Die undifferenzierte Gleichbehandlung von Verantwortlichen und Auftragsverarbeitern in der DSGVO lässt unklar, wie weit sich der räumliche Anwendungsbereich der DSGVO gerade auch auf Auftragsverarbeiter ohne Niederlassung in der EU erstreckt. Der Beitrag befasst sich mit der Anwendung des Marktortprinzips auf Drittland-Auftragsverarbeiter und stellt konkrete Lösungsvorschläge vor.

I. Marktortprinzip
1. Anknüpfung an „Trigger-Tätigkeiten“
2. Im Zusammenhang stehen
II. Gesetzgebungsprozess
III. Auslegung im Einklang mit Grundrechten
IV. Völkerrecht
1. Spezialisierte Auftragsverarbeiter
2. Generische Auftragsverarbeiter
V. Rechtstaatlichkeitsprinzip
1. Spezialisierte Auftragsverarbeiter
2. Generische Auftragsverarbeiter
VI. Keine „Flucht in die Verantwortlichkeit“
1. Weisungsexzess
2. Spezialisierte Auftragsverarbeiter
3. Generische Auftragsverarbeiter
VII. Sinn und Zweck
1. Spezialisierte Auftragsverarbeiter
2. Generische Auftragsverarbeiter
VIII. Fazit


I. Marktortprinzip
1
Erklärtes Ziel der DSGVO war – u.a. – die Ausdehnung des räumlichen Anwendungsbereichs des europäischen Datenschutzrechts. Insbesondere wurde ein – bis zum Inkrafttreten der DSGVO nicht dergestalt bestehendes – datenschutzrechtliches Marktortprinzip eingeführt, um die räumliche Anwendung der DSGVO auch auf Anbieter im Drittland zu erstrecken, die auf dem europäischen Markt aktiv sind.

2
Gemäß Art. 3 Abs. 2 DSGVO findet die DSGVO „Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,

3
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

4
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.“

5
Im Rahmen des Marktortprinzips der DSGVO werden Verantwortliche und Auftragsverarbeiter somit grundsätzlich gleichbehandelt, obwohl sich die Rechtsstellung dieser beiden Positionen deutlich unterscheidet: So legen Verantwortliche die Zwecke und Mittel der Datenverarbeitung fest, Art. 4 Nr. 7 DSGVO, während Auftragsverarbeiter personenbezogene Daten lediglich weisungsgebunden und im Auftrag von Verantwortlichen verarbeiten, vgl. Artt. 4 Nr. 8, 29 DSGVO. Die Möglichkeiten der Einflussnahme auf einen konkreten Datenverarbeitungsvorgang durch Auftragsverarbeiter sind daher deutlich geringer als die von Verantwortlichen.

1. Anknüpfung an „Trigger-Tätigkeiten“
6
Dies schlägt sich auch bei der Auslegung von Art. 3 Abs. 2 DSGVO nieder: Dieser knüpft an sog. „Trigger-Tätigkeiten“ an, die Voraussetzung für die räumliche Anwendung der DSGVO sind. So soll das Marktortprinzip nur beim Anbieten von Waren oder Dienstleistungen gegenüber betroffenen Personen in der EU bzw. beim Beobachten deren Verhaltens zur Anwendung gelangen.

7
Auftragsverarbeiter werden selbst jedoch keine Waren oder Dienstleistungen gegenüber betroffenen Personen in der Europäischen Union anbieten:

• Der Adressatenkreis der Dienstleistungen von Auftragsverarbeitern sind Verantwortliche, welche – wenngleich sie in der Europäischen Union ansässig sein können – regelmäßig keine betroffenen (also natürlichen) Personen darstellen werden.
• Selbst wenn die Verantwortlichen, denen Waren oder Dienstleistungen angeboten werden, im Ausnahmefall „in Personalunion“ auch betroffene Personen wären (z.B. Einzelkaufleute), dürfte nur die Datenverarbeitung in Bezug auf ...