Mit Einführung der Datenschutzgrundverordnung (DSGVO) ergibt sich im Vergleich zur Datenschutzrichtlinie 95/46/EG ein deutlich weiterer räumlicher Anwendungsbereich, sodass sich die Frage stellt, wo die DSGVO gilt.
Der Inhalt im Überblick
Räumlicher Anwendungsbereichs nach Art. 3 DSGVO
Ausgangspunkt für die Bestimmung des räumlichen Anwendungsbereichs ist Art. 3 DSGVO.
Der räumliche Anwendungsbereich der DSGVO ergibt sich also grundsätzlich bei der Verarbeitung personenbezogenen Daten,
- soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO).
Sofern die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter stattfindet, muss die Datenverarbeitung nach Art. 3 Abs. 2 DSGVO im Zusammenhang stehen damit, dass
- gegenüber betroffenen Personen in der Union Waren oder Dienstleistungen – unabhängig von einer Zahlungspflicht – angeboten werden oder
- das Verhalten betroffener Personen beobachten werden soll, soweit ihr Verhalten in der Union erfolgt.
Die DSGVO findet auch auf einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort Anwendung, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt (Art. 3 Abs. 3 DSGVO). Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden. Eine Rechtswahlklausel ist damit nicht möglich. Hat ein Mitgliedstaat jedoch im Rahmen einer Öffnungsklausel eine nationale Datenschutzregelung getroffen, ist grundsätzlich das Datenschutzrecht des jeweiligen Mitgliedstaats maßgeblich.
Niederlassung innerhalb der EU
Nach Art. 3 Abs. 1 DSGVO ist zunächst das Vorhandensein einer Niederlassung in der Union maßgeblich, wobei der tatsächliche Ort der Datenverarbeitung unerheblich ist.
Hat der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union, ist die DSGVO räumlich anwendbar, wenn es sich um eine Niederlassung im Sinne von Art 3 Abs. 1 DSGVO handelt.
Ob eine Niederlassung im Sinne des von Art. 3 Abs. 1 DSGVO vorliegt, kann aus Erwägungsgrund 22 der DSGVO abgeleitet werden:
„Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.“
Für eine Niederlassung ist demnach kennzeichnend, dass eine feste Einrichtung eine effektive und tatsächliche Ausübung einer Tätigkeit erlaubt. Die praktische Schwierigkeit liegt in der Feststellung, was hierunter im Einzelfall zu verstehen ist. Mitunter werden sogar interne Abteilungen innerhalb eines Unternehmens als „Niederlassung“ im rechtlichen Sinne betrachtet. Nach wie vor muss allerdings die Datenverarbeitung der Niederlassung „im Rahmen der Tätigkeit“ der Niederlassung erfolgen – die Datenverarbeitung muss demnach einen Bezug zur Niederlassung aufweisen. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend (vgl. hierzu Erwägungsgrund 22)
Niederlassung außerhalb der EU
Sofern innerhalb der EU keine Niederlassung vorhanden ist, ist Art. 3 Abs. 2 und Abs. 3 DSGVO zu beachten.
Interessant ist hierbei zunächst, dass sich die Verarbeitung personenbezogener Daten von betroffenen Personen nach Art. 3 Abs. 2 DSGVO im Gegensatz zu Art. 3 Abs. 1 DSGVO darauf beziehen muss, dass sich die betroffenen Personen örtlich innerhalb der Union befinden. Dabei reicht es aus, wenn sich die betroffenen Personen – auch nur kurzfristig – in der Union aufzuhalten. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es demnach nicht an.
Datenverarbeitung im Zusammenhang mit Angebot von Waren oder Dienstleistungen
Nach Art. 3 Abs. 2 lit. a) DSGVO muss die Datenverarbeitung im Zusammenhang damit stehen, dass der betroffenen Person in der Union Waren oder Dienstleistungen -unabhängig einer Zahlungspflicht- angeboten werden sollen. Ein konkretes Angebot ist damit nicht erforderlich.
