Zurück zur Übersicht
21.11.2018Fachbeitrag

Update Datenschutz Nr. 46

Internationale Anwendbarkeit der DSGVO

Die DSGVO sorgt aufgrund ihrer Vielzahl unbestimmter Rechtsbegriffe und auszulegenden Bestimmungen für erhebliche Anwendungsschwierigkeiten. Noch herausfordernder wird sie aber, wenn Unternehmen, die nicht in der EU ansässig sind, prüfen müssen, ob die DSGVO auf sie anwendbar ist. Generell hat sich der europäische Gesetzgeber zum Ziel gesetzt, eine möglichst weitreichende territoriale Anwendbarkeit der DSGVO zu schaffen. Er folgt damit den Vorgaben des EuGH, der seit dem Google Spain Urteil (Urteil v. 13.05.2014 – Rs C-131/12) die Linie vertritt, dass zum bestmöglichen Schutz der Betroffenen eine weite Anwendung des europäischen Datenschutzrechts erfolgen soll. In den Entscheidungen der Wirtschaftsakademie Schleswig-Holstein (Urteil v. 05.06.2018 – Rs C-210/16) und Zeugen Jehovas (10.07.2018 – Rs C-25/17) bestätigte der EuGH diese Linie noch einmal.

Die territoriale Anwendbarkeit findet sich in der DSGVO in Art. 3. Danach ist die DSGVO zum einen anwendbar, wenn personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgen, unabhängig davon, ob die Verarbeitung in der EU stattfindet. Andererseits findet die DSGVO auch Anwendung, wenn ein nicht in der EU niedergelassener verantwortlicher Auftragsverarbeiter die personenbezogenen Daten Betroffener verarbeitet, die sich in der EU befinden und wenn das geschieht, um diesen Betroffenen Waren oder Dienstleistungen anzubieten oder ihr Verhalten innerhalb der EU beobachtet werden soll.

Anwendbarkeit aufgrund einer Niederlassung

Der Niederlassungsbegriff ist weit zu verstehen: Es können Tochterunternehmen, aber auch reine Vertriebsbüros sein, die eine Niederlassung darstellen. Wichtig ist, dass der nicht in der EU niedergelassene Verantwortliche eine gewisse Kontrolle über die Niederlassung ausübt – eine reine Handelsvertretung reicht daher nicht immer aus – und die Daten im Zusammenhang mit der Tätigkeit dieser Niederlassung verarbeitet werden, etwa weil Mitarbeiter aus dem Nicht-EU-Ausland dort hingeschickt werden oder Kundenbeziehungen über diese Niederlassung abgewickelt werden. Dadurch, dass auch Auftragsverarbeiter in den Anwendungsbereich einbezogen sind, kann die DSGVO sogar dann Anwendung finden, wenn sowohl die Betroffenen als auch der Verantwortliche gar nicht in der EU ansässig sind, eine Tochtergesellschaft des Verantwortlichen aber als Auftragsverarbeiter auftritt und in dieser Funktion die Daten innerhalb der EU verarbeitet. Hier ist also Vorsicht geboten bei der Gestaltung von konzerninternen Dienstleistungsverhältnissen.

Anwendbarkeit aufgrund von Angeboten

Die Variante des Art. 3 Abs. 2 in Form des Angebots von Waren oder Dienstleistungen findet dann Anwendung, wenn Unternehmen, die nicht in der EU ansässig sind, ihre Leistungen in die EU hinein anbieten. Das ist zum Beispiel bei Dienstleistungsangeboten aus den USA – man denke an die verschiedenen Social Media Angebote – der Fall. Eine Anwendbarkeit tritt aber nicht dann schon ein, wenn beispielsweise ein Hotel in Südafrika eine Webseite auf Englisch betreibt, die auch aus der EU heraus erreichbar ist und die Buchung von Zimmern ermöglicht. Soweit nicht weitere Merkmale hinzutreten, die eine ausdrückliche Adressierung dieser Leistung auch an EU-Bürger erkennen lässt, etwa die Nutzung EU-spezifischer Sprachen auf der Webseite oder die Angabe von EU-Bankverbindungen oder Telefonnummern, reicht dieses „Zufallsangebot“ nicht aus, um das Merkmal des Angebots für Waren oder Dienstleistungen zu erfüllen. Die Dienstleistungen und Waren werden hier nämlich tatsächlich nur in Südafrika angeboten und nur zufällig durch Betroffene in der EU wahrgenommen.

Achtung: Zusätzlich nationale Vorschriften

Neben dieser weiten Anwendbarkeit der DSGVO kann bei Verantwortlichen, die nicht innerhalb der EU ansässig sind, über nationale Vorschriften noch weiteres Datenschutzrecht hinzukommen. So sieht beispielsweise das deutsche BDSG in § 1 Abs. 4 sehr weitreichende Anwendungsvorschriften vor, die dazu führen, dass sich internationale Unternehmen intensiv auch mit dem BDSG auseinandersetzen sollten, wenn sie Leistungen auch nach Deutschland anbieten. Es könnte dann nämlich schnell sein, dass z.B. ein Datenschutzbeauftragter zu bestellen ist.

Notwendigkeit eines europäischen Vertreters

Außerdem ist noch darauf hinzuweisen, dass nach Art. 27 DSGVO Unternehmen, auf die die DSGVO gemäß Art. 3 Abs. 2 Anwendung findet, einen Vertreter bestellen muss, der in der EU ansässig ist und letztendlich als Anlaufstelle für Betroffene sowie Behörden des Verantwortlichen in der EU fungiert.

Alles in allem ist mit der DSGVO die Anwendbarkeit des europäischen Datenschutzrechts erheblich erweitert worden, ein Trend der vom EuGH begonnen und weiter von diesem gestützt wird. Internationale Unternehmen, die entweder über Niederlassungen oder aufgrund von Waren- und Dienstleistungsangeboten in Europa tätig sind, müssen sich daher umfassend mit den Vorschriften der DSGVO und gegebenenfalls lokalen Datenschutzgesetzen auseinandersetzen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler
29.01.2024
Digital Services Act: Rechtswidrige Inhalte – Die Entwicklung der Melde- und Abhilfeverfahren

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.