Update Datenschutz Nr. 46
Internationale Anwendbarkeit der DSGVO
Die DSGVO sorgt aufgrund ihrer Vielzahl unbestimmter Rechtsbegriffe und auszulegenden Bestimmungen für erhebliche Anwendungsschwierigkeiten. Noch herausfordernder wird sie aber, wenn Unternehmen, die nicht in der EU ansässig sind, prüfen müssen, ob die DSGVO auf sie anwendbar ist. Generell hat sich der europäische Gesetzgeber zum Ziel gesetzt, eine möglichst weitreichende territoriale Anwendbarkeit der DSGVO zu schaffen. Er folgt damit den Vorgaben des EuGH, der seit dem Google Spain Urteil (Urteil v. 13.05.2014 – Rs C-131/12) die Linie vertritt, dass zum bestmöglichen Schutz der Betroffenen eine weite Anwendung des europäischen Datenschutzrechts erfolgen soll. In den Entscheidungen der Wirtschaftsakademie Schleswig-Holstein (Urteil v. 05.06.2018 – Rs C-210/16) und Zeugen Jehovas (10.07.2018 – Rs C-25/17) bestätigte der EuGH diese Linie noch einmal.
Die territoriale Anwendbarkeit findet sich in der DSGVO in Art. 3. Danach ist die DSGVO zum einen anwendbar, wenn personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgen, unabhängig davon, ob die Verarbeitung in der EU stattfindet. Andererseits findet die DSGVO auch Anwendung, wenn ein nicht in der EU niedergelassener verantwortlicher Auftragsverarbeiter die personenbezogenen Daten Betroffener verarbeitet, die sich in der EU befinden und wenn das geschieht, um diesen Betroffenen Waren oder Dienstleistungen anzubieten oder ihr Verhalten innerhalb der EU beobachtet werden soll.
Anwendbarkeit aufgrund einer Niederlassung
Der Niederlassungsbegriff ist weit zu verstehen: Es können Tochterunternehmen, aber auch reine Vertriebsbüros sein, die eine Niederlassung darstellen. Wichtig ist, dass der nicht in der EU niedergelassene Verantwortliche eine gewisse Kontrolle über die Niederlassung ausübt – eine reine Handelsvertretung reicht daher nicht immer aus – und die Daten im Zusammenhang mit der Tätigkeit dieser Niederlassung verarbeitet werden, etwa weil Mitarbeiter aus dem Nicht-EU-Ausland dort hingeschickt werden oder Kundenbeziehungen über diese Niederlassung abgewickelt werden. Dadurch, dass auch Auftragsverarbeiter in den Anwendungsbereich einbezogen sind, kann die DSGVO sogar dann Anwendung finden, wenn sowohl die Betroffenen als auch der Verantwortliche gar nicht in der EU ansässig sind, eine Tochtergesellschaft des Verantwortlichen aber als Auftragsverarbeiter auftritt und in dieser Funktion die Daten innerhalb der EU verarbeitet. Hier ist also Vorsicht geboten bei der Gestaltung von konzerninternen Dienstleistungsverhältnissen.
Anwendbarkeit aufgrund von Angeboten
Die Variante des Art. 3 Abs. 2 in Form des Angebots von Waren oder Dienstleistungen findet dann Anwendung, wenn Unternehmen, die nicht in der EU ansässig sind, ihre Leistungen in die EU hinein anbieten. Das ist zum Beispiel bei Dienstleistungsangeboten aus den USA – man denke an die verschiedenen Social Media Angebote – der Fall. Eine Anwendbarkeit tritt aber nicht dann schon ein, wenn beispielsweise ein Hotel in Südafrika eine Webseite auf Englisch betreibt, die auch aus der EU heraus erreichbar ist und die Buchung von Zimmern ermöglicht. Soweit nicht weitere Merkmale hinzutreten, die eine ausdrückliche Adressierung dieser Leistung auch an EU-Bürger erkennen lässt, etwa die Nutzung EU-spezifischer Sprachen auf der Webseite oder die Angabe von EU-Bankverbindungen oder Telefonnummern, reicht dieses „Zufallsangebot“ nicht aus, um das Merkmal des Angebots für Waren oder Dienstleistungen zu erfüllen. Die Dienstleistungen und Waren werden hier nämlich tatsächlich nur in Südafrika angeboten und nur zufällig durch Betroffene in der EU wahrgenommen.
Achtung: Zusätzlich nationale Vorschriften
Neben dieser weiten Anwendbarkeit der DSGVO kann bei Verantwortlichen, die nicht innerhalb der EU ansässig sind, über nationale Vorschriften noch weiteres Datenschutzrecht hinzukommen. So sieht beispielsweise das deutsche BDSG in § 1 Abs. 4 sehr weitreichende Anwendungsvorschriften vor, die dazu führen, dass sich internationale Unternehmen intensiv auch mit dem BDSG auseinandersetzen sollten, wenn sie Leistungen auch nach Deutschland anbieten. Es könnte dann nämlich schnell sein, dass z.B. ein Datenschutzbeauftragter zu bestellen ist.
Notwendigkeit eines europäischen Vertreters
Außerdem ist noch darauf hinzuweisen, dass nach Art. 27 DSGVO Unternehmen, auf die die DSGVO gemäß Art. 3 Abs. 2 Anwendung findet, einen Vertreter bestellen muss, der in der EU ansässig ist und letztendlich als Anlaufstelle für Betroffene sowie Behörden des Verantwortlichen in der EU fungiert.
Alles in allem ist mit der DSGVO die Anwendbarkeit des europäischen Datenschutzrechts erheblich erweitert worden, ein Trend der vom EuGH begonnen und weiter von diesem gestützt wird. Internationale Unternehmen, die entweder über Niederlassungen oder aufgrund von Waren- und Dienstleistungsangeboten in Europa tätig sind, müssen sich daher umfassend mit den Vorschriften der DSGVO und gegebenenfalls lokalen Datenschutzgesetzen auseinandersetzen.