Telemedicus Logo
Weiterempfehlen Drucken

Die DSGVO gilt nicht nur innerhalb der EU. Das Datenschutzrecht nach der DSGVO gilt vielmehr in vielen Fällen auch für Datenverarbeitungen, die anderswo stattfinden, beispielsweise in der Schweiz oder den USA. Aber in welchen Fällen genau ist das der Fall?

Der räumliche Anwendungsbereich der DSGVO


Art. 3 DSGVO regelt den sog. „räumlichen Anwendungsbereich” der Verordnung:
Art. 3 DSGVO: Räumlicher Anwendungsbereich:
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
[…]
(Hervorhebung hinzugefügt)

Art. 3 DSGVO enthält in Bezug auf den territorialen Anwendungsbereich der DSGVO zwei Prinzipien, die in den beiden ersten Absätzen des Art. 3 DSGVO enthalten sind: Einerseits das Niederlassungsprinzip (Abs. 1), andererseits das Marktortprinzip (Abs. 2). Beim Marktortprinzip ist noch einmal zu differenzieren zwischen dem Angebot von Waren und Dienstleistungen (Buchstabe a) und der Verhaltensbeobachtung (Buchstabe b).

Im Zusammenhang mit den in Art. 3 DSGVO verwendeten Begriffen „Mitgliedstaat” und „Union” ist zu beachten, dass auch die EWR-Staaten (Staaten des Europäischen Wirtschaftsraums) Norwegen, Island und Liechtenstein die DSGVO am 6. Juli 2018 übernommen haben. Somit gilt die DSGVO auch für diese Staaten.

Das Niederlassungsprinzip – Art. 3 Abs. 1 DSGVO


Nach Art. 3 Abs. 1 DSGVO kommt es darauf an, wo sich der Verantwortliche oder der Auftragsverarbeiter niedergelassen hat. Ist dieser in der Union niedergelassen, gilt immer die DSGVO, unabhängig davon, wo auf der Welt die Verarbeitung letztlich stattfindet.

„Niederlassung” bedeutet nicht „Hauptsitz” oder „Hauptverwaltung”, sondern verlangt lediglich eine „effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung”.

Konkret besagt Erwägungsgrund 22 der DSGVO:

Erwägungsgrund 22: Verarbeitung durch eine Niederlassung:
[…] Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.
(Hervorhebung hinzugefügt)

Art. 3 Abs. 1 DSGVO hat deshalb durchaus eine „exterritoriale Wirkung” der DSGVO zur Folge. Denn er erfasst auch solche Datenverarbeitungen, die außerhalb der EU stattfinden, aber dennoch mit einer Niederlassung in der Union „in Zusammenhang stehen”.

Beispiel:
Ein Unternehmen mit Hauptniederlassung in Deutschland betreibt ein Rechenzentrum in Brasilien.
Findet die DSGVO auf die Datenverarbeitung in Brasilien Anwendung?


Antwort: Ja. Alle Datenverarbeitungsaktivitäten, die mit der Hauptniederlassung in Zusammenhang stehen, werden von der Anwendung der DSGVO erfasst.

Wann hat eine Datenverarbeitung einen Zusammenhang zu einer Niederlassung in der EU?



Was genau der Satzteil „im Zusammenhang” bedeutet, ist nicht ganz einfach zu bestimmen. Der Fall ist zwar klar, wenn eine bestimmte juristische Person (beispielsweise eine GmbH oder AG), die ihren Hauptsitz in der EU hat, die Daten selbst außerhalb der EU verarbeitet. Die DSGVO gilt dann für alle Datenverarbeitungen, die diese juristische Person vornimmt; egal ob dies innerhalb oder außerhalb der EU erfolgt.

Problematischer wird die Frage aber, wenn mehrere selbstständige juristische Personen miteinander in einer Konzernstruktur zusammenarbeiten. Kann dann die eine Gesellschaft eine „Niederlassung” der anderen sein? Der bereits erwähnte Erwägungsgrund 22 legt dies nahe.

Mit dieser Frage hat sich der EuGH (noch vor Inkrafttreten der DSGVO) in der Google-Spain-Entscheidung befasst. In diesem Fall ging es u.a. um die Frage, ob europäisches Datenschutzrecht auch für das (damalige) Unternehmen Google Inc. gilt. Google Inc. betrieb die Suchmaschine „Google” von den USA aus. Der Hauptsitz des Unternehmens war in den USA, und die Muttergesellschaft selbst hatte innerhalb der EU auch keine unselbstständige Niederlassung oder Büros. In vielen europäischen Ländern, darunter Spanien, hatte die damalige Google Inc. aber eine selbstständige Tochtergesellschaft (in Spanien war das Google Spain SL). Diese Gesellschaften sind vor allem für die Werbevermarktung zuständig.

