Im Zeitalter des World Wide Web spielen Landesgrenzen kaum mehr eine Rolle. Der Zugang zu Wissen ist rund um die Uhr möglich. Verkäufer können ihre Waren der ganzen Welt anbieten, die Nutzer haben eine schier endlose Auswahl an verfügbarem Content.
Dies bedeutet jedoch auch, dass infolgedessen personenbezogene Daten der jeweiligen Nutzer gesammelt und ausgewertet werden können. Insbesondere in Anbetracht der technischen Möglichkeiten der Digitalisierung – Stichwort: Big Data – ist es essenziell, ein angemessenes Schutzniveau sicherzustellen. Daten werden über Ländergrenzen hinweg übermittelt, wodurch die Sicherheit der Daten nicht immer gewährleistet ist. Denn die Gesetzgebung fällt häufig in die Souveränität der einzelnen Staaten. Ein einheitlicher Standard für den Schutz personenbezogener Daten ist damit denkbar schwer herzustellen.
In diesem Artikel lesen Sie:
- welche Geltungsbereiche die DSGVO hat
- wann Unternehmen außerhalb der EU in den Geltungsbereich der DSGVO fallen
- was Ihr Unternehmen tun sollte, wenn es in den Geltungsbereich der DSGVO fällt
Geltungsbereiche im Datenschutz – der Hintergrund
Umso wertvoller ist damit der Ansatz der Europäischen Union, mittels der Datenschutzgrundverordnung (DSGVO) für ein einheitliches Datenschutzniveau zu sorgen. Die Verordnung löst die seit 1995 geltende Datenschutzrichtlinie (Richtlinie 95/46/EG) ab, welche zwar ebenfalls ein einheitliches Niveau bezwecken sollte, jedoch noch von den einzelnen Mitgliedsstaaten in Form von nationalen Gesetzen umgesetzt werden musste.
Im Unterschied zu einer solchen Richtlinie ist eine Verordnung unmittelbar anwendbares Recht und geht – im Fall von Widersprüchen – in der Regel der nationalen Gesetzgebung vor. Damit gelten seit dem Inkrafttreten der DSGVO innerhalb der Union dieselben datenschutzrechtlichen Verpflichtungen für alle datenverarbeitenden Stellen.
Doch gilt die DSGVO somit nur für Unternehmen mit Sitz innerhalb der Europäischen Union? Welche Unternehmen müssen die Anforderungen der Verordnung beachten?
Geltungsbereich der DSGVO: Räumlicher Anwendungsbereich der Verordnung
Der Anwendungsbereich der DSGVO wird durch zwei Prinzipien charakterisiert: das Niederlassungsprinzip (Art. 3 Abs. 1) sowie das Marktortprinzip (Art. 3 Abs. 2).
- Niederlassungsprinzip
Nach dem in Art. 3 Abs. 1 der DSGVO statuierten Niederlassungsprinzip findet die DSGVO Anwendung auf Unternehmen, welche als Verantwortlicher oder Auftragsverarbeiter eine Niederlassung innerhalb der EU haben - unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Union stattfindet. Haben Unternehmen Niederlassungen in mehreren Mitgliedsstaaten, gilt als Hauptniederlassung der Sitz der Hauptverwaltung.
- Marktortprinzip
Entsprechend des Marktortprinzips sind auch Unternehmen, welche keine Niederlassung innerhalb der EU unterhalten, dennoch bei der Verarbeitung von personenbezogenen Daten unter Umständen an die Anforderungen der Verordnung gebunden. Voraussetzung für die Anwendbarkeit der DSGVO ist, dass Unternehmen auf dem europäischen Markt tätig sind und dabei personenbezogene Daten von Betroffenen mit Aufenthaltsort in der Union verarbeiten. Hier unterscheidet die DSGVO zwischen zwei möglichen Tatbeständen: Nach Art. 3 Abs. 2 lit. a) findet die DSGVO Anwendung, wenn das Unternehmen auf dem europäischen Markt tätig ist und „Waren oder Dienstleistungen an[…]biete[t]“. Hierunter sind die klassischen Online-Händler zu fassen, aber auch Cloud-Anbieter, Social-Media-Plattformen oder Streamingdienste fallen unter lit. a).
So kann man doch noch in den Geltungsbereich der DSGVO fallen
Weiterhin ist gemäß Art. 3 Abs. 2 lit. b) die DSGVO einschlägig, wenn „das Verhalten betroffener Personen […] beobachte[t]“ wird. Unter eine solche „Verhaltensbeobachtung“ fallen sämtliche Tracking- oder Profiling-Aktivitäten zu Marktforschungszwecken wie beispielsweise verhaltensbasierte Werbung oder Online-Tracking durch Cookies.
Demnach können auch Unternehmen, welche außerhalb des territorialen Anwendungsbereichs liegen und damit nicht von der Verordnung erfasst wären, dem Anwendungsbereich der DSGVO unterfallen.
