46
Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest und die Tätigkeiten seiner Niederlassungen haben potenziell eine sehr große Bandbreite. Der Auftragsverarbeiter hingegen verarbeitet die Daten nach Weisung und im Auftrag des Verantwortlichen. Gegenstand, Dauer, Umfang, Art und Zweck der Verarbeitung werden im Auftragsverarbeitungsvertrag festgelegt.45
47
Die Verarbeitung der Daten durch einen Auftragsverarbeiter ist somit ebenso wie der Rahmen seiner Tätigkeit in Bezug auf die Daten wesentlich durch seine vertraglich definierte Rolle bestimmt und begrenzt. Eine etwaige Datenverarbeitung außerhalb dieses Rahmens lässt den Auftragsverarbeiter, in der Regel zur Verantwortlichen Stelle werden.46 Prüft man die Voraussetzungen des Art. 3 Abs. 1 DSGVO spezifisch für einen Auftragsverarbeiter, erscheint es daher geboten, dabei den Fokus auf den durch den jeweiligen Auftragsverarbeitungsvertrag vorgegebenen Tätigkeitsrahmen zu legen.
48
Im Unterschied zum Verantwortlichen spricht somit einiges dafür, dass für eine (Auftrags-)Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters in der Regel nur solche Niederlassungen relevant sind, die tatsächlich an der Auftragsverarbeitung mitwirken. Denn nur solche Niederlassungen nehmen Tätigkeiten vor, in deren Rahmen die relevante (Auftrags-)Verarbeitung liegen soll bzw. darf. Der Rahmen der Tätigkeiten einer Niederlassung ist somit bei einem Auftragsverarbeiter deutlich enger gefasst als bei einem Verantwortlichen.
2. Marktortprinzip, Art. 3 Abs. 2 DSGVO
49
Ist ein Verantwortlicher oder ein Auftragsverarbeiter nicht in der EU niedergelassen, kann sich die räumliche Anwendbarkeit der Verordnung aus Art. 3 Abs. 2 DSGVO ergeben.47 Danach findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
50
Dieses sog. Marktortprinzip ist eine wesentliche und vielleicht sogar die wichtigste Neuerung der DSGVO im Vergleich zur Richtlinie, welche dem Territorialitätsprinzip folgend auf die Belegenheit von Verarbeitungsmitteln in einem Mitgliedstaat abstellte.48 Die physischen Betriebs- und Organisationsstrukturen der verarbeitenden Stelle einschließlich des Standorts von Datenverarbeitungsanlagen ist für die Anwendbarkeit der Verordnung nach Art. 3 Abs. 2 nunmehr irrelevant. Dies ist angesichts der fortschreitenden Virtualisierung der Datenverarbeitung, bei der Datenverarbeitungskapazitäten ohne Bindung an einen bestimmten Ort zur Verfügung gestellt werden können, nur konsequent. Es führt jedoch gleichzeitig zu einer erheblichen Ausweitung des Anwendungsbereichs des europäischen Datenschutzrechts.
51
Ein gewisser räumlicher Bezug der Datenverarbeitung zum Territorium EU ist jedoch auch im Rahmen des Marktortprinzips erforderlich. Dieser Bezug wird durch die betroffene Person vermittelt, welche sich gemäß Art. 3 Abs. 2 DSGVO in der EU befinden muss. Art. 3 Abs. 2 lit. a DSGVO setzt zudem voraus, dass Waren oder Dienstleistungen an betroffene Personen in der EU angeboten werden. Wohingegen Art. 3 Abs. 2 lit. b DSGVO voraussetzt, dass das beobachtete Verhalten einer Person in der EU erfolgt.
