Mit der Einführung der Datenschutzgrundverordnung (DSGVO) hat sich der räumliche Anwendungsbereich im Vergleich zur bisherigen Datenschutzrichtlinie erheblich erweitert. Doch wo genau gilt die DSGVO? In diesem Artikel werden wir uns mit dieser Frage beschäftigen und die wichtigsten Punkte klären.
Räumlicher Anwendungsbereich nach Art. 3 DSGVO
Der räumliche Anwendungsbereich der DSGVO ergibt sich im Wesentlichen aus Artikel 3 der Verordnung. Dabei gilt die DSGVO bei der Verarbeitung personenbezogener Daten,
-
wenn diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union erfolgt, unabhängig davon, ob die Verarbeitung tatsächlich innerhalb der EU stattfindet (Art. 3 Abs. 1 DSGVO).
-
wenn die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter erfolgt und entweder Waren oder Dienstleistungen – unabhängig von einer Zahlungspflicht – in der EU angeboten werden oder das Verhalten betroffener Personen in der EU beobachtet wird (Art. 3 Abs. 2 DSGVO).
-
wenn die Datenverarbeitung durch einen nicht in der EU niedergelassenen Verantwortlichen an einem Ort erfolgt, der aufgrund völkerrechtlicher Vorgaben dem Recht eines Mitgliedstaates unterliegt, wie zum Beispiel diplomatische oder konsularische Vertretungen (Art. 3 Abs. 3 DSGVO).
Es ist wichtig zu beachten, dass der räumliche Anwendungsbereich der DSGVO vertraglich nicht geändert werden kann und es keine Möglichkeit gibt, durch eine Rechtswahlklausel das anwendbare Recht zu bestimmen. Wenn jedoch ein Mitgliedstaat im Rahmen einer Öffnungsklausel eine nationale Datenschutzregelung getroffen hat, gilt grundsätzlich das Datenschutzrecht dieses Mitgliedstaats.
Niederlassung innerhalb der EU
Wenn ein Verantwortlicher oder Auftragsverarbeiter eine Niederlassung in der EU hat, ist die DSGVO räumlich anwendbar, vorausgesetzt es handelt sich um eine Niederlassung im Sinne von Artikel 3 Absatz 1. Eine Niederlassung erfordert dabei eine feste Einrichtung, die eine effektive und tatsächliche Ausübung einer Tätigkeit ermöglicht. Die Rechtsform dieser Einrichtung ist dabei nicht entscheidend.
Es ist jedoch wichtig, dass die Datenverarbeitung im Rahmen der Tätigkeit der Niederlassung erfolgt und einen Bezug zur Niederlassung aufweist. Es kann auch vorkommen, dass interne Abteilungen innerhalb eines Unternehmens als “Niederlassung” im rechtlichen Sinne betrachtet werden.
Niederlassung außerhalb der EU
Wenn keine Niederlassung in der EU vorhanden ist, gelten die Bestimmungen von Artikel 3 Absatz 2 und Absatz 3 der DSGVO. Es ist dabei entscheidend, dass sich die betroffenen Personen örtlich innerhalb der EU befinden, unabhängig von ihrer Staatsangehörigkeit oder ihrem Status als Unionsbürger.
-
Im Falle des Angebots von Waren oder Dienstleistungen in der EU muss die Datenverarbeitung damit im Zusammenhang stehen, dass der betroffenen Person in der Union Waren oder Dienstleistungen angeboten werden sollen. Es ist nicht erforderlich, dass ein konkretes Angebot vorliegt. Die Absicht, Waren oder Dienstleistungen in der Union anzubieten, muss jedoch offensichtlich sein.
-
Bei der Verhaltensbeobachtung betroffener Personen in der EU, wie etwa Profiling oder Tracking im Zusammenhang mit Internetaktivitäten, greift ebenfalls der räumliche Anwendungsbereich der DSGVO.
Fazit
Die DSGVO hat den räumlichen Anwendungsbereich im Vergleich zur vorherigen Datenschutzrichtlinie erheblich erweitert. Die Verordnung gilt bei der Verarbeitung personenbezogener Daten im Zusammenhang mit einer Niederlassung in der EU, dem Angebot von Waren oder Dienstleistungen in der EU und der Verhaltensbeobachtung betroffener Personen in der EU. Es ist wichtig, die genauen Bestimmungen der DSGVO zu beachten, um die datenschutzrechtlichen Anforderungen zu erfüllen.
Photo by Markus Spiske on Unsplash