Praxisfälle zum Datenschutzrecht XXXIII: Geschlechtsspezifische Kundenansprache durch einen Onlineshop und Marktortprinzip

II. Musterlösung

1. Anwendbarkeit der DS‑GVO

a) Sachliche Anwendbarkeit

Es ist davon auszugehen, dass in einem Onlineshop wie dem von S typischerweise automatisierte Datenverarbeitungen erfolgen. Da Geschäfte mit Verbraucher/-innen geschlossen werden, werden auch personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS‑GVO verarbeitet durch S. Der sachliche Anwendungsbereich der DS‑GVO (Art. 2) ist damit eröffnet im vorliegenden Fall.

b) Räumliche Anwendbarkeit

aa) Niederlassungsprinzip

Mit Blick auf die räumliche Anwendbarkeit der DS‑GVO gilt im Ausgangspunkt das sog. Niederlassungsprinzip nach Art. 3 Abs. 1 DS‑GVO. Nach der genannten Regelung findet die DS‑GVO Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten
einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Die Anwendbarkeit der DS‑GVO ist also nicht an den Ort der Datenverarbeitung oder die Belegenheit der Mittel in der Union angeknüpft. Das Niederlassungsprinzip soll dem Umstand Rechnung tragen, dass Datenverarbeitungen zunehmend im Ausland erfolgen, etwa bei Inanspruchnahme von Cloud-Diensten.¹ Mangels einer Niederlassung von S in der EU bzw. im EWR ist der Tatbestand von Art. 3 Abs. 1 DS‑GVO hier nicht erfüllt und Art. 3 Abs. 1 DS‑GVO kann die örtliche Anwendbarkeit der DS‑GVO nicht begründen.

bb) Marktortprinzip

Neben einer Niederlassung in der EU kann auch einer der Tatbestände des Art. 3 Abs. 2 DS‑GVO die räumliche Anwendbarkeit der DS‑GVO begründen. Das in Art. 3 Abs. 2 DS‑GVO geregelte sog. Marktortprinzip war eine der wesentlichen Änderungen bei Einführung der DS‑GVO. Hinter dem Marktortprinzip steht die Idee, dass Akteure, die in der Union geschäftlich tätig sind, sich auch an die dort geltenden Datenschutzbestimmungen halten müssen und im Vergleich zu den dort niedergelassenen Anbietern insofern keine Vorteile genießen sollen.² Im Vergleich zur zuvor geltenden Datenschutzrichtlinie (95/46/EG) ergibt sich durch die DS‑GVO ein deutlich weiterer Anwendungsbereich des europäischen Datenschutzrechts.³ Art. 3 Abs. 2 DS‑GVO sieht dabei zwei konkrete Anknüpfungspunkte vor, die zu einer Erstreckung des Anwendungsbereiches der DS‑GVO führen, nämlich zum einen das Angebot von Waren und Dienstleistungen in der EU (lit. a)) und zum anderen die Überwachung des Verhaltens von Personen, soweit dieses Verhalten in der EU erfolgt (lit. b)). Ein Anwendungsfall von Art. 3 Abs. 2 lit. b) DS‑GVO liegt nach der DSK u.a. vor, wenn Internetaktivitäten von Personen nachvollzogen
und etwa Trackingcookies oder sog. „Browser Fingerprints“ zum Zwecke individualisierter bzw. zielgruppenspezifischer Werbung (sog. Behavioural Targeting) eingesetzt werden.⁴ Mangels entsprechender Informationen im Sachverhalt dazu, dass im Zusammenhang mit dem Onlineshop Datenverarbeitungen über die Abwicklung der Onlinebestellungen hinaus stattfinden, ist ein Eingreifen von Art. 3 Abs. 2 lit. b) DS‑GVO vorliegend jedoch abzulehnen.
Maßgeblich mit Blick auf ein Eingreifen von Art. 3 Abs. 2 lit. a) DS‑GVO (Angebot von Waren und Dienstleistungen in
der EU) ist nach ErwG 23 DS‑GVO, ob es der Verantwortliche „offensichtlich beabsichtigt“, betroffenen Personen in einem
oder mehreren Mitgliedstaaten der Union Leistungen anzubieten („Kriterium der Zielgerichtetheit“⁵). Es bedarf einer „deutlich erkennbaren Ausrichtung“ des Angebots auf das Marktgebiet mindestens eines EU-Mitgliedstaats,⁶ wobei es mit Blick auf die Beantwortung der Frage, ob sich ein Angebot gezielt an Europäer/-innen richtet, einer Gesamtbetrachtung aller Umstände des jeweiligen Einzelfalls⁷ bedarf. Konkrete Hinweise zu der Frage, wann die Website eines nicht in der EU niedergelassenen Unternehmens an Personen in der EU gerichtet ist, gibt ErwG 23 S. 3 DS‑GVO, der Folgendes besagt: „Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.“ Vorliegend werden die Produkte von S nicht nur auch mit ihren Europreisen offeriert statt ausschließlich in Schweizer Franken, sondern S informiert auf seiner Website auch aktiv über die Lieferbedingungen mit Blick auf Deutschland und Österreich. Auch letzterer Umstand bildet ein maßgebliches Argument dafür, dass das Unternehmen S Waren gegenüber betroffenen Personen in der EU anbietet.⁸ Die Voraussetzungen von Art. 3 Abs. 2 lit. a) DS‑GVO sind damit hier im Ergebnis als erfüllt anzusehen. Das Unternehmen S ist, obwohl es seinen Sitz in der Schweiz hat und über keine Niederlassung in der EU bzw. im EWR verfügt, verpflichtet, die DS‑GVO zu beachten.