Dass „Google Spain SL” vom europäischen Datenschutzrecht erfasst wird, ist klar. Aber was ist mit der Muttergesellschaft in den USA? Zu dieser Frage entschied der EuGH, dass es für eine „Niederlassung” von Google Inc. ausreicht, dass eine selbstständige Tochtergesellschaft (Google Spain SL) in Spanien als feste Einrichtung tatsächlich eine „Tätigkeit ausübt”. Auch wird, so der EuGH, Google Spain „im Rahmen der Tätigkeit” von Google Inc. tätig. Der EuGH argumentierte, die Tätigkeiten beider Gesellschaften seien untrennbar miteinander verbunden, da Google Spain die Suchmaschinen-Dienstleistung in der EU wirtschaftlich fördert und Google Inc. im gleichen Zug die Voraussetzungen dafür überhaupt möglich macht. Dieser Umstand reichte also aus, um die Muttergesellschaft mit der Anwendbarkeit des EU-Datenschutzrechts zu „infizieren”.

Zusammengefasst heißt das: Es kann auch innerhalb von Konzerngruppen vorkommen, dass in der EU niedergelassene Konzernunternehmen ihre Muttergesellschaften mit der DSGVO „anstecken”.

Diese Rechtsprechung aus dem Google-Spain-Urteil hat der EuGH seitdem noch in weiteren Entscheidungen bestätigt. In den Fällen „Weltimmo” (Urteil v. 01.10.2015 – C230/14) und „Amazon“ (Urteil v. 28.07.2016 – C-191/15) befasste sich der EuGH ebenfalls mit dem Merkmal der „Niederlassung” und entschied: Auch nur ein einziger Vertreter eines Unternehmens in einem EU-Mitgliedstaat reicht aus, um für dieses Unternehmen eine „Niederlassung” in der EU darzustellen. Der Begriff ist also weit auszulegen: Maßgeblich sind sowohl der „Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten” – so der EuGH in der „Weltimmo”-Entscheidung, Rn. 28 f.. Im Ergebnis kann eine Einrichtung in der EU also auch nur geringfügig tätig sein, ohne dass dies etwas an ihrer Qualifikation als „Niederlassung” ändert. Es kommt darauf an, ob eine „beständige Einrichtung” vorliegt, die „effektive Tätigkeiten” entfaltet.

Das Marktortprinzip – Art. 3 Abs. 2 DSGVO


Auch der Art. 3 Abs. 2 DSGVO führt zu einer exterritorialen Geltung der DSGVO; er erweitert den Geltungsbereich gezielt auf unionsfremde Datenverarbeiter.

Nach Art. 3 Abs. 2 DSGVO kommt es dabei nicht auf den Ort der Niederlassung an, sondern auf den „Zielort” der Verarbeitung, d.h. auf den Ort, an dem sich der Betroffene aufhält und an dem sein Verhalten erfolgt. Man spricht hier auch vom sog. „Marktortprinzip”. Dieses orientiert sich zum einen daran, wo der Verantwortliche oder Auftragsverarbeiter die Waren und Dienstleistungen anbietet (Marktort) und zum anderen an dem Ort, wo sich der Betroffene „verhält”. Art. 3 Abs. 2 DSGVO soll Personen, die sich in der EU aufhalten, auch vor Datenverarbeitungen außerhalb der Union schützen (vgl. auch Erwägungsgrund 23).

Die DSGVO gilt also auch hiernach exterritorial. Sie erfasst Verarbeitungen im Ausland, die entweder im Zusammenhang mit angebotenen Waren oder Dienstleistungen innerhalb der EU stehen (Art. 3 Abs. 2 lit. a DSGVO) oder daraus resultieren, dass ein Verantwortlicher oder Auftragsverarbeiter das Verhalten von Personen in der EU beobachtet (Art. 3 Abs. 2 lit. b DSGVO).

