Der Europäische Datenschutzausschuss veröffentlicht Leitlinien zur räumlichen Anwendbarkeit der DSGVO

Simon Roth
Simon Roth

An seiner vierten Plenarsitzung am 19. November 2018 hat der Europäische Datenschutzausschuss (ESDA) Leitlinien zur räumlichen Anwendbarkeit der DSGVO veröffentlicht. Während in dem Dokument für mit der DSGVO vertraute Personen keine grossen Überraschungen zu finden sind, enthält es einige interessante Hinweise und Beispiele für die tägliche Praxis. Dies gilt insbesondere für Schweizer Unternehmen, die in der EU keine Niederlassung unterhalten.

Einleitung

Art. 3 DSGVO bestimmt den sog. räumlichen Anwendungsbereich der DSGVO. Hierfür werden folgende zwei Prinzipien als massgebend bestimmt:

  • Die DSGVO findet Anwendung auf die Verarbeitung von personenbezogenen Daten, wenn ein Verantwortlicher (Data Controller) oder ein Auftragsverarbeiter (Data Processor) in der EU eine Niederlassung unterhält (Niederlassungsprinzip). Der DSGVO unterstellt sind dann sämtliche Verarbeitungen, die im Rahmen der Tätigkeiten der Niederlassung erfolgen.
  • Weiter findet die DSGVO Anwendung, wenn der Verantwortliche (Data Controller) oder Auftragsverarbeiter (Data Processor) Daten von Personen verarbeiten, die sich in der EU befinden, soweit die Verarbeitung mit mindestens einem der folgenden Tatbestände im Zusammenhang steht (Marktortprinzip):
    • Es werden Personen in der EU Waren oder Dienstleistungen angeboten; oder
    • Es erfolgt eine Beobachtung des Verhaltens von Personen in der EU.

Somit können Datenverarbeitungen eines Schweizer Unternehmens unter die DSGVO fallen, wenn das Unternehmen in der EU eine Niederlassung unterhält oder wenn es Waren oder Dienstleistungen in die EU anbietet bzw. eine Verhaltensbeobachtung von Personen in der EU betreibt.

Erläuterungen des ESDA

Die Leitlinien der ESDA führen diese beiden Prinzipien weiter aus. Für Unternehmen, die sich bereits mit der DSGVO befasst haben, dürften diese Aussagen jedoch wenig überraschend sein. Im Wesentlichen bestätigt der ESDA, was schon vorher als allgemeine Beratungspraxis galt.

Hinsichtlich des Niederlassungsprinzips macht der ESDA in den Leitlinien folgende Aussagen:

  • Die Voraussetzungen an eine Niederlassung in der EU sind tief anzusetzen. Übereinstimmend mit der Rechtsprechung des Europäischen Gerichtshofs geht der ESDA davon aus, dass die Präsenz des Unternehmens in der EU einzig eine gewisse Stabilität («stable arrangement») aufweisen muss.
  • Nicht vorausgesetzt ist hingegen, dass das Unternehmen in der EU eine eigene Tochtergesellschaft gegründet hat oder eine Zweigniederlassung unterhält.
  • Bereits ausreichend für die Annahme einer Niederlassung ist die Tatsache, dass die Gesellschaft einen einzigen Mitarbeiter oder Agenten in der EU beschäftigt, sofern diese Beschäftigung eine gewisse Stabilität aufweist.
  • Hingegen führt die Tatsache, dass die Webseite eines Unternehmens in der EU abrufbar ist, nicht dazu, dass das Unternehmen in der EU eine Niederlassung hat. Allerdings kann hier die DSGVO aufgrund des Marktortprinzips anwendbar sein.
  • Ebenso wenig stellt der in der EU ansässige Auftragsverarbeiter (Data Processor) eine Niederlassung des nicht in der EU ansässigen Verantwortlichen (Data Controller) dar. Beauftragt z.B. ein Schweizer Unternehmen einen spanischen Outsourcing-Provider, so ist letzterer nicht eine Niederlassung des ersteren. Unter Vorbehalt des Marktortprinzips findet die DSGVO deshalb nur auf den Outsourcing-Provider, nicht aber auch auf das Schweizer Unternehmen Anwendung.
  • Umgekehrt wird ein ausserhalb der EU ansässiger Auftragsverarbeiter  (Data Processor)  nicht per se der DSGVO unterstellt, weil er für einen in der EU ansässigen Verantwortlichen (Data Controller) arbeitet. Allerdings ist der Verantwortliche gemäss Art. 28 DSGVO verpflichtet, nur solche Auftragsverarbeiter zu beschäftigen, die eine Compliance mit der DSGVO gewährleisten können. Folglich muss der Verantwortliche gewisse DSGVO Pflichten dem Auftragsverarbeiter vertraglich überbinden, weshalb es in der Praxis zu einer indirekten Anwendung gewisser Teile der DSGVO auf den Auftragsverarbeiter kommt.
  • Hat das Unternehmen nach diesen Grundsätzen eine Niederlassung in der EU, dann ist die DSGVO auf sämtliche Datenverarbeitungen anwendbar, die im Rahmen der Tätigkeit dieser Niederlassung erfolgen, und zwar unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht.

