Was bedeutet die Datenschutzgrundverordnung (DSGVO) für Unternehmen ausserhalb der EU?

Fällt mein Unternehmen nun unter die DSGVO oder doch nicht?

By Yves Gogniat

Bis anhin galt das Datenschutzrecht der EU nur für Unternehmen, welche in der EU eine Präsenz hatten. Die Datenschutzgrundverordnung (DSGVO) weicht nun von diesem Prinzip ab, was zur Folge hat, dass das neue Recht potenziell nicht nur Unternehmen in der EU betrifft. Der Anwendungsbereich des Gesetzes erfasst unter gewissen Voraussetzungen ebenso Unternehmen ausserhalb der EU. Insbesondere Schweizer Unternehmen, welche vielfach in der EU tätig sind, könnten von der DSGVO betroffen sein.
Diese grenzüberschreitende Anwendbarkeit hat bei vielen Unternehmen ausserhalb der EU zu Unsicherheit geführt.

Bis anhin galt das Datenschutzrecht der EU nur für Unternehmen, welche in der EU eine Präsenz hatten. Die Datenschutzgrundverordnung (DSGVO) weicht nun von diesem Prinzip ab, was zur Folge hat, dass das neue Recht potenziell nicht nur Unternehmen in der EU betrifft. Der Anwendungsbereich des Gesetzes erfasst unter gewissen Voraussetzungen ebenso Unternehmen ausserhalb der EU. Insbesondere Schweizer Unternehmen, welche vielfach in der EU tätig sind, könnten von der DSGVO betroffen sein.

Diese grenzüberschreitende Anwendbarkeit hat bei vielen Unternehmen ausserhalb der EU zu Unsicherheit geführt.

Fällt mein Unternehmen nun unter die DSGVO oder doch nicht?

Die EU bzw. der Europäische Datenschutzausschuss (EDPB) hat dieses Problem erkannt und einen Entwurf einer Guideline mit hilfreichen Beispielen veröffentlicht. Der nachfolgende Beitrag greift auf diese Guideline und Beispiele zurück.

Ist mein Unternehmen von der DSGVO betroffen?

 

Die DSGVO unterscheidet zwischen zwei Kriterien:

Besteht eine Niederlassung in der EU (Art. 3 Abs. 1 DSGVO)?

Ein Unternehmen hat eine Zweigstelle, Niederlassung oder ein Tochterunternehmen in der EU, dann gilt die DSGVO. Ebenfalls darunter fällt die Datenbearbeitung als Auftragsverarbeiter für ein Unternehmen aus der EU. Dieses Kriterium galt bereits bisher und ist daher nicht neu. Es muss somit nicht zwingend eine eigene Rechtspersönlichkeit bestehen, eine Niederlassung setzt jedoch die effektive und tatsächliche Ausübung einer Tätigkeit in der EU voraus. Die Hürde ist jedoch tief anzusetzen, so kann bereits die Anwesenheit eines einzigen Angestellten ausreichen, um zu einer Tätigkeit in der EU zu führen. Zudem kommt es dabei nicht darauf an, ob die betroffenen Personendaten in der EU oder ausserhalb verarbeitet werden. Lässt eine Niederlassung die Personendaten durch einen Auftragsverarbeiter ausserhalb der EU verarbeiten, kann sie sich nicht der Anwendbarkeit der DSGVO entziehen.

Beispiel: Ein Spielwarenhersteller mit Hauptsitz China hat in Frankreich ein Büro, welches alle Aktivitäten in der EU koordiniert, inkl. Werbung und Marketing. Da es sich um eine feste Niederlassung mit Aktivitäten in der EU handelt, kann eine Niederlassung in der EU angenommen werden.

Auftragsverarbeiter

Für Auftragsverarbeiter gelten grundsätzlich dieselben Anforderungen. Ein in der EU domizilierter Auftragsverarbeiter hat sich an die DSGVO zu halten. Wird ein Auftragsverarbeiter ausserhalb der EU von einem Verantwortlichen in der EU beauftragt, so muss er sich ebenso an die DSGVO Vorschriften halten. Umstritten ist die Frage, ob die DSGVO zur Anwendung kommt, wenn sich der Verantwortliche ausserhalb der EU befindet, der Auftragsverarbeiter aber in der EU niedergelassen ist. Der EDPB hat hier nun etwas Klarheit geschaffen, so hält er in seiner Guideline fest, dass ein Verantwortlicher, der keine Niederlassung gemäss Art. 3 Abs. 1 DSGVO in der EU hat, nicht unter die DSGVO fällt, selbst wenn sich der Auftragsverarbeiter in der EU befindet. Natürlich gilt dies nur solange, als der Verantwortliche nicht unter Art. 3 Abs. 2 DSGVO fällt.

