Räumlicher Anwendungsbereich in der EU-DSGVO

Rechtliche Grundlagen des räumlichen Anwendungsbereichs

Der räumliche Anwendungsbereich wird in Art. 3 DSGVO geregelt. In dieser Regelung ist ein räumlicher Anwendungsbereich deutlich weiter gefasst als in der bisherigen Datenschutzrichtlinie 95/46/EG.

Die Verarbeitung der personenbezogenen Daten muss im Rahmen einer Tätigkeit einer Niederlassung in der EU erfolgen. Die Verarbeitung selber muss nicht in der EU stattfinden. Das bedeutet konkret, dass eine Firma eine Zweigstelle in der EU haben muss, in der Daten verarbeitet werden können um unter den räumlichen Anwendungsbereich der DSGVO zu fallen. Eine Zweigstelle kann eine Filiale, ja sogar eine interne Abteilung des Unternehmens sein – eine eigene Rechtspersönlichkeit ist nicht ausschlaggebend. Wenn also zum Beispiel die US-amerikanische Firma Microsoft ein Büro in Europa anmietet und dort Mitarbeiter beschäftigt, die mit Computern arbeiten, fällt die Verarbeitung von Daten unter die EU-DSGVO.

Das Gleiche gilt für Waren und Dienstleistungen, die in der EU angeboten werden, auch wenn das Unternehmen im nichteuropäischen Ausland sitzt. Für die Feststellung, ob Waren oder Dienstleistungen in der EU angeboten werden sollen und der räumliche Anwendungsbereich eröffnet ist, reicht es nicht aus, dass zum Beispiel die Sprache der Webseite des Unternehmens Englisch, Französisch oder Deutsch ist. Vielmehr muss geprüft werden, ob ein tatsächliches Angebot für EU-Länder besteht. Dieses Angebot muss „offensichtlich beabsichtigt“ sein.

Für die räumliche Anwendbarkeit bei der Überwachung von Personen müssen die Personen nur in der EU leben oder sich dort aufhalten. Die Staatsangehörigkeit ist nicht ausschlaggebend. Wenn also eine amerikanische Behörde einen Bürger aufgrund von Sicherheitsbedenken in der EU überwacht, muss dieser Bürger kein Europäer sein, um unter die Verordnung zu fallen.

Die EU-DSGVO gilt auch für Niederlassungen, die nicht in Europa, aber aufgrund von völkerrechtlichen Bestimmungen dem Recht eines EU-Mitgliedsstaates unterliegen. Dies wären zum Beispiel Konsulate oder diplomatische Vertretungen.

Der räumliche Anwendungsbereich kann vertraglich nicht geändert werden, es sei denn, ein Mitgliedsstaat hat aufgrund einer Öffnungsklausel eine eigene nationale Datenschutzregelung getroffen, die die EU-DSGVO konkretisieren. Es ist dann die nationale Regelung des jeweiligen Staates anzuwenden.

Fazit: räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich der Richtlinie ist weit gefasst. Ein Unternehmen muss seinen Sitz nicht unbedingt in der EU haben, damit die EU-DSGVO greift. Insofern sind personenbezogene Daten auch im nichteuropäischen Ausland geschützt. Ob dies jedoch von Firmen, die ihren Sitz nicht in der EU haben, auch so gehandhabt wird und ob eine Rechtsverfolgung bei Verfehlungen möglich und umsetzbar ist, ist eine andere Frage.