Читать онлайн книгу - Datenschutzgrundverordnung für Dummies. Christian Szidzek. Управление, подбор персонала. LiveLib

Новинки Лучшее Рекомендации

Информация о книге:

Название:

Автор:

Жанр:

Серия:

Издательство:

Datenschutzgrundverordnung für Dummies - Christian Szidzek

Скачать книгу

weder Büros noch andere eigene Zweigstellen in der EU unterhielt. Dass das Tochterunternehmen Google Spain SL vom europäischen Datenschutz erfasst war, stand außer Frage, denn das Unternehmen hatte seinen Sitz ja in Spanien und fiel damit über das Niederlassungsprinzip ganz automatisch unter das europäische Datenschutzrecht. Aber was war mit dem Mutterunternehmen in den USA? Konnte die rechtlich selbstständige Google Spain SL als Niederlassung von Google Inc. verstanden werden, mit der Folge, dass das europäische Datenschutzrecht auch für Google Inc. Geltung beanspruchen könne? Der EuGH hat das seinerzeit bejaht, weshalb Datenschützer davon ausgehen, dass er dies auch künftig nicht anders sehen wird. Der EuGH entschied, dass es für die Annahme einer Niederlassung in der EU ausreiche, dass die selbstständige Tochtergesellschaft in Spanien als feste Einrichtung eine Tätigkeit ausübe. Außerdem seien die Tätigkeiten der beiden Unternehmen untrennbar miteinander verbunden. Zwar fördere Google Spain SL als Vertriebsunternehmen Google Inc. in den USA nur wirtschaftlich. Ohne die Suchmaschinen-Dienstleistung von Google Inc. gäbe es jedoch kein Geschäft für Google Spain SL. Dies genüge, um die Muttergesellschaft in den USA mit der Pflicht zur Anwendung des europäischen Datenschutzrechts zu infizieren. Aber dabei bleibt es nicht. In weiteren Urteilen, wie zum Beispiel Weltimmo vom 01.10.2015 und Amazon vom 28.07.2016, stellte der EuGH klar, dass selbst ein einzelner Vertreter eines außereuropäischen Unternehmens – vorausgesetzt, es gebe einen gewissen Grad an Beständigkeit und eine effektive Ausübung der wirtschaftlichen Tätigkeit – als Niederlassung im datenschutzrechtlichen Sinn zu verstehen sei. Die Infizierung mit europäischem Datenschutzrecht findet also immer statt, wenn irgendeine Einrichtung in der EU, sei es ein Unternehmen oder eine Einzelperson, für das Mutterunternehmen einigermaßen beständig und effektiv wirtschaftlich tätig wird.

Lösung des Beispiels von oben: Die klitzekleine Niederlassung Ihres Mutterunternehmens in Spanien führt nach der bisherigen Rechtsprechung des EuGH dazu, dass sich auch die Muttergesellschaft an die Vorgaben der DSGVO halten muss, vorausgesetzt, die Tätigkeiten der Muttergesellschaft und der Niederlassung in der EU sind untrennbar miteinander verbunden.

Verarbeitungen im Zusammenhang mit einer Niederlassung in der EU

Daneben gilt die DSGVO aber auch umgekehrt für solche Unternehmen, die außerhalb der EU tätig sind, aber mit einer Niederlassung in der EU in Zusammenhang stehen (Art. 3 Abs. 1). In diesen Fällen hat nicht – wie im Google-Spain-Fall – ein außereuropäisches Unternehmen in der EU eine Niederlassung und wird deshalb dem europäischen Datenschutzrecht unterworfen, sondern ein europäisches Unternehmen betreibt Datenverarbeitung irgendwo im außereuropäischen Ausland. Dann unterliegt auch die Datenverarbeitung im außereuropäischen Ausland dem Regime der DSGVO.

Ein Unternehmen mit Hauptniederlassung in Frankreich betreibt ein Rechenzentrum in Russland. Findet die DSGVO auf die Datenverarbeitung in Russland Anwendung? Antwort: Die DSGVO findet auf das Rechenzentrum in Russland Anwendung, da die Verarbeitungstätigkeiten in Russland mit der Hauptniederlassung in Frankreich in Zusammenhang stehen.

