Sachlicher Anwendungsbereich: Die DSGVO gilt, wenn…

Fachbeitrag

Gut ein Jahr vor dem Start der Datenschutz-Grundverordnung (DSGVO) sollten Sie wissen, unter welchen grundlegenden Voraussetzungen die DSGVO gilt. In zwei Teilen soll deshalb zunächst der sachliche und später auch der räumliche Anwendungsbereich der DSGVO dargestellt werden. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Sachlicher Anwendungsbereich nach Art. 2 DSGVO

Ausgangspunkt für die Bestimmung des sachlichen Anwendungsbereichs ist Art. 2 Abs. 1 DSGVO:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Grundsatz: Weiter sachlicher Anwendungsbereich zwingt zur Vorsicht

Nach Art. 2 Abs. 1 DSGVO kommt es darauf an, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgen (soll). Hierzu ist es erforderlich, grundlegende Begriffe zu kennen. Dabei hilft Art. 4 DSGVO.

Wesentlich sind folgende Begriffe:

Personenbezogene Daten

Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.

Automatisierte und nicht automatisierte Verarbeitung

Die DSGVO bezieht schließlich jede automatisierte Verarbeitung und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein.

Bei einer automatisierten Verarbeitung werden beispielsweise Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst. Jede Benutzung von Computer, Internet, E-Mail kann also zur Anwendbarkeit der Datenschutz-Grundverordnung führen, wenn personenbezogene Daten betroffen sind.

Eine nichtautomatisierte Verarbeitung liegt insbesondere bei handschriftlichen Aufzeichnungen vor.

Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO

„(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“.

Dass insbesondere bei handschriftlichen Aufzeichnungen noch ein weiter Anwendungsbereich der DSGVO angestrebt wurde, verdeutlicht die Formulierung „gespeichert werden sollen“ in Art. 2 Abs. 1 DSGVO. Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten in ein Dateisystem aufgenommen werden. Wer etwa eine Aktenverwaltung plant, muss künftig vorsichtig sein.

Verarbeitung

Auch der Begriff der Verarbeitung wird definiert. Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO dabei

(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wenige Ausnahmen außerhalb des privaten und familiären Lebensbereichs

Nach Art. 2 Abs. 2 DSGVO findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn

  • die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
  • im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
  • die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.

Interessant ist, dass die Datenschutz-Grundverordnung nur wenige Ausnahmen zulässt. Unter den Ausnahmen ist regelmäßig nur diejenige interessant, die den privaten und familiären Lebensbereich ausnimmt. Hierunter fällt beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten (vgl. Erwägungsgrund 18).

Etwas komplizierter ist darüber hinaus auch das Verhältnis zur sog. ePrivacy-Richtlinie zum Schutz der Vertraulichkeit und der Privatsphäre im Bereich der elektronischen Kommunikation (RL 2002/58/EG, vgl. auch §§ 91 ff. TKG) ausgestaltet, das von Artikel 95 DSGVO normiert wird.

Sonderbereiche

In Art. 2 Abs. 3 DSGVO wird die Datenverarbeitung durch Organe und Einrichtungen der Union geregelt, für die weiterhin die VO (EG) Nr. 45/2001 gilt.

Das Verhältnis zur Richtlinie über den elektronischen Geschäftsverkehr (sog. E-Commerce-Richtlinie, Richtlinie 2000/31/EG) bestimmt Art. 2 Abs. 4 DSGVO für die Verantwortlichkeit von Vermittlern, beispielsweise bei der reinen Durchleitung, beim Caching oder beim Hosting (vgl. §§ 7 ff. TMG).

Teilweise ist jedoch eine Überprüfung der rechtlichen Vorgaben des Datenschutzes durch die Kommission vorgesehen, um einen einheitlichen und kohärenten Datenschutz sicherzustellen (vgl. Art. 98 DSGVO).

Aufhebung der Datenschutzrichtlinie

Schließlich ist noch zu erwähnen, dass die Datenschutzrichtlinie 95/46/EG zum 25.05.2018 aufgehoben wird. Verweise auf die Datenschutzrichtlinie sowie entsprechende Verweise durch die Art. 29-Datenschutzgruppe gelten dann als Verweise auf die Datenschutz-Grundverordnung (vgl. Art. 94 DSGVO).

