Der Anwendungsbereich der DSGVO?

Der Anwendungsbereich der DSGVO?

Hier, da und fast überall

Massgebend ist hier Art. 3 DSGVO. Der räumliche Anwendungsbereich der DSGVO ergibt sich also grundsätzlich bei der Verarbeitung personenbezogenen Daten,

• soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO).

Sofern die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter stattfindet, muss die Datenverarbeitung nach Art. 3 Abs. 2 DSGVO im Zusammenhang stehen damit, dass

• gegenüber betroffenen Personen in der Union Waren oder Dienstleistungen – unabhängig von einer Zahlungspflicht – angeboten werden oder

• das Verhalten betroffener Personen beobachten werden soll, soweit ihr Verhalten in der Union erfolgt.

Die DSGVO findet auch auf einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort Anwendung, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt (Art. 3 Abs. 3 DSGVO). Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden. Eine Rechtswahlklausel ist damit nicht möglich. Hat ein Mitgliedstaat jedoch im Rahmen einer Öffnungsklausel eine nationale Datenschutzregelung getroffen, ist grundsätzlich das Datenschutzrecht des jeweiligen Mitgliedstaats massgeblich.

Nach Art. 3 Abs. 1 DSGVO ist zunächst das Vorhandensein einer Niederlassung in der Union massgeblich, wobei der tatsächliche Ort der Datenverarbeitung unerheblich ist.

Hat der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union, ist die DSGVO räumlich anwendbar, wenn es sich um eine Niederlassung im Sinne von Art 3 Abs. 1 DSGVO handelt. Ob eine Niederlassung im Sinne des von Art. 3 Abs. 1 DSGVO vorliegt, kann aus Erwägungsgrund 22 der DSGVO abgeleitet werden:

„Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäss dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder ausserhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.“

Für eine Niederlassung ist demnach kennzeichnend, dass eine feste Einrichtung eine effektive und tatsächliche Ausübung einer Tätigkeit erlaubt. Die praktische Schwierigkeit liegt in der Feststellung, was hierunter im Einzelfall zu verstehen ist. Mitunter werden sogar interne Abteilungen innerhalb eines Unternehmens als „Niederlassung“ im rechtlichen Sinne betrachtet. Nach wie vor muss allerdings die Datenverarbeitung der Niederlassung „im Rahmen der Tätigkeit“ der Niederlassung erfolgen – die Datenverarbeitung muss demnach einen Bezug zur Niederlassung aufweisen. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend (vgl. hierzu Erwägungsgrund 22)

Sofern innerhalb der EU keine Niederlassung vorhanden ist, ist Art. 3 Abs. 2 und Abs. 3 DSGVO zu beachten. Interessant ist hierbei zunächst, dass sich die Verarbeitung personenbezogener Daten von betroffenen Personen nach Art. 3 Abs. 2 DSGVO im Gegensatz zu Art. 3 Abs. 1 DSGVO darauf beziehen muss, dass sich die betroffenen Personen örtlich innerhalb der Union befinden. Dabei reicht es aus, wenn sich die betroffenen Personen – auch nur kurzfristig – in der Union aufzuhalten. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es demnach nicht an.

Nach Art. 3 Abs. 2 lit. a) DSGVO muss die Datenverarbeitung im Zusammenhang damit stehen, dass der betroffenen Person in der Union Waren oder Dienstleistungen - unabhängig einer Zahlungspflicht - angeboten werden sollen. Ein konkretes Angebot ist damit nicht erforderlich.

Besonders interessant ist hierbei die Frage, wann Waren oder Dienstleistungen „in der Union“ angeboten werden. Nach Erwägungsgrund 23 ist hierfür entscheidend, ob der Verantwortliche oder Auftragsverarbeiter das Anbieten von Waren bzw. Dienstleistungen in der Union „offensichtlich beabsichtigt“ hat:

„(…) Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten (…).“

Demnach muss sich aus dem Waren- bzw. Dienstleistungsangebot mit einer gewissen Eindeutigkeit ergeben, dass die Waren oder Dienstleistungen in der Union angeboten werden sollen. Ein Hinweis, dass etwaige Angebote nicht auf die Union gerichtet sind, soll aber genügen. Darüber hinaus soll es jedoch nicht ausreichend sein, dass die Webseite in der Union oder die Kontaktdaten innerhalb der Union abrufbar sind. Auch die verwendete Sprache bietet keine ausreichenden Anhaltspunkte für den Bezug zur Union. Letztlich bleibt vielmehr eine Gesamtschau notwendig, aus welcher sich die offensichtliche Absicht für das Anbieten von Waren oder Dienstleistungen innerhalb der Union ergibt.

Nach Art. 3 Abs. 2 lit. b) ist die DSGVO auf diejenigen Verantwortlichen und Auftragsverarbeiter anzuwenden, die im Rahmen der Datenverarbeitung das Verhalten betroffener Personen innerhalb der Union beobachten. Grundsätzlich werden hiervon nur Beobachtungen im Zusammenhang mit Internetaktivitäten, wie etwa das Profiling oder das Tracking erfasst (vgl. hierzu auch Erwägungsgrund 24):

„(…) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschliesslich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

Zu beachten ist dabei, dass jede Verhaltensbeobachtung zu einer Anwendung der DSGVO führt, wodurch insofern weltweit die Vorgaben DSGVO einzuhalten sind.

Schliesslich kann die DSGVO auch dann anwendbar sein, wenn die Datenverarbeitung durch den Verantwortlichen an einem Ort erfolgt, der aufgrund des Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Hierunter fallen etwa diplomatische oder konsularische Vertretungen eines Mitgliedstaats (Erwägungsgrund 25).

Datenschutz-info.de; Dr. Datenschutz; 15.05.2017
https://www.datenschutzbeauftragter-info.de/raeumlicher-anwendungsbereich-wo-gilt-die-dsgvo/