Eines der Kernanliegen der Datenschutz-Grundverordnung (DSGVO) ist, dass natürliche Personen die Kontrolle über ihre eigenen personenbezogenen Daten innehaben. Eine transparente Verarbeitung dieser Daten soll dies sicherstellen. Das mutmaßlich wichtigste Instrument hierfür sind die sog. „Betroffenenrechte“ nach Art. 12-23 DSGVO, wobei insbesondere das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO) in der Praxis Anwendung finden. Oftmals unbekannt ist der Wirkungsbereich dieser Betroffenenrechte, welcher weit über die Grenzen der EU bzw. des EWR hinausgeht.
Ausgangslage: Das Marktortprinzip garantiert Betroffenenrechte auch außerhalb der EU bzw. dem EWR
Der räumliche Anwendungsbereich der DSGVO wird in Art. 3 der Verordnung festgelegt. Dieser umfasst zunächst alle Datenverarbeitungen von verantwortlichen Stellen oder Auftragsverarbeitern, welche eine Niederlassung in der EU bzw. dem EWR betreiben (Abs. 1). Die Geltendmachung von Betroffenenrechten an sich sollte demnach möglich sein, da diese Niederlassungen in der Regel mit entsprechenden Firmenadressen und Internetauftritten verbunden sind.
Weiterhin gilt der räumliche Anwendungsbereich der DSGVO auch für verantwortliche Stellen und Auftragsverarbeiter, die zwar keine Niederlassung in der EU bzw. dem EWR betreiben, aber dort Waren oder Dienstleistungen anbieten und dadurch personenbezogene Daten von Personen verarbeiten, die sich in der EU bzw. dem EWR aufhalten (Abs. 2, lit. a). Auch solche verantwortlichen Stellen (i.d.R. Unternehmen) können demnach Adressat einer Betroffenenanfrage nach der DSGVO sein.
Hürden bei der Geltendmachung von Betroffenenrechten im Drittland
Wollen betroffene Personen eines ihrer Rechte gemäß Art. 15-22 DSGVO bei einer verantwortlichen Stelle geltend machen, welche keine Niederlassung in der Europäischen Union hat, kann dies mit einigen Problemen und Risiken verbunden sein.
Ganz offensichtlich können die Sprache und Schriftzeichen im Herkunftsland der verantwortlichen Stelle ein Hindernis darstellen, sofern keine oder keine angemessenen Übersetzungsmöglichkeiten bereitgestellt werden. Somit ist es bereits oft nicht möglich, eine Anlaufstelle (Firmenadresse oder Internetauftritt) für Betroffenenanfragen ausfindig zu machen. Zusätzlich ist es nicht auszuschließen, dass bspw. eine Auskunft über Datenverarbeitung ausschließlich in der eigenen Landessprache bereitgestellt wird.
Weiterhin stellt die Prüfung und Umsetzung einer Betroffenenanfrage selbst eine neue Datenverarbeitung dar. Um die Überprüfung der Identität der betroffenen Person sicherzustellen, können sensible Daten verarbeitet werden (bspw. die Kopie eines Personalausweises oder die Verifizierung via Video-Call). Solche Prüfungen können aufgrund lokaler Bestimmungen anderen technischen und organisatorischen Schutzmaßnahmen unterliegen. Auch die rechtlichen Möglichkeiten des Zugriffs durch staatliche Behörden müssen dabei berücksichtigt werden.
Außerdem kann die adäquate Umsetzung nicht sichergestellt werden. So könnten aufgrund nationaler Bestimmungen bestimmte Datenverarbeitungen von einer Auskunft ausgeschlossen sein oder die Löschung von Daten ist aufgrund gesetzlicher Aufbewahrungsfristen und trotz Wegfall der Zweckbindung im Drittland nicht möglich. Ggf. wird auf solche Einschränkungen gar nicht mal hingewiesen, was dem Grundsatz der Transparenz widersprechen würde. Die Möglichkeit hiergegen dann Rechtsmittel einzulegen kann ebenso beschränkt sein bzw. ist mit weiteren Hürden verbunden.
Diese Rechtsunsicherheit sollte allen betroffenen Personen unbedingt bewusst sein, bevor sie ein Betroffenenrecht geltend machen (bzw. am besten bereits, bevor sie solche Dienste überhaupt nutzen). Über konkrete Bedenken im Hinblick auf die Erfüllung von Betroffenenrechten in Drittländern berichteten wir bereits auf diesem Blog (s. hier).
Der „DSGVO-Vertreter“ als Anlaufstelle
Ein Betroffenenrecht bei einer verantwortlichen Stelle in einem Drittland umzusetzen kann also mit einem hohen Maß an Eigeninitiative und Rechtsunsicherheit verbunden sein. Um dem entgegenzuwirken hat der Gesetzgeber etwas Abhilfe geschaffen. Denn solche verantwortlichen Stellen und sofern die Verarbeitung nicht „gelegentlich“ erfolgt, sind nach Art. 27 DSGVO verpflichtet einen sog. „DSGVO-Vertreter“ mit Sitz in der EU bzw. dem EWR zu benennen. Dieser Vertreter soll gemäß Abs. 4 den „betroffene[n] Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung [der DSGVO] als Anlaufstelle“ dienen. Ein zentrales Element sollte hierbei auch die Koordinierung von Betroffenenanfragen darstellen. Hierzu gehört auch der Hinweis über mögliche Risiken bei Datenübermittlungen in das konkrete Drittland. Dass eine Betroffenenanfrage i.S.d. DSGVO dann auch erfüllt wird, kann durch den Vertreter hingegen nicht sichergestellt werden.
Weitere Informationen zu dem DSGVO-Vertreter nach Art. 27 DSGVO finden Sie hier.
Fazit
Der Wirkungsbereich aber auch die Grenzen der europäischen Grundrechte werden am Beispiel der Geltendmachung von Betroffenenrechten der DSGVO bei verantwortlichen Stellen in einem Drittland, und ohne Niederlassung in der EU bzw. dem EWR, deutlich. Das Risiko, die Kontrolle über die eigenen Daten zu verlieren, dürfte bei solchen Übermittlungen grundsätzlich höher wiegen. Ursächlich dafür können sprachliche Hürden, fehlende Transparenz, Rechtsmittelbeschränkungen oder ein grundsätzlich anderes Verständnis von Datenschutz als ein Grundrecht natürlicher Personen sein.