Besonders interessant ist hierbei die Frage, wann Waren oder Dienstleistungen „in der Union“ angeboten werden. Nach Erwägungsgrund 23 ist hierfür entscheidend, ob der Verantwortliche oder Auftragsverarbeiter das Anbieten von Waren bzw. Dienstleistungen in der Union „offensichtlich beabsichtigt“ hat:
„(…) Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten (…).“
Demnach muss sich aus dem Waren- bzw. Dienstleistungsangebot mit einer gewissen Eindeutigkeit ergeben, dass die Waren oder Dienstleistungen in der Union angeboten werden sollen. Ein Hinweis, dass etwaige Angebote nicht auf die Union gerichtet sind, soll aber genügen. Darüber hinaus soll es jedoch nicht ausreichend sein, dass die Webseite in der Union oder die Kontaktdaten innerhalb der Union abrufbar sind. Auch die verwendete Sprache bietet keine ausreichenden Anhaltspunkte für den Bezug zur Union. Letztlich bleibt vielmehr eine Gesamtschau notwendig, aus welcher sich die offensichtliche Absicht für das Anbieten von Waren oder Dienstleistungen innerhalb der Union ergibt.
Datenverarbeitung im Zusammenhang mit einer Verhaltensbeobachtung
Nach Art. 3 Abs. 2 lit. b) ist die DSGVO auf diejenigen Verantwortlichen und Auftragsverarbeiter anzuwenden, die im Rahmen der Datenverarbeitung das Verhalten betroffener Personen innerhalb der Union beobachten. Grundsätzlich werden hiervon nur Beobachtungen im Zusammenhang mit Internetaktivitäten, wie etwa das Profiling oder das Tracking erfasst (vgl. hierzu auch Erwägungsgrund 24):
„(…) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“
Zu beachten ist dabei, dass jede Verhaltensbeobachtung zu einer Anwendung der DSGVO führt, wodurch insofern weltweit die Vorgaben DSGVO einzuhalten sind.
Räumlicher Anwendungsbereich aufgrund völkerrechtlicher Vorgaben
Schließlich kann die DSGVO auch dann anwendbar sein, wenn die Datenverarbeitung durch den Verantwortlichen an einem Ort erfolgt, der aufgrund des Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Hierunter fallen etwa diplomatische oder konsularische Vertretungen eines Mitgliedstaats (Erwägungsgrund 25).
Es wäre schön, wenn Sie noch ein paar praktische Beispiele aufzeigen könnten. Vielen Dank!
Vielen Dank für Ihre Frage.
Im Hinblick auf Art. 3 Abs. 1 DSGVO können Sie darauf abstellen, ob eine Niederlassung in der Union vorliegt. Beispiel: Für ein Unternehmen mit Sitz in Österreich gilt dann die DSGVO.
Mit Blick auf Art. 3 Abs. 2 DSGVO (Marktortprinzip, Verhaltensbeobachtung) kann folgendes Beispiel gegeben werden: Ein Unternehmen mit Sitz in den USA bietet Waren oder Dienstleistungen innerhalb der Union an bzw. sammelt über ihre Webseite personenbezogene Daten innerhalb der Union.
Hallo, danke für den Artikel!
Meine Frage: Wie sieht es, wenn ich als EU-Bürger in Deutschland „Online-Kurse“ (z.B. E-Books) auf Englisch an US-Bürger verkaufe. Muss ich mich dann an die DSGVO halten oder gilt dann das Recht des jeweiligen US-Staates?
Wenn Sie Verantwortlicher im Sinne der Datenschutzverordnung sind und Ihren Sitz in der europäischen Union haben, dann ist die DSGVO anwendbar, unabhängig davon an wen sich das Angebot richtet. Es gilt in diesem Fall Art. 3 Abs. 1 DSGVO.
Hallo zusammen,
ich bin Privatmann und unterhalte ein für registrierte Mitglieder kostenlos zur Verfügung gestelltes Forum mit Onlinegames (als personenbezogene Daten wird zur Registrierung nur die E – Mail Adresse benötigt, die jedoch ausser für mich als Admin niemand anderem sichtbar ist oder angezeigt werden kann). Muss ich da auch irgendwelche Neuerungen wegen Datenschutz einhalten?
Ja, auch Sie müssen datenschutzrechtliche Vorgaben berücksichtigten.
Hallo und danke für den Artikel,
das Unternehmen, für das ich arbeite, hat Tochterfirmen in den China, der Schweiz, den VAE und Australien, deren Websites alle in Deutschland gehostet werden. Kommt hier deshalb die DSGVO zum Tragen?
