Beitrag teilen
HOME
/
blog
/
Der Geltungsbereich der DSGVO einfach erklärt

Der Geltungsbereich der DSGVO einfach erklärt

Niklas Hanitsch

Volljurist und Compliance-Experte

August 30, 2024

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Die DSGVO gilt sowohl für Unternehmen, die eine Niederlassung in der EU haben (Niederlassungsprinzip), als auch für Unternehmen außerhalb der EU, die auf dem europäischen Markt tätig sind und Daten von EU-Bürgern verarbeiten (Marktortprinzip).

Unternehmen, deren Haupttätigkeit die Verarbeitung personenbezogener Daten beinhaltet, sind verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen.

Unternehmen ohne Niederlassung in der EU, die personenbezogene Daten verarbeiten, müssen gemäß Art. 27 DSGVO einen Vertreter mit Sitz in der EU bestellen.

Im Falle eines Datenschutzvorfalls ist die Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens zuständig (One-Stop-Shop-Prinzip).

Im Zeitalter des World Wide Web spielen Landesgrenzen kaum mehr eine Rolle. Der Zugang zu Wissen ist rund um die Uhr möglich. Verkäufer können ihre Waren der ganzen Welt anbieten, die Nutzer haben eine schier endlose Auswahl an verfügbarem Content.

Dies bedeutet jedoch auch, dass infolgedessen personenbezogene Daten der jeweiligen Nutzer gesammelt und ausgewertet werden können. Insbesondere in Anbetracht der technischen Möglichkeiten der Digitalisierung – Stichwort: Big Data – ist es essenziell, ein angemessenes Schutzniveau sicherzustellen. Daten werden über Ländergrenzen hinweg übermittelt, wodurch die Sicherheit der Daten nicht immer gewährleistet ist. Denn die Gesetzgebung fällt häufig in die Souveränität der einzelnen Staaten. Ein einheitlicher Standard für den Schutz personenbezogener Daten ist damit denkbar schwer herzustellen.

In diesem Artikel lesen Sie:

  • welche Geltungsbereiche die DSGVO hat
  • wann Unternehmen außerhalb der EU in den Geltungsbereich der DSGVO fallen
  • was Ihr Unternehmen tun sollte, wenn es in den Geltungsbereich der DSGVO fällt

Geltungsbereiche im Datenschutz – der Hintergrund

Umso wertvoller ist damit der Ansatz der Europäischen Union, mittels der Datenschutzgrundverordnung (DSGVO) für ein einheitliches Datenschutzniveau zu sorgen. Die Verordnung löst die seit 1995 geltende Datenschutzrichtlinie (Richtlinie 95/46/EG) ab, welche zwar ebenfalls ein einheitliches Niveau bezwecken sollte, jedoch noch von den einzelnen Mitgliedsstaaten in Form von nationalen Gesetzen umgesetzt werden musste.

Im Unterschied zu einer solchen Richtlinie ist eine Verordnung unmittelbar anwendbares Recht und geht – im Fall von Widersprüchen – in der Regel der nationalen Gesetzgebung vor. Damit gelten seit dem Inkrafttreten der DSGVO innerhalb der Union dieselben datenschutzrechtlichen Verpflichtungen für alle datenverarbeitenden Stellen.

Doch gilt die DSGVO somit nur für Unternehmen mit Sitz innerhalb der Europäischen Union? Welche Unternehmen müssen die Anforderungen der Verordnung beachten?

Geltungsbereich der DSGVO: Räumlicher Anwendungsbereich der Verordnung

Der Anwendungsbereich der DSGVO wird durch zwei Prinzipien charakterisiert: das Niederlassungsprinzip (Art. 3 Abs. 1) sowie das Marktortprinzip (Art. 3 Abs. 2).

