Der Europäische Datenschutzausschuss hat Guidelines zum räumlichen Anwendungsbereich der DSGVO (Art 3) zur öffentlichen Konsultation (Guidelines 3/2018) veröffentlicht.
Neben den Richtlinien zum räumlichen Anwendungsbereich der DSGVO (Art 3) (Guidelines 3/2018) wurden auch
-
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 (Endfassung) - diese betreffen den internationalen Datenverkehr: Leitlinien2/2018 zu den Ausnahmen nach Artikel49 der Verordnung 2016/679
veröffentlicht
Richtlinien zum räumlichen Anwendungsbereich der DSGVO (Art 3)
Der räumliche Anwendungsbereich umfasst nicht nur Verantwortliche und Auftragsverarbeiter in der EU (Art 3 Abs 1 DSGVO), sondern auch Organisationen, die personenbezogene Daten von Personen in der EU verarbeiten (Art 3 Abs 2 DSGVO), insbes. wenn diesen Waren oder Dienstleistungen (entgeltlich oder unentgeltlich) angeboten werden oder ihr Verhalten beobachtet wird.
Der Europäische Datenschutzausschuss hat sich mit dieser Thematik auseinandergesetzt, und Guidelines on the territorial scope of the GDOR (Art 3) / Richtlinien zum räumlichen Anwendungsbereich der DSGVO (Art 3) - wie von Fr. Dr. Andrea Jelinek am 21.11.2018 auf der PriSec 2018 auch angekündigt - veröffentlicht, die derzeit zur öffentlichen Konsultation aufliegt, und von jedermann kommentiert werden kann. Die Kommentierungen fließen dann uU in die Endfassung der Guidelines ein.
Auf 23 Seiten wird sowohl auf die Frage der Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU (Art 3 Abs 1 DSGVO) – establishment criterion - als auch auf den extraterritorialen Anwendungsbereich bei Verarbeitung von Daten von Personen in der EU (Art 3 Abs 2 DSGVO) – targeting criterion – eingegangen.
In den Guidelines werden auch explizite Beispiele für die Anwendbarkeit der DSGVO genannt, und insbes. die Beispiele für das „targeting criterion“ sind für Unternehmen, die ihren Sitz außerhalb der EU haben, und keine Niederlassung in der EU unterhalten, aber dennoch Daten von Personen in der EU verarbeiten von Bedeutung.
Es wird zB darauf hingewiesen (Beispiel 6 auf Seite 10), dass jeder Verantwortliche, selbst wenn er Daten von Personen außerhalb der EU verarbeitet, und Auftragsverarbeiter dazu heranzieht, die ihren Sitz auch außerhalb der EU haben, aufgrund der direkten Anwendbarkeit der DSGVO auf das Unternehmen selbst, dafür zu sorgen hat, dass auch die Auftragsverarbeiter außerhalb der EU die notwendige Datensicherheit bieten und der Verantwortliche eine Auftragsverarbeitervereinbarung abzuschließen hat.
Auch wenn ein Auftragsverarbeiter mit Sitz in der EU für einen Verantwortlichen außerhalb der EU Verarbeitungstätigkeiten erbringt, die sich auf Personen außerhalb der EU beziehen, dann hat der Auftragsverarbeiter die Pflichten der DSGVO einzuhalten. (siehe Beispiel 7; Seite 11).
Ein Anbieter einer Navigations-App, die auch für Orte in Europa verwendet werden kann, und die Geolokalisierungs-Daten der Nutzer verarbeitet, bietet seine Dienstleistung an Personen in der EU an, sodass die DSGVO anwendbar ist (Beispiel 8, Seite 13).
Nicht anwendbar ist die DSGVO jedoch, wenn sich die Verarbeitung der Daten im Ausland auf EU-Bürger bezieht, die im Staat, in dem die Verarbeitung erfolgt und die Leistung angeboten wird, leben (Beispiel 10, Seite 14). Dies betrifft zB lokale Bankdienstleistungen außerhalb der EU, die auch von EU-Bürgern, die im Staat der Bank leben, in Anspruch genommen werden.
Aus all diesen Beispielen ist zu ersehen, dass der räumliche Anwendungsbereich der DSGVO auf Unternehmen, die außerhalb der EU ihre Tätigkeit entwickeln, aber das Verhalten von Personen in den EU (mit-)beobachten oder Leistungen (Waren und Dienstleistungen) an Personen in der EU anbieten, im Einzelfall zu beurteilen ist.
Wenn ein Unternehmen außerhalb der EU Leistungen in der EU anbietet, und dabei personenbezogene Daten von natürlichen Personen verarbeitet, dann ist die DSGVO anwendbar. So zB bei einem Website-Betreiber, der ein Fotobuch anbietet, und seinen Sitz außerhalb der EU hat, wenn er seine Dienstleistungen zB in deutscher Sprache anbietet und die Fotobücher auch in die EU versendet (Beispiel 12, Seite 16).
Bei der Leistungserbringung, die auch Personen in der EU umfasst, kommt es wesentlich darauf an, ob der Unternehmer außerhalb der EU die Leistungserbringung auf die EU bzw. deren Bürger ausrichtet, oder ob diese die Leistung nur in Anspruch nehmen können. Nur die Entscheidung, eine Ware oder Dienstleistung (auch) in der EU anzubieten, bewirkt auch die Anwendbarkeit der DSGVO.
Kommentar schreiben