Anwendungsbereich der DSGVO

Sämtliche personenbezogene Datenverarbeitungsprozesse müssen auf den Prüfstand des neuen Datenschutzrechts gestellt werden.

Zum sachlichen Anwendungsbereich der DSGVO

Anwendbar ist die DSGVO, soweit eine Datenverarbeitung in ihren sachlichen und räumlichen Anwendungsbereich fällt. Auf sachlicher Ebene ist dabei Art. 2 Abs. 1 DSGVO maßgeblich: Hiernach gilt die DSGVO für die „automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Entscheidend ist also dreierlei: Es muss sich um personenbezogene Daten handeln, für die eine automatisierte Verarbeitung eingreift, und es dürfen keine Ausnahmetatbestände einschlägig sein.

a. Was sind personenbezogene Daten?

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Einzelnen bedeutet das: Erstens sind nur Daten über natürliche Personen, nicht hingegen über juristische Personen wie etwa Unternehmen geschützt. Zweitens muss die Information Rückschlüsse auf die Person zulassen; anonymisierte Daten fallen also nicht in den Anwendungsbereich. Dabei reicht es für die Ablehnung des Vorliegens von Anonymität allerdings bereits aus, wenn die Person hinter den Daten mittelbar identifiziert werden kann, etwa durch die Zuordnung einer Kennnummer zu einem Kunden. Der Personenbezug ist also im konkreten Einzelfall stets in Hinblick darauf zu ermitteln, welche Identifizierungsmöglichkeiten der Verantwortliche besitzt: So können neben Namen oder Telefonnummern auch Standortdaten oder IP-Adressen personenbezogen sein.

b. Was ist eine automatisierte Verarbeitung?

Automatisierte Verarbeitungen lassen sich grob zusammenfassen als solche Vorgänge, die – etwa mittels Computersystemen – ohne menschliches Zutun erfolgen. So kann etwa das Aufnehmen von Fotos mit einer Digitalkamera, das Scannen eines Dokuments oder das Speichern einer Datei auf einem Smartphone oder PC eine automatisierte Verarbeitung darstellen. Nicht automatisiert sind hingegen Vorgänge, die ohne solche technischen Geräte manuell erfolgen, also etwa das Anfertigen einer handschriftlichen Liste. Solche manuellen Vorgänge sind nur dann vom Anwendungsbereich der DSGVO umfasst, wenn sie in einem Dateisystem gespeichert sind oder werden sollen – also etwa, wenn die handschriftliche Liste in einem strukturierten Archiv abgelegt werden soll.

c. Gibt es Ausnahmen?

Art. 2 Abs. 2 DSGVO normiert einen engen Bereich an Ausnahmen vom sachlichen Anwendungsbereich. Hiernach unterfallen etwa rein persönliche oder familiäre Angelegenheiten (Art. 2 Abs. 2 lit. c) DSGVO), beispielsweise privater Schriftverkehr oder die private Nutzung sozialer Netze, oder Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (Art. 2 Abs. 2 lit. a) DSGVO) nicht dem sachlichen Anwendungsbereich der DSGVO.

Zum räumlichen Anwendungsbereich der DSGVO

Auch der räumliche Anwendungsbereich wird durch die DSGVO weit gefasst. Er umfasst folgende Konstellationen:

  • Die Verarbeitung der personenbezogenen Daten findet im Rahmen einer Tätigkeit einer Niederlassung in der EU statt (Art. 3 Abs. 1 DSGVO). Die Verarbeitung an sich muss dabei nicht in der EU stattfinden. Zudem ist unerheblich, ob es sich um den Hauptsitz oder nur eine untergeordnete Abteilung des Unternehmens handelt – entscheidend ist vielmehr (nur), dass sich die Niederlassung in einem EU-Mitgliedsstaat befindet.
  • Der Verantwortliche hat keine Niederlassung in der EU, verarbeitet die Daten aber mit Bezug zu einer Ware oder Dienstleistung, die sich an EU-Bürger richtet (Art. 3 Abs. 2 lit. a) DSGVO). Hier muss streng geprüft werden, ob das Produkt auch wirklich an EU-Bürger gerichtet ist: Hinweise darauf liegen vor, wenn ein Unternehmen eine Website mit einer Top Level Domain eines EU-Mitgliedsstaates verwendet (zum Beispiel .de) oder eine Zahlung in Euro anbietet.
  • Der Verantwortliche hat keine Niederlassung in der EU, verarbeitet die Daten aber, um das Verhalten sich in der Union aufhaltender Personen zu beobachten (Art. 3 Abs. 2 lit. b) DSGVO). Entscheidend ist dabei nicht die Staatsangehörigkeit, sondern nur, dass die betroffene Person sich momentan in der EU aufhält. Hiervon umfasst ist insbesondere das datenbasierte Nachvollziehen der Aktivitäten des Betroffenen im Internet im Rahmen des sogenannten "Tracking".

Welche Regeln gelten für besondere Verarbeitungssituationen?

Hervorgehobenen Schutz erfahren in der DSGVO die sogenannten „besonderen Kategorien personenbezogener Daten“ im Sinne des Art. 9 Abs. 1 DSGVO. Hierbei handelt es sich um besonders sensible Datenkategorien, die besonders strengen Regelungen unterworfen werden. Dazu zählen etwa genetische und biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung einer Person sowie Daten, aus denen die politische oder religiöse Meinung einer Person hervorgeht. Eine Verarbeitung dieser Daten ist nur in Ausnahmefällen möglich. Diese Ausnahmefälle sind in Art. 9 Abs. 2 DSGVO abschließend aufgelistet.