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

22 Kommentare zu diesem Beitrag

  1. Sind auch freie Träger der Jugendhilfe (SGB VIII) in den Anwendungsbereiche der DSGVO einbezogen? Wenn ja: gelten sie auch als Unternehmer iSd DSGVO?

  2. Die Unterscheidung in automatisiert und nichtautomatisiert spielt u.a. bei der Löschpflicht gemäß §35 BDSG-neu eine Rollen. Wir wäre folgendes Praxisbeispiel einzustufen:
    Angebote an Privatkunden werden manuell in Word erstellt, ausgedruckt und als Brief versendet. Kopien werden nicht aufbewahrt, aber die Word-Dateien werden auf dem Abteilungslaufwerk abgespeichert, und befinden sich dort auch noch Jahre nach dem Brief-Versand. Der Dateiname besteht jeweils aus einer fortlaufenden Nummer (Angebotsnummer) und dem Kundennamen. Handelt es sich
    (a) bei der Aufbewahrung als Word-*Datei* auf einem Laufwerk um eine nicht-automatisierte Verarbeitung in einem *Datei*system? Immerhin ist das Laufwerk ja in Form eines Dateisystems (englisch: file system) strukturiert.
    (b) oder gilt eine Word-Datei per se als automatisiert, da sowohl der Erfassungs-Vorgang mit Hilfe einer Datenverarbeitungsanlage erfolgt (MS Word), als auch der Speichervorgang (Windows)?

    • Vielen Dank für Ihre interessanten Fragen.

      Ein Dateisystem ist zunächst „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.

      Diese Definition entspricht auch der bisherigen Definition der „Datei“, wie sie noch in Art. 2 lit. c DSRL verwendet wird.

      Dabei stellt die Verarbeitung mithilfe einer Word-Datei eine automatisierte Verarbeitung dar.

      Eine nicht automatisierte Verarbeitung personenbezogener Daten liegt beispielsweise vor, wenn Sie die Word-Datei ausdrucken würden, d.h. ohne Hilfe eines Computers; Notebooks etc. verarbeiten würden.

      Für den Begriff „Dateisystem“ wird es nach der DSGVO letztlich keine Rolle spielen, ob es sich um eine „automatisierte“ oder eine „nicht automatisierte“ Datei handelt, sodass es sich in Ihrem Beispiel letztlich um ein Dateisystem handeln wird.

      • Hallo Dr. Datenschutz, danke für die Antwort.
        Eine Unterscheidung zwischen „automatisiert“ und „nicht automatisierte Datei“ mag zwar in der DSGVO keinen Unterschied machen, allerdings gewährt das neue BDSG-neu §35 eine Ausnahme von den Löschpflichten. Diese Erleichterung gilt allerdings nur für die „nicht automatisierte Datei“.
        Ich entnehme dem abschließend Satz in Ihrer Mitteilung vom 09.08.2017, dass Sie die Aufbewahrung von Word-Dateien auf einem Abteilungslaufwerk als „nicht-automatisiert Verarbeitung in einem Dateisystem“ einstufen, so dass gemäß § 35 BDSG-neu eine Löschung unter bestimmten Umständen unterbleiben kann. Habe ich Sie insofern korrekt verstanden?

  3. Sind Praxen niedergelassener Psychotherapeuten davon auch betroffen? Meist sind dies 1-Personen Betriebe ohne weitere Mitarbeiter.
    Allerdings sind die Daten, mit denen diese umgehen, besonders sensible Gesundheitsdaten.

  4. Ich bin mir nicht sicher ob diese DSGVO auch für unsere Firma zutrifft. Wir sind ein kleines Transportunternehmen mein Mann fährt und ich bin im Büro tätig. Rechnungen schreibe ich an die Firmen nicht an einzelne Personen.

    • Die DSGVO dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Dies ergibt sich aus Art. 1 DSGVO. Unter personenbezogene Daten fällt bspw. auch der Name Ihres Ansprechpartners. Sobald Sie also personenbezogene Daten automatisiert verarbeiten, gilt die DSGVO. Sie gilt auch, wenn Sie die Daten nicht-automatisiert verarbeiten, sie aber in einem Dateisystem gespeichert werden. Ein Dateisystem liegt bereits vor, wenn Sie die Daten in einer strukturierten Art und Weise speichern.

