Teil 1 Grundlagen
1.3. Räumlicher Anwendungsbereich
Der räumliche Anwendungsbereich einer Verordnung definiert, wo sie gilt. Der Artikel 3 „Räumlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
- betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
- das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
- Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung findet also Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der (Europäischen) Union erfolgt. Und zwar unabhängig davon, ob sie auf dem Boden der Union stattfindet oder nicht.
Was konkret mit „personenbezogen Daten“ und „Verarbeitung“ gemeint ist lesen Sie hier.
„Verantwortlicher“ meint die Person, Behörde, Organisation oder juristische Person (Unternehmen), die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Begriff ersetzt die „Verantwortliche Stelle“ aus dem BDSG (alt).
Absatz 1 sagt also aus, dass der Verantwortliche, der in der Union eine Niederlassung hat (gleichgültig, ob das die Hauptniederlassung, die einzige Niederlassung oder eine Zweigstelle eines großen Unternehmens ist), wenn er personenbezogene Daten verarbeitet, er sich an die DS-GVO halten muss. Dabei ist völlig gleichgültig, ob es sich um Daten von EU-Bürgern oder um Daten von Nicht-EU-Bürgern handelt. Und eben ist es auch unabhängig davon, ob die Server, mit denen das geschieht in Kalifornien oder in Katalonien stehen.
Abs. 2 regelt, dass sich auch jene Verantwortliche, die ihren Sitz nicht in der EU haben, sich an die DS-GVO halten müssen, wenn sie ihre Waren und Dienstleistungen Menschen anbieten, die sich in der EU aufhalten. Das heißt auch, dass die DS-GVO auf alle Menschen angewendet wird; nicht etwa nur auf EU-Bürger. Dafür genügt es aber nicht, dass man einen Dienst oder einen Shop aus der heraus EU erreichen kann. Wenn man beispielsweise die Seite https://amazon.com aufruft, gilt für den Verantwortlichen die DS-GVO nicht. Ruft man hingegen in Deutschland die Seite http:// amazon.de auf, hat sich der Verantwortliche an die DS-GVO zu halten. Festzumachen ist das aber nicht etwa an der Endung „.de“, sondern allein daran, ob sich der Anbieter an Menschen in der EU wendet. Das ist zum Beispiel daran erkennbar, dass die Landessprache verwendet wird, und/oder die Bezahlung in der landesüblichen Währung angeboten wird. Entscheidend ist auch, ob überhaupt in das Land geliefert wird. Es kann also durchaus dazu kommen, dass ein US-Bürger, der während seines Urlaubs in Europa bei Amazon in Europa einkauft, vor dem Missbrauch seiner personenbezogenen Daten durch den US-Konzern Amazon durch die DS-GVO geschützt wird.
Ferner stellt Abs. 2 auch die Menschen unter Schutz, deren Verhalten beobachtet wird, sofern sie sich in der EU aufhalten. Diese Bestimmung ist aufgenommen worden für Unternehmen, die ihre Dienstleistungen nicht diesen Bürgern anbieten, sondern die Menschen beobachten, die sich in der EU befindenden, um diese Informationen an Unternehmen zu verkaufen, die wiederum Waren und Dienstleistungen in der EU anbieten.
Abs. 3 schließt letzte Lücken, indem sie ausdrücklich auch die Gebiete einschließt, die außerhalb Europas liegen, die aber dem Recht der EU unterstehen. Dabei geht es um ehemalige Kolonien, deren Bürger die Staatsangehörigkeit eines europäischen Landes besitzen.
Artikel 3 DS-GVO weitet den räumlichen Anwendungsbereich damit im Vergleich mit dem BDSG erheblich aus. Wann immer es irgendeinen Bezug zur EU gibt, verlangt die EU, die DS-GVO anzuwenden. Es wird interessant sein, zu beobachten, wie das beispielsweise gegenüber US-amerikanischen Internetgiganten durchgesetzt wird.
