Der räumliche Anwendungsbereich der DSGVO

    Was bedeutet die DSGVO für die Cloud und für Verarbeiter außerhalb der EU? Der Experte Alexander Egger von Lansky, Ganzger & Partner klärt auf.

    Die Frage nach dem räumlichen Anwendungsbereich klingt spröde und theoretisch, ist es aber gerade für die Datenschutzgrundverordnung (DSGVO) nicht. Denn deren Gegenstand, nämlich Daten und Dateien, zeichnen sich durch große Mobilität aus („Clouds“). Die EU ist bestrebt, auch hier den Datenschutz möglichst effektiv zu gestalten. Zudem will sie vermeiden, dass Verarbeiter außerhalb der EU von niedrigeren Standards in ihrer Herkunftsstaaten profitieren und dadurch Wettbewerbsvorteile erzielen. Dementsprechend weit wurde der räumliche Anwendungsbereich festgelegt. Darüber hinaus handelt es sich um eine der wesentlichen Neuerungen.

    Hinsichtlich des räumlichen Anwendungsbereichs sieht die DSGVO drei alternative Anknüpfungspunkte vor:

    Erstens genügt dem Niederlassungsprinzip entsprechend, dass die Verarbeitung der Daten im Rahmen der Tätigkeit für eine EU-Niederlassung erfolgt, etwa für einen Importeur von Textilien aus Asien. Diese Bestimmung ist sehr weit, weil eine Niederlassung zwar eine feste Einrichtung voraussetzt, aber es weder auf deren Größe noch deren Rechtsform (zB auch Einzelunternehmer) ankommt. So genügt bereits ein Marketingmitarbeiter in der EU, der für einen Großhändler den Einzelhandelsmarkt bearbeitet. Dabei kommt es nicht darauf an, wo die Verarbeitung passiert – das kann auch in Asien sein!

    Zweitens wurde das sog Marktortprinzip umgesetzt. Danach gilt die DSGVO unabhängig davon, ob die betroffene Person Staatsangehörige eines Mitgliedstaates ist oder in der EU Aufenthalt hat. Damit werden auch Touristen erfasst.

    Die DSGVO unterscheidet zwei Varianten:

    Zum einen wird Datenverarbeitung erfasst, die dazu dient, Personen in der EU Waren oder Dienstleistungen anzubieten, zB Hemden und Anzüge inklusive Maßnehmen. Dafür reicht zwar die Absicht des – auch unentgeltlichen – Anbietens aus, doch genügt die bloße Zugänglichkeit der Website, einer E-Mail-Adresse oder anderer Kontaktdaten für sich nicht. Entscheidend ist ein Mix aus Faktoren wie Sprache, Währung, die Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden. Damit dürften Plattformen einbezogen werden, auf der Textilien in einer EU-Sprache angeboten werden und mit EURO bezahlt werden können, selbst wenn die Textilien in aus Asien geliefert werden. Zum anderen gilt die DSGVO dann, wenn das Verhalten einer Person in der EU, zB die Internetaktivitäten von Händlern, erfasst wird, etwa durch Produzenten außerhalb der EU. Damit wird etwa das sogenannte Profiling, beispielsweise das Erstellen von Nutzerprofilen durch Web Analytics, einbezogen.

    Drittens gilt die DSGVO für Daten, die zwar außerhalb der EU verarbeitet werden, jedoch an einem Ort, der gemäß Völkerrecht dem Recht eines Mitgliedstaates unterliegt. Das zielt auf die Tätigkeit in diplomatischen und konsularischen Vertretungen der Mitgliedstaaten ab.


    Univ.-Doz. DDr. Alexander Egger ist „Head of EU, Regulatory, Public Procurement & State Aids“ bei der internationalen Wirtschaftskanzlei LANSKY, GANZGER + partner (LGP). Der habilitierte Jurist hat sich bereits vor seiner sechsjährigen Tätigkeit als Référendaire am EuGH auf Europarecht, Vergaberecht, Beihilferecht und Kartellrecht sowie Verfassungsrecht spezialisiert. Egger wirkt als Autor beim größten Kommentar zum österreichischen Vergaberecht sowie in einem der führenden Kommentare zum Verfassungsrecht mit. Zudem ist er Herausgeber der einzigen deutschsprachigen Zeitschrift für Beihilfenrecht. Für die EU-Kommission war Egger tätig, um neue Mitgliedstaaten und Beitrittskandidaten im Rahmen der TAIEX- und Twinning-Projekte zu unterstützen. Seit 1997 ist er auch als Universitätslektor an der Wirtschaftsuniversität Wien aktiv. Der Absolvent des Brügger Collège d´Europe ist u.a. Mitglied des European Law Institute, von SIPE Societas Iuris Publici Europaei und beim Europainstitut der Wirtschaftsuniversität Wien (Jean-Monnet Center of Excellence).

    Daten­schutz 2018: Die 10 wichtigsten Punkte

    Im Mai 2018 tritt die neue Datenschutz-­Grundverordnung europaweit in Kraft, Unternehmen müssen dafür schon jetzt die Weichen stellen. Wir beleuchten, was das für die Medien- und Werbebranche bedeutet.

    Kommentare

    0 Postings

    Keine Kommentare gefunden!

    Diskutieren Sie mit

    Neuen Kommentar schreiben

    * Pflichtfelder
    Netiquette auf HORIZONT online