  1. Niederlassungsprinzip
    Nach dem in Art. 3 Abs. 1 der DSGVO statuierten Niederlassungsprinzip findet die DSGVO Anwendung auf Unternehmen, welche als Verantwortlicher oder Auftragsverarbeiter eine Niederlassung innerhalb der EU haben - unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Union stattfindet. Haben Unternehmen Niederlassungen in mehreren Mitgliedsstaaten, gilt als Hauptniederlassung der Sitz der Hauptverwaltung.
  2. Marktortprinzip
    Entsprechend des Marktortprinzips sind auch Unternehmen, welche keine Niederlassung innerhalb der EU unterhalten, dennoch bei der Verarbeitung von personenbezogenen Daten unter Umständen an die Anforderungen der Verordnung gebunden. Voraussetzung für die Anwendbarkeit der DSGVO ist, dass Unternehmen auf dem europäischen Markt tätig sind und dabei personenbezogene Daten von Betroffenen mit Aufenthaltsort in der Union verarbeiten. Hier unterscheidet die DSGVO zwischen zwei möglichen Tatbeständen: Nach Art. 3 Abs. 2 lit. a) findet die DSGVO Anwendung, wenn das Unternehmen auf dem europäischen Markt tätig ist und „Waren oder Dienstleistungen an[…]biete[t]“. Hierunter sind die klassischen Online-Händler zu fassen, aber auch Cloud-Anbieter, Social-Media-Plattformen oder Streamingdienste fallen unter lit. a).

So kann man doch noch in den Geltungsbereich der DSGVO fallen

Weiterhin ist gemäß Art. 3 Abs. 2 lit. b) die DSGVO einschlägig, wenn „das Verhalten betroffener Personen […] beobachte[t]“ wird. Unter eine solche „Verhaltensbeobachtung“ fallen sämtliche Tracking- oder Profiling-Aktivitäten zu Marktforschungszwecken wie beispielsweise verhaltensbasierte Werbung oder Online-Tracking durch Cookies.

Demnach können auch Unternehmen, welche außerhalb des territorialen Anwendungsbereichs liegen und damit nicht von der Verordnung erfasst wären, dem Anwendungsbereich der DSGVO unterfallen.

Hieraus wird klar erkennbar, dass der EU-Gesetzgeber einen möglichst weiten Anwendungsbereich im Sinn hatte – der Schutz personenbezogener Daten soll damit umfassend garantiert werden. Denn die DSGVO gilt auch unabhängig von der Niederlassung, sofern eine Verarbeitung von Daten innerhalb der EU stattfindet oder Daten von EU-Bürgern außerhalb der EU verarbeitet werden.

Durch diese zielgerichtete Erweiterung des Anwendungsbereichs sollen insbesondere Umgehungsmöglichkeiten für Unternehmen minimiert werden. Zudem soll ein einheitlicher Schutz aller in der EU verarbeiteter personenbezogener Daten sowie aller personenbezogener Daten von EU-Bürgern gleichermaßen sichergestellt werden.

Was bedeutet dies für die Praxis?

Besteht auch außerhalb der EU die Pflicht zur Bestellung eines Datenschutzbeauftragten? Wie sieht es mit der Vertreterregelung in Art. 27 DSGVO aus? Wo ist der Unterschied zwischen der Rolle des Datenschutzbeauftragten und der des Vertreters? Welche Aufsichtsbehörde ist im Falle eines Datenschutzvorfalls zuständig?

Datenschutzbeauftragter


Die Verpflichtung von Unternehmen zur Bestellung eines Datenschutzbeauftragten (kurz: DSB) richtet sich nach den Voraussetzungen des Art. 37 der DSGVO. Grundsätzlich muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt. Dies ist dann anzunehmen, wenn der Geschäftszweck des Unternehmens nicht ohne die Datenverarbeitung erreicht werden könnte, also die Verarbeitung essentiell für die Tätigkeit des jeweiligen Unternehmens ist.

