1. Niederlassung
8
Zur Bestimmung der territorialen Anwendbarkeit der DSGVO gemäß Art. 3 Abs. 1 DSGVO gilt ein modifiziertes Sitzprinzip beziehungsweise ein Sitz- und Niederlassungsprinzip. Abzustellen ist nach dem Wortlaut der Norm auf die Belegenheit der Niederlassung, in deren Kontext personenbezogene Daten verarbeitet werden. Befindet sich diese in der Union, findet die DSGVO Anwendung. Ob der Verantwortliche oder Auftragsverarbeiter zusätzlich zu der Niederlassung, in deren Kontext die Verarbeitung erfolgt, weitere Niederlassungen oder seinen Hauptsitz in einem Drittstaat außerhalb der Union hat, ist für die Bestimmung der territorialen Anwendbarkeit der DSGVO nicht relevant.9 Insbesondere ist für die Bestimmung der territorialen Anwendbarkeit nicht auf den offiziellen Sitz des Verantwortlichen, etwa gemäß dem Handelsregister abzustellen.10 Auch wenn Verarbeitungen durch Verantwortliche oder deren Niederlassungen in der Union technisch von Dienstleistern in Drittstaaten ausgeführt werden oder durch den Verantwortlichen oder die Niederlassung selbst auf Hardwarekomponenten außerhalb der Union ausgeführt werden, bleibt die DSGVO anwendbar. Eine Flucht aus der Anwendbarkeit der DSGVO durch IT-Outsourcing ist für Verantwortliche beziehungsweise deren Niederlassungen in der Union nicht möglich.
9
Die Verarbeitung personenbezogener Daten im Zusammenhang mit Tätigkeiten am eingetragenen Sitz fallen natürlich auch weiter in den territorialen Anwendungsbereich der DSGVO. Die DSGVO benennt diese nicht ausdrücklich. Dogmatisch lässt sich dies aus einer teleologischen Erweiterung des Begriffs der Niederlassung begründen. Wenn schon die Verarbeitung im Zusammenhang mit der Tätigkeit einer Niederlassung erfolgt, muss dies erst recht für Verarbeitungen im Zusammenhang mit Tätigkeiten des Sitzes gelten. Alternativ wird vorgeschlagen, den Begriff des Sitzes als Unterfall der Niederlassung im Sinne der Norm zu qualifizieren und daraus die Anwendbarkeit der DSGVO für Verarbeitungen im Zusammenhang mit Tätigkeiten am eingetragenen Sitz zu begründen.11 Unabhängig von der dogmatischen Begründung findet die DSGVO aber im gleichen Maße auf Verarbeitungen am eingetragenen Sitz, wie an einer Niederlassung, Anwendung.
10
Der Begriff der Niederlassung ist anders als der Begriff der Hauptniederlassung (siehe Art. 4 Rn. 421ff.) im Text der DSGVO nicht legaldefiniert, wird aber in ErwG 22 angesprochen. Eine Niederlassung setzt danach die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.12 Die DSGVO knüpft damit an das Begriffsverständnis von ErwG 19 DSRl an. Ob eine Niederlassung rechtlich selbstständig ist, eigene Rechtspersönlichkeit hat oder in die Organisation des Verantwortlichen eingebunden ist, spielt keine Rolle.13 Die Einrichtung muss aber aktiv – wenn auch geringfügig – in die Tätigkeiten zur Verarbeitung personenbezogener Daten des Verantwortlichen einbezogen sein.14 Der Begriff der Niederlassung ist unionsautonom auszulegen und nicht inhaltsgleich mit dem Begriff der Niederlassung im Sinne der Niederlassungsfreiheit des Art. 49 AEUV oder der gewerberechtlichen Niederlassung im Sinne des § 4 Abs. 3 GewO.15 Der Begriff ist nicht formalistisch zu verstehen, sondern entsprechend der Interpretation des EuGH flexibel auszulegen.16 Eine Niederlassung kann danach bereits vorliegen, wenn ein Vertreter des Verantwortlichen sich in der Union befindet und in die Verarbeitung einbezogen ist.17 Eine Niederlassung kann daher etwa eine Tochtergesellschaft, ein Marketing- oder Vertriebsbüro, eine Gesellschaft mit einem Vertreter und einem Bankkonto18 oder eine Zweigniederlassung oder Tochtergesellschaft zur Förderung des Vertriebs von Werbeflächen eines Suchmaschinenbetreibers19 sein. Auf die Rechtsform kommt es dabei nicht an.20
11
