Anwendungsbereich der Europäischen Datenschutzgrundverordnung
Die DSGVO dient primär dem Schutz des Einzelnen gegen die Gefahren für sein Persönlichkeitsrecht. Im Gegensatz zum bisher geltenden Recht wurde insbesondere der räumliche Anwendungsbereich des europäischen Datenschutzes wesentlich erweitert und trägt damit der voranschreitenden Globalisierung Rechnung.
1. Sachlicher Anwendungsbereich
Die DSGVO gilt grundsätzlich sowohl für automatisierte wie auch für nichtautomatisierte - also manuelle - Verarbeitungen von personenbezogenen Daten und umfasst in der Praxis somit einen sehr weiten Anwendungsbereich.
Als personenbezogen gelten solche Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Hierunter fallen folglich nicht Informationen über juristische Personen, wie beispielsweise Name, Rechtsform oder Kontaktdaten der juristischen Person.
Als bestimmbar gilt eine natürliche Person dann, wenn sie unmittelbar oder mittelbar von dem für die Datenverarbeitung Verantwortlichen identifiziert werden kann. Dies ist nach der DSGVO der Fall, wenn eine Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie z. B. einem Namen, einer Kennnummer, von Standortdaten, einer Online-Kennung, besonderen Merkmalen, die Ausdruck der Identität der natürlichen Person sind, identifiziert werden kann. Sind solche weiteren Informationen nötig, spricht man stets von sog. pseudonymisierten Daten.
Unter Verarbeitung definiert die DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen und die Vernichtung.
2. Räumlicher Anwendungsbereich
Die DSGVO gilt für jeden Unternehmer als Verantwortlichem oder Auftragsverarbeiter, der – unabhängig von dem Ort an dem die Verarbeitung erfolgt – von einer Niederlassung in der EU aus agiert. Hat die natürliche Person, deren Daten verarbeitet werden, ihren Arbeitsplatz oder Aufenthalt nicht innerhalb der EU oder ist Drittstaatsangehöriger, hat dies keinerlei Auswirkung auf die Anwendung der DSGVO. Sie gilt gleichermaßen.
Neu ist, dass die DSGVO auch für Datenverarbeitungen von Unternehmern gilt, die nicht in der EU sondern in einem Drittstaat ansässig sind. Dient ihre Datenverarbeitung dazu, in der EU ansässigen Personen Waren oder Dienstleistungen – unentgeltlich oder entgeltlich – anzubieten oder ihr Verhalten zu beobachten und auszuwerten, unterliegen auch sie den Vorschriften der DSGVO. Das Verhalten wird beispielsweise in folgenden Fällen beobachtet und ausgewertet: Registrierung der Internetnutzung, Auswertung von Postings zur Erstellung von Kundenprofilen und Auswertung von Mitarbeiterdaten von Konzerntöchtern durch die Konzernmutter.
Dieser Grundsatz wird als Marktortprinzip bezeichnet und soll für gleiche Wettbewerbsbedingungen zwischen den Unternehmen sorgen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten.
Für ausländische Datenverarbeitungen, die in die EU hineinreichen, gelten nun somit höhere Anforderungen als bisher. Neben den Grundprinzipien aus Artikel 5 DSGVO (Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) gilt es für internationale Unternehmen daher vor allem auch die Vorschriften zur Zulässigkeit einer Verarbeitung und die Vorschriften über die Anforderungen und Prozesse aus den Artikeln 12 ff. DSGVO zu kennen und zu beachten.
3. Gesetzestext DSGVO
Der vollständige Gesetzestext der DSGVO mit den Erwägungsgründen und Artikeln kann hier abgerufen werden.