Damit können auch – infolge des oben beschriebenen Marktortprinzips – unionsfremde Unternehmen dazu verpflichtet sein, einen DSB zu ernennen, welcher über die Einhaltung der Anforderungen der DSGVO wacht. Wenngleich die praktische Bedeutung gering sein dürfte, da die meisten internationalen Unternehmen eine Niederlassung in einem der Mitgliedsstaaten der EU betreiben und damit per se der DSGVO unterliegen (siehe oben Niederlassungsprinzip), so ist dieser Umstand dennoch erwähnenswert.

Durch Erstreckung der Anwendbarkeit der DSGVO auf unionsfremde Stellen ist der europäische Gesetzgeber dem Ziel nähergekommen, einen fast weltweiten Schutz personenbezogener Daten zu erreichen – zumindest für solche mit EU-Bezug.

Unionsvertreter


Unabhängig von der Verpflichtung zur Bestellung eines DSB müssen Unternehmen ohne Unionsniederlassung, welche personenbezogene Daten verarbeiten, nach Art. 27 DSGVO einen Vertreter mit Sitz innerhalb der EU bestellen – sogenannter Unionsvertreter.

Diese Anforderung ist also unmittelbar mit dem Marktorprinzip verknüpft. Der Unionsvertreter soll hauptsächlich als Vor-Ort-Ansprechpartner für die Aufsichtsbehörde agieren und muss deshalb in einem der von der Verarbeitung erfassten Mitgliedsstaaten ansässig sein. Der Unionsvertreter dient also als „kommunikatives Bindeglied“ zwischen dem datenverarbeitenden Unternehmen und der Aufsichtsbehörde; Unternehmen sollen sich durch räumliche Distanz nicht faktisch den Anforderungen der DSGVO entziehen können.

Unterschiede


Zunächst ist zu erwähnen, dass der Sitz des DSB im Vergleich zum Unionsvertreter nicht zwingend innerhalb der EU sein muss. Dass dies jedoch durchaus sinnvoll ist, resultiert aus den Aufgaben des DSB: Er ist zuständig für die Aufklärung/Schulung der Mitarbeiter sowie die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO. Dieser Aufgabenerfüllung können nicht nur rechtliche, sondern auch insbesondere sprachliche Barrieren entgegenstehen, sollte der DSB außerhalb der EU sitzen.

Zudem muss sichergestellt sein, dass er ohne unzumutbare Hindernisse Zugang zum Unternehmen hat. Dies ist bei Notwendigkeit einer langen Anreise in der Regel nicht gewährleistet. Für Unternehmen, die keine Niederlassung innerhalb der EU haben, gilt es abzuwägen: Sitzt der DSB am oder nahe dem Ort der zentralen Datenverarbeitung, lassen sich die oben genannten Schwierigkeiten vermeiden. Andererseits hat ein Sitz des DSB innerhalb der EU den Vorteil, „näher“ an der Aufsichtsbehörde zu sein.

Der DSB muss zudem nach Art. 37 Abs. 5 DSGVO über das erforderliche Fachwissen verfügen, welches zur Erfüllung seiner Aufgaben erforderlich ist. Neben den entsprechenden Qualifikationen im Datenschutzrecht und dessen praktischer Anwendung benötigt er insbesondere auch branchenspezifisches technisches Wissen, um die in Art. 39 DSGVO konkretisierten Aufgaben ordnungsgemäß erfüllen zu können. Weiterhin haben Unternehmen die Wahl, ob sie einen internen oder externen Datenschutzbeauftragten bestellen.

Im Gegensatz zum DSB sind vom Unionsvertreter keine besonderen Anforderungen zu erfüllen – zum Unionsvertreter kann jede natürliche oder juristische Person ernannt werden. Ratsam ist es dennoch, bei der Auswahl des Vertreters auf dessen datenschutzrechtliche Qualifikationen zu achten. Es bietet sich daher an, auf Datenschutzberatung spezialisierte Unternehmen mit der Unionsvertretung zu beauftragen.

