Скачать книгу

in Russland mit der Hauptniederlassung in Frankreich in Zusammenhang stehen.

      

Im Rahmen des Niederlassungsprinzips ist es völlig egal, ob die personenbezogenen Daten, die von Ihnen verarbeitet werden, solche von EU-Bürgern sind oder von Bürgern aus anderen Staaten! Sie müssen die DSGVO in Ihrer Niederlassung anwenden!

      Marktortprinzip

      Wenn Sie als Unternehmen in einem Staat ansässig sind, der kein Mitgliedstaat der EU ist, kann es also sein, dass Sie eine Niederlassung im datenschutzrechtlichen Sinne in der EU betreiben, was offenbar schneller gehen kann, als man so denken würde.

      

Im Zusammenhang mit den verwendeten Begriffen Mitgliedstaat und Union ist übrigens zu beachten, dass auch die EWR-Staaten (Staaten des Europäischen Wirtschaftsraums), aktuell Norwegen, Island und Liechtenstein, am 6. Juli 2018 die DSGVO übernommen haben. Somit gilt die DSGVO auch in diesen Staaten.

      Aber das ist noch lange nicht alles. Auch wenn Sie in der EU nicht niedergelassen sind, kann es für Sie brenzlig werden. Denn neben dem Niederlassungsprinzip gilt jetzt auch das sogenannte Marktortprinzip. Über Art. 3 Abs. 2 erklärt die DSGVO sich nämlich auch dann für anwendbar, wenn von Ihnen

       personenbezogene Daten von solchen Personen verarbeitet werden, die sich in der EU befinden,

       und die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, (Art. 3 Abs. 2 a) oder

       das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 b).

      Verarbeitung personenbezogener Daten von Personen, die sich in der EU befinden

      Personen, die dem Schutz der DSGVO unterfallen, müssen nicht zwangsläufig Bürger der EU sein. Es genügt, wenn Sie sich in der EU befinden. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es dabei nicht an. Es genügt ein lediglich kurzfristiger Aufenthalt.

      Anbieten von Waren oder Dienstleistungen in der EU

Sämtliche Unternehmen, die in der EU Waren oder Dienstleistungen anbieten und dabei personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden, sind dem Rechtsregime der DSGVO unterworfen (Art. 3 Abs. 2 a). Das gilt übrigens unabhängig davon, ob die Waren oder Dienstleistungen dabei gegen Bezahlung angeboten werden oder kostenlos zu erhalten sind. Damit werden auch Anbieter großer sozialer Netzwerke von den europäischen Datenschutzvorgaben erfasst und können bei Verstößen zur Rechenschaft gezogen werden.

      

Sie sind Onlinehändler mit Sitz in Brasilien, USA, Russland, China, Indien oder Timbuktu (nicht abschließende Aufzählung) und bieten Ihre Produkte auch auf dem europäischen Markt an? Bingo!

      Auch Auftragsverarbeiter, die in der EU Dienstleistungen anbieten, sind unabhängig von ihrem Sitz verpflichtet, sich an die Vorgaben der DSGVO zu halten, wenn sie bei ihrer Tätigkeit personenbezogene Daten von Menschen verarbeiten, die sich in der EU befinden.

      

Bei einem Auftragsverarbeiter handelt es sich um einen Dienstleister, den Sie damit beauftragen, personenbezogene Daten für Sie zu verarbeiten. Das kann zum Beispiel ein Cloud-Anbieter sein, dem Sie personenbezogene Daten anvertrauen, ein ausgelagertes Rechenzentrum, aber auch eine externe Lohnbuchhaltung oder ein Lettershop, über den Sie Weihnachtsgrußkarten verschicken. Was Sie generell beachten müssen, wenn Sie einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen wollen, und was es mit einem Vertrag über die Auftragsverarbeitung (AVV) nach Art. 28 auf sich hat, können Sie in Kapitel 7 Zusammenarbeit von Unternehmen unter der Überschrift Auftragsverarbeitung ausführlicher nachlesen.

      Beobachtung des Verhaltens betroffener Personen in der EU

      Wenn eine Datenverarbeitung dazu dient, das Verhalten betroffener Personen in der EU zu beobachten, ist das verantwortliche Unternehmen ebenfalls verpflichtet, sich bei der Verarbeitung personenbezogener Daten an die Vorschriften der DSGVO zu halten (Art. 3 Abs. 2 b).

      

Ob eine Beobachtung des Verhaltens betroffener Personen vorliegt, hängt zum Beispiel davon ab, ob deren Internetaktivitäten von dem Unternehmen nachvollzogen werden (Erwägungsgrund 24).

      Die Vorschrift zielt vor allem auf solche Aktivitäten ab, durch die Profile (Art. 4 Nr. 4) von natürlichen Personen erstellt werden, anhand derer persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Unabhängig davon also, ob Waren oder Dienstleistungen angeboten werden, müssen sich auch all die Unternehmen an die DSGVO halten, die Daten von Personen, die sich in der EU befinden, zum Zwecke des Profilings verarbeiten.

      

Unter Profiling versteht man gemäß Art. 4 Nr. 4 die automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte, die sich auf Menschen beziehen, zu bewerten und daraus Vorhersagen abzuleiten. Das Ziel ist es dabei, Vorhersagen über die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, den aktuellen Aufenthaltsort oder Ortswechsel dieser Person zu analysieren und vorherzusagen.

Von dieser Vorschrift betroffen sind vor allem Unternehmen, die Aktivitäten von Personen im Internet beobachten und aufzeichnen (Tracking), um diese Informationen für Marktforschung zu nutzen, wie zum Beispiel Google über das Tracking Tool Google Analytics. Dieser Fall wird auch in Erwägungsgrund 24 der DSGVO beispielhaft erwähnt.

Die Zähne des Monsters

      Wenn Sie also nicht gerade eine Privatperson sind, die nur für persönliche oder familiäre Zwecke tätig ist, sondern geschäftsmäßig Daten von Personen verarbeiten, die sich in der EU befinden, müssen Sie sich mit sehr großer Wahrscheinlichkeit an die DSGVO halten. Und wenn Sie sich dabei erwischen lassen, dass Sie gegen die Vorgaben der DSGVO verstoßen, wird man Sie bestrafen. Ersteres lässt sich vielleicht noch vermeiden, Letzteres aber nach den bisherigen Erfahrungen nicht.

      

Wenn Sie auf Bestrafungen stehen und wissen wollen, wer Sie wie bestrafen wird, blättern Sie hemmungslos vor zu Kapitel 4 Die Protagonisten unter der Überschrift Die Aufsichtsbehörden. Alles kann, nichts muss.

Kapitel 2

      Personenbezogene Daten

      IN DIESEM KAPITEL

       erfolgt Ihre Initiation in das Geheimnis personenbezogener Daten

       erreichen Sie nach erfolgreicher Erstinitiation die nächsthöhere Erkenntnisstufe, wonach es auch noch besondere Kategorien personenbezogener Daten gibt

       erhalten Sie eine geheimnisvolle Unterweisung in die Pseudonymisierung und Anonymisierung personenbezogener Daten

       stellen wir Ihnen noch ein paar unangemessene Fragen zu Ihrem

Скачать книгу