Verbot exterritorialer Wirkung
I. Allgemeines
1. Zweck der Vorschrift
1
Art. 3 DSGVO bestimmt den räumlichen Anwendungsbereich der DSGVO und damit des europäischen Datenschutzrechts. Als Anknüpfungspunkte, die zur Anwendbarkeit des europäischen Datenschutzrechts führen, ergeben sich aus Art. 3 DSGVO die Niederlassung des Verantwortlichen (Art. 3 Abs. 1 DSGVO), die Niederlassung des Auftragsverarbeiters (Art. 3 Abs. 1 DSGVO) und der Marktort (Art. 3 Abs. 2 DSGVO). In Art. 3 Abs. 3 DSGVO ist der Spezialfall der Anwendbarkeit der DSGVO an Orten außerhalb der Union geregelt, die völkerrechtlich dem Recht eines Mitgliedstaates und deshalb dem Recht der Union unterliegen und an denen die DSGVO entsprechend anwendbar ist.
2
Der Anwendungsbereich der DSGVO ist weit gefasst und bezweckt die Anwendung des europäischen Datenschutzrechts für alle Sachverhalte mit Unionsbezug, um Betroffene davor zu schützen, dass der Schutz ihrer Grundrechte durch die Verarbeitung ihrer personenbezogenen Daten von Verantwortlichen oder Auftragsverarbeitern in Drittstaaten unterlaufen wird.1 Dafür wird in Art. 3 Abs. 2 DSGVO das Marktortprinzip für die Begründung der Anwendung der DSGVO auf nicht in der Union niedergelassene Stellen eingeführt. Im Vergleich zur DSRl wird der Anwendungsbereich des europäischen Datenschutzrechts mit Art. 3 DSGVO erheblich ausgeweitet. Die weite Definition des Anwendungsbereichs des europäischen Datenschutzrechts für Verantwortliche in Drittstaaten führt zur parallelen Anwendung des europäischen Datenschutzrechts neben ihrem lokalen Datenschutzrecht2 und schafft damit Anwendungskonflikte. Die Entwicklung kollisionsrechtlicher Lösungen dafür hat gerade erst begonnen.
2. Entstehungsgeschichte
3
Art. 3 DSGVO ist im Gesetzgebungsprozess in Wortlaut und Regelungsgehalt im Wesentlichen unverändert geblieben. Die aktuelle Fassung entspricht dem Kommissionsentwurf mit geringfügigen Änderungen. So wurde die Klarstellung in Art. 3 Abs. 1 DSGVO, dass die Anwendbarkeit der DSGVO unabhängig davon gilt, ob die Verarbeitung in der Union erfolgt, auf Wunsch des Parlaments aus den Erwägungsgründen in den Verordnungstext aufgenommen.3 Ebenfalls auf Wunsch des Parlaments wurde die Anwendbarkeit des Art. 3 Abs. 2 DSGVO auf Auftragsverarbeiter erweitert4 und die Geltung des Marktortprinzips in Art. 3 Abs. 2 lit. a DSGVO von einer Entgeltzahlung des Betroffenen entkoppelt.5 Zur Formulierung von Art. 3 Abs. 2 lit. b DSGVO hatte das Parlament vorgeschlagen, die Beobachtung jeden Verhaltens zu erfassen, in der finalen Fassung findet sich nun jedoch die Formulierung des Rates, nach der es sich um ein Verhalten in der Union handeln muss.6
4
Art. 3 DSGVO tritt an Stelle von Art. 4 DSRl und begründet die territoriale Anwendbarkeit der DSGVO für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter durch eine Niederlassung in der Union (Art. 3 Abs. 1 DSGVO) sowie durch eine Niederlassung außerhalb der Union, soweit sich die Verarbeitung auf Betroffene in der Union bezieht (Art. 3 Abs. 2 DSGVO). Art. 3 DSGVO erweitert, im Vergleich zur DSRl, durch die Einführung des Marktortprinzips in Art. 3 Abs. 2 DSGVO den territorialen Anwendungsbereich des europäischen Datenschutzrechts erheblich. Zudem wird neben dem Sitz des Verantwortlichen das Kriterium des Sitzes des Auftragsverarbeiters zur Bestimmung der territorialen Anwendbarkeit der DSGVO eingeführt. Abweichend vom Konzept der Bestimmung des territorialen Anwendungsbereichs des europäischen Datenschutzrechts gemäß Art. 4 Abs. 1 lit. c DSRl wird mit Art. 3 DSGVO das Kriterium der Verwendung von Mitteln innerhalb der Union aufgegeben.
5
Die DSGVO enthält selbst unmittelbar geltendes Recht, das an Stelle der mitgliedstaatlichen Datenschutzgesetze tritt. Es ist daher konsequent, dass die DSGVO anders als die DSRl als umsetzungsbedürftiger Rechtssatz keine Art. 4 DSRl vergleichbaren Kollisionsnormen für mitgliedstaatliche Datenschutzgesetze enthält, sondern nur positiv regelt, wann die DSGVO Anwendung findet.7 Da es aber faktisch mitgliedstaatliches Datenschutzrecht im Rahmen der Öffnungsklauseln gibt, fehlt nunmehr ein Regime zur Auflösung dieser Anwendungskonflikte (dazu Rn. 39).
3. Verhältnis zu anderen Vorschriften
6
In Art. 3 DSGVO wird der territoriale Anwendungsbereich der DSGVO normiert. Der sachliche Anwendungsbereich folgt aus Art. 2 DSGVO und der zeitliche Anwendungsbereich aus Art. 99 DSGVO. Soweit im Rahmen der Öffnungsklauseln mitgliedstaatliche Regelungen zum Datenschutz geschaffen wurden, können die Mitgliedstaaten unter Beachtung der Vorgaben des Völkerrechts deren territoriale Anwendung bestimmen. In diesem Sinne regelt § 1 Abs. 4 BDSG die territoriale Anwendbarkeit des Bundesdatenschutzgesetzes (dazu § 1 BDSG Rn. 25). Erläuterungen und Auslegungshilfen zu Art. 3 DSGVO ergeben sich aus den ErwG 22 bis 25.
II. Verarbeitung durch Niederlassung in der Union (Abs. 1)
7
Für die räumliche Anwendbarkeit der DSGVO knüpft Art. 3 Abs. 1 DSGVO an die Verarbeitung personenbezogener Daten (siehe Art. 4 Rn. 2ff.) im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen (siehe Art. 4 Rn. 170ff.) oder Auftragsverarbeiters (siehe Art. 4 Rn. 238ff.) in der Union an. Das Gebiet der Union ergibt sich aus Art. 52 EUV und Art. 355 AEUV. Eine Anknüpfung an den Ort der Datenverarbeitung oder die Belegenheit der Mittel in der Union ist ausdrücklich nicht erforderlich (zur entgegenstehenden Konzeption im deutschen Datenschutzrecht siehe § 1 BDSG Rn. 30ff.). Hintergrund dieser Entkoppelung der territorialen Anwendbarkeit von der Belegenheit zur Verarbeitung eingesetzter Hardware ist es, technischen Rahmenbedingungen der zunehmend globalen und vernetzten Verarbeitung personenbezogener