Ferner ist im Gegensatz zum Unionsvertreter der DSB unabhängig, Art. 38 Abs. 3 DSGVO. Während der der Unionsvertreter hat der DSB für die Wahrung von Betroffenenrechten sowie insgesamt der DSGVO-Konformität der Datenverarbeitung zu sorgen. Der Unionsvertreter ist dabei wohl als Stellvertreter im Sinne des Bürgerlichen Gesetzbuchs, §§ 164 ff. BGB zu qualifizieren und handelt für und im Namen des Unternehmens.

Hierdurch wird deutlich, dass die Ausübung beider Positionen in Personalunion nicht empfehlenswert ist. Wenngleich ein solches Vorgehen in rechtlicher Hinsicht nicht verboten ist, so kann die Besetzung beider Positionen mit derselben Person schnell zu Interessenskonflikten führen. Daher ist es empfehlenswert, beide Rollen mit unterschiedlichen Personen zu besetzen. Hierzu rät auch der Europäische Datenschutzausschuss mit Hinweis auf die notwendige Unabhängigkeit des DSB (abrufbar unter edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf, S. 21).

Zuständige Aufsichtsbehörde


Ein Datenschutzvorfall ist der jeweils zuständigen Aufsichtsbehörde zu melden. Hier stellt sich für internationale Unternehmen mit mehreren Niederlassungen innerhalb der EU und einer damit einhergehenden grenzüberschreitenden Datenverarbeitung die Frage: Welche Aufsichtsbehörde ist zuständig? An welche Behörde müssen sich die Unternehmen wenden?

Dabei kommt ein weiteres wichtiges Prinzip der DSGVO zum Tragen: das One-Stop-Shop-Prinzip, verankert in Art. 56 Abs. 1. Es besagt, dass bei grenzüberschreitender Verarbeitung diejenige Behörde am Sitz der Hauptniederlassung die federführende Zuständigkeit innehat. Diese Vorschrift regelt die Behördenzuständigkeit bei Datenverarbeitungen eines Unternehmens in mehr als einem Mitgliedsstaat beziehungsweise wenn das datenverarbeitende Unternehmen Niederlassungen in mehreren Mitgliedsstaaten unterhält oder wenn im Falle von einer Verarbeitung in nur einem Mitgliedsstaat die Verarbeitung erhebliche Auswirkungen auf Betroffenen in mehr als einem Mitgliedsstaat haben kann.

Bezugspunkt ist nach Art. 4 Nr. 16 lit. a) DSGVO der Sitz der Hauptverwaltung, das heißt jene Niederlassung, die nach tatsächlichen Aspekten der Geschäftsschwerpunkt des Unternehmens ist – auf einen formellen Sitz kommt es hingegen im Rahmen des Art. 56 DSGVO nicht an. Anderes gilt nur, wenn nicht die Hauptverwaltungsniederlassung, sondern eine andere über Zweck und Mittel der Datenverarbeitung entscheidet.

Eine solche Ausnahme kommt bei Auftragsverarbeitern damit per se nicht in Betracht – Entscheidungen über Zweck und Mittel können nämlich nur Verantwortliche treffen. Bei auftragsverarbeitenden Unternehmen bestimmt sich die zuständige Behörde ebenfalls nach dem Schwerpunkt der Verarbeitung.

Es ist jedoch noch darauf hinzuweisen, dass auch die Behörden an den übrigen Niederlassungen Ansprechpartner für Betroffene bleiben. Auch bei Fällen mit nur lokalem Bezug ist die Aufsichtsbehörde vor Ort weiterhin zuständig.

Die One-Stop-Shop-Regelung soll nämlich hauptsächlich den jeweiligen Unternehmen zugutekommen: Hat das Unternehmen einen festen Ansprechpartner, kann es sich, was Sprache und Sitz des DSB betrifft, auf die Gegebenheiten einstellen – eine unternehmensfreundliche und praxisnahe Regelung, die jedoch auch für die Betroffenen vorteilhaft ist. Denn eine klare Regelung sorgt für eine effektive Durchsetzung von Betroffenenrechten.

