Top Ten der DSGVO, #3: Anwendbarkeit der DSGVO ausserhalb des Hoheitsgebietes

Eine spezielle Umgebung

Das Internet ist ein Ort, in dem herkömmliche Grenzen nicht existieren. Dies ist einer der grössten Vorteile, wenn Sie Daten online austauschen, kaufen oder verkaufen, kommunizieren etc. Die Grenzenlosigkeit ist aber auch eine der grössten Herausforderungen, wenn es um die Anwendbarkeit von Gesetzen geht. Da das Internet grenzenlos ist, war die Handhabung der Datenschutzgesetze der EU bei der Verarbeitung personenbezogener Daten in Verbindung mit Online-Diensten lange Zeit unklar.

Vor der Einführung der DSGVO war es schwierig, die Bestimmungen der Datenschutzgesetze auf Verantwortliche und Auftragsverarbeiter ausserhalb der EU anzuwenden. Der Hauptgrund dafür lag darin, dass die natürlichen Personen, deren Daten verarbeitet wurden, bei der Festlegung der Anwendbarkeit der Gesetze nicht im Vordergrund standen. Die Datenschutzgesetze der EU waren nur dann anwendbar, wenn Verantwortliche ausserhalb der EU die Daten innerhalb der Grenzen der EU verarbeiteten. Die DSGVO verändert jetzt den Begriff des räumlichen Anwendungsbereichs grundlegend.

Ermittlung des räumlichen Anwendungsbereichs

Alle Organisationen – ausser einigen wenigen Ausnahmen –, die in der Europäischen Union personenbezogene Daten verarbeiten, fallen unter die DSGVO. Hier hat sich im Vergleich zu der Situation vor der DSGVO nichts geändert. Der räumliche Anwendungsbereich wurde jedoch erweitert, sodass die Datenschutzgesetze der EU jetzt eventuell auch für Verantwortliche ausserhalb der EU gelten. Die Folge dieser Erweiterung besteht darin, dass gemäss DSGVO Verantwortliche und Auftragsverarbeiter ausserhalb der EU die Bestimmungen des europäischen Datenschutzrechts einhalten müssen, wenn sie Daten natürlicher Personen in der EU für bestimmte Ziele verarbeiten. 

Ausrichtung auf EU-Bürger

Sie können als Nicht-EU-Organisation unter die DSGVO fallen, wenn Sie natürlichen Personen innerhalb der EU Güter oder Dienstleistungen anbieten. Nehmen wir zum Beispiel an, Sie sind ein chinesischer Webshop mit einer Website, die auch auf Deutsch, Französisch und Englisch verfügbar ist. Sie verarbeiten täglich verschiedene Aufträge natürlicher Personen innerhalb der EU und liefern ihnen Ihre Produkte. Sie fallen daher auch dann unter die DSGVO, wenn Sie nicht in der EU niedergelassen sind und keine Datenverarbeitungsaktivitäten innerhalb der EU betreiben.

Wenn Sie wie im obigen Beispiel ein Verantwortlicher ausserhalb der EU sind, spielt es keine Rolle, ob Sie die von Ihnen angebotenen Dienstleistungen entgeltlich oder unentgeltlich anbieten. Bei der Festlegung ihres Geltungsbereiches berücksichtigt die DSGVO diesen Faktor nicht. Das bedeutet, dass z.B. ein kostenloser amerikanischer Cloud-Speicher-Service verpflichtet ist, alle Bestimmungen der DSGVO einzuhalten, wenn der Service auch Nutzern innerhalb der EU angeboten wird.

Überwachung von EU-Bürgern

Eine weitere Situation, in der Nicht-EU-Organisationen unter die DSGVO fallen können, ist dann gegeben, wenn sie das Verhalten natürlicher Personen innerhalb der Union überwachen. Wenn Sie also ein Anbieter von sozialen Netzwerken sind und Ihren Nutzern innerhalb der EU den Beitritt erlauben, fallen Sie unter die DSGVO. Dasselbe gilt auch beispielsweise für App-Entwickler, die Standortdaten von EU-Bürgern von deren Smartphones sammeln.

Welchen Ansatz verfolgen Sie?

Die DSGVO bietet natürlichen Personen in der EU, deren Daten von Organisationen verarbeitet werden, die ihren Sitz ausserhalb der Union haben, ein hohes Mass an Schutz. Für Unternehmen ist es wichtig festzustellen, ob diese neuen Bestimmungen auf sie anwendbar sind. Ist dies der Fall, ist es am besten, die Initiative  zu ergreifen und sicherzugehen, dass sie die Bestimmungen einhalten.