2. Zulässigkeit der Datenverarbeitung zum Zwecke der geschlechtsspezifischen Ansprache

Mit der Zulässigkeit personenbezogener Datenverarbeitung zum Zwecke der geschlechtsspezifischen Ansprache hat sich der EuGH in der Rechtssache C‑394/23⁹ beschäftigt. Gegenstand des Verfahrens war die Praxis des französischen Eisenbahnunternehmens SNCF Connect, seine Kunden und Kundinnen beim Onlinekauf von Fahrkarten zu verpflichten, ihre Anrede als „Monsieur“ oder „Madame“, also „Herr“ oder „Frau“, anzugeben, um die geschäftliche Kommunikation aufgrund er jeweiligen Geschlechtsidentität zu personalisieren. Der EuGH vertrat hierzu die Ansicht, dass eine Datenverarbeitung zu den genannten Zwecken weder objektiv unerlässlich noch wesentlich für die ordnungsgemäße Erfüllung eines Vertrags erscheine und insofern nicht als für die Vertragserfüllung i.S.v. Art. 6 Abs. 1 S. 1 lit. b) DS‑GVO erforderlich angesehen werden könne.¹⁰ Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO als potenzielle Rechtsgrundlage für eine entsprechende Verarbeitung schloss der EuGH zwar nicht kategorisch aus, vielmehr betonte das Gericht, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt i.S.d. DS‑GVO gelten könne, insbes. sei der Begriff nicht auf gesetzlich verankerte und bestimmte Interessen beschränkt.¹¹ Zugleich traf das Gericht aber die Feststellung, dass die Verarbeitung von Anrededaten zu Zwecken der Personalisierung der Kommunikation jedenfalls dann nicht auf Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO gestützt werden könne, wenn

• den Kunden bei Datenerhebung das verfolgte berechtigte Interesse nicht mitgeteilt wurde; oder
• die Verarbeitung nicht innerhalb der Grenzen des zur Verwirklichung des berechtigten Interesses unbedingt Notwendigem bleibt; oder
• in Anbetracht aller relevanten Umstände die Grundrechte und -freiheiten der betroffenen Personen das Verarbeitungsinteresse überwiegen, insbes. wegen der Gefahr der Diskriminierung.¹²

