DSGVO – Warum auch Asien betroffen ist

Die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) hat nicht nur in Europa für Aufsehen gesorgt, sondern weit über die Grenzen des europäischen Binnenmarktes hinaus. Das hängt zum einen mit der immer stärker vernetzten globalen Weltwirtschaft zusammen, zum anderen ist die DSGVO explizit exterritorial angelegt – Die Verordnung entfaltet damit weltweite Bedeutung.

Weiter Anwendungsbereich

Es kommt nämlich nicht darauf an, ob Datencenter in der EU stehen. Ausreichend ist es (vgl. Artikel 3 DSGVO), wenn die personenbezogenen Daten, zum Beispiel Namen oder IP-Adressen, im Rahmen von Tätigkeiten einer europäischen Niederlassung eines im EU-Ausland befindlichen Unternehmens verarbeitet werden. Dies sogar unabhängig davon, ob die technische Verarbeitung der Daten innerhalb der Union oder konkret bei der im Nicht-EU-Ausland befindlichen Muttergesellschaft stattfindet.

Das stellt sich natürlich die Frage: wer gilt in diesem Zusammenhang als „Niederlassung“? Die Anforderungen hierfür sind schnell erfüllt, denn die Rechtsform ist nicht ausschlaggebend, es muss sich also nicht um eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handeln. Ausreichend ist bereits eine kleine Zweigstelle als feste Einrichtung innerhalb der EU. Der Gesetzgeber wollte damit missbräuchlicher Gestaltung vorbeugen und insbesondere die im Silicon Valley ansässigen US-Firmen und deren webbasierten Angebote der DSGVO unterwerfen.

Aber wie schaut es bei einem bloßen Angebot von Dienstleistungen aus? Die DSGVO findet auch dann Anwendung, wenn in der EU Waren und Dienstleistungen angeboten werden oder das Verhalten von in der EU befindlichen Personen beobachtet wird, das sogenannte Tracking. Diese extreme exterritoriale Ausrichtung der DSGVO ist vielen Marktteilnehmern nicht bekannt und es fehlt bislang an einer konsequenten entsprechenden Rechtsdurchsetzung durch die – ohnehin schon von der Vielzahl der Aufgaben überforderten – Datenschutzbehörden in den EU-Mitgliedsstaaten.

DSGVO als neuer internationaler Standard

Aber selbst wenn man dem Anwendungsbereich der DSGVO entkommen wollte, ist dies nicht so leicht möglich, denn die DSGVO setzt sich als Marktstandard immer mehr durch. Schon längst ist dem Unbehagen, sich einem neuen globalen Marktstandard anpassen zu müssen, Gewissheit gefolgt, dass an der DSGVO kein Weg vorbeiführt. Wer der DSGVO nicht folgt, nimmt den Verlust von Wettbewerbsvorteilen in Kauf. Allerdings ist der Umgang mit der DSGO außerhalb der EU sehr verschieden. In den USA sind viele Unternehmen pragmatisch mit der DSGVO umgegangen. In einem Land, das gerade im Datenschutzrecht doch allgemeingültig eher den Charakter einer öden Steppe hat, haben sich zumindest diejenigen Unternehmen, für welche die EU einen Absatzmarkt darstellt, nach dem Motto „Let’s do it“ ohne Umschweife auf die DSGVO eingelassen. Das erstaunt gerade, weil innerhalb der EU viele Unternehmen sich erst zögernd der DSGVO annäherten. International ausgerichtete Unternehmen haben dagegen die Vorgaben akzeptiert und versucht sie schnell umzusetzen. Die eigentliche Umsetzung, so ist es zu beobachten, erfolgt jedoch etwas holzschnitzartig, vor allem dort, wo die Umsetzung ohne Zuhilfenahme einschlägiger Experten versucht worden ist.

Der asiatische Weg zur DSGVO

Etwas anders stellt sich die Lage in Asien dar. Zunächst können die Länder, die sich in Asien tatsächlich mit der DSGVO beschäftigen, wie folgt eingegrenzt werden: Singapur, Südkorea, Taiwan, Japan und zum Teil auch China. Besonders hervorzuheben ist hier Japan. Die drittgrößte Industrienation der Erde begegnet kulturbedingt jeglichen Compliance-Vorgaben eher aufgeschlossen und hat bereits ein entwickeltes nationales Datenschutzrecht. Das kommt ganz aktuell besonders darin zum Ausdruck, dass sich beide Wirtschaftsräume im Rahmen der Unterzeichnung des Freihandelsabkommens EU-Japan am 17. Juli 2018 auf die gegenseitige Anerkennung ihres Datenschutzniveaus als „angemessen“ verständigt haben, um so auch den Datenaustausch untereinander zu erleichtern. Japan und die EU leiten nun ihr jeweiliges Verfahren für das Ergehen eines Angemessenheitsbeschlusses ein und planen dieses jeweils im Herbst 2018 abzuschließen. Mit Inkrafttreten der europäischen Angemessenheitsentscheidung wird Japan dann datenschutzrechtlich wie ein EU-Mitgliedsstaat behandelt.

Es sind in den genannten asiatischen Ländern insbesondere die großen global aufgestellten Konzerne, welche die DSGVO ernst nehmen und trotz der Sprachbarrieren und der auch für Muttersprachler hohen Komplexität der Regelungsmaterie umsetzen. Die DSGVO ist insofern auch ein Stück weit zum „Exportschlager“ geworden, sodass davon auszugehen ist, dass Länder, die bisher noch gar kein oder nur ein rudimentäres Datenschutzrecht unterhalten, sich entsprechend an der DSGVO als neuem globalen „Goldstandard“ orientieren werden.

Ausblick

Dass die DSGVO über den europäischen Binnenmarkt hinaus derart stark Wirkung zeigt, hat viele überrascht. Gleichermaßen wäre es möglich gewesen, dass sich die anderen Wirtschaftsräume einem alternativen, wirtschaftsfreundlicheren Datenschutzrecht zuwenden. Das ist ganz offensichtlich nicht der Fall. Möglicherweise liegt das an der konzeptionellen Stärke und Geschlossenheit des europäischen Datenschutzrechts, das aus dem Grundrechtsschutz heraus entwickelt worden ist und damit einem offenbar globalen Bedürfnis nach Schutz vor übermäßiger Überwachung begegnet. Es gibt jedenfalls keinen Weg zurück, das Datenschutzrecht wird ein Begleiter der digitalen Transformation – DSGVO forever and worldwide.