Prof. Dr. Boris Paal, M.Jur. (Oxford)
Prof. Dr. Boris Paal, M.Jur. (Oxford)
 Law and Regulation of the Digital Transformation, TU München
Anwendungsbereich der DSGVO
Bild: Andreas Breitling/ pixabay.com Personenbezogene Datenverarbeitungsprozesse auf den Prüfstand stellen!

Sämtliche personenbezogene Datenverarbeitungsprozesse müssen auf den Prüfstand der DSGVO gestellt werden.

Zum sachlichen Anwendungsbereich der DSGVO

Anwendbar ist die DSGVO, soweit eine Datenverarbeitung in ihren sachlichen und räumlichen Anwendungsbereich fällt. Auf sachlicher Ebene ist dabei Art. 2 Abs. 1 DSGVO maßgeblich: Hiernach gilt die DSGVO für die „automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Entscheidend ist also dreierlei: Es muss sich (a.) um personenbezogene Daten handeln, für die (b.) eine automatisierte Verarbeitung eingreift, und es dürfen (c.) keine Ausnahmetatbestände einschlägig sein. 

a. Was sind personenbezogene Daten?  

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Einzelnen bedeutet das: Erstens sind nur Daten über natürliche Personen, nicht hingegen über juristische Personen wie etwa Unternehmen geschützt. Zweitens muss die Information Rückschlüsse auf die Person zulassen; anonymisierte Daten fallen also nicht in den Anwendungsbereich der DSGVO. Dabei reicht es für die Ablehnung des Vorliegens von Anonymität allerdings bereits aus, wenn die Person hinter den Daten mittelbar identifiziert werden kann, etwa durch die Zuordnung einer Kennnummer zu einem Kunden. Der Personenbezug ist also im konkreten Einzelfall stets in Hinblick darauf zu ermitteln, welche Identifizierungsmöglichkeiten der Verantwortliche besitzt: So können neben Namen oder Telefonnummern unter anderem Standortdaten oder IP-Adressen personenbezogen sein. Auch äußere Merkmale (bspw. Geschlecht und Größe), Einkommens- und Vermögensverhältnisse sowie persönliche Überzeugungen können personenbezogene Daten darstellen. 

b. Was ist eine automatisierte Verarbeitung?  

Automatisierte Verarbeitungen lassen sich zusammenfassen als solche Vorgänge, die – etwa mittels Computersystemen – ohne menschliches Zutun erfolgen. So kann bspw. das Aufnehmen von Fotos mit einer Digitalkamera, das Scannen eines Dokuments oder das Speichern einer Datei auf einem Smartphone oder PC eine automatisierte Verarbeitung darstellen. Nicht automatisiert sind hingegen Vorgänge, die ohne technische Geräte manuell erfolgen, etwa das Anfertigen einer handschriftlichen Liste. Solche manuellen Vorgänge sind nur dann vom Anwendungsbereich der DSGVO umfasst, wenn sie in einem Dateisystem gespeichert sind oder werden sollen – zum Beispiel, wenn die handschriftliche Liste in einem strukturierten Archiv abgelegt werden soll. 

c. Gibt es Ausnahmen?  

Art. 2 Abs. 2 DSGVO normiert einen engen Bereich an Ausnahmen vom sachlichen Anwendungsbereich. Hiernach sind etwa rein persönliche oder familiäre Angelegenheiten (Art. 2 Abs. 2 lit. c) DSGVO), beispielsweise privater Schriftverkehr oder die private Nutzung sozialer Netze, oder Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (Art. 2 Abs. 2 lit. a) DSGVO) nicht von dem sachlichen Anwendungsbereich der DSGVO erfasst. 

Zum räumlichen Anwendungsbereich der DSGVO

Auch der räumliche Anwendungsbereich wird durch die DSGVO weit gefasst. Der räumliche Anwendungsbereich umfasst folgende Konstellationen: 

  • Die Verarbeitung der personenbezogenen Daten findet im Rahmen einer Tätigkeit einer Niederlassung in der EU statt (Art. 3 Abs. 1 DSGVO). Die Verarbeitung an sich muss dabei nicht in der EU stattfinden. Zudem ist unerheblich, ob es sich um den Hauptsitz oder (nur) eine untergeordnete Abteilung des Unternehmens handelt – entscheidend ist vielmehr (nur), dass sich die Niederlassung in einem EU-Mitgliedsstaat befindet. 
  • Der Verantwortliche hat keine Niederlassung in der EU, verarbeitet die Daten aber mit Bezug zu einer Ware oder Dienstleistung, die sich an EU-Bürger richtet (Art. 3 Abs. 2 lit. a) DSGVO). Hier muss geprüft werden, ob das Produkt an EU-Bürger gerichtet ist: Hinweise darauf liegen vor, wenn ein Unternehmen eine Website mit einer Top Level Domain eines EU-Mitgliedsstaates verwendet (zum Beispiel „.de“) oder eine Zahlung in Euro anbietet. 
  • Der Verantwortliche hat keine Niederlassung in der EU, verarbeitet die Daten aber, um das Verhalten sich in der Union aufhaltender Personen zu beobachten (Art. 3 Abs. 2 lit. b) DSGVO). Entscheidend ist dabei nicht die Staatsangehörigkeit, sondern nur, dass die betroffene Person sich momentan in der EU aufhält. Hiervon umfasst ist insbesondere das datenbasierte Nachvollziehen der Aktivitäten des Betroffenen im Internet im Rahmen des sogenannten "Tracking". 

Welche Regeln gelten für besondere Verarbeitungssituationen?

Hervorgehobenen Schutz erfahren in der DSGVO die sogenannten „besonderen Kategorien personenbezogener Daten“ im Sinne des Art. 9 Abs. 1 DSGVO. Hierbei handelt es sich um besonders sensible Datenkategorien, die besonders strengen Regelungen unterworfen werden. Dazu zählen etwa genetische und biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung einer Person sowie Daten, aus denen die politische oder religiöse Meinung einer Person hervorgeht. Eine Verarbeitung dieser Daten ist nur in Ausnahmefällen möglich. Diese Ausnahmefälle sind in Art. 9 Abs. 2 DSGVO abschließend aufgelistet. 

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenmanagement, IT-Compliance, Compliance
Neueste beiträge