Räumlicher Anwendungsbereich (Art. 3 DSGVO)
Wann die DSGVO räumlich gilt: Niederlassungsprinzip, Marktortprinzip und Beobachtung des Verhaltens, Flaggen- und Vertretungskonstellationen sowie die internationale Wirkung des europäischen Datenschutzrechts.
Art. 3 DSGVO bestimmt, welche grenzüberschreitenden Sachverhalte dem europäischen Datenschutzrecht unterfallen. Während Datenverarbeitung technisch kaum an Grenzen gebunden ist, bleibt Recht ein räumliches Konzept. Die Vorschrift löst diesen Spannungspunkt über zwei Hauptanknüpfungen, das Niederlassungsprinzip und das Marktortprinzip, und entscheidet damit über die zweite Eröffnungsfrage des Datenschutzrechts neben dem sachlichen Anwendungsbereich.
Das Wichtigste in Kürze
- Die DSGVO gilt, wenn die Verarbeitung im Rahmen der Tätigkeit einer Niederlassung in der Union erfolgt (Art. 3 Abs. 1 DSGVO), unabhängig davon, wo die Verarbeitung selbst stattfindet.
- Sie gilt zudem, wenn ein Verantwortlicher ohne EU-Niederlassung sich mit seinem Angebot an Personen in der Union richtet oder deren Verhalten beobachtet (Marktortprinzip, Art. 3 Abs. 2 DSGVO).
- Nicht angeknüpft wird an die Staatsangehörigkeit oder die Unionsbürgerschaft der betroffenen Person.
- Der Niederlassungsbegriff ist weit: schon eine feste Einrichtung mit minimaler, aber tatsächlicher Tätigkeit genügt; auf Rechtsform und Sitzstaat kommt es nicht an.
- Maßgeblich für das Marktortprinzip sind die Umstände des Einzelfalls (Sprache, Währung, Liefergebiet), nicht die bloße Abrufbarkeit einer Website.
1. Überblick
1.1 Aufgabe und Anknüpfungsmomente
Aufgabe des Art. 3 DSGVO ist es, die ubiquitäre Datenverarbeitung mit dem räumlich gebundenen Recht zu koordinieren. Die Verordnung kennt dafür mehrere Anknüpfungsmomente. Im Mittelpunkt stehen zwei: der Ort der Niederlassung (Art. 3 Abs. 1 DSGVO) und der Marktort, also die Ausrichtung auf den Binnenmarkt oder die Beobachtung von Personen in der Union (Art. 3 Abs. 2 DSGVO). Hinzu treten Sonderkonstellationen für Stellen außerhalb des Unionsgebiets (Art. 3 Abs. 3 DSGVO).
| Anknüpfung | Norm | Kerngedanke |
|---|---|---|
| Niederlassung | Art. 3 Abs. 1 DSGVO | Sitzlandprinzip: Verarbeitung im Rahmen der Tätigkeit einer Niederlassung in der Union |
| Anbieten von Waren oder Dienstleistungen | Art. 3 Abs. 2 lit. a DSGVO | Ausrichtung des Angebots auf Personen in der Union |
| Beobachtung des Verhaltens | Art. 3 Abs. 2 lit. b DSGVO | Beobachtung von Personen, die sich in der Union befinden |
| Flaggen- und Vertretungskonstellationen | Art. 3 Abs. 3 DSGVO | Völkerrechtlich an Unionsrecht gebundene Stellen außerhalb des Unionsgebiets |
1.2 Keine Anknüpfung an die Unionsbürgerschaft
Kein Anknüpfungsmoment ist die Staats- oder Unionsbürgerschaft der betroffenen Person. Geschützt wird nicht der Unionsbürger als solcher, sondern die Person, die mit einer in der Union niedergelassenen Stelle in Berührung kommt oder sich beim Anbieten von Waren und Dienstleistungen oder bei der Beobachtung ihres Verhaltens in der Union befindet.