Abbedingung durch Rechtswahl?


Da es sich bei der DSGVO um ein Regelungswerk des öffentlichen Rechts handelt, kann diese hinsichtlich des räumlichen Geltungsbereichs entsprechend der Rom I-Verordnung auch nicht durch Parteivereinbarung ausgehebelt werden. Eine Rechtswahl durch die Parteien ist mithin nicht möglich.

Ein Geltungsbereich, viele Fragen

Die DSGVO kennt kaum Grenzen. Sofern die Datenverarbeitung einen EU-Bezug aufweist, müssen Unternehmen in der Regel für die Einhaltung eines DSGVO-konformen Schutzniveaus sorgen. Hierbei kommt es nicht auf den Sitz des Unternehmens an, sondern vielmehr auf den Unionsbezug der Verarbeitungstätigkeit.

Dementsprechend müssen auch unionsfremde Unternehmen sorgfältig evaluieren, ob ihnen eine Verpflichtung zur Bestellung eines DSB sowie eines Unionsvertreters obliegt. Hierbei ist zu empfehlen, die Rollen mit unterschiedlichen Personen zu besetzen, um etwaige Interessenkonflikte zu vermeiden.

Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 23, 2023
5 min
NIS2 Compliance: Was Unternehmen dafür leisten müssen

Mit der Einführung der NIS2 Richtlinie ändert sich das Terrain der Cybersicherheit in Europa grundlegend. Unternehmen stehen vor der Herausforderung, sich anzupassen – aber wer ist betroffen und warum gestaltet sich die Umsetzung so anspruchsvoll? Erfahren Sie, wie die frühzeitige Umsetzung dieser Richtlinie Unternehmen nicht nur vor möglichen Strafen bewahrt, sondern auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen stärkt und langfristige Wettbewerbsvorteile schafft.

Lesen
October 11, 2023
6 min
NIS2 Anforderungen: Welche Pflichten kommen auf Unternehmen zu?

Cybersicherheit rückt verstärkt in den Fokus der EU, und die aktualisierten NIS2-Anforderungen stellen Unternehmen vor erhebliche Aufgaben. Dieser Artikel bietet einen kompakten Überblick über die Pflichten und Vorschriften, die Unternehmen erfüllen müssen, darunter die Selbst-Einordnung als "besonders wichtige" oder "wichtige" Einrichtungen, die Meldung von Sicherheitsvorfällen und die Implementierung von Sicherheitsmaßnahmen. Wir beleuchten die Bedeutung des Risikomanagements, der Sicherheit in der Lieferkette und der Schulung der Mitarbeiter in "Cybersecurity-Hygiene" und zeigen, warum die Einhaltung der NIS2-Anforderungen in ganz Europa von höchster Bedeutung ist.

Lesen
June 7, 2023
10 min
NIS2 Richtlinie: Alles, was Unternehmen jetzt wissen müssen

Im Oktober 2024 wird Deutschland verpflichtet sein, die europäische NIS-2-Richtlinie in ihr nationales Recht zu integrieren. Es wird geschätzt, dass nahezu 29.000 Unternehmen in Deutschland davon betroffen sein werden. Wie reagiert die deutsche Wirtschaft auf die ambitionierten Ziele der EU? Große Konzerne, die über umfangreiche Compliance-Abteilungen verfügen, haben bereits begonnen, sich intensiv mit der NIS-2-Richtlinie zu befassen und ihre Informationssicherheit im Hinblick auf das festgelegte Datum umfassend zu überprüfen. Im Gegensatz dazu sind sich viele Unternehmen im Mittelstand häufig nicht bewusst, dass sie in den Geltungsbereich der Richtlinie fallen. Die NIS2 Richtlinie stellt eine der bedeutendsten Compliance-Herausforderungen der letzten Jahre dar – und sie wird voraussichtlich weiterhin erhebliche Auswirkungen haben.

Lesen
TO TOP