Datenschutzgrundverordnung für Dummies. Christian Szidzek

oder Aktensammlungen von dem Anwendungsbereich der DSGVO ausgenommen, die nicht nach bestimmten Kriterien geordnet sind.

      

Kommen Sie aber um Gottes Willen jetzt nicht auf den Gedanken, Ihre papierhaft gespeicherten Daten deshalb gleich alle wahllos durcheinanderzuwerfen, nur um der DSGVO einen Streich zu spielen! Das könnte zwar funktionieren. Sie könnten mit Ihren Daten dann aber wahrscheinlich auch nichts mehr anfangen. Außerdem hilft es auch nicht, denn wenn Sie die Daten bereits einmal in einem Dateisystem gespeichert hatten, gilt: Einmal Dateisystem, immer Dateisystem.

Räumlicher Anwendungsbereich

      Mit der Einführung der DSGVO gelten im Datenschutz jetzt das oben bereits erwähnte Niederlassungsprinzip und das sogenannte Marktortprinzip erstmalig nebeneinander. Auf den folgenden Seiten erfahren Sie, wann das Niederlassungsprinzip gilt und wann das Marktortprinzip.

      Niederlassungsprinzip

      Immer dann, wenn Sie in der EU niedergelassen sind und dort Ihre Tätigkeit entfalten und nicht der Haushaltsausnahme unterfallen, hat Sauron in Gestalt der Aufsichtsbehörden ein wachsames Auge auf Sie.

In welcher Gestalt Sauron Ihnen erscheinen wird, können Sie weiter unten in Kapitel 4 Die Protagonisten unter der Überschrift Die Aufsichtsbehörden nachlesen.

      Dabei ist es egal, ob Sie Daten von EU-Bürgern verarbeiten oder Daten von Bürgern anderer Staaten. Wenn Sie in der EU ansässig sind, müssen Sie sich an die DSGVO halten. Maßgebend ist allein, ob Sie in der EU Ihren Sitz haben oder nicht. Man nennt das Territorialprinzip. Es kann aber auch passieren, dass Sie Ihren Sitz außerhalb der EU haben und sich trotzdem an die DSGVO halten müssen. Dazu gleich mehr unter der Überschrift Marktortprinzip. Das Niederlassungsprinzip – auch oft als Territorialprinzip bezeichnet – besagt also nichts anderes, als dass Unternehmen oder sonstige Organisationen, die sich in der EU niedergelassen haben, an die DSGVO halten müssen. Das ist nachvollziehbar. Was aber viele nicht so richtig wissen, ist, wann sie sich in der EU niedergelassen haben.

      In der EU niedergelassene Unternehmen

      Die DSGVO gilt also zunächst einmal für alle Unternehmen, die in der EU niedergelassen sind (Art. 3 Abs. 1).

      

Niederlassung bedeutet nicht Hauptsitz oder Hauptverwaltung, sondern nach Erwägungsgrund 22 genügt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung. Die Rechtsform ist also nicht ausschlaggebend. Es ist egal, ob es sich bei Ihrer Niederlassung nur um eine Filiale oder gleich um ein eigenständiges Unternehmen mit einer bestimmten Rechtsform wie einer GmbH, AG oder Ähnlichem handelt. Selbst ein einzelner Vertreter kann Sie ohne Weiteres in der EU repräsentieren. Wenn Sie also innerhalb der EU wirtschaftlich tätig werden und irgendjemand Sie hier repräsentiert, haben Sie eine Niederlassung in der EU. Und nicht nur das. Sie haben auch eine schöne DSGVO, an die Sie sich jetzt halten müssen.

      Konzernstrukturen

      Was aber gilt, wenn mehrere selbstständige Organisationen oder Unternehmen mit jeweils eigener Rechtsperson in einer Konzernstruktur zusammengeschlossen sind?

      

Nehmen wir zum Beispiel einmal an, Ihr Konzern besteht zunächst aus einer Konzernmutter in Form einer Aktiengesellschaft (AG) beziehungsweise dem entsprechenden US-amerikanischen Pendant, also einer Corporation, mit Sitz in den USA. Diese Konzernmutter ist wiederum als herrschendes Unternehmen mit jeweils mehr als 50 Prozent an weiteren Unternehmen beteiligt, zum Beispiel verschiedenen Gesellschaften mit beschränkter Haftung (GmbH). Die eine GmbH sitzt in Singapur, eine andere in der Schweiz und eine klitzekleine GmbH sitzt in … sagen wir Spanien. Muss sich jetzt wegen dieser klitzekleinen GmbH mit Sitz in Spanien auch die Konzernmutter in den USA an die DSGVO halten? Lösung gleich unten.

