Räumlicher Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO)

Anwendungsbereich der Datenschutz-Grundverordnung

Mit der Datenschutz-Grundverordnung (DS-GVO), die am 25. Mai 2018 die bisher geltende Datenschutzrichtlinie 95/46/EG ersetzt, erweitert sich auch der bisher geltende räumliche Anwendungsbereich der europäischen Datenschutzregeln. Was genau darunter zu verstehen ist und welche Auswirkungen damit verbunden sind, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

Sitzstaatprinzip und Territorialprinzip Bisher geltende Regelung durch die RL 95/46/EG 

Das derzeitige Bundesdatenschutzgesetz (BDSG) setzt die europäische Datenschutzrichtlinie (RL 95/46/EG) in Deutschland um. Demnach findet, dass BDSG Anwendung, wenn eine verantwortliche Stelle ihren Sitz (kann auch eine Niederlassung sein) in Deutschland hat (sog. Territorialprinzip). Nach dem Territorialprinzip gilt das Datenschutzrecht des jeweiligen Landes, in dem die verantwortliche Stelle ihren Sitz hat. Befindet sich die verantwortliche Stelle jedoch in einem anderen EU-Mitgliedstaat oder im EWR und erhebt, verarbeitet oder nutzt personenbezogene Daten in Deutschland, es sei denn, dies erfolgt durch eine Niederlassung im Deutschland, so gilt das Recht des jeweiligen Mitgliedstaates (sog. Sitzstaatsprinzip).

Mit der Datenschutz-Grundverordnung (DS-GVO wird allerdings das sog. Marktortsprinzip gelten und die bisher angewendeten Prinzipien ablösen.

Marktortsprinzip nach Art. 3 DS-GVO – Was ist das?

Beim Marktortprinzip hängt das anzuwendende Recht vom entsprechenden Zielland, auf das sich ein Angebot von Waren- und Dienstleistungen richtet, ab. Geregelt wird das Marktortsprinzip im Art. 3 DS-GVO, der Auskunft über den räumlichen Anwendungsbereich der DS-GVO gibt. Demnach gilt die DS-GVO, wenn

  • der Verantwortliche (vormals verantwortliche Stelle) oder Auftragsverarbeiter eine Niederlassung in der Union hat, unabhängig davon, ob die Verarbeitung in der Union stattfinden;
  • der Verantwortliche oder Auftragsverarbeiter keine Niederlassung innerhalb der Union hat, jedoch die Datenverarbeitung im Zusammenhang damit steht
    • betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    • das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  • der Verantwortliche keine Niederlassung innerhalb der Union hat, jedoch aufgrund des Völkerrechts dem Recht eines europäischen Mitgliedsstaats unterliegt.

Welche Bedeutung die neue Regelung für Unternehmen innerhalb sowie außerhalb der EU hat und was für weitere Kriterien eine Rolle spielen könnten, wird in den nachfolgenden Punkten näher erläutert.

Unternehmen innerhalb der EU

Gemäß Art. 3 Abs.1 DS-GVO ist das Vorhandensein einer Niederlassung innerhalb der EU von Bedeutung, wobei der Ort der Verarbeitung keine Rolle mehr spielt. Hat folglich ein Verantwortlicher oder Auftragsverarbeiter seine Niederlassung innerhalb der Europäischen Union, so findet der Art. 3 Abs. 1 DS-GVO auch für diese Anwendung. Anhaltspunkte, wann eine Niederlassung im Sinne des Art. 3 Abs. 1 DS-GVO vorliegt, können aus dem Erwägungsgrund 22 abgeleitet werden. Demnach setzt eine Niederlassung

„[…] die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.“

Ausschlaggebend für eine Niederlassung ist folglich, dass es sich um eine feste Einrichtung handelt, die eine effektive und tatsächliche Ausübung einer Tätigkeit gestattet. Es wird jedoch schwierig sein, dies im Einzelfall zu ermitteln, da Abteilungen innerhalb eines Unternehmens im rechtlichen Sinne auch als „Niederlassungen“ angesehen werden können. Weiterhin von Bedeutung ist, ob die Verarbeitung im Rahmen der Tätigkeit der Niederlassung erfolgt. Die Rechtsform der Einrichtung, beispielsweise ob es sich um eine Tochtergesellschaft mit eigener Rechtspersönlichkeit oder um eine Zweigstelle handelt, ist hingegen für die Ermittlung einer Niederlassung irrelevant.

Unternehmen in einem Drittland

Hat der Verantwortliche seine Niederlassung außerhalb der EU, ist Art. 3 Abs. 2 DS-GVO zu beachten. Demnach ist die DS-GVO anzuwenden, wenn der Betroffene der Verarbeitung sich innerhalb der EU aufhält. Es spielt dabei keine Rolle, ob:

  • dessen Aufenthalt innerhalb der EU dauerhaft ist (z.B. Urlaub oder Geschäftsreise reicht aus)
  • welche Staatsangehörigkeit dieser hat
  • oder ob dieser Unionsbürger ist,

damit die DS-GVO Anwendung findet.

Die Verarbeitung von Daten im Hinblick auf das Angebot von Waren- oder Dienstleistungen 

Weiterhin regelt der Art. 3 Abs. 2 lit. a DS-GVO, dass die Verarbeitung von personenbezogenen Daten mit einem Angebot von Waren und Dienstleistungen innerhalb der Union im Zusammenhang stehen muss. Dem Betroffenen muss dabei kein konkretes Angebot offeriert werden, damit die DS-GVO greift.

Ausschlaggebend für die Anwendung der DS-GVO ist, dass der Auftragsverarbeiter oder Verantwortliche „offensichtlich“ beabsichtig seine Waren- oder Dienstleistung innerhalb der EU anzubieten. Ob das Angebot der Waren- oder Dienstleistung mit einem Entgelt verbunden ist, spielt dabei keine Rolle. (siehe Erwägungsgrund 23)

Ausschlaggebend für die Feststellung eines offensichtlichen Angebots von Waren- und Dienstleistung innerhalb der EU ist die Erfassung der gesamten Umstände, mit welcher Absicht das Anbieten von Waren- oder Dienstleistung innerhalb der EU verbunden ist.

Die Verarbeitung von Daten im Hinblick auf die Verhaltensbeobachtung

Der Art. 3 Abs. 2 lit. b DS-GVO bezieht sich auf diejenigen Verantwortlichen oder Auftragsverarbeiter, die Daten von Personen innerhalb der EU sammeln, um Verhaltensauswertungen durchzuführen. Die Regelung zielt dabei auf Verarbeitungen ab, die mit der Erfassung von Interaktionen von Konsumenten, wie etwa Profiling oder Tracking, verbunden sind. Der Erwägungsgrund 24 erklärt hierzu:

„Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, dass Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

Folglich unterliegt jede Verhaltensbeobachtung einer in der EU befindlichen Person der DS-GVO, welche dann unabhängig vom Sitz des jeweiligen Unternehmens Anwendung finden wird.

Räumlicher Anwendungsbereich auf Basis von völkerrechtlichen Vorgaben

Die Anwendbarkeit der DS-GVO besteht auch dann, wenn eine Datenverarbeitung durch einen Verantwortlichen an einem Ort stattfindet, der nach völkerrechtlichen Reglementarien dem Recht eines europäischen Mitgliedsstaates unterliegt. Eine solche Konstellation liegt mitunter dann vor, wenn eine diplomatische oder konsularische Vertretung eines Mitgliedsstaates besteht. (siehe Erwägungsgrund 25)

Haben Sie weitere Fragen zu den Neuerungen durch die DS-GVO oder benötigen Sie Hilfe bei der Umsetzung datenschutzrechtlicher Gestaltung?

Brands Consulting steht Ihnen gerne bezüglich datenschutzrechtlicher Problematiken unterstützend zur Seite.

Nehmen Sie direkt mit uns Kontakt auf oder holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.