Sachlicher Anwendungsbereich: Die DSGVO gilt, wenn…

Fachbeitrag

Gut ein Jahr vor dem Start der Datenschutz-Grundverordnung (DSGVO) sollten Sie wissen, unter welchen grundlegenden Voraussetzungen die DSGVO gilt. In zwei Teilen soll deshalb zunächst der sachliche und später auch der räumliche Anwendungsbereich der DSGVO dargestellt werden.

Sachlicher Anwendungsbereich nach Art. 2 DSGVO

Ausgangspunkt für die Bestimmung des sachlichen Anwendungsbereichs ist Art. 2 Abs. 1 DSGVO:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Grundsatz: Weiter sachlicher Anwendungsbereich zwingt zur Vorsicht

Nach Art. 2 Abs. 1 DSGVO kommt es darauf an, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgen (soll). Hierzu ist es erforderlich, grundlegende Begriffe zu kennen. Dabei hilft Art. 4 DSGVO.

Wesentlich sind folgende Begriffe:

Personenbezogene Daten

Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.

Automatisierte und nicht automatisierte Verarbeitung

Die DSGVO bezieht schließlich jede automatisierte Verarbeitung und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein.

Bei einer automatisierten Verarbeitung werden beispielsweise Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst. Jede Benutzung von Computer, Internet, E-Mail kann also zur Anwendbarkeit der Datenschutz-Grundverordnung führen, wenn personenbezogene Daten betroffen sind.

Eine nichtautomatisierte Verarbeitung liegt insbesondere bei handschriftlichen Aufzeichnungen vor.

Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO

„(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“.

Dass insbesondere bei handschriftlichen Aufzeichnungen noch ein weiter Anwendungsbereich der DSGVO angestrebt wurde, verdeutlicht die Formulierung „gespeichert werden sollen“ in Art. 2 Abs. 1 DSGVO. Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten in ein Dateisystem aufgenommen werden. Wer etwa eine Aktenverwaltung plant, muss künftig vorsichtig sein.

Verarbeitung

Auch der Begriff der Verarbeitung wird definiert. Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO dabei

(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wenige Ausnahmen außerhalb des privaten und familiären Lebensbereichs

Nach Art. 2 Abs. 2 DSGVO findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn

  • die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
  • im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  • natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
  • die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.

Interessant ist, dass die Datenschutz-Grundverordnung nur wenige Ausnahmen zulässt. Unter den Ausnahmen ist regelmäßig nur diejenige interessant, die den privaten und familiären Lebensbereich ausnimmt. Hierunter fällt beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten (vgl. Erwägungsgrund 18).

Etwas komplizierter ist darüber hinaus auch das Verhältnis zur sog. ePrivacy-Richtlinie zum Schutz der Vertraulichkeit und der Privatsphäre im Bereich der elektronischen Kommunikation (RL 2002/58/EG, vgl. auch §§ 91 ff. TKG) ausgestaltet, das von Artikel 95 DSGVO normiert wird.

Sonderbereiche

In Art. 2 Abs. 3 DSGVO wird die Datenverarbeitung durch Organe und Einrichtungen der Union geregelt, für die weiterhin die VO (EG) Nr. 45/2001 gilt.

Das Verhältnis zur Richtlinie über den elektronischen Geschäftsverkehr (sog. E-Commerce-Richtlinie, Richtlinie 2000/31/EG) bestimmt Art. 2 Abs. 4 DSGVO für die Verantwortlichkeit von Vermittlern, beispielsweise bei der reinen Durchleitung, beim Caching oder beim Hosting (vgl. §§ 7 ff. TMG).

Teilweise ist jedoch eine Überprüfung der rechtlichen Vorgaben des Datenschutzes durch die Kommission vorgesehen, um einen einheitlichen und kohärenten Datenschutz sicherzustellen (vgl. Art. 98 DSGVO).

Aufhebung der Datenschutzrichtlinie

Schließlich ist noch zu erwähnen, dass die Datenschutzrichtlinie 95/46/EG zum 25.05.2018 aufgehoben wird. Verweise auf die Datenschutzrichtlinie sowie entsprechende Verweise durch die Art. 29-Datenschutzgruppe gelten dann als Verweise auf die Datenschutz-Grundverordnung (vgl. Art. 94 DSGVO).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.