Räumlicher Anwendungsbereich in der EU-DSGVO

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Neben dem sachlichen Anwendungsbereich muss auch der räumliche Anwendungsbereich der DSGVO eröffnet sein. Da es sich hier um EU-Recht handelt, stellt sich die Frage, wie genau der räumliche Anwendungsbereich definiert ist und wann er eröffnet ist. Wie steht es zum Beispiel um Firmen, die ihren Hauptsitz in den USA haben, aber ihre Server in Europa? Was ist mit Firmen, die Daten von EU-Bürgern verarbeiten, aber keine Filiale in der EU haben?
Räumlicher Anwendungsbereich in der EU-DSGVO
Die wichtigsten Erkenntnisse
  • Art. 3 DSGVO regelt den räumlichen Anwendungsbereich der Verordnung.
  • Niederlassungen in der EU unterliegen der DSGVO, auch wenn die Verarbeitung außerhalb erfolgt.
  • Angebote und Überwachungen in der EU unterliegen der DSGVO, unabhängig vom Standort des Unternehmens.
  • Konsulate und diplomatische Vertretungen unterliegen auch der DSGVO.
  • Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden, außer durch nationale Regelungen.

Rechtliche Grundlagen des räumlichen Anwendungsbereichs

Der räumliche Anwendungsbereich wird in Art. 3 DSGVO geregelt. In dieser Regelung ist ein räumlicher Anwendungsbereich deutlich weiter gefasst als in der bisherigen Datenschutzrichtlinie 95/46/EG.

Die Verarbeitung der personenbezogenen Daten muss im Rahmen einer Tätigkeit einer Niederlassung in der EU erfolgen. Die Verarbeitung selber muss nicht in der EU stattfinden. Das bedeutet konkret, dass eine Firma eine Zweigstelle in der EU haben muss, in der Daten verarbeitet werden können um unter den räumlichen Anwendungsbereich der DSGVO zu fallen. Eine Zweigstelle kann eine Filiale, ja sogar eine interne Abteilung des Unternehmens sein – eine eigene Rechtspersönlichkeit ist nicht ausschlaggebend. Wenn also zum Beispiel die US-amerikanische Firma Microsoft ein Büro in Europa anmietet und dort Mitarbeiter beschäftigt, die mit Computern arbeiten, fällt die Verarbeitung von Daten unter die EU-DSGVO.

Das Gleiche gilt für Waren und Dienstleistungen, die in der EU angeboten werden, auch wenn das Unternehmen im nichteuropäischen Ausland sitzt. Für die Feststellung, ob Waren oder Dienstleistungen in der EU angeboten werden sollen und der räumliche Anwendungsbereich eröffnet ist, reicht es nicht aus, dass zum Beispiel die Sprache der Webseite des Unternehmens Englisch, Französisch oder Deutsch ist. Vielmehr muss geprüft werden, ob ein tatsächliches Angebot für EU-Länder besteht. Dieses Angebot muss „offensichtlich beabsichtigt“ sein.

Für die räumliche Anwendbarkeit bei der Überwachung von Personen müssen die Personen nur in der EU leben oder sich dort aufhalten. Die Staatsangehörigkeit ist nicht ausschlaggebend. Wenn also eine amerikanische Behörde einen Bürger aufgrund von Sicherheitsbedenken in der EU überwacht, muss dieser Bürger kein Europäer sein, um unter die Verordnung zu fallen.

Die EU-DSGVO gilt auch für Niederlassungen, die nicht in Europa, aber aufgrund von völkerrechtlichen Bestimmungen dem Recht eines EU-Mitgliedsstaates unterliegen. Dies wären zum Beispiel Konsulate oder diplomatische Vertretungen.

Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden, es sei denn, ein Mitgliedsstaat hat aufgrund einer Öffnungsklausel eine eigene nationale Datenschutzregelung getroffen, die die EU-DSGVO konkretisieren. Es ist dann die nationale Regelung des jeweiligen Staates anzuwenden.

Fazit: räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich der Richtlinie ist weit gefasst. Ein Unternehmen muss seinen Sitz nicht unbedingt in der EU haben, damit die EU-DSGVO greift. Insofern sind personenbezogene Daten auch im nichteuropäischen Ausland geschützt. Ob dies jedoch von Firmen, die ihren Sitz nicht in der EU haben, auch so gehandhabt wird und ob eine Rechtsverfolgung bei Verfehlungen möglich und umsetzbar ist, ist eine andere Frage.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!