Hieraus wird klar erkennbar, dass der EU-Gesetzgeber einen möglichst weiten Anwendungsbereich im Sinn hatte – der Schutz personenbezogener Daten soll damit umfassend garantiert werden. Denn die DSGVO gilt auch unabhängig von der Niederlassung, sofern eine Verarbeitung von Daten innerhalb der EU stattfindet oder Daten von EU-Bürgern außerhalb der EU verarbeitet werden.
Durch diese zielgerichtete Erweiterung des Anwendungsbereichs sollen insbesondere Umgehungsmöglichkeiten für Unternehmen minimiert werden. Zudem soll ein einheitlicher Schutz aller in der EU verarbeiteter personenbezogener Daten sowie aller personenbezogener Daten von EU-Bürgern gleichermaßen sichergestellt werden.
Was bedeutet dies für die Praxis?
Besteht auch außerhalb der EU die Pflicht zur Bestellung eines Datenschutzbeauftragten? Wie sieht es mit der Vertreterregelung in Art. 27 DSGVO aus? Wo ist der Unterschied zwischen der Rolle des Datenschutzbeauftragten und der des Vertreters? Welche Aufsichtsbehörde ist im Falle eines Datenschutzvorfalls zuständig?
Datenschutzbeauftragter
Die Verpflichtung von Unternehmen zur Bestellung eines Datenschutzbeauftragten (kurz: DSB) richtet sich nach den Voraussetzungen des Art. 37 der DSGVO. Grundsätzlich muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt. Dies ist dann anzunehmen, wenn der Geschäftszweck des Unternehmens nicht ohne die Datenverarbeitung erreicht werden könnte, also die Verarbeitung essentiell für die Tätigkeit des jeweiligen Unternehmens ist.
Damit können auch – infolge des oben beschriebenen Marktortprinzips – unionsfremde Unternehmen dazu verpflichtet sein, einen DSB zu ernennen, welcher über die Einhaltung der Anforderungen der DSGVO wacht. Wenngleich die praktische Bedeutung gering sein dürfte, da die meisten internationalen Unternehmen eine Niederlassung in einem der Mitgliedsstaaten der EU betreiben und damit per se der DSGVO unterliegen (siehe oben Niederlassungsprinzip), so ist dieser Umstand dennoch erwähnenswert.
Durch Erstreckung der Anwendbarkeit der DSGVO auf unionsfremde Stellen ist der europäische Gesetzgeber dem Ziel nähergekommen, einen fast weltweiten Schutz personenbezogener Daten zu erreichen – zumindest für solche mit EU-Bezug.
Unionsvertreter
Unabhängig von der Verpflichtung zur Bestellung eines DSB müssen Unternehmen ohne Unionsniederlassung, welche personenbezogene Daten verarbeiten, nach Art. 27 DSGVO einen Vertreter mit Sitz innerhalb der EU bestellen – sogenannter Unionsvertreter.
Diese Anforderung ist also unmittelbar mit dem Marktorprinzip verknüpft. Der Unionsvertreter soll hauptsächlich als Vor-Ort-Ansprechpartner für die Aufsichtsbehörde agieren und muss deshalb in einem der von der Verarbeitung erfassten Mitgliedsstaaten ansässig sein. Der Unionsvertreter dient also als „kommunikatives Bindeglied“ zwischen dem datenverarbeitenden Unternehmen und der Aufsichtsbehörde; Unternehmen sollen sich durch räumliche Distanz nicht faktisch den Anforderungen der DSGVO entziehen können.
Unterschiede
Zunächst ist zu erwähnen, dass der Sitz des DSB im Vergleich zum Unionsvertreter nicht zwingend innerhalb der EU sein muss. Dass dies jedoch durchaus sinnvoll ist, resultiert aus den Aufgaben des DSB: Er ist zuständig für die Aufklärung/Schulung der Mitarbeiter sowie die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO. Dieser Aufgabenerfüllung können nicht nur rechtliche, sondern auch insbesondere sprachliche Barrieren entgegenstehen, sollte der DSB außerhalb der EU sitzen.
Zudem muss sichergestellt sein, dass er ohne unzumutbare Hindernisse Zugang zum Unternehmen hat. Dies ist bei Notwendigkeit einer langen Anreise in der Regel nicht gewährleistet. Für Unternehmen, die keine Niederlassung innerhalb der EU haben, gilt es abzuwägen: Sitzt der DSB am oder nahe dem Ort der zentralen Datenverarbeitung, lassen sich die oben genannten Schwierigkeiten vermeiden. Andererseits hat ein Sitz des DSB innerhalb der EU den Vorteil, „näher“ an der Aufsichtsbehörde zu sein.
Der DSB muss zudem nach Art. 37 Abs. 5 DSGVO über das erforderliche Fachwissen verfügen, welches zur Erfüllung seiner Aufgaben erforderlich ist. Neben den entsprechenden Qualifikationen im Datenschutzrecht und dessen praktischer Anwendung benötigt er insbesondere auch branchenspezifisches technisches Wissen, um die in Art. 39 DSGVO konkretisierten Aufgaben ordnungsgemäß erfüllen zu können. Weiterhin haben Unternehmen die Wahl, ob sie einen internen oder externen Datenschutzbeauftragten bestellen.
