1. Sachlicher Anwendungsbereich der DSGVO
Tz. 7
Stand: EL 137 – ET: 06/2024
Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).
Beachte!
Auch Vereine, die "nur" über einen Mitglieder-Karteikasten – geordnet nach einem System, z. B. Namen – arbeiten, sind betroffen. Ein Computer muss nicht vorhanden sein (sog. nicht automatisierte Datenverarbeitung), es reicht, dass die Daten aufgrund einer vorgegebenen Struktur nach bestimmten Kriterien auswertbar sind (vgl. Erwägungsgrund Nr. 15 S. 2).
Keine Anwendung findet die DSGVO auf:
den persönlichen oder familiären Bereich,
juristische Personen als Betroffene (vgl. Erwägungsgrund Nr. 14 S. 2),
die Tätigkeit der nationalen und gemeinsamen Sicherheit,
die Strafverfolgung,
die Daten Verstorbener.
2. Räumlicher Anwendungsbereich (Art. 3 DSGVO)
Tz. 8
Stand: EL 137 – ET: 06/2024
Die Bestimmungen der DSGVO und des BDSG gelten für jeden Verantwortlichen und Auftragsverarbeiter, der eine Niederlassung in der Union hat und im Rahmen der Tätigkeit einer Niederlassung Daten verarbeitet, unabhängig davon, ob die Verarbeitung in der Union stattfindet (s. Art. 3 Abs. 1 DSGVO/§ 1 Abs. 4 Nr. 1, 2 BDSG-neu). Der EuGH versteht den Niederlassungsbegriff nicht formalistisch. Es kann ausreichen, wenn ein Vertreter einer Gesellschaft und ein Bankkonto in einem Mitgliedstaat vorhanden sind (vgl. EuGH vom 01.10.2015, Rs. C-230/14 Weltimmo, Rn. 33).
Darüber hinaus gelten die Bestimmungen auch für Verantwortliche und Auftragsverarbeiter, ohne dass diese eine Niederlassung in der Union betreiben, wenn
die Datenverarbeitung von Betroffenen, die sich in der Union befinden, im Zusammenhang steht mit dem Anbieten von Waren und Dienstleistungen (s. Art. 3 Abs. 2 Buchst. a DSGVO/§ 1 Abs. 4 Nr. 2 BDSG-neu) oder
die Datenverarbeitung im Zusammenhang steht mit der Beobachtung des Verhaltens von Personen, soweit ihr Verhalten in der Union erfolgt (s. Art. 3 Abs. 2 Buchst. b DSGVO/§ 1 Abs. 3 Nr. 3 BDSG-neu).
Deshalb müssen Unternehmen, die keine Niederlassung in der Union haben, und auf dem europäischen Markt tätig sind, die DSGVO voll anwenden (sog. Marktortprinzip). Grundsätzlich sind diese Unternehmen verpflichtet, einen Vertreter in der EU zu benennen. Der europäische Gesetzgeber stellt hierdurch die Aufsichtsbehörden vor große Herausforderungen, die Geltung des Marktortprinzips auch in Drittstaaten durchzusetzen (vgl. DSK – Kurzpapier Nr. 7 Marktortprinzip: Regelungen für außereuropäische Unternehmen).
3. Datensicherheit
Tz. 9
Stand: EL 137 – ET: 06/2024
Die DSGVO dient der Datensicherheit. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen (s. Art. 32 DSGVO). Konkrete Maßnahmen gibt die DSGVO nicht vor. Sinnvoll sind u. a. technische Zugangskontrollen zu Räumlichkeiten, Schulung der Mitarbeiter, Absicherung der Daten vor Verlust, Verschlüsselung der Daten, z. B. durch Passwortmanagement oder Pseudonymisierung etc. Das Gesetz verlangt aber nur Maßnahmen durch den Verantwortlichen und den Auftragsverarbeiter, die verhältnismäßig sind. Es ist also kein unbegrenzter Aufwand erforderlich. Dies betrifft vor allem den Kostenaufwand des Datenschutzes. Im eigenen Interesse sollte der Verein besondere Vorsorge treffen gegen unbefugten Zugriff und besonderes Augenmerk legen auf die Verfügbarkeit der Daten bzw. deren Wiederherstellbarkeit.
Beachte!
Die Verhältnismäßigkeit berücksichtigt nicht – obwohl diese häufig besondere Beeinträchtigungen mit sich bringen – die faktischen Schwierigkeiten und den zeitlichen Aufwand. Der Aufwand wird nicht erst dann als unverhältnismäßig angesehen, wenn eine Existenzgefährdung droht (vgl. Gola/Pilz, DSGVO, 2. Aufl. 2022, Art. 32 Rn. 20).