auch Tätigkeiten der Behörden von Drittstaaten fallen,88 etwa wenn diese eine Webseite mit Informationen und Kontaktmöglichkeiten für Personen in der Union enthalten und das Verhalten der Nutzer auf der Webseite analysieren,89 oder wenn auf andere Weise Informationen zur Beobachtung von Betroffenen in der Union gesammelt werden.
5. Kritik am Marktortprinzip
30
An der Konzeption des Marktortprinzips wird kritisiert, dass es trotz seiner herausragenden Bedeutung für Verantwortliche außerhalb der Union inhaltlich nicht hinreichend präzise gefasst sei.90 So enthalte Art. 3 Abs. 2 DSGVO neue Begrifflichkeiten, die nicht näher definiert oder in den Gesetzgebungsmaterialien erläutert würden.91 Zudem führe das Marktortprinzip zu Anwendungskonflikten für international tätige Verantwortliche, die im Zweifel eine Vielzahl von Datenschutzrechten beachten müssten und so hohe Kosten für Rechtsinformationen zu tragen hätten.92 Schließlich gehe die exterritoriale Erstreckung des Datenschutzrechts mit einem Vollstreckungsdefizit gegenüber Verantwortlichen in Drittländern einher.93 Diese Kritikpunkte sind inhaltlich nicht von der Hand zu weisen, beruhen aber auf einer bewussten Entscheidung des europäischen Gesetzgebers zum umfassenden Schutz der Grundrechte der Bürger der Union94 und sind somit für die Rechtsanwendung hinzunehmen.
31
Die Umsetzung des Marktortprinzips in Art. 3 Abs. 2 DSGVO ist im Detail unscharf und klärungsbedürftig. Das Marktortprinzip als solches ist aber ein geeigneter Kompromiss zwischen den möglichen Anknüpfungspunkten Sitz des Verantwortlichen einerseits und Herkunft oder Wohnort des Betroffenen andererseits.95 Die exklusive Anknüpfung am Sitz des Verantwortlichen birgt nämlich die Gefahr des Forum Shoppings, die Anknüpfung an der Herkunft des Betroffenen hingegen die Gefahr der ungerechtfertigten Erfassung von Auslandssachverhalten und der Schaffung von Anwendungskonflikten etwa für Online-Sachverhalte aufgrund der Ubiquität des Internets.96
6. Beauftragung von Auftragsverarbeitern in Drittstaaten
32
Spiegelbildlich zur Frage der Anwendbarkeit der DSGVO für Verantwortliche in Drittstaaten, die Auftragsverarbeiter in der Union beauftragen (siehe Rn. 13ff.), stellt sich die Frage, ob die Beauftragung eines Auftragsverarbeiters im Drittland durch einen Verantwortlichen im Anwendungsbereich der DSGVO für den Auftragsverarbeiter zur Anwendbarkeit der DSGVO führen kann. Dabei gilt, dass die Anwendbarkeit der DSGVO auf den Verantwortlichen nicht automatisch zur Anwendbarkeit der DSGVO für den Auftragsverarbeiter führt. Die reflexartige Erstreckung der Anwendung der DSGVO auf Auftragsverarbeiter in diesem Fall würde den Anwendungsbereich der DSGVO in völkerrechtlich kritischer Weise auf Drittsaaten erstrecken,97 wenn kein hinreichend erkennbarer Zusammenhang zum Wirkungskreis der Union besteht. Die Frage der Anwendbarkeit der DSGVO ist daher für Verantwortlichen und Auftragsverarbeiter jeweils separat zu bestimmen.98 Die Kriterien gemäß Art. 3 Abs. 2 lit. a und b passen dabei nur bedingt für die Tätigkeit von Auftragsverarbeitern in Drittstaaten. Bietet ein Auftragsverarbeiter seine Dienstleistungen nämlich Personen in der Union an (Art. 3 Abs. 2 lit. a) und verarbeitet er dabei personenbezogene Daten, erfolgt diese Verarbeitung nämlich gerade nicht im Auftrag, sondern zu eigenen Zwecken. Für Auftragsverarbeiter läuft die Regelung in Art. 3 Abs. 2 lit. a damit praktisch leer. Der Auftragsverarbeiter ist insoweit nämlich selbst Verantwortlicher.99 Das gilt in ähnlicher Weise auch für das Kriterium der Beobachtung von Personen in der Union, das in Einzelfällen durch den Auftragsverarbeiter im Auftrag erfüllbar sein mag,100 das Gros praxisrelevanter Fälle jedoch nicht löst.