Nicht hinreichend für die Begründung einer Niederlassung ist das Vorliegen von Hardwarekomponenten wie Servern oder Rechnern ohne Personal, Organisation oder bauliche Substanz21 oder rein technische oder rechtliche Stützpunkte ohne menschliche Aktivität, wie Briefkastenfirmen.22 Nicht hinreichend ist ebenfalls die bloße Abrufbarkeit einer Webseite aus dem Inland23 oder die Bestellung eines Inlandsvertreters gemäß Art. 27 DSGVO.24 Mit der Beauftragung eines Auftragsverarbeiters in der Union entsteht ebenfalls keine Niederlassung.25 Auch Einrichtungen, die nur eingeschränkt beständig sind, wie Messestände oder mobile Geschäftsstätten begründen keine Niederlassung.26 Ebenfalls keine Niederlassung begründet der Einsatz von Personal ohne Beständigkeit, wie die Entsendung von Geschäftsreisenden oder Messevertretern.27
2. Zuordnung von Verarbeitungen zu einer Niederlassung
12
Die Verarbeitung personenbezogener Daten muss „im Rahmen der Tätigkeiten einer Niederlassung“ erfolgen.28 Diese Zuordnung der konkreten Verarbeitung zu einer Niederlassung ist einzelfallspezifisch vorzunehmen, wobei die Voraussetzungen weit zu verstehen sind, um durch die daraus folgende Anknüpfung zum Recht der Jurisdiktion, in der die Niederlassung belegen ist (einschließlich des Rechts der Union), einen umfassenden Schutz der Grundrechte und Grundfreiheiten der Betroffenen zu gewährleisten.29 Entscheidend für die Zuordnung einer Tätigkeit zu einer Niederlassung sind Maß und Umfang der Beteiligung der Niederlassung an der Aktivität zur Verarbeitung personenbezogener Daten.30 Neben der Zuordnung der Verarbeitung zur Tätigkeit der Niederlassung muss eine Zuordnung zu dem Verantwortlichen möglich sein,31 sonst handelt es sich nämlich im Zweifel um eine Verarbeitung der Niederlassung, für die sie selbst datenschutzrechtlich verantwortlich ist. Wo die Verarbeitung tatsächlich geografisch erfolgt oder wo personenbezogene Daten tatsächlich physisch liegen, ist unerheblich.
3. Beauftragung von Auftragsverarbeitern in der Union
13
Der Wortlaut des Art. 3 Abs. 1 DSGVO wird teilweise so verstanden, dass die Beauftragung eines Auftragsverarbeiters in der Union durch einen Verantwortlichen außerhalb der Union zur Anwendbarkeit der DSGVO führe, auch wenn die Voraussetzungen des Art. 3 Abs. 2 DSGVO nicht erfüllt sind, also außer der Beauftragung eines Auftragsverarbeiters in der Union keine weitere territoriale Anknüpfung zum Recht der Union und der Mitgliedstaaten besteht.32 Für die Begründung der Anwendbarkeit der DSGVO käme es dann nicht mehr auf eine Verbindung des datenschutzrechtlich Verantwortlichen selbst zum Gebiet der Union oder der Mitgliedstaaten an. Dieses Ergebnis muss aus der Perspektive des Verantwortlichen außerhalb der Union überraschen, der personenbezogene Daten von Personen ohne inhaltlichen Bezug zur Union verarbeitet. Warum soll etwa ein Verantwortlicher in den USA, der im Zweifel zufällig Dienste eines Auftragsverarbeiters oder eines Unterauftragsverarbeiters in der Union nutzt, für die Verarbeitung dieser personenbezogenen Daten europäisches Datenschutzrecht beachten müssen? Richtigerweise ist der Wortlaut des Art. 3 Abs. 1 DSGVO daher so zu verstehen, dass die Anwendbarkeit der DSGVO auf Verantwortliche und Auftragsverarbeiter separat bestimmt werden und Vorschriften der DSGVO auf den Auftragsverarbeiter in der Union Anwendung findet, soweit dieser Adressat datenschutzrechtlicher Pflichten ist.33 Die Beauftragung eines Auftragsverarbeiters in der Union führt jedoch nicht zur Anwendbarkeit der DSGVO auf den Verantwortlichen außerhalb der Union, der personenbezogene Daten ohne inhaltlichen Bezug zur Union durch diesen Auftragsverarbeiter verarbeiten lässt.34
14
Für diese Ansicht sprechen die Entstehungsgeschichte des Art. 3 Abs. 1 DSGVO und die Regelungsintention des europäischen Gesetzgebers.35 Nach Art. 4 Abs. 1 DSRl war die Anwendbarkeit des Datenschutzrechts primär nach dem Sitz des Verantwortlichen zu bestimmen. Verantwortliche außerhalb der Union mussten europäisches Datenschutzrecht nur beachten, soweit sie dies im Rahmen einer Niederlassung in der Union taten. Mit der Regelung in Art. 3 Abs. 1 DSGVO sollten die Anforderungen zur Anwendbarkeit des europäischen Datenschutzrechts aus der Google/Spain-Entscheidung des EuGH36 umgesetzt werden