Bereits vor Inkrafttreten der DSGVO musste sich der Europäische Gerichtshof (EuGH) mit der Frage befassen, wann bei Konzernstrukturen von Niederlassungen auszugehen sei. Es handelt sich dabei um die sogenannte Google-Spain-Entscheidung vom Mai 2014 (Rechtssache C-131/12). Es ging dabei um die Frage, ob das europäische Datenschutzrecht auch für das damals in den USA ansässige Mutterunternehmen Google Inc. anwendbar sei, obwohl das Mutter-Unternehmen in Europa lediglich Gesellschafter des selbstständigen Tochterunternehmens Google Spain SL war, aber selbst weder Büros noch andere eigene Zweigstellen in der EU unterhielt. Dass das Tochterunternehmen Google Spain SL vom europäischen Datenschutz erfasst war, stand außer Frage, denn das Unternehmen hatte seinen Sitz ja in Spanien und fiel damit über das Niederlassungsprinzip ganz automatisch unter das europäische Datenschutzrecht. Aber was war mit dem Mutterunternehmen in den USA? Konnte die rechtlich selbstständige Google Spain SL als Niederlassung von Google Inc. verstanden werden, mit der Folge, dass das europäische Datenschutzrecht auch für Google Inc. Geltung beanspruchen könne? Der EuGH hat das seinerzeit bejaht, weshalb Datenschützer davon ausgehen, dass er dies auch künftig nicht anders sehen wird. Der EuGH entschied, dass es für die Annahme einer Niederlassung in der EU ausreiche, dass die selbstständige Tochtergesellschaft in Spanien als feste Einrichtung eine Tätigkeit ausübe. Außerdem seien die Tätigkeiten der beiden Unternehmen untrennbar miteinander verbunden. Zwar fördere Google Spain SL als Vertriebsunternehmen Google Inc. in den USA nur wirtschaftlich. Ohne die Suchmaschinen-Dienstleistung von Google Inc. gäbe es jedoch kein Geschäft für Google Spain SL. Dies genüge, um die Muttergesellschaft in den USA mit der Pflicht zur Anwendung des europäischen Datenschutzrechts zu infizieren. Aber dabei bleibt es nicht. In weiteren Urteilen, wie zum Beispiel Weltimmo vom 01.10.2015 und Amazon vom 28.07.2016, stellte der EuGH klar, dass selbst ein einzelner Vertreter eines außereuropäischen Unternehmens – vorausgesetzt, es gebe einen gewissen Grad an Beständigkeit und eine effektive Ausübung der wirtschaftlichen Tätigkeit – als Niederlassung im datenschutzrechtlichen Sinn zu verstehen sei. Die Infizierung mit europäischem Datenschutzrecht findet also immer statt, wenn irgendeine Einrichtung in der EU, sei es ein Unternehmen oder eine Einzelperson, für das Mutterunternehmen einigermaßen beständig und effektiv wirtschaftlich tätig wird.

      

Lösung des Beispiels von oben: Die klitzekleine Niederlassung Ihres Mutterunternehmens in Spanien führt nach der bisherigen Rechtsprechung des EuGH dazu, dass sich auch die Muttergesellschaft an die Vorgaben der DSGVO halten muss, vorausgesetzt, die Tätigkeiten der Muttergesellschaft und der Niederlassung in der EU sind untrennbar miteinander verbunden.

      Verarbeitungen im Zusammenhang mit einer Niederlassung in der EU

Daneben gilt die DSGVO aber auch umgekehrt für solche Unternehmen, die außerhalb der EU tätig sind, aber mit einer Niederlassung in der EU in Zusammenhang stehen (Art. 3 Abs. 1). In diesen Fällen hat nicht – wie im Google-Spain-Fall – ein außereuropäisches Unternehmen in der EU eine Niederlassung und wird deshalb dem europäischen Datenschutzrecht unterworfen, sondern ein europäisches Unternehmen betreibt Datenverarbeitung irgendwo im außereuropäischen Ausland. Dann unterliegt auch die Datenverarbeitung im außereuropäischen Ausland dem Regime der DSGVO.

      

Ein Unternehmen mit Hauptniederlassung in Frankreich betreibt ein Rechenzentrum in Russland. Findet die DSGVO auf die Datenverarbeitung in Russland Anwendung?