Was passiert, wenn die DSGVO außerhalb ihres Geltungsbereichs angewendet wird? Erklärung der Vorgehensweisen

Die DSGVO (Datenschutz-Grundverordnung) ist eine von der EU festgelegte Verordnung, die den Schutz und die Verarbeitung personenbezogener Daten regelt. Wenn Sie Produkte oder Dienstleistungen innerhalb der EU anbieten, könnte die DSGVO auf Sie anwendbar sein. Es gibt jedoch Personen, die nicht sicher sind, ob ihr Unternehmen in den Anwendungsbereich der DSGVO fällt und was zu tun ist, falls dies der Fall ist.

In diesem Artikel erläutern wir den Anwendungsbereich der DSGVO, was zu tun ist, wenn sie auf Sie zutrifft, und die erforderlichen Maßnahmen. Es gibt auch einen Q&A-Bereich zur Anwendung der DSGVO, den Sie als Referenz nutzen können. Bitte schauen Sie sich diesen an.

Anwendungsbereich der DSGVO

Die Bedingungen, unter denen die DSGVO anwendbar ist, sind in Artikel 3 “Geografischer Anwendungsbereich” der DSGVO festgelegt. Der Anwendungsbereich der DSGVO teilt sich in zwei Fälle: wenn eine Niederlassung innerhalb der EU besteht und wenn dies nicht der Fall ist.

Für den Fall, dass eine Niederlassung innerhalb der EU besteht, ist der Inhalt wie folgt festgelegt:

“Die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet.”

Referenz: Japanische Datenschutzbehörde | “Allgemeine Datenschutzverordnung (DSGVO) vorläufige japanische Übersetzung[ja]“

Dies bedeutet, dass die DSGVO anwendbar ist, wenn eine Niederlassung des Verantwortlichen oder des Auftragsverarbeiters innerhalb der EU existiert.

Wenn keine Niederlassung innerhalb der EU besteht, gibt es zwei Anwendungsbereiche:

1. Wenn Waren oder Dienstleistungen Personen innerhalb der EU angeboten werden
2. Wenn das Verhalten von Personen innerhalb der EU überwacht wird

Die DSGVO legt strenge Beschränkungen gegenüber Drittländern fest, und um Daten frei übertragen zu können, ist eine “Angemessenheitsfeststellung” erforderlich. Eine Angemessenheitsfeststellung ist eine Anerkennung, die nach Beratungen durch die Europäische Kommission entschieden wird und Ländern oder Regionen gewährt wird, die ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen.

Länder oder Regionen ohne Angemessenheitsfeststellung müssen Verfahren wie SCC oder BCR für die Datenübertragung außerhalb der EU durchführen.

Der Unterschied bei einer Angemessenheitsfeststellung besteht darin, dass keine Verfahren wie SCC oder BCR erforderlich sind.

Die Angemessenheitsfeststellung für Japan wurde im Juli 2018 (Heisei 30) während der regelmäßigen EU-Japan-Gipfeltreffen angekündigt, um einen Rahmen für den Transfer personenbezogener Daten operationalisierbar zu machen. Am 23. Januar 2019 (Heisei 31) wurde die Angemessenheitsfeststellung erteilt, und es gab eine Ankündigung, die besagt: “Wir begrüßen die Entscheidung, dass die EU und Japan das Schutzniveau für personenbezogene Daten gegenseitig als gleichwertig anerkennen.”

Was müssen Unternehmen tun, die der DSGVO unterliegen?

Für Unternehmen, die der DSGVO unterliegen, gibt es zwei wesentliche Pflichten:

• Ernennung eines Vertreters in der EU/dem UK
• Klare Angaben in der Datenschutzerklärung

Im Folgenden erläutern wir die Details zu jedem dieser Punkte.

Ernennung eines Vertreters in der EU/dem UK

Artikel 27 der DSGVO schreibt vor, dass Unternehmen, auf die die DSGVO außerhalb ihres Geltungsbereichs anwendbar ist, einen Vertreter in der EU oder im UK benennen müssen.

Ein solcher Vertreter ist eine Person, die schriftlich vom Verantwortlichen oder vom Auftragsverarbeiter benannt wird und die im Rahmen der DSGVO die Pflichten des Verantwortlichen oder des Auftragsverarbeiters übernimmt.

Nicht jedes Unternehmen, das in der EU tätig ist, muss einen Vertreter benennen. Unternehmen, die von der Pflicht zur Ernennung eines Vertreters ausgenommen sind, fallen unter folgende Kategorien (Artikel 27 DSGVO):

• Die Verarbeitung, die der DSGVO unterliegt, ist nicht nur gelegentlich und beinhaltet nicht in großem Umfang die Verarbeitung von besonderen Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, und die Verarbeitung ist so beschaffen, dass sie voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
• Es handelt sich nicht um eine öffentliche Behörde oder öffentliche Stelle.

