Datenschutz 2020. Regina Mühlich
3 DSGVO) oder
1.9.4 Was müssen Anbieter mit Sitz außerhalb der EU beachten?
Gemäß Art. 3 Abs. 2 DSGVO (Räumlicher Anwendungsbereich) findet die Verordnung Anwendung, sobald ein nicht in der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter Daten von betroffenen Personen, die sich in der EU befinden, verarbeitet. Man spricht hier vom sog. Marktortprinzip {Marktortprinzip} (
Das bedeutet: Das Markortprinzip gilt, wenn ein Unternehmen weder seinen Sitz noch eine Niederlassung in der EU hat, jedoch Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet oder deren Verhalten (Profiling, Tracking) beobachtet.
|
|
Die bloße Zugänglichkeit einer Website führt nicht automatisch zur Anwendung der DSGVO, die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten der EU gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und/oder Dienstleistungen in der anderen Sprache zu verwenden (ErwG 23 DSGVO), dagegen schon. |
Unter anderem regelt Art. 3 DSGVO den räumlichen Anwendungsbereich:
Art. 3 Abs. 2 DSGVO
Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht […].
Checkliste: Drittland – Handlungsbedarfe
1. Information über die Datenübermittlung in ein Drittland
|
Im Informationsblatt zur Datenverarbeitung und in der Datenschutzerklärung einer Website ist gem. Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DSGVO über die Datenübermittlung in ein Drittland zu informieren. |
2. Recht nach Auskunft
|
Im Rahmen eines Auskunftsersuchens einer betroffenen Person ist sie gem. Art. 15 Abs. 1 lit. c, Abs. 2 DSGVO über die Datenübermittlung in Drittländer zu beauskunften. |
3. Verzeichnis der Verarbeitungstätigkeiten
|
Im Verarbeitungsverzeichnis sind Datenübermittlungen in Drittländer gem. Art. 30 Abs. 1 lit. d und e bzw. Abs. 2 lit. c DSGVO als solche zu dokumentieren. |
4. Datenschutz-Folgenabschätzungen
|
Eventuell sind DSFA (Art. 35 DSGVO) für Verarbeitungen durchzuführen oder bereits durchgeführte DSFA im Hinblick auf die neue Situation zu prüfen. |
5. Übermittlungen an Drittländer
|
Es sind geeignete Garantien zum Schutz personenbezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn keine Ausnahmetatbestände greifen (Artt. 44 ff. DSGVO). |
1.9.5 Exkurs EWR: Liechtenstein
Das Fürstentum Liechtenstein mit seiner Staatsform „konstitutionelle Erbmonarchie auf demokratischer und parlamentarischer Grundlage“ ist mit dem Zollanschlussvertrag von 1923 in den Schweizer Wirtschaftsraum eingebunden. Seit 01.05.1995 ist Liechtenstein Mitglied des EWR und nimmt damit am EU-Binnenmarkt teil. Am 20.07.2019 wurde die DSGVO im EWR wirksam.
Auch das Fürstentum Liechtenstein hat von den Öffnungsklauseln der DSGVO Gebrauch gemacht und sein Datenschutzgesetz (DSG) einer Revision unterzogen. Seit dem 01.01.2019 gelten das neue Datenschutzgesetz (DSG) sowie die neue Datenschutzverordnung (DSV).
Das DSG ist sowohl im Aufbau als auch inhaltlich stark an das BDSG angelehnt. Allerdings fehlt die besondere Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) bei nicht öffentlichen Stellen.
Fußnoten:
Weitere Informationen dazu bietet die DSK mit ihrem Kurzpapier Nr. 4, auf: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschlüsse (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutz-bayern.de/datenschutzreform2018/Internationaler_Datenverkehr.pdf (zuletzt aufgerufen am: 29.01.2020).
Trotz vieler Ähnlichkeiten mit dem alten nationalen Datenschutzgesetz, dem BDSG a. F., bringt die DSGVO auch einige Neuerungen und Änderungen mit sich. Nationales Recht tritt in seiner Bedeutung weitestgehend in den Hintergrund. Die DSGVO regelt alles Wesentliche und Wichtige selbst, und zwar EU- bzw. EWR-weit sowie technikneutral.
Nach dem Mai 2018 war die DSGVO zeitweise eher zu einem Feindbild geworden als zu einer modernen Handhabung personenbezogener Daten. Besonders die Geldbußen haben – unbegründete – „Panik“ bei Unternehmen ausgelöst. Viele Vorgaben, Verbote und Fehlinformationen wie z. B. die Nutzung von Klingelschildern[1]