Beispiel: Eine asiatische Modekette, mit Sitz in Thailand und ausschliesslicher Tätigkeit in asiatischen Ländern, lässt ihre Kundendaten fortlaufend durch ein Unternehmen mit Sitz in Italien analysieren. Es werden somit keine Personendaten aus der EU verarbeitet.

In diesem Fall richtet sich das thailändische Unternehmen nicht an Einwohner der EU und hat auch keine Niederlassung in der EU, es fällt somit nicht unter die DSGVO.

Das italienische Unternehmen hat dagegen einen Sitz in der EU und muss daher die DSGVO befolgen.

Befindet sich der Zielmarkt in der EU (Art. 3 Abs. 2 DSGVO)?

Die DSGVO findet auch Anwendung, wenn die Datenbearbeitung nicht innerhalb der EU stattfindet aber eine in der EU niedergelassene Person von der Datenbearbeitung betroffen ist, d.h. sobald Dienstleistungen oder Waren in der EU angeboten werden, gilt grundsätzlich die DSGVO. Ausserdem findet die DSGVO Anwendung, wenn das Verhalten von betroffenen Personen beobachtet wird. Der zweite Punkt betrifft vor allem Verhaltensanalysen und das Nachverfolgen von Nutzern im Internet (bspw. Einsatz von Cookies). Viele Unternehmen werden hierbei jedoch auf Drittanbieter (bspw. Google Analytics) zurückgreifen und fallen somit nicht direkt darunter. Für die meisten Unternehmen ist vor allem der erste Punkt relevant und somit die Frage, ob sich ihr Angebot direkt an EU Kunden richtet.

Die betroffenen Personen müssen sich zudem in der EU befinden, d.h. die Anwendbarkeit ist nicht an ein Bürgerrecht oder ein Wohnsitz geknüpft. Es kommt jeweils auf den Zeitpunkt der Aktivität an und ob sich das Angebot an Personen in der EU richtet.

Beispiel: Ein USA Startup (ohne Niederlassung in der EU) bietet Touristen eine Städte – App an. In der App werden verschiedene Personendaten verarbeitet, um den Touristen Hinweise zu Sehenswürdigkeiten und Aktivitäten in diversen europäischen Städten anbieten zu können.

 Das Startup richtet seinen Services an Personen in der EU und somit kommt die DSGVO zur Anwendung.

Im Gegensatz dazu fällt ein Service nicht bereits unter die DSGVO, sobald dieser in der EU verfügbar ist. Der Service muss sich direkt an Personen in der EU richten.

Beispiel: Ein Amerikaner reist in seinen Ferien durch Europa und nutzt während dieser Zeit eine News App, welche von einem US Unternehmen angeboten wird und sich auch nur an den US Markt richtet.

Eine solche App fällt nicht unter die DSGVO, da sich das Angebot nicht an EU Einwohner richtet, auch wenn er sie in der EU weiterhin nutzen kann.

Selbst wenn die Dienstleistung kostenlos erbracht oder Waren gratis abgegeben werden, erachtet die DSGVO dies immer noch als «anbieten» von Waren und Dienstleistungen. Eine kostenlose APP kann deshalb auch unter die DSGVO fallen. Hierbei kommt es jeweils auf eine Einzelfallbeurteilung an. Die nachfolgenden Punkte können jedoch Hinweise für ein Bezug sein:

  • Die EU oder ein EU – Staat werden in Bezug auf die Waren oder Dienstleistungen explizit genannt
  • Es wird Suchmaschinenmarketing und oder Digitales Marketing in EU Ländern betrieben
  • Internationalität liegt bereits in der Natur der Aktivität
  • Es gibt EU – Telefonnummern oder E-Mailadressen
  • Es werden neben der Domain des Ursprungslandes auch EU Top – Level Domain – Namen verwendet
  • Man findet Reiseinstruktionen wie man von einem EU Staat an den Ort der Dienstleistung gelangt
  • Die Nennung einer internationalen Kundschaft inkl. EU Kunden im Werbematerial
  • Die Nutzung einer oder mehreren Sprachen aus der EU sowie Preisangaben in Euro.
  • Explizite Nennung, dass auch in die EU geliefert wird
  • Es besteht ein Vertriebsnetz in der EU und es wird eng mit Agenten zusammengearbeitet. Dabei werden Kundendaten ausgetauscht

Die Liste ist natürlich nicht abschliessend und es gilt zu beachten, dass ein Punkt für sich alleine noch nicht für die Anwendbarkeit der DSGVO ausreichen wird.

