Wir befinden uns im Jahre 2019, Ende Juli. Die ganze Schweiz ist im Urlaub. Die ganze Schweiz? Nein! Eine von unbeugsamen Datenschutzanwälten bevölkerte Kanzlei hört nicht auf, Widerstand zu leisten.
Spass beiseite, passend zur Ferienzeit befassen wir uns mit einer Frage zur räumlichen Anwendbarkeit der DSGVO:
„Reist die DSGVO eigentlich mit in den Urlaub?“
Oder anders gefragt: Viele Leute, die sich normalerweise in der EU befinden, sind derzeit ausserhalb derselben, zum Beispiel auf einem Kulturtrip in Kuba oder einer Städtereise in Zürich. Ist die DSGVO nun auf die Fluss-Bar in Zürich anwendbar, die jeden Stammgast nicht nur beim Namen kennt, sondern ihm gleich ungefragt sein Lieblingsgetränk vorsetzt?
Die kurze Antwort ist: Nein, die DSGVO reist nicht mit in den Urlaub.
Der räumliche Anwendungsbereich der DSGVO erfasst einerseits Unternehmen, die eine Niederlassung in der EU haben. Andererseits erstreckt er sich auf Unternehmen, die einen Marktort in der EU haben, indem sie entweder Leuten in der EU Waren oder Dienstleistungen anbieten oder sie in ihrem Verhalten beobachten.
Wichtig anzumerken ist, dass eine Niederlassung nicht erst vorliegt, wenn eine Zweigniederlassung oder Tochtergesellschaft in der EU gegründet wird, sondern bereits bei effektiver und tatsächlicher Ausübung einer Tätigkeit durch eine „feste Einrichtung“, was z.B. schon bei einem umfassend bevollmächtigten externen Sales Agent der Fall sein kann.
Die Verhaltensbeobachtung führt zudem nur zur Anwendbarkeit der DSGVO, wenn es sich um Verhalten der betreffenden Personen in der EU handelt – also eben gerade nicht, wenn sie sich im Urlaub befinden.
Es ist insbesondere nicht so – und das wird gerne missverstanden – dass die Anwendbarkeit an den Status als EU-Bürger anknüpft, also dass die DSGVO ausserhalb der EU anwendbar ist, nur weil ein Unternehmen Personendaten von EU-Bürgern bearbeitet. Soweit das betreffende Unternehmen weder eine Niederlassung in der EU hat, noch Leute in der EU gezielt (in den Worten der DSGVO: „offensichtlich beabsichtigt“) ein Angebot macht und sie auch nicht in ihrem Verhalten in der EU beobachtet, fällt es nicht in den räumlichen Anwendungsbereich der DSGVO.
Kurz gesagt. Der Barkeeper an der Fluss-Bar kann seine EU-Gäste noch so lange bedienen und anstarren. Unter die DSGVO fällt er deswegen nicht.
PS: Umgekehrt ist dafür jeder ausser-EU Tourist, der sich in der EU im Urlaub befindet, wie etwa der Amerikaner, der im Hotel Adlon am Brandenburger Tor residiert, vom Schutz der DSGVO erfasst. Dies unter anderem deshalb, weil der Schutz eben nicht an den Status als EU-Bürger anknüpft.