Die EU-Datenschutzgrundverordnung (GDPR) hat einen breiten Anwendungsbereich. Sie gilt für alle personenbezogenen Daten, zu denen Name, Kontaktdaten einschließlich E-Mail-Adresse, Zahlungsinformationen, IP-Adresse, Gerätefingerabdrücke sowie Standort- und andere Verhaltensdaten gehören können.

Sie betrifft nicht nur Unternehmen mit Niederlassungen in den EU-Mitgliedstaaten, sondern auch Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von Personen in der EU erheben, empfangen, speichern oder anderweitig nutzen, sofern das Unternehmen Waren oder Dienstleistungen für Personen in der EU anbietet, unabhängig davon, ob diese Dienstleistungen kostenpflichtig oder kostenlos sind, oder das Verhalten von Personen überwacht.

Voraussetzung für die Anwendung der Datenschutz-Grundverordnung ist daher, dass das Unternehmen in irgendeiner Weise auf den EU-Markt ausgerichtet ist. Die Schwelle ist sehr niedrig, da dies unter anderem die folgenden Geschäftstätigkeiten umfassen kann:

• die Planung von Werbekampagnen, die sich an Verbraucher in der EU richten, z. B. über Suchmaschinen und soziale Netzwerke, oder die Anzeige von Erfahrungsberichten aus der EU,
• das Angebot von Dienstleistungen mit internationalem Charakter, wie z. B. bestimmte touristische Aktivitäten,
• Verwendung von EU-Website-Domänen oberster Stufe wie .de, .fr, .es oder .eu oder Bereitstellung von EU-Sprachversionen eines Online-Dienstes oder einer mobilen Anwendung, wenn diese sich von der im Land des Unternehmenssitzes üblichen Sprache unterscheiden,
• die Annahme von Zahlungen in Euro oder einer anderen EU-Währung,
• die Erwähnung der EU oder ihrer Mitgliedstaaten im Zusammenhang mit einer Ware oder Dienstleistung oder die Angabe spezifischer Kontaktinformationen für EU-Kunden,
• die Lieferung von Waren in EU-Mitgliedstaaten,
• Profiling, einschließlich verhaltensorientierter Werbung und Verarbeitung von Geolokalisierungsdaten, insbesondere zu Marketingzwecken,
• Online-Tracking mit Cookies oder anderen Tracking-Techniken wie Device Fingerprinting
• personalisierte digitale Ernährungs- und Gesundheitsanalysedienste,
• Marktumfragen und andere Verhaltensstudien, die auf individuellen Profilen beruhen,
• CCTV / Videoaufzeichnungen

Je nach Einzelfall kann das Unternehmen bereits unter die DSGVO fallen, wenn nur einer dieser Auslöser zutrifft.

Der Anwendungsbereich umfasst auch Dienstleister, die personenbezogene Daten nicht für eigene Zwecke, sondern nur im Auftrag anderer nutzen (z. B. Cloud-Dienste, SaaS-Anbieter).

Wenn Sie mehr über den extraterritorialen Geltungsbereich der Datenschutz-Grundverordnung erfahren möchten, kontaktieren Sie uns.

Die Verpflichtung zur Bestellung eines EU-Beauftragten gemäß Art. 27 der General Data Protection Regulation (GDPR) gilt für jedes Unternehmen:

• ohne Niederlassung in mindestens einem der EU-Mitgliedstaaten,
• das personenbezogene Daten verarbeitet, die der DSGVO unterliegen (siehe Frage oben).

Ausgenommen sind Unternehmen, die die folgenden Anforderungen erfüllen:

• nur gelegentliche Verarbeitung personenbezogener Daten von Personen in der EU,
• keine groß angelegte Verarbeitung sensibler Daten wie Informationen über Gesundheit oder strafrechtliche Verurteilungen und
• es ist unwahrscheinlich, dass die Verarbeitung ein Risiko für Einzelpersonen darstellt (z. B. Verwendung von Kundendaten nur zur Erfüllung eines einmaligen Auftrags und keine weitere Datenspeicherung für Marketingzwecke).

Da diese Anforderungen kumulativ erfüllt sein müssen, ist der Anwendungsbereich der Ausnahme recht eng. Ob eine solche Ausnahme gilt, muss im Einzelfall rechtlich geprüft werden.

