Räumlicher Anwendungsbereich
Die EU-DSGVO gilt in ganz Europa. Und zwar in jedem Land der Europäischen Union. Außerdem haben sich noch drei Staaten, die nicht der EU angehören, freiwillig dazu verpflichtet, diese EU-DSGVO anzuwenden. Ungeachtet der Tatsache, dass sie alle in Europa liegen, nennt man diese Staaten "NIL-Staaten", weil es sich um
- Norwegen
- Island
- Liechtenstein
handelt, deren Namen sich zu dem schönen Kürzel NIL zusammensetzen und leichter merken lassen.
Das Bundesdatenschutzgesetz gilt darüber hinaus in Deutschland für alle Privatpersonen und Unternehmen. Es gibt eine alte Fassung (abgekürzt: BDSG aF), die bis zum 25.05.2018 galt und es gibt eine neue Fassung (BDSG nF), die ab dem 25.05.2018 gilt. Der Gesetzgeber hat also gerade noch die Kurve gekriegt. Was ist wann anzuwenden? Nun, das ist einfach. Behandeln Sie einen Verstoß, der nachweislich vor dem 25.05.2018 passierte, nutzen Sie die alte Fassung, ansonsten die neue. In einem Rechtstaat dürfen Sie nämlich nur nach Gesetzen beurteilt werden, die während der Tat schon galten. DAvon können sich manche Staaten eine Scheibe abschneiden.
Die Landesdatenschutzgesetze gelten für die Behörden des jeweiligen Landes und für die Kommunen in diesem Land.
Und die EU-DSGVO? Schauen wir einfach nach:
1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 EU-DSGVO).
Wir erfahren, dass die EU-DSGVO auf alle Datenverarbeitungen immer anwendbar ist, wenn der Verantwortliche wenigstens eine Niederlassung (oder den Hauptsitz) innerhalb der EU hat. Facebook, Twitter und Google sind hier also betroffen, auch wenn die Rechenzentren in den USA stehen.
Sollte alles außerhalb der EU stehen, gilt die EU-DSGVO aber vielleicht trotzdem:
2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (Art. 3. Abs. 2 EU-DSGVO)
Sollen also die Daten von Personen innerhalb der EU (nicht unbedingt nur EU-Bürger, auch Touristen, Asylbewerber etc.) verarbeitet werden, ist die EU-DSGVO ebenso anwendbar ("Marktortprinzip").
3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Nehmen sich Firmen außerhalb der EU einen Sitz, findet die Datenverarbeitung nicht in der EU statt und werden obendrein noch Daten von Personen verarbeitet, die sich nicht in der EU befinden, ist die EU-DSGVO dennoch anwendbar. Dieses "Kaugummi-Prinzip" soll den größtmöglichen Datenschutz liefern.
Fassen wir zusammen. Die EU-DSGVO ist zuständig, wenn
- die Verarbeitung für eine Tätigkeit in der EU stattfindet,
- von einem Verarbeiter ausgeführt wird, der sich in der EU niedergelassen hat
- oder für einen Verarbeiter, der dem Recht eines Mitgliedsstaates unterworfen ist.
Weitere Informationen
- England wird sich vermutlich nicht an die EU-DSGVO halten (05.02.2020).
- Das "Haushaltsprivileg" (EU-DSGVO gilt nicht bei privater Datenverarbeitung) ist nach Auffassung der Datenschutzbeauftragten von Nordrhein-Westfalen eng auszulegen (Datenschutzpraxis, 16.06.2020).