Mit Bezug auf das Marktortprinzip macht der ESDA folgende Ausführungen:

  • Ob sich eine Person, über die personenbezogene Daten verarbeitet werden, in der EU befindet oder nicht, entscheidet sich einzig anhand deren Standorts im Zeitpunkt des Angebots von Waren oder Dienstleistungen bzw. der Verhaltensbeobachtung. Keine Relevanz hat die Staatsangehörigkeit, der Wohnsitz oder der gewöhnliche Aufenthaltsort dieser Person.
  • Das Marktortprinzip setzt eine Ausrichtung der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters auf die EU voraus.
  • Ob die Tätigkeit eines Unternehmens auf die EU ausgerichtet ist, entscheidet sich anhand der konkreten Umstände, wobei es auf die gegen aussen sichtbar gemachte Absicht des Unternehmens ankommt. Indizien, die für eine Ausrichtung auf die EU sprechen, sind z.B. die folgenden:
    • Das Unternehmen richtet seine Search Engine Optimization Bemühungen auf Mitgliedsstaaten der EU.
    • Das Unternehmen verwendet Top Level Domains, die zu der EU (.eu) oder zu Mitgliedstaaten (beispielsweise .de) gehören.
    • Das Unternehmen veröffentlicht spezifische Kontaktinformationen für Kunden aus der EU oder deren Mitgliedstaaten.
    • Das Unternehmen verwendet in seinem Marketing Testimonials von Kunden, die in der EU ansässig sind.
    • Das Unternehmen akzeptiert Zahlungen in Euro.
  • Als Verhaltensbeobachtung gilt insbesondere das Tracking auf Basis von Cookies oder ähnlicher Technologien.
  • Die Voraussetzung der Ausrichtung auf die EU gilt auch für den Tatbestand der Verhaltensbeobachtung. Diese Frage war bis anhin umstritten, da der Wortlaut der DSGVO diesbezüglich keine Ausrichtung zu verlangen scheint. Der ESDA ist aber der Ansicht, dass keine DSGVO-relevante Verhaltensbeobachtung vorliegt, wenn das Unternehmen keine Absicht hat, das Verhalten von Personen in der EU zu beobachten.
  • Kommt das Marktortprinzip zur Anwendung, dann gilt die DSGVO nur für die Verarbeitungen im Zusammenhang mit der Lieferung der Waren oder Dienstleistungen bzw. der Verhaltensbeobachtung.

Konsequenzen für Schweizer Unternehmen

Wie bereits ausgeführt, halten sich die Leitlinien an die Erwartungen. Schweizer Unternehmen sollten im Rahmen Ihrer DSGVO-Compliance sorgfältig prüfen, ob und inwiefern die DSGVO auf Ihr Geschäft Anwendung findet.

Die einzige nennenswerte Neuerung dürfte die Aussage darstellen, dass keine Verhaltensbeobachtung vorliegt, wenn das Unternehmen keine Absicht hat, das Verhalten von Personen in der EU zu beobachten.

Diese Aussage eröffnet für Unternehmen, die ausschliesslich in der Schweiz tätig sind, eine Möglichkeit, sich der Anwendung der DSGVO gänzlich zu entziehen. Wenn diese Vorkehrungen treffen, dass kein Verhalten von Personen in der EU beobachtet wird, fallen sie nicht unter die DSGVO. Insbesondere wären Ansätze denkbar, Tracking-Technologien auf Webseiten so zu programmieren, das sie Personen in der EU ausschliessen. Zum Beispiel liesse sich mittels Geo-Blocking Cookies auf Webseiten nur setzen, wenn die IP-Adresse nicht aus dem EU-Raum stammt.

Weitere Blogbeiträge

 
Bilden wir
ein Team
Sie haben ein Projekt, einen Fall, eine rechtliche Frage oder wollen mit uns etwas anderes besprechen? Sehr gerne würden wir herausfinden, wie wir Sie unterstützen können.
In Kontakt treten