Räumlicher Anwendungsbereich der DSGVO

Wer darf Betroffenenrechte geltend machen? Gegen wen? Dieser Artikel gibt einen kurzen Überblick über den räumlichen Anwendungsbereich der DSGVO.

Die Datenschutzgrundverordnung (Verordnung (EU) 2016/679, DSGVO) ist ein europäisches Gesetz und trat im Jahr 2016 in Kraft. Die DSGVO ist eine Verordnung und gilt allgemein und unmittelbar für alle Mitgliedstaaten der EU (gemäß Artikel 288 (2) AEUV). Im Gegensatz zu den Richtlinien hat die DSGVO Wirkungen auf alle Mitgliedstaaten, ohne dass eine Umsetzung in nationales Recht erforderlich ist. Sie gilt seit dem 25. Mai 2018 für alle Mitgliedstaaten der EU.

Die DSGVO sorgt für Harmonisierung und gleiche Standards des Datenschutzrechts zwischen den Mitgliedstaaten. Sie ermöglicht zudem, dass sie von bestimmten Regelungen der DSGVO durch die Öffnungsklauseln abweichen können. Durch sie haben die Mitgliedstaaten der EU eigene Regelungsspielräume und die Möglichkeit, die DSGVO durch die Anpassung und die Modifikation der Vorschriften zu dem eigenen nationalem Recht zu konkretisieren.

Der räumliche Anwendungsbereich der DSGVO ist in Artikel 3 DSGVO geregelt und hat nicht nur territoriale, sondern auch extraterritoriale Auswirkungen. Ferner sorgt die DSGVO für einheitliche Regelungen zwischen Unternehmen, die sich inner- und außerhalb Europas befinden. Folgendes wird geregelt:

Die Verarbeitung personenbezogener Daten erfolgt durch die Tätigkeiten einer Niederlassung des Verantwortlichen oder des Auftragsverarbeiters in der Union. Beispielsweise greift die DSGVO ein, wenn ein Unternehmen, das außerhalb Europas sitzt, eine Filiale in Europa hat und Daten verarbeitet. Unter Niederlassung (Establishment) versteht man eine feste Einrichtung, die eine effektive und tatsächliche Tätigkeit ausübt. Zum Beispiel ist lediglich eine Briefkastenanschrift oder der Umstand, dass auf die Webseite eines Unternehmens, das sich außerhalb der EU befindet, zugegriffen wird, nicht ausreichend. Unerheblich ist die Rechtsform der Niederlassung.

Erfasst ist auch die Verarbeitung von Daten von betroffenen Personen, die sich nicht in der EU befinden (Drittländer). Das bedeutet, die DSGVO ist auch anwendbar, wenn eine Kunde außerhalb der Union lebt (und evtl. auch gar keine Beziehung zu der EU hat) und seine Daten von einer Niederlassung in der Union verarbeitet werden.

Die Anwendung der DSGVO erstreckt sich aber auch auf Verantwortliche und Auftragsverarbeiter in Ländern, die nicht der Union angehören (Drittländer). Diese Unternehmen müssen einen Vertreter in der EU benennen.

Nach dem Marktortprinzip ist die DSGVO anwendbar, wenn durch eine Organisation, die außerhalb Europas ansässig ist, personenbezogene Daten einer betroffenen Person, die sich in der EU befindet, gezielt verarbeitet werden und die Verarbeitung mit dem Angebot von Waren oder Dienstleistungen zusammenhängt. Dabei ist es egal, ob diese entgeltlich oder unentgeltlich sind (Artikel 3 Absatz 2 a DSGVO), wie beispielsweise werbefinanzierte Geschäftsmodelle. Erforderlich ist, dass das Angebot „offensichtlich beabsichtigt“ ist. Es reicht z. B. nicht aus, dass die Webseite einer Firma eine bestimmte Sprache verwendet.

Die DSGVO ist des Weiteren etwa auch nicht anwendbar, wenn die Daten durch einen Router in der Union ohne Kenntnisnahme durchgeleitet oder verarbeitet werden (bloßer Datenverkehr).

Die Staatsbürgerschaft der betroffenen Person ist nicht zu berücksichtigen, sondern ihr Aufenthaltsort. Eine Verarbeitung personenbezogener Daten ist nicht von der DSGVO abgedeckt, wenn die betroffene Person (EU-Bürger oder Bürger eines Drittlandes) keinen Aufenthalt oder Wohnsitz in der EU hat. Geschützt werden aber auch die Staatsbürger von Drittländern, die sich in der Union dauerhaft oder auch nur vorübergehend zum Zeitpunkt der Datenverarbeitung aufhalten. Zum Beispiel: Falls ein EU-Bürger sich aus irgendwelchen Gründen außerhalb der Union befindet und seine personenbezogenen Daten dann von einem Verantwortlichen oder Auftragsverarbeiter in einem Drittland verarbeitet werden, wird die DSGVO nicht angewendet.

Weiterhin ist die DSGVO auch anwendbar bei der zielgerichteten Beobachtung des Verhaltens einer betroffenen Person in der EU durch einen niedergelassenen Verantwortlichen oder Auftragsverarbeiter, der nicht in der EU ansässig ist. Das gilt zum Beispiel für die Überwachung der Internetaktivitäten unter Verwendung von Cookies, Browser-Fingerprinting, Social Plug-Ins, bei Profiling u.a. Das Motiv der Beobachtung ist unerheblich.

Dieses Prinzip erstreckt sich auf Niederlassungen, die aufgrund des Völkerrechts dem Recht der Mitgliedstaaten unterworfen sind, vor allem bei Konsulaten oder diplomatische Vertretungen, Schiffen, Flugzeugen, Datenverarbeitung durch die Diplomaten u.a.

Eine Änderung des räumlichen Anwendungsbereichs der DSGVO ist vertraglich nicht möglich, es sei denn ein Mitgliedsstaat hat aufgrund einer Öffnungsklausel die Möglichkeit, die DSGVO durch das eigene nationale Recht zu konkretisieren. Dann ist das nationale Gesetz anwendbar.

---

• Paal/Pauly/Ernst DS-GVO Art. 3 Rn 1-21.
• Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht 1. Auflage 2019 | DSGVO Art. 3 Rn. 1-70.