Hallo zusammen,
das Thema “Räumlicher Anwendungsbereich” der DSGVO sorgt bei uns immer wieder für Diskussionen.
Es geht um einen internationaler Konzern mit (rechtlich eigenständigen) Firmen in der ganzen Welt. Der Hauptsitz ist in Deutschland. Die Datenverarbeitung findet auch zum größten Teil in Deutschland statt. Es gibt interne AVV, bzw. SCC. Das in Deutschland und den europäischen Standorten an die DSGVO gilt sind ist unstrittig.
Wie sieht es aber aus, wenn ein nicht EU Land z.B. seine Personaldaten mittels AVV/SCC in einem EU Land verarbeiten lässt? Gilt dann für die Angestellten in dem nicht EU Land die DSGVO, obwohl dort vielleicht ganz anderen Datenschutzgesetze gelten?
Ich bin der Meinung “nein”. Nur weil z.B. ein Amerikaner mittels Auftragsverarbeitung die Daten seiner Angestellten in der EU verarbeiten lässt gilt nicht automatisch die DSGVO in den USA. Leider habe ich bei meinen Recherche bis jetzt auch noch keine Lösung gefunden.
Vielleicht kann mir jemand von euch bei der Lösung helfen - vielen Dank schon mal im Voraus.
ich sehe es anders … die DSGVO gilt für alle Personen die sich in der EU aufhalten (egal welche Staatangehörigkeit, egal ob Urlauber oder Geschäftsreise).
Zudem gilt sie für Verarbeitungen von Personen aus der EU in anderen Ländern.
Wenn also ein Mitarbeiter aus Deutschland in die USA reist und dort via VPN auf die Kundendatenbank in Deutschland zugreift gilt die DSGVO.
Wenn ein Indischer Konzern Dienstleistungen oder Produkte dem EU Kunden anbietet (z.B. Website auf Deutsch) gilt die DSGVO → Facebook, Amazon etc.
Eine Firma hat ihren Sitz in Deutschland nutzt aber nur Daten von US-Bürgern, dann gilt die DSGVO.
Für den Auftragsverarbeiter in der EU gilt die DSGVO. Deshalb sollte er sich von der Verantwortung freistellen, indem er seinem Auftraggeber einen Auftragsverarbeitungsvertrag aufdrängt.
D., der für das Zurückschicken der Daten ins Drittland noch den passenden Satz der Standardklauseln einschließen würde.
Hallo joeDS,
danke für deine Rückmeldung. Leider beantwortet das aber nicht meine Frage. Wahrscheinlich habe ich sie nicht richtig formuliert. Ich versuche es nochmal an einem anderen Beispiel:
Eine Firma aus der Schweiz (nicht EU-Land) lässt personenbezogene Daten im Auftrag durch ein EU-Land (z.B. Deutschland) verarbeiten.
Das die Daten in Deutschland gemäß der DSGVO verarbeitet werden müssen - ist klar.
Aber wie sieht es aus, wenn ein Betroffener seine Rechte bei der Schweizer Firma geltend machen möchte, oder es zu einem Datenschutzvorfall kommt?
Gilt dann die DSGVO oder das Schweizer Datenschutzgesetz?
ist die betroffene Person ein Schweizer oder ein Bürger aus Deutschland bzw. hält sich die Person in Deutschland / EU auf - bzw. wurden diesem von der Schweizer Firma Waren oder Dienstleistungen angeboten.
Sofern dies der Fall ist gilt für den Betroffen die DSGVO (Meldefristen, Rechte der Betroffen etc.)
Der Betroffene macht seine Rechte ggü dem Verantwortlichen geltend. Das ist die schweizer Firma (ohne nun in das DS-Gesetz der CH zu schauen).
Wenn die Verarbeitung im Auftrag durch die deutsche Firma nicht auf einem gültigen Vertrag zur Auftragsverarbeitung beruht, dann auch die dt. Firma (Art 28 Abs 10).