Weitere konkrete Beispiele können Sie den weiteren Kommentaren entnehmen. Bitte beachten Sie, dass wir hier in dem Blog keine Rechtsberatung vornehmen können.
Gilt die DSGVO denn nicht auch für Behörden? Wenn ich mir beispielsweise vom Arbeitsamt oder der Polizei Auskunft erteilen lassen möchte, müßte die DSGVO doch auch gelten. Wo finde ich den Mustertexte hierfür?
Grundsätzlich hat man nach Art. 15 DSGVO auch gegenüber öffentlichen Stellen (z.B. Behörden) einen Auskunftsanspruch über die zu Ihrer Person gespeicherten Daten. Allerdings gibt es hier auch einige Einschränkungen. So müssen die Rechte und Freiheiten anderer Personen ebenfalls beachtet werden. In § 34 BDSG (neu) werden weitere Einschränkungen des Auskunftsrechts aufgeführt (wie bspw. zum Schutz der öffentlichen Sicherheit). Zudem hat man – ggf. kostenpflichtig – gegenüber Bundesbehörden und vielen Landesbehörden auch ein Recht auf Zugang zu amtlichen Informationen auf Grund des Informationsfreiheitsgesetzes des Bundes oder des jeweiligen Landes. Insofern lässt sich eine pauschale Antwort nicht geben, da es vom Einzelfall abhängt, ob bzw. in welchem Umfang man ein Auskunftsrecht gegenüber einer Behörde hat. Maßgeblich ist u.a. ob es sich um eine Bundes- oder Landesbehörde handelt, ggf. welche Behörde in welchem Bundesland zuständig ist etc. Mustertexte können Sie ggf. mit Hilfe der einschlägigen Suchmaschinen finden. Daneben bietet auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) weitere Informationen zum Recht auf Auskunft gegenüber Behörden als auch zum Informationsfreiheitsgesetz.
Guten Tag, ich schreibe gerade meine Masterarbeit und habe eine Frage zur dsvgo. Ein Modeunternehmen (aus der EU) lässt in Bangladesch über einen Lieferanten Mode herstellen. Um gegen Kinderarbeit vorzugehen, möchte das Modeunternehmen vom Lieferanten sämtliche Ausweis- und Arbeitsvertragsdokumente der Arbeiter erhalten. Darf der Lieferant diese Papiere dem Modeunternehmen ohne Einwilligung der Arbeiter zu kommen lassen und hätten die Arbeiter ein Recht auf die Löschung dieser Daten?
Über eine Antwort würde ich mich freuen.
Gruß Dennis
Die Frage ist leider zu komplex um Sie innerhalb dieser Kommentarfunktion abschließend zu erörtern. Ein Aspekt ist z.B. das Erheben und weitergeben der Daten durch den Lieferanten (außerhalb der EU) und das Verarbeiten durch den Empfänger (innerhalb der EU). Auch ist fraglich, ob die Rechtsgrundlage für das Verarbeiten durch den Empfänger eine Einwilligung sein muss.
Guten Tag. Ich habe da eine Frage zur DSGVO. Unsere Webseite ist in der Schweiz gehostet. Der Webseiten Betreiber ist wohnhaft in der Dominikanischen. Muss sich eine Webseite an die DSGVO halten wenn Besucher aus der EU die Webseite aufrufen ?
Gibt es da eine Regelung ? Vielen Dank
Da sich die Niederlassung des Verantwortlichen außerhalb der EU befindet, gilt Art. 3 I DSGVO nicht. Allerdings kommt Art. 3 II DSGVO in Betracht, der den räumlichen Anwendungsbereich der DSGVO eröffnen könnte. Voraussetzung ist zunächst, dass eine Verarbeitung personenbezogener Daten stattfindet.
Ist dies der Fall, greift Art. 3 II lit. a DSGVO, wenn den Webseitenbesuchern, die sich in der EU aufhalten, Waren oder Dienstleistungen angeboten werden. Sie müssen sich diesbezüglich selbst fragen, ob Sie Waren oder Dienstleistungen an Webseitenbesucher innerhalb der EU anbieten. Eine Dienstleistung im Sinne der genannten Norm liegt vor, wenn die Webseite Reisen anbietet oder wenn es sich z.B. um Cloud-Angebote, Social Media, Online-Pressedienste oder Vergleichsportale handelt. Ein rein zu Präsentationszwecken erfolgender Webauftritt eines Unternehmens ist keine Dienstleistung im Sinne des Art. 3 II lit. a DSGVO.