2. Niederlassungsprinzip (Art. 3 Abs. 1 DSGVO)
2.1 Begriff der Niederlassung
An erster Stelle steht der Ort der Niederlassung eines Verantwortlichen oder Auftragsverarbeiters; damit gilt das im Unionsrecht verbreitete Sitzlandprinzip. Entscheidend ist nicht, wo die Verarbeitung technisch stattfindet, sondern ob sie im Rahmen der Tätigkeit einer Niederlassung in der Union erfolgt.
Der Begriff der Niederlassung ist nicht legaldefiniert. Erforderlich ist eine feste Einrichtung (Erwägungsgrund 22 DSGVO). Der Begriff ist weit zu verstehen: Er umfasst jede tatsächliche und effektive Tätigkeit mittels einer festen Einrichtung, selbst wenn sie nur geringfügig ist; auf die Rechtsform und darauf, ob es sich um eine juristische Person handelt, kommt es nicht an (EuGH, Urt. v. 01.10.2015, C-230/14, Weltimmo). Maßgeblich ist ein Zusammenwirken von persönlichen und sachlichen Mitteln mit einem gewissen Grad an Beständigkeit, nicht die Eintragung in einem Register.
Daraus folgt zugleich, was für sich genommen noch keine Niederlassung begründet: ein in der Union betriebener Server, ein Rechenzentrum ohne menschliche Aktivität, eine Briefkastenfirma oder die bloße Abrufbarkeit einer Website im Unionsgebiet. Umgekehrt kann je nach Charakter der Tätigkeit schon ein einziger Vertreter oder Mitarbeiter genügen, wenn er mit hinreichender Beständigkeit und den für die Leistung erforderlichen Mitteln im Mitgliedstaat tätig wird. In diesen Fällen, in denen es an einer festen Einrichtung fehlt, kann sich die Anwendbarkeit aber weiterhin aus dem Marktortprinzip ergeben (Art. 3 Abs. 2 DSGVO).
2.2 Effektive und tatsächliche Tätigkeit
Anknüpfungspunkt ist die Niederlassung nur, wenn dort eine effektive und tatsächliche Ausübung der Tätigkeit stattfindet (Erwägungsgrund 22 DSGVO). Die Anforderungen sind nicht hoch; bereits ein kleines Büro genügt, und auf den Umfang oder die Intensität der Tätigkeit kommt es regelmäßig nicht an. Die Tätigkeit muss auch nicht wirtschaftlicher Natur sein; erfasst sind ebenso Einrichtungen von Vereinen, Kirchen und sonstigen Stellen ohne Erwerbszweck.
Die im Rahmen der Niederlassung verarbeiteten Daten müssen nicht von ihr selbst verarbeitet werden, und die Niederlassung muss nicht datenschutzrechtlich verantwortlich sein. Es genügt, dass die Datenverarbeitung mit ihrer Tätigkeit in einem Zusammenhang steht. So reicht eine Vermarktungs- oder Vertriebsgesellschaft, die nur mittelbar mit der Verarbeitung zu tun hat, für die Anwendbarkeit aus, wenn ihre Tätigkeit und die eigentliche Datenverarbeitung wirtschaftlich untrennbar miteinander verbunden sind (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain). Konstellationen dieser Art lassen sich unter der DSGVO allerdings häufig schon über das Marktortprinzip lösen, das hierfür die sachnähere Vorschrift ist.
2.3 Auftragsverarbeiter in Drittländern
Auftragsverarbeiter in Drittländern fallen über das Niederlassungsprinzip häufig nicht in den Anwendungsbereich, wenn sie keine Niederlassung in der Union haben und ihre Leistung typischerweise nicht den betroffenen Personen anbieten. Das so entstehende Schutzdefizit wird dadurch aufgefangen, dass der primär verantwortliche Verantwortliche weiterhin greifbar bleibt und für die Betroffenenrechte einzustehen hat.
