Rz. 2
Art. 3 DSGVO regelt den räumlichen Anwendungsbereich der DSGVO. Dabei besteht das rechtspolitische Ziel darin, alle Sachverhalte mit EU-Bezug einem einheitlichen Datenschutzniveau zu unterwerfen.
I. Niederlassungsprinzip (Art. 3 Abs. 1 DSGVO)
Rz. 3
Die DSGVO findet auf die Verarbeitung personenbezogener Daten Anwendung, soweit diese im Rahmen der Tätigkeit einer EU-Niederlassung stattfindet (Art. 3 Abs. 1 Hs. 1 DSGVO). Jene setzt eine feste Einrichtung in der EU voraus, von der eine tatsächliche Tätigkeit ausgeht. Sobald Personen dauerhaft an einem festen Arbeitsort in der EU arbeiten, wird regelmäßig von einer EU-Niederlassung auszugehen sein. Ein bloßer Briefkasten dürfte allein noch nicht genügen. Unerheblich ist dabei, wo die Datenverarbeitung stattfindet, welche Rechtsform das Unternehmen hat und ob sich der Unternehmenssitz in der EU befindet – wobei freilich ein satzungsmäßiger Sitz in der EU stets zur Annahme einer EU-Niederlassung i.S.v. Art. 3 Abs. 1 DSGVO führt.
Rz. 4
Die EU-Niederlassung muss nach dem Wortlaut von Art. 3 Abs. 1 Hs. 1 DSGVO ("im Rahmen der Tätigkeit") nicht selbst datenverarbeitend sein, damit der räumliche Anwendungsbereich der DSGVO eröffnet ist. Richtigerweise genügt schon die gezielte Förderung der Datenverarbeitung des Nicht-EU-Mutterkonzerns, etwa durch Anzeigenvertrieb. Dieses Ergebnis steht im Einklang mit Art. 3 Abs. 1 Hs. 2 DSGVO, wonach der physische Datenverarbeitungsort gerade keine Rolle spielen soll.
Für das externe Crowdsourcing bedeutet dies: Die Anwendbarkeit von Art. 3 Abs. 1 DSGVO hängt entscheidend davon ab, ob es sich beim Plattformbetreiber bzw. Auftraggeber um eine EU-Niederlassung handelt. Daher fällt die allein in Kalifornien verankerte Plattform auch dann nicht unter Art. 3 Abs. 1 DSGVO, wenn sie Online-Aufträge vergibt, die (auch) in deutschen Wohnzimmern bearbeitet werden. Beschäftigt hingegen eine deutsche Plattform beispielsweise in Indien tätige Software-Entwickler unter Einsatz russischer Server, so kommt Art. 3 Abs. 1 DSGVO zum Tragen.
II. Marktortprinzip (Art. 3 Abs. 2 DSGVO)
Rz. 5
Art. 3 Abs. 2 DSGVO erstreckt den räumlichen Anwendungsbereich der DSGVO auf das sog. "Targeting" von Personen, die sich innerhalb der EU befinden. Danach findet die DSGVO auf zwei Fälle Anwendung, in denen ein außereuropäisches Unternehmen personenbezogene Daten verarbeitet:
1. Anbieten von Waren und Dienstleistungen
Rz. 6
Einerseits genügt für die Anwendbarkeit der DSGVO, "Personen in der Union Waren oder Dienstleistungen anzubieten" und in diesem Zusammenhang personenbezogene Daten zu verarbeiten. Der Waren- und Dienstleistungsbegriff ist hierbei im Sinne der Art. 28 f., 56 ff. AEUV weit zu verstehen. Entscheidend ist, dass die Nicht-EU-Niederlassung über die bloße Zugänglichkeit einer Website hinaus offensichtlich beabsichtigt, Personen in der EU ihre Leistungen anzubieten. Dies muss im Einzelfall etwa anhand der verwendeten Sprache, Währung oder der zu Werbezwecken erwähnten Kunden ermittelt werden.
Crowdsourcing einer Nicht-EU-Niederlassung wird vom insoweit eindeutigen Wortlaut des Art. 3 Abs. 2 lit. a DSGVO nicht erfasst. Denn über die Crowdsourcing-Plattform werden dem Crowdworker gerade keine Dienstleistung angeboten. Im Gegenteil: Über die Plattform sollen Leistungen vom Crowdworker erworben werden.
2. Verhaltensbeobachtung
Rz. 7
Andererseits kommt die DSGVO zu Anwendung, wenn im Zusammenhang mit der Datenverarbeitung Personen beobachtet werden, deren Verhalten in der EU erfolgt. An die Annahme einer solchen Verhaltensbeobachtung sind hohe Anforderungen zu stellen. Einmalige und punktuelle Maßnahmen reichen nicht aus. Vielmehr muss die Internetaktivität einer Person nachvollzogen und hiermit ein individuelles Profil erstellt werden, anhand dessen persönliche Vorlieben, Verhaltensweisen und Gepflogenheiten analysiert und vorausgesagt werden sollen. Mit anderen Worten muss die digitale Spur des Betroffenen systematisch nachverfolgt und aufbereitet werden.
Zweck der Beobachtung und Staatsangehörigkeit der Beobachteten sind irrelevant. Daher werden von Art. 3 Abs. 2 lit. b DSGVO auch solche Nicht-EU-Niederlassungen erfasst, die eine betroffene Person vorübergehend in der EU beschäftigten und diese dabei (vom Ausland aus) ausreichend intensiv beobachten. Dies könnte z.B. auf asiatische Unternehmen zutreffen, die ihre möglicherweise digital gläsernen Mitarbeiter zu einem Messebesuch nach Deutschland schicken.
Ob Crowdsourcing durch eine Nicht-EU-Niederlassung unter Art. 3 Abs. 2 lit. b DSGVO fällt, hängt im Einzelfall von der Intensität der Verhaltensbeobachtung sowie etwa der Länge der Vertragsbeziehung ab. B...