Anwendungsbereich und Durchführung
Ob sachlicher oder räumlicher Anwendungsbereich –
für den Umgang mit Daten im Unternehmen sowie länderübergreifend gelten weitreichende Neuerungen.
Die europäische Datenschutz-Grundverordnung sieht einen weitgefassten sachlichen Anwendungsbereich vor. Art 2 Abs. 1 DSGVO bestimmt diesen wie folgt:
"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."
Theoretisch findet die Datenschutz-Grundverordnung also keine Anwendung, wenn keine personenbezogenen Daten vorhanden sind. Aber wer hält diese nicht vor? Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO nicht nur der Name oder die Mailadresse. Auch postalische Adressen, Telefonnummern, Fotos, Autokennzeichen, Angebote oder IP-Adressen zählen dazu. Kurz gefasst: Alles, was sich einer Person eindeutig zuordnen lässt, fällt in den sachlichen Anwendungsbereich.
Und das unabhängig davon, ob diese Daten automatisiert verarbeitet werden mittels Computer, Smartphone, Webcam, Kamera, Scanner, Kopierer usw. Oder auch nichtautomatisiert verarbeitet werden, indem handschriftliche personenbezogene Daten wie beispielsweise Telefonnotizen oder aber auch nur ganz klassisch Visitenkarten gesammelt werden, da diese irgendwann später in ein CRM eingepflegt werden sollen.
Oftmals ist man sich gar nicht im Detail bewusst, was alles an personenbezogenen Daten im eigenen Unternehmen und den einzelnen Abteilungen vorliegt. Wichtig ist auf jeden Fall, dies gemeinsam mit allen Mitarbeitern zu prüfen und zu verstehen. Damit einhergehend sollte man sich auch gemeinsam bewusst sein, wie weit die Definition des Begriffs "Verarbeitung" in Art. 4 Nr.2 DSGVO geht.
Die Verarbeitung beinhaltet jegliche Form der Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Verarbeitung, Anpassung, Veränderung, Einschränkung, Offenlegung durch Übermittlung, Bereitstellung oder Verwendung personenbezogener Daten. Auch das Auslesen, das Abfragen, die Verknüpfung oder der Abgleich bis hin zum Löschen und Vernichten personenbezogener Daten fallen unter den Verarbeitungs-Begriff im Sinne der europäischen Datenschutz-Grundverordnung.
In Art. 2 Abs. 2 DSGVO werden nur wenige Ausnahmen in Sonderbereichen zugelassen wie zuständige Behörden, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden.
Der private und familiäre Lebensbereich fällt ebenso wenig unter die neue DSGVO. Wenn Privatpersonen soziale Netzwerke nutzen, greift die DSGVO nicht. Anders sieht es für die Betreiber sozialer Netzwerke aus - ebenso wie für Betreiber von sogenannten Fan-Pages in diesen sozialen Netzwerken. Im Juni 2018 hat der europäische Gerichtshof in oberster Instanz eine gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten auf Fan-Pages bestimmt. Für beide gilt die DSGVO unabhängig davon, ob die Speicherung und Verarbeitung der personenbezogenen Daten in oder außerhalb Europas erfolgt. Jede Verarbeitung personenbezogener Daten von Nutzern aus der EU fällt unter den Anwendungsbereich der Grundverordnung.
Wenn Sie ausschließlich im B2B-Bereich tätig sind und ausschließlich mit Daten von juristischen Personen und eingetragenen Personengesellschaften wie GmbH, OG oder KG arbeiten, unterliegen Sie theoretisch ebenfalls nicht der DSGVO. Sobald allerdings auch Daten von Einzelunternehmern in irgendeiner Form verarbeitet werden, greift die DSGVO. Und sie gilt natürlich auch bei der Verarbeitung personenbezogener Daten ihrer Mitarbeiter.
Unternehmen müssen sich auch nicht mit der DSGVO und deren Umsetzung im eigenen Betrieb auseinandersetzen, wenn die eigene Tätigkeit ausschließlich außerhalb des räumlichen Anwendungsbereichs des Gesetzes erfolgt.
Fazit: Die neue DSGVO ist für jedes Unternehmen maßgeblich, dass in Europa ansässig oder tätig ist, auch wenn der Hauptzweck der eigenen Tätigkeit nicht das Verarbeiten personenbezogener Daten ist. Womit zugleich der räumliche Anwendungsbereich definiert ist. Die europäische Datenschutz-Grundverordnung gilt grundsätzlich für Tätigkeiten einer Niederlassung in der Union. Bitte unbedingt dabei beachten, dass es egal ist, ob es sich um die Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters handelt. Sie ist auch dann anwendbar, wenn die Verarbeitung personenbezogener Daten für die Niederlassung gar nicht in der EU stattfindet bzw. das Unternehmen keinerlei Niederlassung innerhalb der EU aufweist. Dann greift das Marktortprinzip. Alle Unternehmen, die Waren und Dienstleistungen EU-Bürgern anbieten oder z.B. mit Analysetools das Einkaufsverhalten von europäischen Bürgern beobachten, müssen den Anforderungen der DSGVO gerecht werden. Dies zu kontrollieren und ggf. zu sanktionieren wird sicher keine leichte Aufgabe für die nationalen Datenschutz-Aufsichtsbehörden