3. Marktortprinzip (Art. 3 Abs. 2 DSGVO)
Das Marktortprinzip erweitert den Anwendungsbereich auf Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Union, sofern sie mit ihrer Tätigkeit auf den Binnenmarkt zielen. Es erfasst sowohl klassische Fernabsatzkonstellationen als auch Internetsachverhalte und ist für Unternehmen außerhalb der Union die praktisch bedeutsamste Vorgabe der Verordnung. Wer in den Anwendungsbereich fällt, unterliegt im Grundsatz demselben Pflichtenprogramm wie ein in der Union niedergelassener Verantwortlicher.
3.1 Personen, die sich in der Union befinden
Beide Tatbestände des Abs. 2 setzen voraus, dass sich die betroffene Person in der Union befindet. Maßgeblich ist der tatsächliche Aufenthalt im Zeitpunkt der ersten fraglichen Verarbeitung, nicht ein dauerhafter Wohnsitz und nicht die Staatsangehörigkeit. Auch ein nur vorübergehender Aufenthalt genügt; erfasst sind daher etwa aus Drittstaaten einreisende Reisende oder vorübergehend in der Union tätige Arbeitnehmer. Umgekehrt fällt nicht in den Anwendungsbereich, wer sich beim Anbieten oder bei der Beobachtung außerhalb der Union aufhält, selbst wenn er Unionsbürger ist.
3.2 Anbieten von Waren oder Dienstleistungen
Erfasst ist, wer Personen in der Union Waren oder Dienstleistungen anbietet, gleich ob entgeltlich oder unentgeltlich (Art. 3 Abs. 2 lit. a DSGVO, Erwägungsgrund 23 DSGVO). Die Begriffe sind weit und autonom zu verstehen: Sie reichen vom kostenpflichtigen Versandhandel über werbefinanzierte Online-Dienste bis zur bloßen Aufforderung zur Angebotsabgabe; auf einen tatsächlichen Vertragsschluss kommt es nicht an.
Entscheidend ist, ob der Anbieter es offensichtlich beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten (Erwägungsgrund 23 DSGVO). Erforderlich ist also eine erkennbare Ausrichtung des Angebots auf den Binnenmarkt; die bloße Abrufbarkeit einer Website, eine im Drittland gebräuchliche Sprache oder eine bloße Kontaktadresse genügen nicht. Weil die Absicht offensichtlich sein muss, wirken sich Unklarheiten nicht zulasten des Anbieters aus.
Für eine Ausrichtung auf die Union sprechen insbesondere:
- die verwendete Währung (Euro oder eine andere Währung eines Mitgliedstaates) zusammen mit einer Bestellmöglichkeit in einer dort gebräuchlichen Sprache,
- bei körperlichen Waren das Liefergebiet (Versand auch in die Union) oder eine eigene Versandkostenregelung für Mitgliedstaaten,
- die verwendete Sprache, soweit sie außerhalb der Union nicht in nennenswertem Umfang gesprochen wird,
- die namentliche Nennung von Mitgliedstaaten oder die Erwähnung von Kunden aus der Union,
- eine mitgliedstaatspezifische Top-Level-Domain (etwa
.de,.fr,.es), eine internationale Vorwahl, Anfahrtsbeschreibungen aus Mitgliedstaaten oder Kundenbewertungen aus der Union, - Ausgaben für einen Suchmaschinen-Referenzierungsdienst, der den Zugang von Nutzern aus Mitgliedstaaten erleichtern soll.
Bei der Sprache ist zu differenzieren: Englisch, Spanisch oder Französisch sind für sich genommen kein zwingendes Indiz, weil sie auch außerhalb der Union verbreitet sind. Bei der deutschen Sprache ist zu bedenken, dass mit der Schweiz und Liechtenstein auch deutschsprachige Staaten außerhalb des Binnenmarkts adressiert sein können, sodass weitere Gesichtspunkte hinzutreten müssen. Eine Sprache, die ausschließlich in Mitgliedstaaten üblich ist (etwa Schwedisch), indiziert die Ausrichtung dagegen regelmäßig.