a) Anbieten von Waren oder Dienstleistungen, Art. 3 Abs. 2 lit. a DSGVO
52
Eine „Ware“ im Sinne des Europarechts ist jeder körperliche Gegenstand, der einen Geldwert hat und Gegenstand eines Handelsgeschäfts sein kann.49 Eine „Dienstleistung“ im Sinne des Europarechts ist eine vom Begriff der „Ware“ abgegrenzte, in der Regel gegen Entgelt erbrachte Leistung.50 Mit einem Zusatz in Art. 3 Abs. 2 lit. a DSGVO hat der Unionsgesetzgeber allerdings klargestellt, dass auch solche Angebote erfasst sein sollen, bei denen keine Zahlung zu leisten ist. Dadurch sollen offenbar insbesondere Online-Dienste erfasst werden, bei denen die Entgeltlosigkeit die Regel ist. Um willkürlich erscheinende Schutzlücken zu vermeiden, ist davon auszugehen, dass die Begriffe „Ware“ und „Dienstleistung“ nicht formalistisch zu betrachten sind, sondern auch unkörperliche Gegenstände wie Software oder Grenzfälle wie ein Gewinnspiel erfassen.51
53
Laut Erwägungsgrund 23 DSGVO ist für die Frage, ob ein Verantwortlicher oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, festzustellen, dass es dessen offensichtliche Absicht ist, ein solches Angebot betroffenen Personen in mindestens einem Mitgliedstaat zu machen.
54
Die Verwendung des Begriffs „Absicht“ legt zwar nahe, dass es auf die tatsächliche innere Absicht der verarbeitenden Stelle ankommt. Die geforderte Offensichtlichkeit der Absicht und ein Vergleich mit anderen Sprachfassungen der Verordnung machen jedoch deutlich, dass es auf den Empfängerhorizont ankommt und eine etwaige abweichende innere Absicht daher unbeachtlich sein dürfte.52 Entscheidend ist die inhaltliche Gestaltung des Angebots.53
55
Gemäß Erwägungsgrund 23 DSGVO reicht die bloße Möglichkeit, aus der EU heraus mit dem Verantwortlichen, dem Auftragsverarbeiter oder einem Vermittler über eine Webseite, eine E-Mail-Adresse oder auf anderem Wege in Kontakt zu treten, nicht aus, um eine solche Absicht anzunehmen.
56
Erwägungsgrund 23 DSGVO beschreibt jedoch auch Faktoren, die Anhaltspunkte für eine solche Absicht sein können. Dazu gehört die Verwendung einer Sprache, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, in dieser Sprache zu bestellen. Dabei muss es sich jedoch um eine andere Sprache handeln als die, die in dem Drittland gebräuchlich ist, in dem der Verantwortliche niedergelassen ist. Auch die Verwendung der englischen Sprache dürfte aufgrund ihrer weltweiten Gebräuchlichkeit keinen starken Anhaltspunkt bieten. Als weitere Anhaltspunkte werden in dem Erwägungsgrund die Verwendung der Währung eines Mitgliedstaates und die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, genannt.
57
Die Aufzählung der Kriterien in Erwägungsgrund 23 DSGVO ist nicht abschließend. Weitere Kriterien lassen sich aus der Rechtsprechung zu europäischen Vorschriften entnehmen, die schon länger auf das Marktortprinzip abstellen.54 Insbesondere die Pammer- und Alpenhof-Entscheidung des EuGH zu Art. 15 Abs. 1 lit. c. der Brüssel-I-Verordnung ist hierfür relevant und wird in diesem Zusammenhang auch vom Europäischen Datenschutzausschuss herangezogen.55 Dazu gehören zum Beispiel der Betrieb einer nationalen Telefonnummer in einem Mitgliedstaat oder die Verwendung einer länderspezifischen Top-Level-Domain mit Bezug zu einem Mitgliedstaat (z.B. „.de“ für Deutschland oder „.fr“ für Frankreich). Die Kriterien sind in einer Gesamtbetrachtung zu würdigen.
58
Die Feststellung derartiger Kriterien ist in Bezug auf den Verantwortlichen unproblematisch möglich. Der Auftragsverarbeiter hat jedoch auf diese Kriterien in der Regel keinen Einfluss. Sie sind daher nicht geeignet, um auf eine entsprechende Absicht des Auftragsverarbeiters zu schließen. Zudem richtet sich das Angebot eines Auftragsverarbeiters an den Verantwortlichen und besteht