33
Geboten ist daher eine Beschränkung der Anwendbarkeit der DSGVO für Auftragsverarbeiter in Drittsaaten, die in Übereinstimmung mit dem völkerrechtlichen Territorialitätsgrundsatz steht und die Anwendbarkeit der DSGVO für Auftragsverarbeiter in Drittsaaten vorhersehbar macht. Für die Anwendbarkeit der DSGVO auf Auftragsverarbeiter in Drittstaaten ist daher erforderlich, dass die Verarbeitung „zielgerichtet“ in einem inneren Zusammenhang zur Union steht.101 Dann sind den Auftragsverarbeiter adressierende Regelungen der DSGVO auch für Auftragsverarbeiter in Drittstaaten anwendbar. Dieses Abgrenzungskriterium bedarf weiterer Schärfung durch Rechtsprechung und Literatur, ermöglicht aber heute schon eine angemessene Bestimmung des Anwendungsbereichs der DSGVO für Auftragsverarbeiter in Drittstaaten. Danach findet die DSGVO keine Anwendung auf einen globalen Hosting-Dienst-Anbieter, dessen Dienst (zufällig) auch von Verantwortlichen in der Union genutzt wird. Für den Anbieter eines für den europäischen Markt optimierten Trackingtools findet die DSGVO hingegen Anwendung.
IV. Völkerrechtliche Vorgaben (Abs. 3)
34
Die DSGVO gilt auch außerhalb der Union, soweit der Ort der Niederlassung des Verantwortlichen aufgrund des Völkerrechts dem Recht eines Mitgliedstaates unterliegt. Ob die Datenverarbeitung auch an diesem Ort erfolgt, ist wie für Art. 3 Abs. 1 und Abs. 2 DSGVO nicht relevant.102 Damit ist insbesondere die Datenverarbeitung durch Auslandsvertretungen vom Anwendungsbereich der DSGVO erfasst.103 Dies sind insbesondere diplomatische und konsularische Vertretungen der Mitgliedstaaten in Staaten außerhalb der Union.104 Extraterritoriale Anwendbarkeit der DSGVO kann sich darüber hinaus auch für Schiffe oder Flugzeuge ergeben.105
V. Geltung der DSGVO im EWR
35
Die DSGVO ist ein Rechtsakt mit Bedeutung für den EWR. Gemäß Art. 7 lit. a des EWR-Abkommens sind alle EWR-Staaten verpflichtet, die DSGVO innerstaatlich zu übernehmen. Neben den Mitgliedstaaten der Union gilt daher auch für die EFTA-Staaten Island, Liechtenstein und Norwegen eine Inkorporationspflicht. Um die Anwendbarkeit der DSGVO auf die EFTA-Staaten zu erstrecken, muss diese in das EWR-Abkommen aufgenommen werden.106 Dies erfolgt gemäß Art. 102 Abs. 1 EWR-Abkommen, indem die Union den gemeinsamen EWR-Ausschuss informiert und dieser den Rechtsakt prüft und im Anschluss durch Beschluss in das EWR-Abkommen inkorporiert. Der Prozess zur Inkorporation von Unionsrecht umfasst fünf Phasen.107 Die DSGVO wurde in der ersten Phase als EFTA-relevant eingestuft und wird aktuell in der zweiten Phase von den EFTA-Staaten geprüft. Innerhalb dieser Prüfung geben die drei Mitgliedstaaten Stellungnahmen zu erforderlichen Anpassungen und der verfassungsrechtlichen Relevanz ab. Die Stellungnahmen werden dem Gemischten Ausschuss vorgelegt, der einen Entwurf zur Umsetzung verfasst und diesen dem Europäischen Parlament übergibt (dritte Phase). In der vierten Phase erfolgt eine erneute Prüfung und sofern keine Einwände erhoben werden, kann dann in der fünften Phase der finale Beschluss zur Inkorporation durch den Gemeinsamen-EWR-Ausschuss gefasst werden.
VI. Kollisionsrecht
36
Der weit gefasste Anwendungsbereich des europäischen Datenschutzrechts und die Erfassung von Verantwortlichen außerhalb der Union im Rahmen des Marktortprinzips gemäß Art. 3 Abs. 2 DSGVO bedeutet für diese eine parallele Anwendung des europäischen Datenschutzrechts, des lokalen Datenschutzrechts108 und ggf. weiterer Datenschutzregime. Daneben stellt sich die Frage, wie mit Kollisionen zwischen den mitgliedstaatlichen Datenschutzrechten im Rahmen der Öffnungsklauseln umgegangen wird.
1. Kollision mit drittstaatlichem Datenschutzrecht
37
Die Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts durch das Marktortprinzip geht mit der Begründung paralleler Regelungsregime einher. Diese kristallisieren sich etwa in der Frage, ob US-Cloud-Anbieter im Anwendungsbereich des europäischen Datenschutzrechts personenbezogene Daten von Verantwortlichen in der Union herausgeben müssen, weil sie dazu aufgrund des US-Sicherheitsrechts verpflichtet