Marktortprinzip: Regelungen für außereuropäische Unternehmen in der DS-GVO

Das Markortprinzip in Art. 3 Abs. 2 DS-GVO schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, in den Anwendungsbereich der DS-GVO ein.
Seit In-Kraft-Treten der EU-Datenschutz­richtlinie im Jahr 1995 haben sich neue Fragestellungen zum Anwendungsbereich des europäischen Datenschutzrechts entwickelt, beispielsweise mit Blick auf die fortschreitende Verlagerung von Geschäfts­ak­tivitäten ins Internet (eCommerce). Sie erfordern keine physische Betriebs- und Organisa­ti­ons­strukturen in Europa, die als direkter Anknüpfungspunkt für die Anwendbarkeit europäischen Datenschutzrechts dienen könnten.
Der europäische Gesetzgeber erstreckt den Anwendungsbereich des europäischen Datenschutzrechts mit Einführung des Marktortprinzips auf datenschutz­rechtlich relevante Geschäfts­ak­tivitäten von Unternehmen, die keine Niederlassungen in der EU besitzen. Der Anwendungsbereich der DS-GVO erstreckt sich auf Verarbeitungen personen­bezogener Daten von Betroffenen, die sich in der EU befinden, ohne Rücksicht auf physische Organisations- oder Betriebs­strukturen von Unternehmen in der EU.

1.Anknüpfungspunkt: Angebot von Waren und Diensleistungen (Art. 3 Abs. 2 lit. a DS-GVO)
Die DS-GVO findet Anwendung, wenn eine Datenver­arbeitung im Zusammenhang damit steht, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten.
Ein maßgeblicher Anknüpfungspunkt ist die Ausrichtung bestimmter Werbe- bzw. Verkaufs­maßnahmen auf Personen, die sich in der EU befinden. Wann dies der Fall ist, muss anhand von Hilfsfaktoren und Indizien bestimmt werdne. Keine ausreichenden Anhaltspunkte hierfür sind etwa allein die bloße Abrufbarkeit einer kommerziellen Internetpräsenz oder die Verwendung einer (EU-)Sprache die in dem Drittstaat, in dem das jeweilige Unternehmen niedergelassen ist, allgemein gebräuchlich ist. Haftungs­auschlüsse, die beispielsweise die Anwendbarkeit der DS-GVO beschränken oder ausschließen, lassen wiederum nicht zwingend auf die Nichtanwendbarkeit der DS-GVO schließen.
Andere Faktoren wie die Verwendung der Sprache oder Währung eines Mitgliedstaates in Verbindung mit der Möglichkeit, Waren oder Dienstleistungen in dieser anderen Sprache zu bestellen können darauf hindeuten, dass ein Unternehmen beabsichtigt, den betroffenen Personen in der EU Waren oder Dienstleistungen anzubeiten. 

2.Anknüpfungspunkt: Überwachung des Verhaltens von Personen
Die DS-GVO ist auch dann anwendbar, wenn die Datenver­arbeitung im Zusammenhang damit steht, das Verhalten von betroffenen Personen zu beobachten, soweit dieses Verhalten in der EU erfolgt. Dies ist zum Beispiel dann der Fall, wenn die Internet­ak­tivitäten der betroffenen Person nachvollzogen werden.
Dies kann zum Beispiel durch den Einsatz von "Tracking-Cookies" oder "Browser Fingerprints" stattfinden. Diese Techniken können auch als Grundlage für die weitere Erstellung persönlicher Profile, etwa zum Zwecke individua­lisierter bzw. zielgrup­pen­spe­zifischer Werbung (sog. Behavioural Targeting) dienen.

Weitere Folgen
Außereuropäische Unternehmen, auf deren Verarbei­tungs­tä­tigkeiten die DS-GVO anwendbar ist, müssen grundsätzlich einen in einem betrofenene Mitgliedstaat niedergelassenen Vertreter benennen. Der Vertreter ist ausdrücklich zu bestellen und schriftlich zu beauftragen, in Bezug auf die sich aus der DS-GVO ergebenden Pflichten an Stelle des Verantwortlichen oder des auftrags­ver­arbeiters zu handeln. Als Anlaufstelle soll dieser Vertreter einerseits den betroffenen Personen ermöglichen, ihre Betroffe­nenrechte wirksam geltend zu machen und andererseits die Aufsichtsbehörden in die Lage versetzen, ihre Aufsichts­maßnahmen effektiv durchzusetzen.
Der Verstoß gegen die Pflicht zur Bestellung ist bußgeldbewehrt.

Fazit
Auch Unternehmen, die keine Niederlassung in der EU haben, aber auf dem europäischen Markt tätig sind, müssen die DS-GVO voll anwenden. Darüber hinaus sind diese Unternehmen grundsätzlich verpflichtet, einen Vertreter in der EU zu benennen. Der europäische Gesetzgeber stellt die Aufsichtsbehörden mit Einführung des Marktortprinzips vor die nicht zu unterschätzende Herausforderung, den Geltungsanspruch der DS-GVO gegenüber Unternehmen in Drittstaaten durchzusetzen.

Quelle: Kurzpapiere der Datenschutz­konferenz