Die DSGVO ist jedoch auch anwendbar, wenn das Verhalten von Personen, die sich in der EU aufhalten, beobachtet wird, Art. 3 II lit. b DSGVO. Dies ist der Fall bei Tracking oder Profiling der Webseitenbesucher aus der Union.
Wir benötigen von der Diakonie Auskunft über erbrachte Pflegeleistung für 2016 – 2018 für die Steuererklärung von meinem verstorbenen Vater. Unsere tel. Anfrage wurde mit dem Hinweis auf Datenschutz abgelehnt und wir könnten die Überweisungsbeträge auch auf dem Sparkassenkonto sehen. Da der Betreff auf den Überweisungen fehlt, ist dieser Weg sinnlos. Hat die Diakonie das Recht, die Auskunft abzulehnen?
Ziel datenschutzrechtlicher Vorgaben ist der Schutz natürlicher Personen. Verstorbene Personen gehören nicht dazu, was für den Anwendungsbereich der DSGVO auch noch einmal in Erwägungsgrund 27 klargestellt wird. Im Bereich des kirchlichen Datenschutzes gilt in der Regel das gleiche.
Ich brauche einen Anwalt der sich mit Datenschutz auskennt. Meine Anfragen über die Auskunft meiner Personenbezogenen Daten bleiben weitgehend seit 2,5 Jahren unbeachtet und da die Frist bei 3 Jahren liegt, vermute ich das hier auf Zeit gespielt wird.
Gilt die DSGVO auch dann, wenn ein EU-Unternehmen (Datenverarbeiter) mit Angehörigen von Drittstaaten, die sich im Drittstaat befinden, Geschäftsbeziehungen unterhält, maW schützt sie auch zB amerikanische Bürger bei europäischer Datenerhebung? Danke.
Der Schutz personenbezogener Daten ist Menschenrecht, nicht Bürgerrecht. Der durch die DSGVO gewährte Schutz betrifft demnach die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsortes (ErwGr 14). Der Schutz richtet sich sowohl gegen den Staat als auch gegen private datenverarbeitende Unternehmen.
Gilt auch die Stellenausschreibung eines Unternehmens in einem Drittstaat, die sich explizit auch an EU Bürger wendet, als Angebot einer Dienstleistung an EU Bürger?
Ein Stellenangebot ist an sich m.E. kein Angebot einer Ware oder Dienstleistung. Der Betroffene damit vielmehr eher dazu eingeladen, eine Dienstleistung anzubieten. Zudem bezieht sich Art. 3 Absatz (2) DSGVO nicht auf die Staatsbürgerschaft (also ob es sich um EU-Bürger handelt oder nicht), sondern an den Aufenthaltsort (ob sich die Betroffenen in der Union befinden).
Ob die DSGVO hier Anwendung findet, wird sich daher eher danach bestimmen, ob das Unternehmen aus anderen Gründen Art. 3 DSGVO unterfällt (z.B. eine Niederlassung in der EU hat oder ansonsten Waren oder Dienstleistungen an Betroffene in der Union anbietet etc.).
Kann ich ein praktisches Beispiel haben für räumlicher Anwendungsbereich für denen Nicht-EU-Personen bzw. Personen aus Drittstaaten dem Anwendungsbereich der DSGVO entziehen können?
Die DSGVO gilt nicht, wenn die Datenverarbeitung keinen EU-Bezug auf Verantwortlichen Seite und Betroffenen Seite hat. Das muss kumulativ vorliegen. Zum Beispiel, wenn ein Verantwortlicher in den USA personenbezogene Daten von US-Bürgern verarbeitet. Oder wenn ein Verantwortlicher in Australien personenbezogene Daten von japanischen Bürgern verarbeitet.
Hallo,
ich habe ein kleines Unternehmen und für dieses eine Website. Diese Seite kann von jedem angeschaut werden ohne sich anmelden zu müssen bzw. zu können. Es ist quasi nur eine Informationseite. Greift hier auch die DSGVO ?
Enrico Reiß