DSGVO: Wer ist davon betroffen?
Wer von der DSGVO betroffen ist, entscheidet sich nach verschiedenen Kriterien.
Zunächst gibt es den sachlichen Anwendungsbereich nach Art. 2 DSGVO: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Um den sachlichen Anwendungsbereich korrekt anwenden zu können, muss klar sein, wie bestimmte Begriffe definiert sind. Dies sind: Personenbezogene Daten, Automatisierte und nicht automatisierte Verarbeitung, Dateisystem und Verarbeitung. Die DSGVO ist nicht anzuwenden, wenn keine personenbezogenen Daten betroffen sind. Die DSGVO ist aber bei jeder automatisierten Verarbeitung (also Einsatz von Computern, Kopierern usw.) und bei jeder nichtautomatisierten Verarbeitung (z. B. handschriftliche Aufzeichnung) anzuwenden, wenn die Daten in einem Dateisystem gespeichert werden. Dabei versteht man unter Dateisystemen „(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“. Unter einer Verarbeitung versteht man „(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Es gibt nur wenige Ausnahmen, in denen die DSGVO bei der Verarbeitung personenbezogener Daten nicht angewendet wird, wobei die an sich einzige relevante Ausnahme der private und familiäre Bereich (z. B. private Adressliste, private Nutzung sozialer Medien) ist.
Darüber hinaus gibt es den räumlichen Anwendungsbereich nach Art. 3 DSGVO, der sich bei der Verarbeitung personenbezogenen Daten ergibt, „soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“ Bietet ein nicht in der EU niedergelassenes Unternehmen in der EU befindlichen betroffenen Personen Waren oder Dienstleistungen an oder beobachtet deren Verhalten und verarbeitet in diesem Kontext deren Daten, gilt die DSGVO ebenfalls.
Übersetzung „DSGVO einfach“
Ob die DSGVO gilt, hängt an 2 Punkten: der Sache und dem Ort. Wenn ein Unternehmen Computer, benutzt, um damit (natürlichen) Personen Waren oder Dienstleistungen anzubieten, gilt die DSGVO. Sie gilt auch, wenn ein Unternehmen sich gegen Diebstahl absichern will und Videoaufnahmen macht. Die DSGVO gilt nicht, wenn Daten nur ohne jegliche Ordnung abgelegt werden, z. B. in einem Schuhkarton – viel Spaß mit dem Finanzamt. Zudem muss der Ort, wo das Unternehmen sitzt, in der EU sein. Wahlweise reicht es auch, wenn der Betroffene in der EU sitzt. Fazit: Die DSGVO gilt für alle Unternehmen, die mit EU-Bürgern Geschäfte machen wollen.