Auch in Fragen des Datenschutzes muss zunächst überlegt werden, welches nationale Recht über die Zulässigkeit der Erhebung oder Verarbeitung personenbezogener Daten entscheidet.
Hat die Einrichtung, die Kundendaten erhebt, nutzt oder verarbeitet, in Deutschland ihren Hauptsitz oder zumindest eine Niederlassung, so gelten die datenschutzrechtlichen Vorschriften des deutschen Rechts.
Schwieriger wird es jedoch, wenn die Einrichtung eine Verbindung zu einem weiteren Staat hat. Befindet sich der Hauptsitz der Einrichtung außerhalb Deutschlands in einem anderen Staat der Europäischen Union oder des Europäischen Wirtschaftsraums, so richten sich die Anforderungen an den Datenschutz nach dem Recht des Mitgliedstaates, in dem die Einrichtung ansässig ist. Bestehen Niederlassungen der Einrichtung in mehreren Staaten der EU, so muss die Einrichtung jeweils das nationale Recht am Ort ihrer Niederlassung beachten.
Selbst
wenn die Einrichtung keine Niederlassung im Gebiet der Europäischen Union
hat, so muss sie trotzdem die datenschutzrechtlichen Vorschriften des Mitgliedstaates
beachten, in dem sie personenbezogene Daten erhebt, verarbeitet oder nutzt
(es sei denn, es handelt sich nur um einen Transit durch das Inland). Nach
der europäischen Datenschutzrichtlinie (95/46/EG) ist das Datenschutzrecht
eines Mitgliedstaates auch dann anwendbar, wenn das internationale öffentliche
Recht dies bestimmt.
Für diese Fälle muss die Einrichtung allerdings einen im EU-Gebiet
ansässigen Vertreter benennen.
Beispiele: