Räumlicher Anwendungsbereich: Wo gilt die DSGVO?

Fachbeitrag

Mit Einführung der Datenschutzgrundverordnung (DSGVO) ergibt sich im Vergleich zur Datenschutzrichtlinie 95/46/EG ein deutlich weiterer räumlicher Anwendungsbereich, sodass sich die Frage stellt, wo die DSGVO gilt. Dieser Fachbeitrag ist der zweite und letzte Teil unserer Serie zum Anwendungsbereich der DSGVO und behandelt den räumlichen Anwendungsbereich. Gleichzeitig schließt sich der Artikel an unseren Fachbeitrag zum sachlichen Anwendungsbereich der DSGVO an.

Räumlicher Anwendungsbereichs nach Art. 3 DSGVO

Ausgangspunkt für die Bestimmung des räumlichen Anwendungsbereichs ist Art. 3 DSGVO.

Der räumliche Anwendungsbereich der DSGVO ergibt sich also grundsätzlich bei der Verarbeitung personenbezogenen Daten,

  • soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO).

Sofern die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sattfindet, muss die Datenverarbeitung nach Art. 3 Abs. 2 DSGVO im Zusammenhang stehen damit, dass

  • gegenüber betroffenen Personen in der Union Waren oder Dienstleistungen – unabhängig von einer Zahlungspflicht – angeboten werden oder
  • das Verhalten betroffener Personen beobachten werden soll, soweit ihr Verhalten in der Union erfolgt.

Die DSGVO findet auch auf einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort Anwendung, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt (Art. 3 Abs. 3 DSGVO). Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden. Eine Rechtswahlklausel ist damit nicht möglich. Hat ein Mitgliedstaat jedoch im Rahmen einer Öffnungsklausel eine nationale Datenschutzregelung getroffen, ist grundsätzlich das Datenschutzrecht des jeweiligen Mitgliedstaats maßgeblich.

Niederlassung innerhalb der EU

Nach Art. 3 Abs. 1 DSGVO ist zunächst das Vorhandensein einer Niederlassung in der Union maßgeblich, wobei der tatsächliche Ort der Datenverarbeitung unerheblich ist.

Hat der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union, ist die DSGVO räumlich anwendbar, wenn es sich um eine Niederlassung im Sinne von Art 3 Abs. 1 DSGVO handelt.

Ob eine Niederlassung im Sinne des von Art. 3 Abs. 1 DSGVO vorliegt, kann aus Erwägungsgrund 22 der DSGVO abgeleitet werden:

„Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.“

Für eine Niederlassung ist demnach kennzeichnend, dass eine feste Einrichtung eine effektive und tatsächliche Ausübung einer Tätigkeit erlaubt. Die praktische Schwierigkeit liegt in der Feststellung, was hierunter im Einzelfall zu verstehen ist. Mitunter werden sogar interne Abteilungen innerhalb eines Unternehmens als „Niederlassung“ im rechtlichen Sinne betrachtet. Nach wie vor muss allerdings die Datenverarbeitung der Niederlassung „im Rahmen der Tätigkeit“ der Niederlassung erfolgen – die Datenverarbeitung muss demnach einen Bezug zur Niederlassung aufweisen. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend (vgl. hierzu Erwägungsgrund 22)

Niederlassung außerhalb der EU

Sofern innerhalb der EU keine Niederlassung vorhanden ist, ist Art. 3 Abs. 2 und Abs. 3 DSGVO zu beachten.

Interessant ist hierbei zunächst, dass sich die Verarbeitung personenbezogener Daten von betroffenen Personen nach Art. 3 Abs. 2 DSGVO im Gegensatz zu Art. 3 Abs. 1 DSGVO darauf beziehen muss, dass sich die betroffenen Personen örtlich innerhalb der Union befinden. Dabei reicht es aus, wenn sich die betroffenen Personen – auch nur kurzfristig – in der Union aufzuhalten. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es demnach nicht an.

Datenverarbeitung im Zusammenhang mit Angebot von Waren oder Dienstleistungen

Nach Art. 3 Abs. 2 lit. a) DSGVO muss die Datenverarbeitung im Zusammenhang damit stehen, dass der betroffenen Person in der Union Waren oder Dienstleistungen -unabhängig einer Zahlungspflicht- angeboten werden sollen. Ein konkretes Angebot ist damit nicht erforderlich.

Besonders interessant ist hierbei die Frage, wann Waren oder Dienstleistungen „in der Union“ angeboten werden. Nach Erwägungsgrund 23 ist hierfür entscheidend, ob der Verantwortliche oder Auftragsverarbeiter das Anbieten von Waren bzw. Dienstleistungen in der Union „offensichtlich beabsichtigt“ hat:

„(…) Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten (…).“

Demnach muss sich aus dem Waren- bzw. Dienstleistungsangebot mit einer gewissen Eindeutigkeit ergeben, dass die Waren oder Dienstleistungen in der Union angeboten werden sollen. Ein Hinweis, dass etwaige Angebote nicht auf die Union gerichtet sind, soll aber genügen. Darüber hinaus soll es jedoch nicht ausreichend sein, dass die Webseite in der Union oder die Kontaktdaten innerhalb der Union abrufbar sind. Auch die verwendete Sprache bietet keine ausreichenden Anhaltspunkte für den Bezug zur Union. Letztlich bleibt vielmehr eine Gesamtschau notwendig, aus welcher sich die offensichtliche Absicht für das Anbieten von Waren oder Dienstleistungen innerhalb der Union ergibt.

Datenverarbeitung im Zusammenhang mit einer Verhaltensbeobachtung

Nach Art. 3 Abs. 2 lit. b) ist die DSGVO auf diejenigen Verantwortlichen und Auftragsverarbeiter anzuwenden, die im Rahmen der Datenverarbeitung das Verhalten betroffener Personen innerhalb der Union beobachten. Grundsätzlich werden hiervon nur Beobachtungen im Zusammenhang mit Internetaktivitäten, wie etwa das Profiling oder das Tracking erfasst (vgl. hierzu auch Erwägungsgrund 24):

„(…) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

Zu beachten ist dabei, dass jede Verhaltensbeobachtung zu einer Anwendung der DSGVO führt, wodurch insofern weltweit die Vorgaben DSGVO einzuhalten sind.

Räumlicher Anwendungsbereich aufgrund völkerrechtlicher Vorgaben

Schließlich kann die DSGVO auch dann anwendbar sein, wenn die Datenverarbeitung durch den Verantwortlichen an einem Ort erfolgt, der aufgrund des Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Hierunter fallen etwa diplomatische oder konsularische Vertretungen eines Mitgliedstaats (Erwägungsgrund 25).

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

    • Vielen Dank für Ihre Frage.

      Im Hinblick auf Art. 3 Abs. 1 DSGVO können Sie darauf abstellen, ob eine Niederlassung in der Union vorliegt. Beispiel: Für ein Unternehmen mit Sitz in Österreich gilt dann die DSGVO.

      Mit Blick auf Art. 3 Abs. 2 DSGVO (Marktortprinzip, Verhaltensbeobachtung) kann folgendes Beispiel gegeben werden: Ein Unternehmen mit Sitz in den USA bietet Waren oder Dienstleistungen innerhalb der Union an bzw. sammelt über ihre Webseite personenbezogene Daten innerhalb der Union.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.