Geltungsbereich DSGVO
Die Datenschutz-Grundverordnung (DSGVO) regelt, wann und wo sie anwendbar ist. Der Geltungsbereich ergibt sich vor allem aus Art. 2 DSGVO (sachlicher Geltungsbereich) und Art. 3 DSGVO (räumlicher Geltungsbereich).}
Sachlicher Geltungsbereich
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Verarbeitung von Kundendaten in einer Datenbank
- Speicherung von Mitarbeiterdaten in einer Personalsoftware
- Strukturierte Papierakten mit personenbezogenen Daten
Die DSGVO gilt nicht für:
- Tätigkeiten natürlicher Personen zur ausschließlich persönlichen oder familiären Ausübung
- bestimmte Verarbeitungen im Bereich Strafverfolgung
- Verarbeitungen im Bereich der nationalen Sicherheit
Räumlicher Geltungsbereich
Die DSGVO gilt nicht nur innerhalb der EU. Sie kann auch für Unternehmen oder Stellen außerhalb der EU gelten, wenn ein hinreichender Bezug zur Union besteht. Maßgeblich sind insbesondere Niederlassung, Angebot von Waren oder Dienstleistungen in der EU oder Beobachtung des Verhaltens von Personen in der EU.
Die DSGVO gilt, wenn die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt – auch dann, wenn die eigentliche Datenverarbeitung außerhalb der EU stattfindet.
Die DSGVO gilt auch für Verantwortliche oder Auftragsverarbeiter ohne Sitz in der EU, wenn sie betroffenen Personen in der EU Waren oder Dienstleistungen anbieten. Allein die Abrufbarkeit einer Website reicht dafür nicht automatisch aus; entscheidend ist die erkennbare Ausrichtung auf Personen in der EU.
Die DSGVO gilt ebenfalls, wenn das Verhalten von Personen in der EU beobachtet wird, etwa durch Tracking, Profiling oder Auswertung des Nutzerverhaltens im Internet.
Merksatz
Die DSGVO gilt, wenn personenbezogene Daten verarbeitet werden und der Vorgang entweder unter Art. 2 DSGVO fällt oder ein EU-Bezug nach Art. 3 DSGVO besteht.
Kurzübersicht
| Bereich | Inhalt |
|---|---|
| Sachlicher Geltungsbereich | Verarbeitung personenbezogener Daten automatisiert oder in Dateisystemen |
| Räumlicher Geltungsbereich | Niederlassung in der EU, Angebot an Personen in der EU oder Verhaltensbeobachtung in der EU |
| Ausnahmen | Persönlich/familiär, nationale Sicherheit, bestimmte Strafverfolgungskontexte |
Für die Prüfung in Schule oder Umschulung reicht diese Darstellung meist aus. Juristisch vollständig wird die Einordnung erst mit dem genauen Sachverhalt und dem Wortlaut der Art. 2 und 3 DSGVO sowie der Auslegung durch den Europäischen Datenschutzausschuss (EDPB).