Im Gegensatz zum DSB sind vom Unionsvertreter keine besonderen Anforderungen zu erfüllen – zum Unionsvertreter kann jede natürliche oder juristische Person ernannt werden. Ratsam ist es dennoch, bei der Auswahl des Vertreters auf dessen datenschutzrechtliche Qualifikationen zu achten. Es bietet sich daher an, auf Datenschutzberatung spezialisierte Unternehmen mit der Unionsvertretung zu beauftragen.
Ferner ist im Gegensatz zum Unionsvertreter der DSB unabhängig, Art. 38 Abs. 3 DSGVO. Während der der Unionsvertreter hat der DSB für die Wahrung von Betroffenenrechten sowie insgesamt der DSGVO-Konformität der Datenverarbeitung zu sorgen. Der Unionsvertreter ist dabei wohl als Stellvertreter im Sinne des Bürgerlichen Gesetzbuchs, §§ 164 ff. BGB zu qualifizieren und handelt für und im Namen des Unternehmens.
Hierdurch wird deutlich, dass die Ausübung beider Positionen in Personalunion nicht empfehlenswert ist. Wenngleich ein solches Vorgehen in rechtlicher Hinsicht nicht verboten ist, so kann die Besetzung beider Positionen mit derselben Person schnell zu Interessenskonflikten führen. Daher ist es empfehlenswert, beide Rollen mit unterschiedlichen Personen zu besetzen. Hierzu rät auch der Europäische Datenschutzausschuss mit Hinweis auf die notwendige Unabhängigkeit des DSB (abrufbar unter edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf, S. 21).
Zuständige Aufsichtsbehörde
Ein Datenschutzvorfall ist der jeweils zuständigen Aufsichtsbehörde zu melden. Hier stellt sich für internationale Unternehmen mit mehreren Niederlassungen innerhalb der EU und einer damit einhergehenden grenzüberschreitenden Datenverarbeitung die Frage: Welche Aufsichtsbehörde ist zuständig? An welche Behörde müssen sich die Unternehmen wenden?
Dabei kommt ein weiteres wichtiges Prinzip der DSGVO zum Tragen: das One-Stop-Shop-Prinzip, verankert in Art. 56 Abs. 1. Es besagt, dass bei grenzüberschreitender Verarbeitung diejenige Behörde am Sitz der Hauptniederlassung die federführende Zuständigkeit innehat. Diese Vorschrift regelt die Behördenzuständigkeit bei Datenverarbeitungen eines Unternehmens in mehr als einem Mitgliedsstaat beziehungsweise wenn das datenverarbeitende Unternehmen Niederlassungen in mehreren Mitgliedsstaaten unterhält oder wenn im Falle von einer Verarbeitung in nur einem Mitgliedsstaat die Verarbeitung erhebliche Auswirkungen auf Betroffenen in mehr als einem Mitgliedsstaat haben kann.
Bezugspunkt ist nach Art. 4 Nr. 16 lit. a) DSGVO der Sitz der Hauptverwaltung, das heißt jene Niederlassung, die nach tatsächlichen Aspekten der Geschäftsschwerpunkt des Unternehmens ist – auf einen formellen Sitz kommt es hingegen im Rahmen des Art. 56 DSGVO nicht an. Anderes gilt nur, wenn nicht die Hauptverwaltungsniederlassung, sondern eine andere über Zweck und Mittel der Datenverarbeitung entscheidet.
Eine solche Ausnahme kommt bei Auftragsverarbeitern damit per se nicht in Betracht – Entscheidungen über Zweck und Mittel können nämlich nur Verantwortliche treffen. Bei auftragsverarbeitenden Unternehmen bestimmt sich die zuständige Behörde ebenfalls nach dem Schwerpunkt der Verarbeitung.
Es ist jedoch noch darauf hinzuweisen, dass auch die Behörden an den übrigen Niederlassungen Ansprechpartner für Betroffene bleiben. Auch bei Fällen mit nur lokalem Bezug ist die Aufsichtsbehörde vor Ort weiterhin zuständig.
Die One-Stop-Shop-Regelung soll nämlich hauptsächlich den jeweiligen Unternehmen zugutekommen: Hat das Unternehmen einen festen Ansprechpartner, kann es sich, was Sprache und Sitz des DSB betrifft, auf die Gegebenheiten einstellen – eine unternehmensfreundliche und praxisnahe Regelung, die jedoch auch für die Betroffenen vorteilhaft ist. Denn eine klare Regelung sorgt für eine effektive Durchsetzung von Betroffenenrechten.
Abbedingung durch Rechtswahl?
Da es sich bei der DSGVO um ein Regelungswerk des öffentlichen Rechts handelt, kann diese hinsichtlich des räumlichen Geltungsbereichs entsprechend der Rom I-Verordnung auch nicht durch Parteivereinbarung ausgehebelt werden. Eine Rechtswahl durch die Parteien ist mithin nicht möglich.
.webp)
.svg)
.svg)
.svg)
.svg){kind=small}