Im Rahmen des Niederlassungsprinzips ist es völlig egal, ob die personenbezogenen Daten, die von Ihnen verarbeitet werden, solche von EU-Bürgern sind oder von Bürgern aus anderen Staaten! Sie müssen die DSGVO in Ihrer Niederlassung anwenden!

Marktortprinzip

Wenn Sie als Unternehmen in einem Staat ansässig sind, der kein Mitgliedstaat der EU ist, kann es also sein, dass Sie eine Niederlassung im datenschutzrechtlichen Sinne in der EU betreiben, was offenbar schneller gehen kann, als man so denken würde.

Im Zusammenhang mit den verwendeten Begriffen Mitgliedstaat und Union ist übrigens zu beachten, dass auch die EWR-Staaten (Staaten des Europäischen Wirtschaftsraums), aktuell Norwegen, Island und Liechtenstein, am 6. Juli 2018 die DSGVO übernommen haben. Somit gilt die DSGVO auch in diesen Staaten.

Aber das ist noch lange nicht alles. Auch wenn Sie in der EU nicht niedergelassen sind, kann es für Sie brenzlig werden. Denn neben dem Niederlassungsprinzip gilt jetzt auch das sogenannte Marktortprinzip. Über Art. 3 Abs. 2 erklärt die DSGVO sich nämlich auch dann für anwendbar, wenn von Ihnen

personenbezogene Daten von solchen Personen verarbeitet werden, die sich in der EU befinden,

und die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, (Art. 3 Abs. 2 a) oder

das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 b).

Verarbeitung personenbezogener Daten von Personen, die sich in der EU befinden

Personen, die dem Schutz der DSGVO unterfallen, müssen nicht zwangsläufig Bürger der EU sein. Es genügt, wenn Sie sich in der EU befinden. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es dabei nicht an. Es genügt ein lediglich kurzfristiger Aufenthalt.

Anbieten von Waren oder Dienstleistungen in der EU

Sämtliche Unternehmen, die in der EU Waren oder Dienstleistungen anbieten und dabei personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden, sind dem Rechtsregime der DSGVO unterworfen (Art. 3 Abs. 2 a). Das gilt übrigens unabhängig davon, ob die Waren oder Dienstleistungen dabei gegen Bezahlung angeboten werden oder kostenlos zu erhalten sind. Damit werden auch Anbieter großer sozialer Netzwerke von den europäischen Datenschutzvorgaben erfasst und können bei Verstößen zur Rechenschaft gezogen werden.

Sie sind Onlinehändler mit Sitz in Brasilien, USA, Russland, China, Indien oder Timbuktu (nicht abschließende Aufzählung) und bieten Ihre Produkte auch auf dem europäischen Markt an? Bingo!

Auch Auftragsverarbeiter, die in der EU Dienstleistungen anbieten, sind unabhängig von ihrem Sitz verpflichtet, sich an die Vorgaben der DSGVO zu halten, wenn sie bei ihrer Tätigkeit personenbezogene Daten von Menschen verarbeiten, die sich in der EU befinden.

Bei einem Auftragsverarbeiter handelt es sich um einen Dienstleister, den Sie damit beauftragen, personenbezogene Daten für Sie zu verarbeiten. Das kann zum Beispiel ein Cloud-Anbieter sein, dem Sie personenbezogene Daten anvertrauen, ein ausgelagertes Rechenzentrum, aber auch eine externe Lohnbuchhaltung oder ein Lettershop, über den Sie Weihnachtsgrußkarten verschicken. Was Sie generell beachten müssen, wenn Sie einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen wollen, und was es mit einem Vertrag über die Auftragsverarbeitung (AVV) nach Art. 28 auf sich hat, können Sie in Kapitel 7 Zusammenarbeit von Unternehmen unter der Überschrift Auftragsverarbeitung ausführlicher nachlesen.

Beobachtung des Verhaltens betroffener Personen in der EU

Wenn eine Datenverarbeitung dazu dient, das