Читать книгу Datenschutz für Unternehmen - Ricarda Kreindl - Страница 15

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten[13] einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art 3 Abs 1 DSGVO). Es spielt dabei keine Rolle, ob personenbezogene Daten von EU- oder Nicht-EU-Bürgern verarbeitet werden (ErwGr 14 DSGVO).[14]

Der Begriff der Niederlassung setzt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Dabei ist die Rechtsform einer solchen Einrichtung nicht ausschlaggebend. Es kann sich dabei sowohl um eine rechtlich unselbständige Zweigstelle als auch um eine rechtlich selbständige Tochtergesellschaft handeln und setzt somit zumindest eine gesellschaftsrechtliche Verbundenheit zwischen dem Verantwortlichen bzw. dem Auftragsverarbeiter und der Niederlassung voraus (ErwGr 22 DSGVO).[15] Auch auf die technische Umgebung der Datenverarbeitung, wie zB der physische Standort von Servern oder der Ort der technischen Implementierung von Schnittstellen, ist nicht abzustellen.[16]

Ein nur mit einer Person besetztes Büro wäre somit wohl als Niederlassung in diesem Sinne zu qualifizieren, soweit das Büro aktiv in die Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet werden.[17] Nicht als Niederlassung in diesem Sinne ist dagegen der gemäß Art 27 iVm Art 3 Abs 2 DSGVO zu benennende Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern zu qualifizieren.[18]