  5. Ab welcher Größen Ordnung muss ein Datenschutzbeauftragter bestellt werden. Welche Kriterien sind hier für vorgegeben. Ich finde diese Stelle nicht in der Literatur.

  6. Wo finde ich Informationen, was ich nun genau TUN muss? Ich bin Freiberufler und habe nur Daten von Kunden (Name, Adresse, E-Mail, Webseite), die ich für die Aufträge brauche. Gespeichert ist das nur auf den Rechnungen, und im E-Mailprogramm, oder auch auf Schriftstücken des Kunden selbst auf meinem Computer und eigenem Server. Was ist mit IP Adressen der Besucher meiner Webseite? Ich finde mich in der Masse an PDF mit Amtsdeutsch beim besten Willen nicht durch. Es ist mir nicht klar, was ich konkret erstellen / tun muss. Vielleicht können Sie, stellvertretend für viele Freiberufler, weiterhelfen?

  7. Wann sind welche Datenschutzgesetze anzuwenden.
    Es gibt die DSGVO und das neue BDSG und dazu die LDSG.
    Gerade die Diskussion zum Thema RF-Beitrag und Datenschutz stellt hier ein Beispiel dar, dass es nicht einfach ist, was denn nun wie anzuwenden ist und was wann verbindlich gilt.
    Es gibt hier die Landesrundfunkanstalten z.B. SWR = BW und RLP
    Der SWR muss seinen eigenen Datenschutzbeauftragten stellen. Dann gibt es die LDSG. Die Daten welche die RF-Anstalten beim Beitragservice in Köln Bundeseinheitlich verwalten werden nach dem BMG erfasst und verarbeitet und somit Bundesrecht (BDSG da aber EDV-Verarbeitet DSGVO). Somit würde hier das BDSG zur Anwendung kommen müssen.
    Nun ist aber RF-Recht = Landesrecht. Der RBStV. ist zwar von den jeweiligen Länderparlamenten zugestimmt worden, aber die Anwendung erfolgt Bundesweit einheitlich.
    Nun stellt sich die Frage für den Bürger woran bin ich eigentlich mit meinen Daten. Die RF-Anstalten sind im Wettbewerb stehende Unternehmen und keine Behörden. Trotzdem die RF-Anstalten behaupten, Sie dürfen die Daten der Bürger zur hoheitlichen Aufgabe, des Einzuges der RF-Beiträge verwenden. Auf der Seite der DSGVO hat jeder Bürger das Recht zu bestimmen, wem und welchem Unternehmen er seine Daten in welchem Umfang zur Verarbeitung freigibt oder einschränkt. Nur bei meinen persönlichen Daten die auf Grund des BMG in den Gemeindeverwaltungen erfasst werden, habe ich keine Möglichkeit die Weitergabe und Einschränkung meiner Daten an die RF-Unternehmen vorzunehmen.

  8. Wir besitzen einen Lieferservice, der Lebensmittel zu Kunden bringt. Wir beschäftigen Fahrer und Packer. Müssen diese Personen dazugezählt werden, wenn es darum geht ob 10 Personen mit personenbezogenen Daten arbeiten?`Außerdem läuft das ganze über einen Online-Shop. D.h. wir arbeiten mit einem Auftragsdatenverarbeiter zusammen. Müssen wir dann einen Datenschutzbeauftragten stellen oder reicht ein Vertrag mit diesem? Vielen Dank für Ihre Antwort.

  9. Wir sind ein Betrieb mit 2 Mitarbeitern, 1 im Büro 1 in der Fertigung. Unsere Kunden werden in einem Programm namens lexware gespeichert und verarbeitet. Worauf müssen wir bei der neuen Datenschutzverordnung achten ?

  10. Sind von der DSGVO auch die Blogger betroffen, die lediglich ihre kreativen Projekte vorstellen und auf diese Weise mit Gleichgesinnten kommunizieren, weder Produkte etc. bewerben noch in irgendeiner Weise damit Geld verdienen?
    Was muss man als einfache Blogger beachten?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.