Bemerkenswert ist dabei vor allem der erstgenannte Aspekt, denn hiermit macht der EuGH deutlich, dass aus seiner Sicht eine Verletzung der Transparenzpflichten nach Art. 13 f. DS‑GVO mit Blick auf die verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d) DS‑GVO; Art. 14 Abs. 1 lit. c) DS‑GVO) die Rechtswidrigkeit der Verarbeitung zur Folge haben kann. Die Ausführungen des EuGH sind auf den vorliegenden Fall übertragbar. Laut Sachverhalt ist eine Information durch S mit Blick auf das Interesse, welches mit dem Feld „Ansprache“ verfolgt wird, unterblieben. Selbst wenn man das Interesse an geschlechtsspezifischer Kommunikation als grundsätzlich berechtigt anerkennt, dürfte dies im Übrigen nicht dazu führen, dass Angaben des Geschäftspartners bzw. der Geschäftspartnerin zum Geschlecht erzwungen werden können, noch dazu im Rahmen einer rein binären Auswahl. Insofern stellt sich bereits die Frage, ob eine entsprechende Datenverarbeitung überhaupt erforderlich sein kann i.S.v. Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO, den die mit einer personalisierten Kommunikation bezweckte Kundenbindung dürfte gegenüber solchen Personen, die ungewollt Angaben zum Geschlecht machen müssen, ohnedies nicht erreicht werden können. Unabhängig davon werden jedenfalls die Grundrechte und -freiheiten der betroffenen Personen überwiegen, sofern diese keine Angaben zum Geschlecht machen wollen. Keine Person kann gezwungen sein, Angaben zu aus ihrer Perspektive sensiblen Informationen zu machen, nur damit ein Geschäftspartner, welcher seine Geschäfte auch ohne die Angaben abwickeln kann, sie spezifischer anzusprechen vermag. In seiner Entscheidung führt der EuGH diesbezüglich aus, dass es einem Verantwortlichem freistehe, „diese Gepflogenheiten und gesellschaftlichen Konventionen dadurch einzuhalten, dass er – sei es gegenüber Kunden, die ihre Anrede nicht angeben möchten, sei es generell – allgemeine und inklusive Höflichkeitsformeln verwendet, die in keinem Zusammenhang mit der Geschlechtsidentität dieser Kunden stehen“.¹³ Die nichtgeschlechtergerechte Ausgestaltung des Datenfeldes zur Anrede kann zudem gegen andere spezifische Rechtsvorgaben verstoßen, welche ihrerseits wiederum in einer Wechselwirkung mit dem Datenschutzrecht stehen.
So nahm das LG Frankfurt14 in einem ähnlich gelagerten Fall wie dem, der der EuGH-Entscheidung zugrunde lag, einen Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) an. Ist eine Frage nach AGG unzulässig, so wird sie es regelmäßig auch datenschutzrechtlich sein. Denn personenbezogene Daten dürfen nur nach „Treu und Glauben“ (englische Fassung: „fairly“) erhoben werden, vgl. Art. 5 Abs. 1 lit. a) DS‑GVO. Zudem können nach AGG unzulässige Fragen nicht erforderlich i.S.v. Art. 6 Abs. 1 S. 1 lit. b) DS‑GVO sein bzw. keinen berechtigten Interessen i.S.v. Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO dienen.¹⁵ Die Datenverarbeitung zum Zwecke der geschlechtsspezifischen Ansprache im Ausgangssachverhalt ist damit als unzulässig anzusehen. Das Feld zur Anrede sollte so umgestaltet werden, dass es als zusätzliche Auswahloptionen „divers“ und „keine Angabe“ vorsieht. Dies gilt für die Rechnungsadresse, also die Adresse des Vertragspartners im Rahmen des Kaufvertrags, und erst recht für die Versandadresse. Denn in letzterem Fall ist es nicht einmal die betroffene Person selbst, welche die Daten über die Geschlechtsidentität preisgibt, sondern mit dem Vertragspartner des Onlinehändlers ein Dritter, d.h., ein Dritter würde veranlasst, die betroffene Person ggf. gegen deren Selbstverständnis in das binäre System einzuordnen.

3. Ansprechpartner zum Datenschutz

a) Verpflichtung zur Benennung eines Datenschutzbeauftragten durch S?

Das Schweizer Datenschutzgesetz (SchweizDSG) kennt die Figur des Datenschutzbeauftragten nicht, sieht mit dem Datenschutzberater (Art. 10 SchweizDSG) jedoch eine ähnliche Rolle vor, insbes. agiert dieser auch als „Anlaufstelle für die betroffenen Personen“. Die Benennung eines Datenschutzberaters stellt für private Verantwortliche, wie z.B. Unternehmen, nach dem Recht der Schweiz aber lediglich eine Option dar, keine Pflicht. Die Vorgaben der DS‑GVO verpflichten S ebenfalls nicht dazu, einen Datenschutzbeauftragten zu benennen, zu dessen Aufgaben es u.a. gehören würde, als Ansprechpartner für die betroffenen Personen zur Verfügung zu stehen (Art. 38 Abs. 4 DS‑GVO). Zwar hat das Unternehmen S trotz Sitz in der nicht zur EU gehörigen Schweiz hier im Grundsatz die Vorgaben der DS‑GVO zu erfüllen, denn, wie ausführlich dargestellt,¹⁶ sind im vorliegenden Fall die Voraussetzungen des Marktortprinzips nach Art. 3 Abs. 2 DS‑GVO erfüllt, so dass die DS‑GVO unabhängig davon zur Anwendung kommt, dass S über keine Niederlassung in der EU verfügt. Es ist aber bereits nicht eindeutig, ob dies auch dazu führt, dass S die Bestimmungen aus Art. 37 ff. DS‑GVO zu beachten hat. Denn zum Teil wird ein „all-or-nothing“-Ansatz, bei dem Verantwortliche und Auftragsverarbeiter, welche die Voraussetzungen von Art. 3 Abs. 2 DS‑GVO erfüllen, uneingeschränkt dasselbe Pflichtenprogramm trifft wie Verantwortliche oder Auftragsverarbeiter mit Niederlassung in der EU, kritisch gesehen und insoweit für eine „nuancierte Anwendung“ der DS‑GVO plädiert, u.a. mit Blick auf die Pflicht zur Benennung eines Datenschutzbeauftragten.17 Im Ergebnis kann die Beantwortung der Frage, ob eine Einschlägigkeit von Art. 3 Abs. 2 DS‑GVO auch zur Anwendung der Art. 37 ff. DS‑GVO auf den Schweizer Onlineshop führt, allerdings dahinstehen, da es im konkreten Fall keine Anhaltspunkte dafür gibt, dass die Voraussetzungen für eine Benennungspflicht nach Art. 37 Abs. 1 lit. b) oder c) DS‑GVO hier erfüllt wären. Eine Benennungspflicht nach § 38 Abs. 1 BDSG kann sich vorliegend angesichts der geringen Zahl der Beschäftigten (Abs. 1 S. 1 der Regelung) sowie mangels Einschlägigkeit eines Tatbestandes, der eine schwellenwertunabhängige Benennungspflicht (Abs. 1 S. 2 der Regelung) auslösen würde, ebenfalls nicht ergeben. Ohnehin könnte sich eine Anwendbarkeit des BDSG nur über § 1 Abs. 4 S. 2 Nr. 3 BDSG ergeben, dessen Regelungsintention allerdings unklar und von dem fraglich ist, ob er europarechtskonform ist.18 Auch mit Blick auf die Anwendung des BDSG würde sich schließlich die Frage stellen, ob diesbezüglich ein „all-or-nothing“-Ansatz gilt oder es der nuancierten Betrachtung bedarf mit Blick die einzelnen Pflichten.