Referenz: Japanische Datenschutzbehörde | ‘Allgemeine Datenschutzverordnung (DSGVO) vorläufige japanische Übersetzung[ja]‘

Klare Angaben in der Datenschutzerklärung

Unternehmen, auf die die DSGVO anwendbar ist, müssen in ihrer Datenschutzerklärung deutlich machen, dass sie einen Vertreter benannt haben.

Strafmaßnahmen bei Nichternennung eines Vertreters

Es ist wichtig zu beachten, dass Unternehmen, die unter den Anwendungsbereich der DSGVO fallen und keinen Vertreter ernennen, Strafen unterliegen können. Die Strafen können bis zu 1.000 Euro oder bis zu 2% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist (Artikel 84 Absatz 4 DSGVO).

Von einem Vertreter geforderte Aufgaben

Fällt ein Sachverhalt in den Anwendungsbereich der DSGVO (Datenschutz-Grundverordnung), muss grundsätzlich ein Vertreter ernannt werden. Doch welche Aufgaben werden von einem Vertreter erwartet? Hier erläutern wir die Aufgaben eines Vertreters im Detail.

Verarbeitungstätigkeiten gemäß Artikel 30

Verantwortliche oder Verarbeiter, die in EU-Mitgliedstaaten einen Vertreter benennen, müssen diesem ihre Verarbeitungstätigkeiten offenlegen. Zudem ist der Vertreter verpflichtet, diese Aufzeichnungen ähnlich wie der Verantwortliche oder Verarbeiter zu speichern (DSGVO Artikel 30).

Zu den aufzuzeichnenden Inhalten gehören unter anderem:

• Namen und Kontaktdaten des Verantwortlichen, des DPO (Datenschutzbeauftragten) und dergleichen
• Zwecke der Verarbeitung
• Kategorien betroffener Personen und Arten der verarbeiteten Daten
• Speicherdauer
• Löschfristen

Unter dem Begriff “betroffene Person” versteht man eine identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.

Bei einer Anforderung durch die Aufsichtsbehörde müssen diese Verarbeitungsaufzeichnungen zugänglich gemacht werden können.

Bearbeitung von Anfragen von betroffenen Personen oder Aufsichtsbehörden

Bei Anfragen von betroffenen Personen oder Aufsichtsbehörden ist es erforderlich, dass der Vertreter als Stellvertreter des Verantwortlichen oder Verarbeiters agiert und die Kommunikation mit der betroffenen Person oder der Aufsichtsbehörde übernimmt (DSGVO Artikel 27 Absatz 3). Beispielsweise muss der Verantwortliche Informationen innerhalb eines Monats bereitstellen, wenn eine betroffene Person dies verlangt (DSGVO Artikel 12 Absatz 3). Zudem muss der Vertreter auf Anforderungen der Aufsichtsbehörde reagieren und mit dieser zusammenarbeiten (DSGVO Artikel 31).

Q&A zur Anwendung der DSGVO (Datenschutz-Grundverordnung)

Häufig gestellte Fragen zur Anwendung der DSGVO (Datenschutz-Grundverordnung) beantworten wir im Folgenden.

Ist eine Anpassung an die DSGVO notwendig, auch wenn keine Expansion ins Ausland geplant ist?

Grundsätzlich ist eine Anpassung an die DSGVO (Datenschutz-Grundverordnung) nicht erforderlich, wenn keine Expansion ins Ausland geplant ist. Es ist jedoch Vorsicht geboten, wenn Daten von Personen aus dem EU-Raum erfasst werden könnten, auch ohne eine aktive Geschäftstätigkeit dort.

Denken Sie beispielsweise an folgende Situationen:

• Sie betreiben einen Online-Shop und erhalten Anfragen oder Bestellungen von Personen aus dem EU-Raum.
• Durch den Besuch Ihrer Website erfassen Sie Online-Kennungen (wie IP-Adressen oder Cookies) von Personen aus dem EU-Raum.
• Sie erhalten E-Mail-Adressen durch die Beantwortung von Anfragen von Personen aus dem EU-Raum.

Auch wenn Sie unbeabsichtigt personenbezogene Daten von Personen aus dem EU-Raum erfassen, besteht kein Problem, solange Sie nicht in den geografischen Anwendungsbereich fallen und somit nicht an die DSGVO gebunden sind.

