Die DSGVO regelt den einheitlichen Schutz für den Umgang mit personenbezogenen Daten in der Europäischen Union (EU). Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich, ausgehend vom Anwendungsbereich, an die Regelungen der DSGVO halten. Dies gilt auch für Unternehmen mit Sitz außerhalb der EU (aus Datenschutzsicht sogenannte Drittländer), sobald sie Daten von Bürgern der EU-Mitgliedsstaaten verarbeiten oder als Auftragsverarbeiter in Vertragsbeziehungen zu EU-Unternehmen stehen.
Grundsätze für die Datenübermittlung in Drittländer
Nach der DSGVO gilt wie bisher auch: Es kommt darauf an, ob der Datenverarbeiter im Drittland ein angemessenes Datenschutzniveau einhält. Ist dies nicht der Fall, ist zu prüfen, ob eine Ausnahme für die Datenübermittlung greift.
Die DSGVO sieht für Datentransfers in Drittländer folgende Möglichkeiten vor (für öffentliche Stellen gelten im Einzelfall ergänzende Regelungen):
Festlegung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission(Art. 45 DSGVO)
oderVorliegen geeigneter Garantien(Art. 46 DSGVO)
- Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) (Art. 46 Abs. 2 Buchstabe b, Art. 47)
- Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde (Art. 46 Abs. 2 Buchstabe c und d)
- Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 Buchstabe e und f)
- Einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3)
oderAusnahmen für bestimmte Fälle(Art. 49 DSGVO)
- Einwilligung (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe a)
- Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe b und c)
- Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe d)
- Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe e)
- Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 Unterabsatz 1 Buchstabe f)
- Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 Unterabsatz 2 Satz 1)
Was müssen Anbieter mit Sitz außerhalb der EU beachten?
Neu im Vergleich zur bisherigen Rechtslage ist der territoriale Anwendungsbereich der DSGVO.
Gemäß Art. 3 Abs. 2 der DSGVO (räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der Union niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von Personen verarbeitet, die sich in der Union befinden. Man spricht hier vom so genannten "Marktortprinzip".
Davon betroffen sind somit unter anderem Betreiber von Online-Portalen, Versandhändler, Exporteure sowie jegliche Dienstleister, die Leistungen in der EU anbieten und dabei personenbezogene Daten verarbeiten.
Demnach gilt das Martkortprinzip, wenn ein Unternehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet (Profiling, Tracking).
Die bloße Zugänglichkeit einer Webseite z. B., führt nicht automatisch zur Anwendung der Datenschutz-Grundverordnung, allerdings die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten der Europäischen Union gebräuchlich ist in Verbindung mit der Möglichkeit, Waren und/oder Dienstleistungen in der anderen Sprache zu verwenden (Erwägungsgrund 23).
Lesetipp: Studie sieht Chancen für den Fachhandel durch die DSGVO