b) Verpflichtung zur Benennung eines Vertreters in der
EU gem. Art. 27 DS‑GVO

Nach Art. 27 Abs. 1 DS‑GVO haben Verantwortliche bzw. Auftragsverarbeiter, die nicht über eine Niederlassung in der EU bzw. im EWR verfügen, für die über Art. 3 Abs. 2 DS‑GVO aber gleichwohl der Anwendungsbereich der DS‑GVO eröffnet ist, schriftlich einen Vertreter in der EU zu benennen. Dies gilt insofern auch für das Unternehmen S im vorliegenden Fall. Art. 27 DS‑GVO bildet ein Element im System der Geltung und Durchsetzung der DS‑GVO in Drittländern.¹⁹ Der Vertreter nach Art. 27 DS‑GVO soll den Verantwortlichen bzw. Auftragsverarbeiter mit Blick auf die nach der DS‑GVO bestehenden Pflichten vertreten, insbesondere als Anlaufstelle für die Datenschutzaufsichtsbehörden in den EU-Mitgliedstaaten
fungieren (ErwG 80 S. 2, 3 und 5 DS‑GVO).²⁰ Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters soll nach ErwG 80 S. 6 DS‑GVO der bestellte Vertreter dabei selbst „Durchsetzungsverfahren“ unterworfen sein.²¹ Nach dem expliziten Wortlaut von Art. 27 Abs. 4 DS‑GVO soll der Vertreter in der EU darüber hinaus auch den von der Datenverarbeitung Betroffenen als Anlaufstelle mit Bezug auf sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der Verordnung dienen. Der Vertreter nach Art. 27 DS‑GVO hat keine eigenen Entscheidungsbefugnisse, sondern handelt nach Weisung des Vertretenen (vgl. ErwG 80 S. 5 DS‑GVO).22 So trifft ihn etwa
keine Verantwortung dafür, dass bei ihm geltend gemachte Betroffenenrechte entsprechend erfüllt werden.23 Als „EUBriefkasten“²⁴ des Verantwortlichen bzw. Auftragsverarbeiters ist der Vertreter nach Art. 27 DS‑GVO grundsätzlich nur für die Weiterleitung der Anträge verantwortlich.25 Strittig ist, ob Datenschutzbeauftragte zulässigerweise auch die Rolle als Vertreter nach Art. 27 DS‑GVO wahrnehmen können. Der EDSA²⁶ und die wohl hM²⁷ in der Literatur lehnen dies mit der Begründung des Bestehens von Interessenkonflikten ab. Hauptargument in diesem Kontext ist, dass der Vertreter lediglich im Rahmen seines Auftrages und entsprechend nach Weisung der benennenden Stelle tätig wird, der Datenschutzbeauftragte hingegen weisungsfrei ist.²⁸

* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.
¹ Taeger/Gabel/Schmidt, DS‑GVO – BDSG – TTDSG, 4. Aufl. 2022, DS‑GVO Art. 3 Rn. 7; Ehmann/Selmayr/Zerdick, Datenschutz-Grundverordnung, 3. Aufl. 2024, DS‑GVO Art. 3 Rn. 4.
² Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Datenschutzrecht, 2. Aufl. 2025, DS‑GVO Art. 3 Rn. 4.
³ Kühling/Buchner/Klar, DS‑GVO BDSG, 4. Aufl. 2024, DS‑GVO Art. 3 Rn. 1.
⁴ DSK, Kurzpapier Nr. 7 „Marktortprinzip: Regelungen für außereuropäische Unternehmen“, Stand: 17.12.2018, S. 2.
⁵ EDSA, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DS‑GVO (Artikel 3), Vers. 2.0 v. 12.11.2019, S. 15 ff.
⁶ Kühling/Buchner/Klar, DS‑GVO Art. 3 Rn. 81.
⁷ Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Teil 3 Rn. 32.
⁸ Kühling/Buchner/Klar, DS‑GVO Art. 3 Rn. 84.
⁹ EuGH, Urt. v. 09.01.2025 – C‑394/23.
¹⁰ EuGH, Urt. v. 09.01.2025 – C‑394/23 Leitsatz 1.
¹¹ EuGH, Urt. v. 09.01.2025 – C‑394/23 Rn. 46.
¹² EuGH, Urt. v. 09.01.2025 – C‑394/23 Leitsatz 1.
¹³ EuGH, Urt. v. 09.01.2025 – C‑394/23 Rn. 57.
¹⁴ LG Frankfurt a.M., Urt. v. 26.08.2021 – 2-30 O 154/20.
¹⁵ Vgl. hierzu auch Reif, Praxisfälle zum Datenschutzrecht XVII: Gastzugang und Anrede beim Onlineshop, RDV 2022, 202 (203).
¹⁶ Vgl. iE unter 1. b) bb).
¹⁷ Kühling/Buchner/Klar, DS‑GVO Art. 3 Rn. 3 (Fn. 4).
¹⁸ Gola/Heckmann/Gola/Reif, DS‑GVO – BDSG, 3. Aufl. 2022, BDSG § 1 Rn. 18.
¹⁹ Simitis/Hornung/Spiecker gen. Döhmann/Hornung, DS‑GVO Art. 27 Rn. 1.
²⁰ Allgemein zur Pflicht zur Benennung von EU-Vertretern im europäischem Digitalrecht Voigt/Bastians, MMR 2022, 930.
²¹ Was dies im Detail bedeutet, ist nicht abschließend geklärt. Fraglich ist insbes., inwieweit sich neben Auskunftsersuchen nach Art. 58 Abs. 1 lit. a) DS‑GVO auch andere Befugnisse der Behörden gegen den Vertreter richten können, insbes., ob gegen den Vertretenen verhängte Bußgelder gegen den Vertreter durchgesetzt werden können, vgl. dazu Kühling/Buchner/Hartung, DS‑GVO Art. 27 Rn. 21.
²² Ehmann/Selmayr/Bertermann, DS‑GVO Art. 27 Rn. 13; Simitis/Hornung/Spiecker gen. Döhmann/Hornung, DS‑GVO Art. 27 DS‑GVO Rn. 28; Taeger/Gabel/ Lang, DS‑GVO Art. 27 Rn. 46; Gola/Heckmann/Piltz, DS‑GVO Art. 27 Rn. 34.
²³ Ehmann/Selmayr/Bertermann, DS‑GVO Art. 27 Rn. 13; Lantwin, ZD 2019, 14 (16); Simitis/Hornung/Spiecker gen. Döhmann/Hornung, DS‑GVO Art. 27 DS‑GVO Rn. 28.
²⁴ Lantwin, ZD 2019, 14 (18).
²⁵ Werden der benannten Person über den originären Pflichtenkreis nach Art. 27 DS‑GVO hinaus entsprechende Entscheidungsbefugnisse übertragen, kann dies dazu führen, dass eine EU-Niederlassung i.S.v. Art. 3 Abs. 1 DS‑GVO begründet wird und es eines Vertreters nach Art. 27 DS‑GVO nicht mehr bedarf, vgl. Simitis/Hornung/Spiecker gen. Döhmann/Hornung, DS‑GVO Art. 27 DS‑GVO Rn. 28.
²⁶ EDSA, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DS‑GVO (Art. 3), Vers. 2.0 v. 12.11.2019, S. 28 f.
²⁷ Vgl. insoweit die Nachweise bei Ehmann/Selmayr/Bertermann, DS‑GVO Art. 27 Rn. 17, der selbst die entgegengesetzte Ansicht vertritt.
²⁸ Ehmann/Selmayr/Bertermann, DS‑GVO Art. 27 Rn. 17.