Räumlicher Anwendungsbereich der DSGVO

Wer überlegt, ob er die Vorgaben der DSGVO beachten muss, denkt eventuell: „Der, der personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten.“ Diese Antwort ist nicht falsch, aber umfassender zu beantworten. Um ein vollständige Antwort zu erhalten, können Sie natürlich auch einen Blick in die DSGVO werfen oder aber diesen Beitrag lesen.

Fundstelle in der DSGVO

Genaue Information liefert Art. 3 DSGVO. Schauen wir uns im Folgenden also die einzelnen Abschnitte ein wenig detaillierter an:

Art. 3 Abs. 1 DSGVO

Hier sprechen wir also zuerst den Standort einer verantwortlichen Stelle an. In der Praxis bedeutet dies, dass ein Unternehmen, ein Verein, eine (wohltätige) Organisation, ein Dienstleister, eine Behörde etc. den Regelungen der DSGVO unterliegt, wenn es sich in der EU befindet und personenbezogene Daten von Menschen in der EU verarbeitet. Dabei ist es gleich, ob die verantwortliche Stelle personenbezogene Daten von Personen verarbeitet, die sich in der EU befinden oder EU-Bürger sind. Der Ort der Niederlassung ist also zusammen mit dem Kriterium der „Zielgerichtetheit“ ausschlaggebend.

Dennoch ist im Einzelfall zu betrachten, ob die DSGVO tatsächlich anwendbar ist. Wenn beispielsweise ein Beschäftigter eines nicht in der EU ansässigen Unternehmens auf Geschäftsreise in einem EU-Staat ist, ist das Unternehmen im Drittland nicht zwangsläufig ein Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO i. V. m. Art. 3 Abs. 1 DSGVO. Diese Aussage lässt sich übrigens auch in einer Orientierungshilfe des Europäischen Datenschutzausschusses (auch: EDSA) finden (Link; Seite 7, Punkt 1.b)). – Der EDSA ist der Zusammenschluss der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, der u. a. für eine Vereinheitlichung der Auslegung und Anwendung der DSGVO verantwortlich ist und Auslegungshilfen erarbeitet. –

Art. 3 Abs. 2 DSGVO

Der zweite Absatz legt teils das fest, was wir in der Einleitung schon erwähnten: Jedes Unternehmen, jeder Verein, jede (wohltätige) Organisation, jeder Dienstleister, jede Behörde etc., die personenbezogene Daten von EU-Bürgern verarbeitet oder deren Verhalten beobachtet (bspw. beim Werbe-Tracking), muss die Vorgaben der DSGVO umsetzen, auch wenn es seinen Sitz nicht in einem EU-Staat hat. Dies gilt nach Art. 3 Abs. 1 lit. a) DSGVO, wenn der nicht in der EU niedergelassene Verantwortliche oder Auftragsverarbeiter Waren oder Dienstleistungen in der EU anbietet, selbst wenn diese nicht bezahlt werden. Damit sollen auch Waren oder in der Praxis wohl insbesondere Dienstleistungen erfasst werden, die durch die Preisgabe persönlicher Daten der Nutzer vergütet werden (Beispiel: Facebook kann „kostenlos“ genutzt werden.).

Das bedeutet also, dass u. U. auch eine verantwortliche Stelle, die sich beispielsweise in Brasilien befindet, aber personenbezogene Daten von EU-Bürgern verarbeitet, die DSGVO einhalten muss. – Nun kann man natürlich argumentieren, dass ein brasilianisches Unternehmen nicht zwangsläufig personenbezogene Daten von EU-Bürgern verarbeiten möchte bzw. nicht darauf abzielt oder auf die Ansprache von EU-Bürgern abzielt, was zu untersuchen ist: Wenn dieses Unternehmen beispielsweise die Lieferung von Waren nach Europa und die Zahlung in beispielsweise Euro oder anderen EU-Währungen anbietet, ist davon auszugehen, dass es sein Angebot auch an EU-Bürger richtet und folglich zielgerichtet u. U. auch personenbezogene Daten von diesen verarbeitet. – Zu beachten ist dabei allerdings auch, dass sich dies dann auf die Verarbeitungstätigkeiten bezieht, im Zuge derer personenbezogenen Daten von EU-Bürgern verarbeitet werden.

Art. 3 Abs. 3 DSGVO

Wenn wir von Art. 3 Abs. 3 DSGVO sprechen, beziehen wir uns auf eine Einrichtung, die in einem nicht-EU-Staat angesiedelt ist, aber dem Völkerrecht eines EU-Staates unterliegt. ErwG. 25 DSGVO führt hierbei das sehr hilfreiche Beispiel eines Konsulats an. Genauso Anwendung findet Art. 3 Abs. 3 DSGVO bei jeder sonstigen Einrichtung in nicht-EU-Gebieten oder -Gewässern, wie die Botschaften von EU-Mitgliedstaaten in beispielsweise Drittländern oder auch auf Kreuzfahrtschiffen, die in einem EU-Mitgliedsstaat eingetragen sind, sich aber auch in internationalen Gewässern außerhalb der EU bewegen (Beispiel des EDSA in „Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3)“, Seite 26, Beispiel 23).

Vertreter in der EU

Ein Verantwortlicher, auf den Art. 3 Abs. 2 DSGVO zutrifft, muss u. U. einen Vertreter in der EU benennen (Art. 27 Abs. 1 DSGVO). Dabei besteht diese Pflicht nicht, wenn ein Verantwortlicher diese Daten nur gelegentlich verarbeitet oder keine personenbezogenen Daten gemäß Artt. 9 Abs. 1 oder 10 DSGVO in umfangreichen Ausmaß verarbeitet, diese Verarbeitung wahrscheinlich Risiken für die Rechte und Freiheiten Betroffener darstellt (siehe Art. 27 Abs. 2 lit. a) DSGVO). Diese Pflicht trifft ebenfalls nicht zu, wenn es sich bei dem Verantwortlichen um eine öffentliche Stelle oder Behörde handelt (siehe Art 27 Abs. 2 lit. b) DSGVO).

Fazit

Man möge annehmen, es handelt sich bei Art. 3 DSGVO um ein triviales Thema. Aber auch schon die Leitlinie des EDSA verdeutlicht, dass es hierbei dennoch verschiedene Aspekte gibt, die ein Verantwortlicher bedenken muss. Weiterführend muss dann jede Stelle, die gemäß Art. 4 Nr. 7 DSGVO als Verantwortliche gilt, die für sie zutreffenden und relevanten Vorgaben der DSGVO beachten – und das dann natürlich auch, wenn sie keine Niederlassung in der EU hat. Wir können sowohl als EU-Vertreter für sie agieren als auch bei der Umsetzung der DSGVO in Ihrer Einrichtung unterstützen und beraten. Kontaktieren Sie uns für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.