Sachlicher Anwendungsbereich: Die DSGVO gilt, wenn…

Fachbeitrag

Gut ein Jahr vor dem Start der Datenschutz-Grundverordnung (DSGVO) sollten Sie wissen, unter welchen grundlegenden Voraussetzungen die DSGVO gilt. In zwei Teilen soll deshalb zunächst der sachliche und später auch der räumliche Anwendungsbereich der DSGVO dargestellt werden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Sachlicher Anwendungsbereich nach Art. 2 DSGVO

Ausgangspunkt für die Bestimmung des sachlichen Anwendungsbereichs ist Art. 2 Abs. 1 DSGVO:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Grundsatz: Weiter sachlicher Anwendungsbereich zwingt zur Vorsicht

Nach Art. 2 Abs. 1 DSGVO kommt es darauf an, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgen (soll). Hierzu ist es erforderlich, grundlegende Begriffe zu kennen. Dabei hilft Art. 4 DSGVO.

Wesentlich sind folgende Begriffe:

Personenbezogene Daten

Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.

Automatisierte und nicht automatisierte Verarbeitung

Die DSGVO bezieht schließlich jede automatisierte Verarbeitung und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein.

Bei einer automatisierten Verarbeitung werden beispielsweise Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst. Jede Benutzung von Computer, Internet, E-Mail kann also zur Anwendbarkeit der Datenschutz-Grundverordnung führen, wenn personenbezogene Daten betroffen sind.

Eine nichtautomatisierte Verarbeitung liegt insbesondere bei handschriftlichen Aufzeichnungen vor.

Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO

„(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“.

Dass insbesondere bei handschriftlichen Aufzeichnungen noch ein weiter Anwendungsbereich der DSGVO angestrebt wurde, verdeutlicht die Formulierung „gespeichert werden sollen“ in Art. 2 Abs. 1 DSGVO. Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten in ein Dateisystem aufgenommen werden. Wer etwa eine Aktenverwaltung plant, muss künftig vorsichtig sein.

Verarbeitung

Auch der Begriff der Verarbeitung wird definiert. Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO dabei

(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wenige Ausnahmen außerhalb des privaten und familiären Lebensbereichs

Nach Art. 2 Abs. 2 DSGVO findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn

  • die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
  • im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
  • die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.

Interessant ist, dass die Datenschutz-Grundverordnung nur wenige Ausnahmen zulässt. Unter den Ausnahmen ist regelmäßig nur diejenige interessant, die den privaten und familiären Lebensbereich ausnimmt. Hierunter fällt beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten (vgl. Erwägungsgrund 18).

Etwas komplizierter ist darüber hinaus auch das Verhältnis zur sog. ePrivacy-Richtlinie zum Schutz der Vertraulichkeit und der Privatsphäre im Bereich der elektronischen Kommunikation (RL 2002/58/EG, vgl. auch §§ 91 ff. TKG) ausgestaltet, das von Artikel 95 DSGVO normiert wird.

Sonderbereiche

In Art. 2 Abs. 3 DSGVO wird die Datenverarbeitung durch Organe und Einrichtungen der Union geregelt, für die weiterhin die VO (EG) Nr. 45/2001 gilt.

Das Verhältnis zur Richtlinie über den elektronischen Geschäftsverkehr (sog. E-Commerce-Richtlinie, Richtlinie 2000/31/EG) bestimmt Art. 2 Abs. 4 DSGVO für die Verantwortlichkeit von Vermittlern, beispielsweise bei der reinen Durchleitung, beim Caching oder beim Hosting (vgl. §§ 7 ff. TMG).

Teilweise ist jedoch eine Überprüfung der rechtlichen Vorgaben des Datenschutzes durch die Kommission vorgesehen, um einen einheitlichen und kohärenten Datenschutz sicherzustellen (vgl. Art. 98 DSGVO).

Aufhebung der Datenschutzrichtlinie

Schließlich ist noch zu erwähnen, dass die Datenschutzrichtlinie 95/46/EG zum 25.05.2018 aufgehoben wird. Verweise auf die Datenschutzrichtlinie sowie entsprechende Verweise durch die Art. 29-Datenschutzgruppe gelten dann als Verweise auf die Datenschutz-Grundverordnung (vgl. Art. 94 DSGVO).

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

  1. Sind auch freie Träger der Jugendhilfe (SGB VIII) in den Anwendungsbereiche der DSGVO einbezogen? Wenn ja: gelten sie auch als Unternehmer iSd DSGVO?

  2. Die Unterscheidung in automatisiert und nichtautomatisiert spielt u.a. bei der Löschpflicht gemäß §35 BDSG-neu eine Rollen. Wir wäre folgendes Praxisbeispiel einzustufen:
    Angebote an Privatkunden werden manuell in Word erstellt, ausgedruckt und als Brief versendet. Kopien werden nicht aufbewahrt, aber die Word-Dateien werden auf dem Abteilungslaufwerk abgespeichert, und befinden sich dort auch noch Jahre nach dem Brief-Versand. Der Dateiname besteht jeweils aus einer fortlaufenden Nummer (Angebotsnummer) und dem Kundennamen. Handelt es sich
    (a) bei der Aufbewahrung als Word-*Datei* auf einem Laufwerk um eine nicht-automatisierte Verarbeitung in einem *Datei*system? Immerhin ist das Laufwerk ja in Form eines Dateisystems (englisch: file system) strukturiert.
    (b) oder gilt eine Word-Datei per se als automatisiert, da sowohl der Erfassungs-Vorgang mit Hilfe einer Datenverarbeitungsanlage erfolgt (MS Word), als auch der Speichervorgang (Windows)?

    • Vielen Dank für Ihre interessanten Fragen.

      Ein Dateisystem ist zunächst „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.

      Diese Definition entspricht auch der bisherigen Definition der „Datei“, wie sie noch in Art. 2 lit. c DSRL verwendet wird.

      Dabei stellt die Verarbeitung mithilfe einer Word-Datei eine automatisierte Verarbeitung dar.

      Eine nicht automatisierte Verarbeitung personenbezogener Daten liegt beispielsweise vor, wenn Sie die Word-Datei ausdrucken würden, d.h. ohne Hilfe eines Computers; Notebooks etc. verarbeiten würden.

      Für den Begriff „Dateisystem“ wird es nach der DSGVO letztlich keine Rolle spielen, ob es sich um eine „automatisierte“ oder eine „nicht automatisierte“ Datei handelt, sodass es sich in Ihrem Beispiel letztlich um ein Dateisystem handeln wird.

      • Hallo Dr. Datenschutz, danke für die Antwort.
        Eine Unterscheidung zwischen „automatisiert“ und „nicht automatisierte Datei“ mag zwar in der DSGVO keinen Unterschied machen, allerdings gewährt das neue BDSG-neu §35 eine Ausnahme von den Löschpflichten. Diese Erleichterung gilt allerdings nur für die „nicht automatisierte Datei“.
        Ich entnehme dem abschließend Satz in Ihrer Mitteilung vom 09.08.2017, dass Sie die Aufbewahrung von Word-Dateien auf einem Abteilungslaufwerk als „nicht-automatisiert Verarbeitung in einem Dateisystem“ einstufen, so dass gemäß § 35 BDSG-neu eine Löschung unter bestimmten Umständen unterbleiben kann. Habe ich Sie insofern korrekt verstanden?

  3. Sind Praxen niedergelassener Psychotherapeuten davon auch betroffen? Meist sind dies 1-Personen Betriebe ohne weitere Mitarbeiter.
    Allerdings sind die Daten, mit denen diese umgehen, besonders sensible Gesundheitsdaten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.