Anwendungsbereich der DSGVO

Was du Wissen Musst

 

Wenn wir über Datenschutz im eigentlichen Sinn sprechen, geht es meistens um die DSGVO. Die DSGVO regelt den Umgang mit personenbezogenen Daten. In diesem Artikel erkläre ich Dir, wann und wo genau diese Regeln gelten, also wann die DSGVO gilt. Wir unterscheiden dabei zwischen dem sachlichen und örtlichen Anwendungsbereich der DSGVO.

 

Sachlicher Anwendungsbereich

 

Der sachliche Anwendungsbereich der DSGVO gilt für die Verarbeitung personenbezogener Daten (Art. 2 DSGVO).

 

Konkret gilt die DSGVO, wenn du personenbezogene Daten ganz oder teilweise automatisiert verarbeitest. Die DSGVO gilt, auch wenn du personenbezogene Daten nichtautomatisiert verarbeitest, aber die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

 

Automatisierte und nicht automatisierte Verarbeitung

 

Verarbeitung im Sinne der DSGVO ist fast alles, was man mit Daten machen kann (Art. 4 DSGVO) und geht beim Erheben von personenbezogene Daten los und hört beim Löschen auf.

 

Eine automatisierte Verarbeitung ist nahezu alles, was elektronisch erfolgt. Der Gesetzgeber hat bewusst auf konkrete Beispiele verzichtet, um den Begriff technikneutral auszugestalten. Unter die automatisierte Verarbeitung fällt alles, was du auf einem Handy, Laptop, Tablet, Smart-Watch usw. machst. Die nichtautomatisierte Verarbeitung erfordert ein Dateisystem. Erforderlich ist dabei eine gewisse Struktur und Ordnung nach vorgegebenen Kriterien. Typische Beispiele händische Personalakten.

 

Personenbezogene Daten

 

Personenbezogene Daten (Art. 4 Nr. 1. DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Die DSGVO zählt dabei einige Beispiele von Informationen auf wie Namen, Standortdaten, Online-Kennung oder zu ein oder mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

 

Ausnahmen

 

Die DSGVO sieht auch ein paar Ausnahmen vor, wann diese nicht gilt. Das sind Verarbeitungen von personenbezogenen Daten:

 

  • im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
  • durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

 

Praktisch ist dabei bloß eine Verarbeitung relevant für dich, die sogenannte Haushaltausnahme. Danach gilt die DSGVO nicht für die Verarbeitung von personenbezogene Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Gemeint sind damit private Verarbeitungen. Typische Beispiele für die Haushaltsausnahme sind Fotos Deiner Kinder auf einer Schulfeier. Aber auch hier musst du vorsichtig sein. Bereits der Upload eines Fotos auf Facebook ist vermutlich keine rein private Angelegenheit mehr. Auch das Fotografieren fremder Menschen in der Öffentlichkeit kann bereits problematisch werden. Das hatte bereits dasAG Hamburg 2020 mit Beschluss vom 03.07.2020 (AZ. 163 Gs 656/20) entschieden.

 

Räumlicher Anwendungsbereich

 

Wenn der sachliche Anwendungsbereich geklärt ist, musst du überlegen, wo die Regeln der DSGVO räumlich gelten. Die DSGVO nennt dabei in Art. 3 DSGVO zwei Alternativen.

 

Unternehmen in der EU

 

Die DSGVO gilt zunächst für Dich, wenn Dein Unternehmen in der EU sitzt. Ausreichend ist, wenn es eine Niederlassung in der EU gibt. Dabei musst du die personenbezogenen Daten selbst nicht einmal in der EU verarbeiten.

 

Daten von betroffenen Personen in der EU

 

Ganz unabhängig vom Standort Deines Unternehmens gilt die DSGVO für Dich, wenn du personenbezogene Daten von betroffenen Personen verarbeitest, die sich in der Union befinden. Das gilt auch, wenn du keine Niederlassung und er EU hast. Allerdings muss die Verarbeitung im Rahmen eines der nachfolgenden Kriterien erfolgen:

 

  • du bietest betroffenen Personen in der Union Waren oder Dienstleistungen an. Dabei ist es egal, ob es sich um kostenpflichtige Leistungen handelt.
  • du beobachtest das Verhalten betroffener Personen, soweit ihr Verhalten in der Union erfolgt.

 

Sofern du keine Niederlassung in der EU hast und trotzdem Daten von betroffenen Personen aus der EU verarbeitest, benötigst du unter Umständen einen EU-Vertreter nach Art. 27 DSGO.

 

Fazit

 

Die DSGVO hat einen umfassenden Anwendungsbereich, sowohl in sachlicher, als auch in räumlicher Hinsicht. Immer wenn du personenbezogene Daten verarbeitest, solltest du dir Gedanken machen, ob die DSGVO einschlägig ist. Die Haushaltsausnahme greift nur in engen Grenzen und sollte genau geprüft werden. Sofern dein Unternehmen in der EU sitzt oder du Daten von betroffenen Personen aus der EU verarbeitest, ist die DSGVO einschlägig.

 

Vielleicht auch interessant?

Ziele einer Datenschutzschulung