Praxistipp: Disclaimer. Es gibt keine Pflicht, das Nichtanbieten in der Union zu erklären; ein Anbieter muss seinen fehlenden Marktwillen nicht ausdrücklich kundtun. Ein eindeutiger Hinweis (etwa „kein Versand in die EU" / „no overseas shipping") kann die Nichtanwendbarkeit der DSGVO aber absichern, sofern auch sonst keine Anhaltspunkte für eine Ausrichtung auf die Union bestehen.
3.3 Beobachtung des Verhaltens
Den zweiten Tatbestand bildet die Beobachtung des Verhaltens von Personen, die sich in der Union befinden, soweit ihr Verhalten in der Union erfolgt (Art. 3 Abs. 2 lit. b DSGVO). Die Anknüpfung trägt der Netzökonomie Rechnung, in der Nutzer Leistungen häufig nicht mit Geld, sondern mit der Preisgabe ihrer Daten vergüten. Erfasst werden vor allem Vorgänge im Internet: das Nachvollziehen von Internetaktivitäten und die anschließende Auswertung zu einem Profil, also Maßnahmen des Trackings und des Profilings (Erwägungsgrund 24 DSGVO). Die Beobachtung muss auf eine gewisse Dauer angelegt sein; eine erkennbar einmalige, punktuelle Handlung genügt nicht.
Typische Anwendungsfälle sind verhaltensbezogene Werbung, Online-Tracking über Cookies oder Fingerprinting, Geolokalisierung zu Marketingzwecken sowie Profilbildung über Social Plugins (EDSA, Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO). Nicht jede Erhebung von Daten einer Person in der Union ist schon eine Beobachtung; nach Auffassung des Europäischen Datenschutzausschusses muss die Verarbeitung gerade auf Personen in der Union abzielen. Voraussetzung bleibt zudem stets, dass die verarbeiteten Daten überhaupt einen Personenbezug aufweisen.
3.4 Praxisbeispiel: Cloud-Dienste
Bei Cloud-Angeboten eines außerhalb der Union niedergelassenen Anbieters hängt die Anwendbarkeit davon ab, wem gegenüber die Leistung erbracht wird.
- Zweipersonenverhältnis. Der Anbieter erbringt seine Leistung unmittelbar gegenüber einer natürlichen Person in der Union (etwa ein Speicherdienst für Privatnutzer). Hier steht die Verarbeitung im Zusammenhang mit dem Angebot einer Dienstleistung; der Anbieter unterliegt als Verantwortlicher selbst der DSGVO (Art. 3 Abs. 2 lit. a DSGVO).
- Dreipersonenverhältnis. Der Anbieter verarbeitet im Auftrag eines Unternehmens in der Union dessen Kunden- oder Beschäftigtendaten. Hier erbringt er seine Leistung gegenüber dem Unternehmen, nicht gegenüber den betroffenen Personen; das Marktortprinzip greift für den Anbieter nicht. Die Datenübermittlung an den Anbieter fällt aber beim auftraggebenden Unternehmen unter die DSGVO (Art. 3 Abs. 1 DSGVO), das den Anbieter vertraglich zu binden und die Anforderungen an Drittlandübermittlungen zu wahren hat (Art. 28, 44 ff. DSGVO).