Die Hauptaufgaben eines EU-Beauftragten sind nach dem Gesetz:

• als lokaler Ansprechpartner innerhalb der EU für alle Anfragen zu Themen des Datenschutzes zu fungieren, insbesondere für Kunden (natürliche Personen) und Datenschutzaufsichtsbehörden, oft mit Rechtswirkung für das Unternehmen,
  und ein Verzeichnis über Verarbeitungstätigkeiten (Art. 30 GDPR) des Unternehmens in der EU aufzubewahren,
• im Falle von Ermittlungen mit den Aufsichtsbehörden zu kooperieren.

DP-Dock ist darauf spezialisiert, diese oben genannten Anforderungen in einer konformen und kundenfreundlichen Weise zu erfüllen. Sollten Sie zusätzliche Dienstleistungen im Zusammenhang mit der Einhaltung des Datenschutzes benötigen, wie z.B. Rechtsberatung oder die Ernennung eines Datenschutzbeauftragten gemäß Art. 37-39 GDPR benötigen, so prüfen wir das gerne und vermitteln Ihnen gegebenenfalls gerne den Kontakt zu unseren Partnern.

Falls Ihr Unternehmen verpflichtet ist, einen EU-Vertreter zu benennen, dies aber unterlässt, können die EU-Datenschutzaufsichtsbehörden Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes Ihres Unternehmens verhängen, je nachdem, welcher Betrag höher ist. Nach EU-Recht können diese Geldbußen auch gegen Unternehmen mit Sitz in Nicht-EU-Staaten verhängt werden.

Ein weiterer Aspekt ist, dass Ihre B2B- oder B2C-Kunden in der EU darauf achten, ob Sie die GDPR-Verpflichtungen einhalten, da das Bewusstsein in der EU für Datenschutzfragen enorm gestiegen ist. Die Folgen negativer Publicity, die mit Berichten über die Nichteinhaltung einhergehen, können sogar den Schaden übersteigen, der durch finanzielle Sanktionen und Bußgelder entsteht.

Abgesehen von der allgemeinen Einhaltung der Vorschriften für datenverarbeitende Unternehmen wird durch die Ernennung eines EU-Vertreters eine zentrale Anlaufstelle für die Meldung von Sicherheitsvorfällen im Rahmen der DSGVO geschaffen. Wenn beispielsweise ausnutzbare Schwachstellen zu einer unbefugten Offenlegung von Nutzerdaten führen, sind Unternehmen verpflichtet, solche Datenschutzverletzungen den Datenschutzaufsichtsbehörden in Europa zu melden. Da es 44 verschiedene nationale Behörden gibt, ist die Meldung von Datenschutzverletzungen zeit- und kostenintensiv, insbesondere wenn man bedenkt, dass die Meldungen innerhalb von 72 Stunden erfolgen müssen. Ein solider EU-Vertreter wird bei diesem komplexen Meldungsverfahren unterstützen können.

Das Vereinigte Königreich hat die Europäische Union zum 31. Januar 2020 verlassen. Die EU-Gesetze, einschließlich der DSGVO, gelten im Vereinigten Königreich jedoch aufgrund einer Übergangsfrist, die im Rahmen des Austrittsabkommens zwischen der EU und dem Vereinigten Königreich vereinbart wurde, weiter. Aktuell hat das Vereinigte Königreich eine „nationale Version" der DSGVO (Data Protection Act 2018), welche in Bezug auf das Erfordernis einen Vertreter zu benennen wortgleich zur EU GDPR ist.

Im Hinblick auf das GDPR-Vertretererfordernis sind drei verschiedene Szenarien zu unterscheiden:

• Unternehmen, die weder in der EU noch im Vereinigten Königreich ansässig sind (aber Geschäfte mit der EU und dem Vereinigten Königreich tätigen), müssen sowohl einen EU-Vertreter als auch einen separaten Vertreter für das Vereinigte Königreich benennen.
• Unternehmen, die in der EU ansässig sind (und Geschäfte mit dem Vereinigten Königreich tätigen), müssen einen Vertreter für das Vereinigte Königreich benennen.
• Unternehmen, die im Vereinigten Königreich ansässig sind (und Geschäfte mit der EU tätigen), müssen einen EU-Vertreter benennen.

Was auch immer auf Ihr Unternehmen zutrifft, DP-Dock ist bereit, alle rechtlichen Anforderungen zu erfüllen.