Christian Szidzek - Datenschutzgrundverordnung für Dummies

Lösung des Beispiels von oben: Die klitzekleine Niederlassung Ihres Mutterunternehmens in Spanien führt nach der bisherigen Rechtsprechung des EuGH dazu, dass sich auch die Muttergesellschaft an die Vorgaben der DSGVO halten muss, vorausgesetzt, die Tätigkeiten der Muttergesellschaft und der Niederlassung in der EU sind untrennbar miteinander verbunden .

Daneben gilt die DSGVO aber auch umgekehrt für solche Unternehmen, die außerhalb der EU tätig sind, aber mit einer Niederlassung in der EU in Zusammenhang stehen (Art. 3 Abs. 1). In diesen Fällen hat nicht – wie im Google-Spain-Fall – ein außereuropäisches Unternehmen in der EU eine Niederlassung und wird deshalb dem europäischen Datenschutzrecht unterworfen, sondern ein europäisches Unternehmen betreibt Datenverarbeitung irgendwo im außereuropäischen Ausland. Dann unterliegt auch die Datenverarbeitung im außereuropäischen Ausland dem Regime der DSGVO.

Ein Unternehmen mit Hauptniederlassung in Frankreich betreibt ein Rechenzentrum in Russland. Findet die DSGVO auf die Datenverarbeitung in Russland Anwendung? Antwort: Die DSGVO findet auf das Rechenzentrum in Russland Anwendung, da die Verarbeitungstätigkeiten in Russland mit der Hauptniederlassung in Frankreich in Zusammenhang stehen.

Im Rahmen des Niederlassungsprinzips ist es völlig egal, ob die personenbezogenen Daten, die von Ihnen verarbeitet werden, solche von EU-Bürgern sind oder von Bürgern aus anderen Staaten! Sie müssen die DSGVO in Ihrer Niederlassung anwenden!

Wenn Sie als Unternehmen in einem Staat ansässig sind, der kein Mitgliedstaat der EU ist, kann es also sein, dass Sie eine Niederlassung im datenschutzrechtlichen Sinne in der EU betreiben, was offenbar schneller gehen kann, als man so denken würde.

Im Zusammenhang mit den verwendeten Begriffen Mitgliedstaat und Union ist übrigens zu beachten, dass auch die EWR-Staaten (Staaten des Europäischen Wirtschaftsraums), aktuell Norwegen, Island und Liechtenstein, am 6. Juli 2018 die DSGVO übernommen haben. Somit gilt die DSGVO auch in diesen Staaten.

Aber das ist noch lange nicht alles. Auch wenn Sie in der EU nicht niedergelassen sind, kann es für Sie brenzlig werden. Denn neben dem Niederlassungsprinzip gilt jetzt auch das sogenannte Marktortprinzip . Über Art. 3 Abs. 2 erklärt die DSGVO sich nämlich auch dann für anwendbar, wenn von Ihnen

personenbezogene Daten von solchen Personen verarbeitet werden, die sich in der EU befinden,

und die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, (Art. 3 Abs. 2 a) oder

das Verhalten betroffener Personen zu beobachten , soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 b).

Personen, die dem Schutz der DSGVO unterfallen, müssen nicht zwangsläufig Bürger der EU sein. Es genügt, wenn Sie sich in der EU befinden . Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es dabei nicht an. Es genügt ein lediglich kurzfristiger Aufenthalt .

Sämtliche Unternehmen, die in der EU Waren oder Dienstleistungen anbieten und dabei personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden , sind dem Rechtsregime der DSGVO unterworfen (Art. 3 Abs. 2 a). Das gilt übrigens unabhängig davon, ob die Waren oder Dienstleistungen dabei gegen Bezahlung angeboten werden oder kostenlos zu erhalten sind. Damit werden auch Anbieter großer sozialer Netzwerke von den europäischen Datenschutzvorgaben erfasst und können bei Verstößen zur Rechenschaft gezogen werden.

Sie sind Onlinehändler mit Sitz in Brasilien, USA, Russland, China, Indien oder Timbuktu (nicht abschließende Aufzählung) und bieten Ihre Produkte auch auf dem europäischen Markt an? Bingo!

Auch Auftragsverarbeiter, die in der EU Dienstleistungen anbieten, sind unabhängig von ihrem Sitz verpflichtet, sich an die Vorgaben der DSGVO zu halten, wenn sie bei ihrer Tätigkeit personenbezogene Daten von Menschen verarbeiten, die sich in der EU befinden.

Bei einem Auftragsverarbeiter handelt es sich um einen Dienstleister, den Sie damit beauftragen, personenbezogene Daten für Sie zu verarbeiten. Das kann zum Beispiel ein Cloud-Anbieter sein, dem Sie personenbezogene Daten anvertrauen, ein ausgelagertes Rechenzentrum, aber auch eine externe Lohnbuchhaltung oder ein Lettershop, über den Sie Weihnachtsgrußkarten verschicken. Was Sie generell beachten müssen, wenn Sie einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen wollen, und was es mit einem Vertrag über die Auftragsverarbeitung ( AVV ) nach Art. 28 auf sich hat, können Sie in Kapitel 7 Zusammenarbeit von Unternehmen unter der Überschrift Auftragsverarbeitung ausführlicher nachlesen.

Wenn eine Datenverarbeitung dazu dient, das Verhalten betroffener Personen in der EU zu beobachten , ist das verantwortliche Unternehmen ebenfalls verpflichtet, sich bei der Verarbeitung personenbezogener Daten an die Vorschriften der DSGVO zu halten (Art. 3 Abs. 2 b).

Ob eine Beobachtung des Verhaltens betroffener Personen vorliegt, hängt zum Beispiel davon ab, ob deren Internetaktivitäten von dem Unternehmen nachvollzogen werden ( Erwägungsgrund 24 ).

Die Vorschrift zielt vor allem auf solche Aktivitäten ab, durch die Profile (Art. 4 Nr. 4) von natürlichen Personen erstellt werden, anhand derer persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Unabhängig davon also, ob Waren oder Dienstleistungen angeboten werden, müssen sich auch all die Unternehmen an die DSGVO halten, die Daten von Personen, die sich in der EU befinden, zum Zwecke des Profilings verarbeiten.

Unter Profiling versteht man gemäß Art. 4 Nr. 4 die automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte, die sich auf Menschen beziehen, zu bewerten und daraus Vorhersagen abzuleiten. Das Ziel ist es dabei, Vorhersagen über die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, den aktuellen Aufenthaltsort oder Ortswechsel dieser Person zu analysieren und vorherzusagen.