rel="nofollow" href="#ulink_0268c94f-747e-5cf3-8d1a-3dee9250082b">38 Art. 3 Abs. 3 DSGVO regelt in erster Linie die Datenverarbeitung am Ort von diplomatischen oder konsularischen Vertretungen der EU-Mitgliedstaaten außerhalb der EU, für die aufgrund des Völkerrechts das Recht des jeweiligen Mitgliedstaates gilt (vgl. Erwägungsgrund 25). 39 Plath/Plath, Art. 3 DSGVO Rn. 8; Gola/Piltz, Art. 3 DSGVO Rn. 7. 40 EuGH, Urt. v. 1.10.2015 – C-230/14, Rn. 24ff. 41 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 9; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 33; Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 4; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9. 42 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 52ff. 43 EuGH, Urt. v. 13.5.2014 – C-131/12, Rn. 56, 57. 44 Zuletzt EuGH, Urt. v. 24.9.2019 – C-507/17, Rn. 50. 45 Art. 28 Abs. 3 DSGVO; vgl. Kap. 7 Rn. 38. 46 Art. 28 Abs. 10 DSGVO; vgl. Kap. 7 Rn. 10. 47 Aufgrund der eindeutigen Formulierung „nicht in der Union niedergelassenen“ in Art. 3 Abs. 2 DSGVO entsteht zwischen Art. 3 Abs. 1 und Abs. 2 DSGVO eine Lücke für solche Stellen, die zwar Niederlassungen in der EU haben, deren Tätigkeiten aber einen Rahmen haben, in dem die fragliche Datenverarbeitung nicht stattfindet. Insbesondere bei Mischkonzernen ist eine solche Konstellation durchaus denkbar. In der Richtlinie existierte zwar eine vergleichbare Lücke, diese wurde jedoch durch die mitgliedstaatlichen Umsetzungsgesetze (z.B. auch im BDSG (bis 2018)) teilweise geschlossen. Ob und wie sich diese neue Lücke in der Praxis auswirkt, bleibt abzuwarten. Teilweise wird vorgeschlagen, die Lücke im Wege einer teleologischen Auslegung zu schließen. 48 Art. 4 Abs. 1 lit. c DSRL. Nach § 1 Abs. 5 S. 2 BDSG (bis 2018) war erforderlich, dass personenbezogene Daten „im Inland“ erhoben, verarbeitet oder genutzt werden. 49 EuGH, Urt. v. 10.12.1968 – C-7/68, Slg. 1968, 633, Rn. 2; EuGH, Urt. v. 14.7.1977 – C-1/77, Slg. 1977, 1473, Rn. 4. 50 Art. 57 AEUV. 51 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 20: Plath/Plath Art. 3 DSGVO Rn. 18; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 48. 52 Laut der englischen Sprachfassung des Erwägungsgrundes 23 DSGVO ist zu prüfen, „whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.“ 53 Paal/Pauly/Ernst, Art. 2 DSGVO Rn. 16. 54 Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 10. Art. 6 Abs. 1 lit. b Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht („Rom I“); Art. 6 Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht („Rom II“); Art. 15 Abs. 1 lit. c Verordnung (EG) Nr. 44/2001 des Rates vom 22.12.2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen („Brüssel I“). 55 EuGH Urt. v. 7.12.2010 – C-585/08 und C-144/09 Rn. 83; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 17. 56 Im Ergebnis ebenso BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 34; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 89. Würde der Auftragsverarbeiter den betroffenen Personen Waren oder Dienstleistungen anbieten, wäre er im Hinblick auf die damit im Zusammenhang stehende Verarbeitung personenbezogener Daten in der Regel selbst Verantwortlicher. 57 A.A. wohl Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 54, zumindest dann, wenn der Auftragsverarbeiter die Infrastruktur betreibt, die sich an betroffene Personen in der Union richtet. 58 Nach der deutschen Sprachfassung des Erwägungsgrundes 23 soll die Datenverarbeitung der Verordnung unterliegen, wenn sie dem Anbieten von Waren oder Dienstleistungen „dient“. Allerdings zeigt ein Vergleich mit anderen Sprachfassungen, dass ein andersartiger Zusammenhang ebenfalls ausreichend sein dürfte. So reicht laut der englischen Sprachfassung ein „related to offering goods or services“. 59 Dies ist bei Online-Diensten durchaus üblich. Europäische Nutzer verwenden außereuropäische Dienste häufig aufgrund ihrer Muttersprache. 60 Die Beobachtung von Offline-Verhalten, welches in der EU erfolgt, wird ohnehin häufig eine Tätigkeit einer Niederlassung im Sinne des Art. 3 Abs. 1 DSGVO sein. 61 Die englische Sprachfassung des Art. 3 Abs. 2 lit. b DSGVO verwendet den Begriff „monitoring“. In der schwedischen Sprachfassung ist von „övervakning“, also „Überwachung“ die Rede. 62 Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 63 Vgl. Spindler/Schuster/Spindler/Dalby, Art. 3 DSGVO Rn. 12; Ehmann/Selmayr/Zerdick, Art. 3 DSGVO Rn. 20; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 94; a.A. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 25. 64 Sofern im Rahmen der Web-Analyse personenbezogene Daten verarbeitet werden, kann diese Verarbeitung jedoch sehr wohl im räumlichen Anwendungsbereich der Verordnung liegen, wenn das analysierte Webangebot ein Angebot an Personen in der EU im Sinne des Art 3 Abs. 2 lit. a DSGVO darstellt. 65 So auch Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 Rn. 59. 66 So auch Plath/Plath, Art. 3 DSGVO Rn. 13. 67 Albrecht, CR 2016, 88, 90. 68 Vgl. Plath/Plath, Art. 3 DSGVO Rn. 14. 69 So aber wohl Plath/Plath, Art. 3 DSGVO Rn. 14. 70 Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 13. 71 Vgl. Taeger/Gabel/Schmidt, Art. 3 DSGVO Rn. 13; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32, 62; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 11; a.A. BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 12, für den Fall, dass der Verantwortliche einen in der Union niedergelassenen Verarbeiter beauftragt. 72 Vgl. hierzu insgesamt Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9ff. 73 Vgl. Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 9 und 10; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 32. 74 Gegen eine Anwendbarkeit der Regeln aus Kapitel V: Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 38. Dafür: Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 34; Europäischer Datenschutzausschuss, Guidelines 3/2018 on the territorial scope of the GDPR, S. 11.
