, wodurch auch stets der erforderliche Zusammenhang zwischen Verarbeitung und Verhaltensbeobachtung besteht.
70
Schließlich muss das beobachtete Verhalten in der EU erfolgen. Der Umstand, dass Art. 2 Abs. 3 lit. b DSGVO erfordert, dass sich zum einen die Person in der EU befindet und zum anderen ihr beobachtetes Verhalten in der EU erfolgt, legt nahe, dass es der Gesetzgeber für möglich hält, dass sich eine in der EU befindliche Person außerhalb der EU verhalten kann. Gerade bei den von Art. 3 Abs. 2 lit. a DSGVO erfassten Internetaktivitäten erscheint dies durchaus denkbar. So ist zum Beispiel die Frage, wo eine Tat bzw. Handlung mittels einer Webseite begangen wird, im Rahmen des Strafrechts oder des Zivilprozessrechts hoch umstritten. Daher scheint es vertretbar anzunehmen, dass das Verhalten einer in der EU befindlichen Person außerhalb der EU erfolgt, wenn diese Person einen Internetdienst verwendet, der auf Servern außerhalb der EU läuft.
71
Dadurch, dass das in der Vorgängerregelung des Art. 4 Abs. 1 lit. c DSRL verankerte Territorialitätsprinzip nicht in die Verordnung übernommen wurde, wird jedoch zum Ausdruck gebracht, dass der Standort von Datenverarbeitungsanlagen keine Bedeutung für die Eröffnung des räumlichen Anwendungsbereichs haben soll. Zudem wird Art. 3 Abs. 2 lit. b DSGVO in der Regel erst dann relevant werden, wenn die verarbeitende Stelle keine Niederlassung in der EU hat. Insgesamt ist somit der Wille des Unionsgesetzgebers deutlich erkennbar, die in der Union befindlichen betroffenen Personen möglichst umfassend zu schützen. Dementsprechend dürfte sich die Ansicht durchsetzen, dass das Verhalten von in der EU befindlichen Personen aus der Perspektive des europäischen Datenschutzrechts auch stets in der EU erfolgt, selbst wenn sie Internetdienste nutzen, die auf Servern außerhalb der EU angeboten werden.65
Praxishinweis
Art. 3 Abs. 2 lit. b DSGVO dehnt