DSGVO-Regelungen für Unternehmen außerhalb der EU (DSK-Papier Nr. 7)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Müssen sich Unternehmen auch an die DSGVO halten, wenn diese ihren Sitz in der EU haben? Mit dieser zentralen Frage beschäftigt sich dieses Kurzpapier der DSK.

Was ist das Marktortprinzip?

  • Unter bestimmten Voraussetzungen können Unternehmen, die nicht ihren Sitz innerhalb der EU haben, unter den Anwendungsbereich der DSGVO fallen (Art. 3 Abs. 2 DSGVO)
  • Hintergrund ist die fortschreitende Geschäftstätigkeit im Internet (eCommerce)
  • eCommerce benötigt keine physischen Betriebs- und Organisationsstrukturen in Europa, weshalb der Gesetzgeber diese nach Art. 3 Abs. 2 DSGVO dennoch mit einzieht

Wann müssen sich außereuropäische Unternehmen an die DSGVO halten?

Sofern Daten von betroffenen Unionsbürgern durch ein außereuropäischen Verantwortlichen bzw. Auftragsverarbeiter in folgenden Fällen verarbeitet werden:

  • Angebot von Waren und Dienstleistungen oder
  • das Verhalten der betroffenen Personen zu beobachten

Angebot von Waren und Dienstleistungen (Art. 3 Abs. 2 lit. a DSGVO)

  • Die DSGVO findet Anwendung, wenn Waren und Dienstleistungen gewollt und offensichtlich für Unionsbürger angeboten werden
  • Irrelevant ist dabei die Zahlung eines Entgelts für die Waren und Dienstleistungen, da auch unentgeltliche Angebote z.B. in Social-Media aufgeriffen werden

Wann ist dies der Fall?

Keine ausreichenden Anhaltspunkte hierfür sind etwa

  • sofern eine kommerzielle Internetseite abgerufen werden kann, eine E-Mail-Adresse oder sonstige Kontaktdaten ODER
  • Verwendung einer (EU)-Sprache, die allgemein im Drittstand des dort niedergelassenen Unternehmen gebräuchlich ist
  • Verwendung der Sprache oder Währung des Mitgliedstaates in Verbindung mit der Möglichkeit, die Ware oder Dienstleistung in dieser Sprache zu bestellen ODER
  • Erwähnung von Kunden und Nutzern, aus der EU

Und wenn die Anwendbarkeit der DSGVO ausgeschlossen wird?

Haftungsausschlüsse (Disclaimer) lassen nicht zwingend auf die Nichtanwendbarkeit schließen.

Überwachung des Verhaltens von Personen (Art. 3 Abs. 2 lit. b DSGVO)

Wird das Verhalten der Unionsbürger beobachtet, so ist die DSGVO ebenfalls anwendbar

Wann ist das der Fall?

  • Beispiel: Nachvollziehen des Nutzerverhalten auf der Internetseite durch Tracking-Cookies oder Browser Fingerprints
  • Das Verhalten wird auch beobachtet, wenn die Erstellung von Profilen angeommen wird, vor allem dann, wenn
  1. es die Grundlage für die jeweilige Person betreffende Entscheidung bilden ODER
  2. anhand ihrer Vorlieben, Verhaltensweisen oder Gepflogenheiten einer natürlichen Person analysiert oder voraussagt

Was ist noch zu beachten?

  • Außereuropäische Unternehmen haben einen Vertreter zu benennen, wenn die DSGVO Anwendung findet
  • Der Verterter muss ausdrücklich und schriftlich zu bestellen

Warum muss ein Vertreter bestellt werden?

  • Vertreter soll als erste Anlaufstelle für Betroffene dienen
  • Auch sollen den Betroffenen die Möglichkeit der Wahrnehmung ihrer Betroffenenrechte vereinfacht werden
  • Der Vertreter ist auch die erste Anlaufstelle für die Aufsichtsbehörde
  • Die Behörde kann durch den Vertreter ihre Aufsichtsmaßnahmen durchsetzen

Wann ist kein Vertreter zu bestellen?

Die Pflicht entfällt, wenn

  • die Verarbeitung gelegentlich erfolgt,
  • keine sensiblen personenbezogenen Daten nach Art. 9 DSGVO betrifft,
  • keine Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO betrifft,
  • zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt

Was passiert, wenn kein Vertreter bestellt wird?

Es kann ein Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) verhängt werden.

Fazit

  • Möglichkeit besteht, dass außereuropäische Unternehmen ebenfalls der DSGVO unterliegen
  • Ist dies der Fall, ist ein Vertreter zu bestellen

DSK-Kurzpapier Nr. 7

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_7.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.