DSGVO – räumlicher Anwendungsbereich

Im Gegensatz zu den bisherigen Datenschutzregelungen wird der DSGVO ein deutlich weiterer Wirkungsraum bewilligt. Dieser Beitrag ist der Folgeartikel auf die Frage des sachlichen Anwendungsbereiches in der DSGVO.

Räumlicher Anwendungsbereich

Ausgangslage für die Frage des räumlichen Anwendungsbereiches ist Art. 3 DSGVO.

Der räumliche Anwendungsbereich wird durch die Verarbeitung personenbezogener Daten definiert,

soweit diese nach Art. 3 Abs. 1 DSGVO im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet

Anders ist dies für den Fall, dass eine Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter stattfindet.

Nach Art. 3 Abs. 2 DSGVO muss die Datenverarbeitung dazu in Verbindung stehen, dass

  • gegenüber betroffenen Personen in der Union Waren oder Dienstleistungen – unabhängig von einer Zahlungspflicht – angeboten werden oder
  • das Verhalten betroffener Personen beobachten werden soll, soweit ihr Verhalten in der Union erfolgt.

Durch diese Veränderung werden damit auch nicht in der Union niedergelassene Verantwortliche dazu gebracht, die Regeln der Union zu beachten. Darunter fallen beispielweise Unternehmen wie Facebook. Vertraglich kann der räumliche Anwendungsbereich nicht geändert werden. Über die sogenannten Öffnungsklauseln kann jeder Mitgliedsstaat aber eigene nationale Datenschutzregelungen dazu treffen, die dann Anwendung finden.

EU Niederlassungen

Gemäß Art. 3 Abs. 1 DSGVO ist zunächst das Vorhandensein einer Niederlassung in der Union wichtig, wobei der tatsächliche Ort der Datenverarbeitung unerheblich ist.

Hat der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union, ist die DSGVO räumlich anwendbar, wenn es sich um eine Niederlassung im Sinne von Art 3 Abs. 1 DSGVO handelt.

Erwägungsgrund 22 der DSGVO liefert Hinweise, wann eine Niederlassung nach Art. 3 Abs. 1 DSGVO vorliegt:

Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.

Demnach ist für eine Niederlassung kennzeichnend, dass eine effektive tatsächliche Tätigkeitsausführung möglich ist. Problematisch kann eine Abgrenzung werden, was darunter im jeweiligen Einzelfall zu verstehen ist. Die Datenverarbeitung muss jedenfalls einen Rückschluss auf eine Tätigkeit für die Niederlassung zulassen. Eine Unterscheidung in den Rechtsformen der einzelnen Einrichtung ist dabei nicht ausschlaggebend.

Niederlassung außerhalb der EU

Art. 3 Abs. 2 und Abs. 3 DSGVO geben Aufschluss darüber, wie vorzugehen ist, wenn keine Niederlassung innerhalb der EU gegeben ist.

Bei Art. 3 Abs. 2 DSGVO kommt es darauf an, dass die betroffene Person örtlich in der EU ist. Unabhängig von Staatsangehörigkeit und auch dem Status eines EU-Bürgers kommt es nur darauf an, dass der Betroffene sich zumindest auch nur kurzfristig in der EU aufhält.

Datenverarbeitung im Zusammenhang mit Waren- oder Dienstleistungsangebot

Nach Art. 3 Abs. 2 lit. a) DSGVO ist es bei der Datenverarbeitung erforderlich, dass der betroffenen Person in der Union Waren oder Dienstleistungen -unabhängig einer Zahlungspflicht- angeboten werden sollen. Ein konkretes Angebot ist damit nicht erforderlich.

Erwägungsgrund 23 liefert Hinweise für die Frage, wann Waren oder Dienstleistungen in der Union angeboten werden. Danach ist hierfür entscheidend, ob der Verantwortliche oder Auftragsverarbeiter das Anbieten von Waren bzw. Dienstleistungen in der Union offensichtlich beabsichtigt hat:

(…) Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten (…).

Dabei soll ein Hinweis genügen, dass beispielweise ein Angebot nicht für die Union ausgerichtet ist. Ansonsten muss es sich aus dem Dienstleistungs- und Warenangebot ergeben. Verwendete Sprachen ergeben dabei keine Hinweise auf den Bezug zur Union. Letzten Endes wird hier wieder im Einzelfall eine Gesamtabwägung stattfinden.

Datenverarbeitung im Zusammenhang mit einer Verhaltensbeobachtung

Falls im Rahmen der Datenverarbeitung das Verhalten betroffener Personen innerhalb der Union beobachtet werden soll, ist Art. 3 Abs. 2 lit. b) auf diejenigen Verantwortlichen und Auftragsverarbeiter anzuwenden. Grundsätzlich werden davon nur Beobachtungen im Zusammenhang mit Internetaktivitäten wie Tracking und Profiling erfasst.

Völkerrechtliche Vorgaben können räumlichen Anwendungsbereich beeinflussen

Schließlich kann die DSGVO auch dann anwendbar sein, wenn die Datenverarbeitung durch den Verantwortlichen an einem Ort erfolgt, der aufgrund des Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Nach Erwägungsgrund 25 der DSGVO fallen etwa diplomatische oder konsularische Vertretungen eines Mitgliedstaats darunter.