4. Flaggen- und Vertretungskonstellationen (Art. 3 Abs. 3 DSGVO)
Während Niederlassungs- und Marktortprinzip an einen Bezug zum Unionsgebiet anknüpfen, adressiert Art. 3 Abs. 3 DSGVO die umgekehrte Lage, nämlich Stellen außerhalb des Unionsgebiets. Die deutsche Fassung ist insoweit missverständlich: Es kommt nicht darauf an, dass die Verarbeitung an dem betreffenden Ort erfolgt, sondern darauf, dass der Verantwortliche dort eine Niederlassung an einem Ort unterhält, der aufgrund Völkerrechts dem Recht eines Mitgliedstaates unterliegt. Bei diplomatischen und konsularischen Vertretungen, die völkerrechtlich als extraterritorial gelten, findet europäisches Datenschutzrecht Anwendung, soweit diese Stellen aufgrund der völkerrechtlichen Sonderstellung des auswärtigen Verkehrs ohnehin europäischem Recht unterliegen. Entsprechendes gilt nach dem Flaggenprinzip für Schiffe und Flugzeuge unter der Flagge eines Mitgliedstaates, die sich außerhalb des Unionsgebiets befinden.
5. Geltungsraum und internationale Wirkung
5.1 EWR-Staaten
Als Binnenmarktvorschrift gilt die DSGVO auch in den EWR-Staaten Norwegen, Island und Liechtenstein. Sie zählen datenschutzrechtlich zum Geltungsraum der Verordnung.
5.2 Kollision von Datenschutzrechtsordnungen
Weil die DSGVO mit dem Marktortprinzip über die territorialen Grenzen der Union hinausgreift, kann sie mit dem Datenschutzrecht anderer Staaten zusammentreffen. Auf der materiellrechtlichen Ebene lässt die Verordnung für ungeschriebene Kollisionsregeln oder eine Rechtswahl keinen Raum, sodass eine Normkollision unaufgelöst bleiben kann. Praktisch entschärft wird dies dadurch, dass die Durchsetzung von Entscheidungen im Ausgangspunkt auf das jeweilige Staatsgebiet beschränkt ist. Als pragmatische Lösung dient die Pflicht außerhalb der Union ansässiger Verantwortlicher, einen Vertreter in der Union zu benennen (Art. 27 DSGVO), der als Anlaufstelle fungiert.
5.3 Internationale Wirkung (Brussels Effect)
Viele Rechtsordnungen und ausländische Anbieter folgen dem europäischen Datenschutzrecht. Das beruht nicht nur auf der Überzeugungskraft des Konzepts, sondern auch auf der wirtschaftlichen Bedeutung des Binnenmarkts: Wer Zugang zum europäischen Markt sucht, orientiert sich vielfach an den Standards der DSGVO.
Für die Praxis genügt meist die Kontrollfrage: Gibt es eine Niederlassung in der Union, in deren Tätigkeitsrahmen verarbeitet wird? Falls nicht, richtet sich das Angebot an Personen in der Union oder wird deren Verhalten beobachtet? Wird eine dieser Fragen bejaht, ist der räumliche Anwendungsbereich eröffnet.
Art. 3 DSGVO
Räumlicher Anwendungsbereich im Wortlaut der Verordnung.
EDSA-Leitlinien 3/2018
Maßstäbe zum Niederlassungs- und Marktortprinzip sowie zur Beobachtung (Targeting).
EuGH, Weltimmo (C-230/14)
Weiter Niederlassungsbegriff; geringfügige, aber tatsächliche Tätigkeit genügt.
Sachlicher Anwendungsbereich
Die erste Eröffnungsfrage: Art. 2 DSGVO.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Sachlicher Anwendungsbereich (Art. 2 DSGVO)
Wann die DSGVO sachlich gilt: automatisierte und dateibasierte Verarbeitung, Bereichsausnahmen wie nationale Sicherheit, Strafverfolgung und Haushaltsprivileg sowie bereichsspezifische Sonderregelungen.
Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
Überblick über Art. 6 DSGVO: Verbot mit Erlaubnisvorbehalt, abschließender Katalog der Erlaubnistatbestände, Erforderlichkeitsprinzip, Verhältnis zu den Öffnungsklauseln und zum Zweckbindungsgrundsatz.