Merken Sie sich, dass eine Anpassung an die DSGVO nur dann erforderlich ist, wenn Sie entweder eine Niederlassung im EU-Raum haben oder, auch ohne eine solche Niederlassung, wenn eine der folgenden zwei Bedingungen zutrifft:

1. Sie bieten Waren oder Dienstleistungen für Personen im EU-Raum an.
2. Sie überwachen das Verhalten von Personen im EU-Raum.

Welche Maßnahmen sind erforderlich, wenn Sie einen grenzüberschreitenden E-Commerce-Shop mit Zielmarkt EU aufbauen?

Beim Aufbau eines grenzüberschreitenden E-Commerce-Shops, der sich an den EU-Markt richtet, besteht die Möglichkeit, personenbezogene Daten von EU-Bürgern zu erheben. Zu den Informationen, die erhoben werden können, gehören:

• Name
• E-Mail-Adresse
• Adresse
• Kreditkarteninformationen
• Kaufinformationen
• Standortdaten
• IP-Adresse & Cookie-ID

Wenn Sie diese Informationen sammeln, fallen sie unter die persönlichen Daten, die durch die DSGVO (Datenschutz-Grundverordnung) geschützt sind, und müssen daher gemäß den DSGVO-Vorschriften behandelt werden.

Zunächst sollten Sie Ihre Datenschutzrichtlinien überprüfen und an die DSGVO anpassen sowie Ihre Datenschutzhinweise überarbeiten und veröffentlichen.
Verwandter Artikel: Wichtige Punkte für die Erstellung einer DSGVO-konformen Datenschutzrichtlinie![ja]

Darüber hinaus sollten Sie die folgenden Schritte durchführen:

1. Erstellen einer Cookie-Richtlinie und Einholen der Zustimmung zur Verwendung von Cookies von Erstbesuchern der E-Commerce-Website
2. Bei der Erhebung personenbezogener Daten die Zustimmung zur “Verarbeitung personenbezogener Daten” einholen
3. Sicherheitsmaßnahmen zur Schutz und Verhinderung von Datenlecks personenbezogener Daten ergreifen
4. Einen Vertreter ernennen

Zusätzlich sollten Sie bei Bedarf interne Richtlinien überprüfen und Handbücher zur Einhaltung der DSGVO erstellen sowie die Vertragsinhalte mit externen Dienstleistern überarbeiten.

Was ist der Unterschied zwischen der DSGVO und der UK-DSGVO?

Die UK-DSGVO bezeichnet die allgemeine Datenschutzverordnung des Vereinigten Königreichs. Sie wurde infolge des Austritts des Vereinigten Königreichs aus der EU am 1. Januar 2021 (2021年1月1日) in Kraft gesetzt. Die DSGVO ist eine EU-Verordnung und findet im Vereinigten Königreich keine Anwendung.

Die UK-DSGVO kommt in folgenden Fällen zur Anwendung:

1. Wenn Waren oder Dienstleistungen Personen im Vereinigten Königreich angeboten werden
2. Wenn das Verhalten von Personen im Vereinigten Königreich überwacht wird

Wenn Sie Geschäfte sowohl im Vereinigten Königreich als auch in der EU betreiben, müssen Sie sowohl die DSGVO als auch die UK-DSGVO beachten.

Zusammenfassung: Bei Fragen zum Anwendungsbereich der DSGVO wenden Sie sich an Experten

Unternehmen, die in der EU ansässig sind oder auch ohne eine Niederlassung in der EU Waren oder Dienstleistungen an Personen innerhalb der EU anbieten oder das Verhalten von Personen überwachen, fallen unter den Anwendungsbereich der DSGVO. Unternehmen, die der DSGVO unterliegen, müssen einen Vertreter mit Sitz in der EU benennen und dies in ihrer Datenschutzrichtlinie deutlich machen.

Wenn kein Vertreter benannt wird, können hohe Bußgelder fällig werden. Unternehmen, die in der EU tätig sind oder eine Expansion in die EU planen, sollten zur Einhaltung der DSGVO einen Vertreter benennen.

Wenn Sie unsicher sind, ob Ihr Unternehmen unter den Anwendungsbereich der DSGVO fällt, empfehlen wir Ihnen, sich an einen Experten für internationales Recht zu wenden.

Maßnahmen der Kanzlei Monolith

Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. In den letzten Jahren hat sich das globale Geschäft zunehmend ausgeweitet, und die Notwendigkeit einer rechtlichen Überprüfung durch Experten ist stetig gestiegen. Unsere Kanzlei bietet Lösungen im Bereich des internationalen Rechts an.

Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Internationales Recht & Auslandsgeschäfte[ja]