Beispiel: Eine in der Türkei betriebene Webseite bietet die Möglichkeit personalisierte Fotoalben zu erstellen und diese anschliessend drucken zu lassen. Die Webseite ist in englischer, französischer, deutscher sowie in holländischer Sprache nutzbar. Auf der Webseite ist aufgeführt, dass eine Lieferung nach GB, Deutschland, Frankreich sowie in die Benelux Länder möglich ist. Die Bezahlung hat in Euro zu erfolgen.

Die Erstellung von Fotoalben inkl. Versand stellt ein Service dar. Der Fakt, dass die Webseite in verschiedenen Sprachen der EU verfügbar ist, die Lieferung nur in EU Staaten erfolgt und die Bezahlung in Euro zu erfolgen hat, spricht dafür, dass sich der Service an Personen in der EU richtet. Im Ergebnis spricht der Webseitenbetreiber mit seinem Service Personen an und somit kommt die DSGVO zur Anwendung. Er muss somit auch einen Vertreter gemäss Art. 27 DSGVO bestimmen.

Beispiel: Ein Unternehmen in Monaco verarbeitet Mitarbeiterdaten zum Zweck der Lohnzahlung und Lohnbuchhaltung. Die meisten Mitarbeiter wohnen in Frankreich und Italien.

In diesem Fall findet zwar ein Verarbeiten von Personendaten statt und die Personendaten betreffen auch Personen aus der EU, die Lohnzahlung stellt aber kein Anbieten von Waren oder Dienstleistungen dar und somit kommt die DSGVO nicht zur Anwendung.

Beispiel: Eine Schweizer Universität verlangt in Ihrem Bewerbungsverfahren für das Masterprogramm diverse Unterlagen, ein Deutsch und Englisch Sprachnachweis sowie die Kontaktdaten. Das Bewerbungsverfahren steht allen Interessierten offen, welche sich für das Masterprogramm interessieren. Das Angebot richtet sich somit nicht explizit an die EU.

Da der Bewerbungsprozess allen Personen offen steht, kann nicht davon ausgegangen werden, dass die Universität gezielt Studenten aus der EU ansprechen möchte. Die vorausgesetzten Sprachkenntnisse gelten hier ebenfalls für alle und sind kein Indiz, dass man vor allem EU Einwohner ansprechen möchte. In diesem Fall kann davon ausgegangen werden, dass die DSGVO nicht zur Anwendung kommt.

Variante:Die Schweizer Universität bietet auch Sommerkurse in internationalen Beziehungen an, um die Auslastung zu verbessern, bewirbt sie die Kurse in Deutschland und Österreich.

In diesem Fall besteht die Absicht die Dienstleistungen Personen aus der EU anzubieten, die DSGVO kommt daher hier zur Anwendung.

 Ein Beobachten von betroffenen Personen muss natürlich ebenfalls Personen aus der EU betreffen. Es spielt hier ebenfalls keine Rolle wo sich der Verantwortliche auf der Welt befindet. Unter den Begriff «Beobachten» können ganz verschiedene Aktivitäten fallen und es muss wiederum eine Einzelfallbeurteilung stattfinden. Es können insbesondere folgende Aktivitäten darunterfallen:

  • Cookies
  • Vehaltensbezogene Werbung
  • Geo – Lokalisierung, insb. für Marketing
  • Personalisierte Services für Ernährungs- oder Gesundheitsanalyse
  • Überwachungskameras
  • Umfragen gestützt auf individuelle Profile
  • Gesundheitsmonitoring

 

Befindet sich der Zielmarkt in der EU und kommt somit die DSGVO zur Anwendung hat der Verantwortliche auch einen Datenschutzvertreter in der EU zu benennen. Der Verantwortliche kann aufgrund einer fehlenden Niederlassung jedoch nicht von dem One – Stop – Shop Mechanismus nach Art. 56 DSGVO profitieren, es besteht somit grundsätzlich keine Lead Aufsichtsbehörde. Die verantwortliche Aufsichtsbehörde kann daher nicht gesteuert werden.

Nützliche Links zur DSGVO:

Yves Gogniat
Yves Gogniat ist Experte für Informations- und Technologierecht mit den Schwerpunkten Datenschutz und IT-, Vertrags- und Gesellschaftsrecht. Er verfügt über ein breites Wissen in den Bereichen Blockchain-Technologie, Krypto-Währungen und hat seine Erfahrungen in verschiedenen Kanzleien sowie in der öffentlichen Verwaltung gesammelt.
Das könnte dir auch gefallen Mehr vom Autor

Die Kommentarfunktion ist geschlossen.

More Stories

Der richtige Umgang mit KI

EU Data Act erklärt – DSGVO 2.0, noch mehr Aufwand oder…

Large Language Models (LLMs) sicher im Unternehmen nutzen

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More