Geltung der DSGVO wegen des Angebots von Waren - Art. 3 Abs. 2 lit. a) DSGVO


Der erste Buchstabe des Art. 3 Abs. 2 betrifft eine Anwendung der DSGVO, weil ein Unternehmen, das nicht in der EU niedergelassen ist, eines oder mehrere Länder als Zielmarkt ausgewählt hat.

Ein Beispiel:

Ein Online-Händler hat seinen Sitz in der Schweiz, bietet seine Produkte aber auch in Deutschland und Österreich an.

Dieser Online-Händler unterliegt der DSGVO nach Art. 3 Abs. 2 lit. a DSGVO.

Näheres dazu, wann ein „Anbieten” im Sinne von Art. 3 Abs. 1 lit. a DSGVO vorliegt, liefert Erwägungsgrund 23 der DSGVO: Entscheidend ist danach, ob der Verantwortliche oder der Auftragsverarbeiter „offensichtlich beabsichtigt”, Waren oder Dienstleistungen in der Union anzubieten. Das kann man vor allem an der inhaltlichen Gestaltung des Angebots erkennen, wie zum Beispiel der Möglichkeit zum Warenversand in die EU oder die Möglichkeit, mit Euro zu zahlen.

Geltung der DSGVO wegen „Verhaltensbeobachtung” - Art. 3 Abs. 2 lit. b DSGVO


Der zweite Fall des Art. 3 Abs. 2 DSGVO betrifft die Verhaltensbeobachtung. Hier geht es darum, dass ein Unternehmen, wenn es Personen in der EU beobachtet, ebenfalls an die DSGVO gebunden sein soll. Das typische Beispiel für Art. 3 Abs. 2 lit. b DSGVO ist der Fall, dass ein Unternehmen Aktivitäten von Personen im Internet beobachtet und aufzeichnet (sog. Tracking), um diese Informationen zum Beispiel für die Marktforschung zu nutzen. Dieser Fall wird auch in Erwägungsgrund 24 der DSGVO erwähnt. Eine spannende Frage ist allerdings, ob es auch andere Formen der „Beobachtung” gibt, die nicht direkt mit dem Internet zu tun haben, aber ebenfalls zur Anwendbarkeit der DSGVO führen. Diese Frage ist noch offen.

Die DSGVO kennt keine Grenzen


Die DSGVO gilt unter den oben genannten Voraussetzungen in Ländern auch außerhalb der EU. Sie stellt nicht etwa auf die Staatsangehörigkeit der Betroffenen ab, und auch nicht auf den Ort, an dem technisch die Datenverarbeitung erfolgt. Ausschlaggebend ist entweder die Niederlassung des Verantwortlichen oder Auftragsverarbeiter, oder der Aufenthaltsort des Betroffenen. Wenn es von dort aus einen tatsächlichen Zusammenhang zur Verarbeitung von personenbezogenen Daten gibt, gilt die DSGVO, gegebenenfalls auch außerhalb der EU.

Im Ergebnis ist die DSGVO damit zu einem gewissen Ausmaß „Weltrecht”. Auch Unternehmen, die zwar nicht in der EU niedergelassen sind, aber auf dem europäischen Markt tätig sind – und sei es nur geringfügig - müssen für alle Aktivitäten, die damit in Zusammenhang stehen, die DSGVO anwenden und befolgen.

Drittstaatliche Unternehmen müssen sich also unter Umständen an höhere Anforderungen halten, als es ihre nationalen Gesetze möglicherweise vorsehen. Das Ziel des europäischen Gesetzgebers, den Anwendungsbereich der DSGVO möglichst breit zu gestalten, ist damit erfolgreich umgesetzt.

Der Europäische Datenschutzausschuss, der Zusammenschluss der EU-Datenschutzbehörden, führt aktuell eine Konsultation zum Thema durch.
Telemedicus zu Öffnungsklauseln: Datenschutz jenseits der DSGVO: Ein langer Weg bis zum Ziel
Die Google-Spain-Entscheidung in der Besprechung auf Telemedicus

Dieser Artikel entstand im Rahmen der Ausbildungsreihe „Recht und Kommunikation”, die gemeinsam von Bird&Bird und Telemedicus angeboten wird. Wollen Sie sich im Rahmen eines Praktikums oder einer Referendarstation als Teilnehmer*in an der Ausbildungsreihe bewerben? Hier gibt es weitere Informationen.
Anzeige:

Kommentare

* Simon Assion 26.11.2018 09:45
Danke für den Hinweis - gemeint war "effektiv", nicht "effizient". Wir haben das korrigiert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.