Anwendbarkeit

Aus Datenschutz
Zur Navigation springen Zur Suche springen

Die Frage, ob die EU-DSGVO auf den aktuellen Fall angewandt werden kann, ist in Artikel 2 Absatz 1 beantwortet:

EU-DSGVO: Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 EU-DSGVO)
Privatleben: hier gilt die EU-DSGVO i. d. R. nicht

Das Bundesdatenschutzgesetz gilt für Privatleute und alle Firmen. Ausnahmen sind die persönliche und familiäre Datenverarbeitung, die als "Haushaltsprivileg" bekannt ist. Die EU-DSGVO schützt alle Bürger der EU bei nicht-privater Datenverarbeitung. Private Datenverarbeitung wie Adressbücher, Fotoalben oder Einladungen sind keine Datenverarbeitung für die EU-DSGVO.

ACHTUNG: in Handys gespeicherte Daten gehen in der Regel an den Anbieter von Handys (Apple) oder Software (Google) oder Netzen (Vodafone, Telekom etc.). Sie ist dann nicht mehr privat und streng genommen müssen Sie Ihre Kontakte fragen, ob sie sie speichern oder gar übertragen dürfen.

Wichtig für die Beurteilung, ob eine Datenverarbeitung unter die EU-DSGVO fällt, ist

  1. ob die Daten automatisiert verarbeitet werden oder
  2. ob die Daten "in einem Dateisystem" gespeichert sind oder
  3. ob die Daten "in einem Dateisystem" gespeichert werden sollen

Damit ist also - wir werden es öfter bemerken - so ziemlich alles abgedeckt, was an Daten in "Dateisystemen" oder "automatisch" verarbeitet wird. Die Frage ist bei Gesetzen immer, was genau damit gemeint ist. Zum Glück definiert die EU-DSGVO auch ziemlich genau, was sie meint. Und zwar im Artikel 4 "Begriffsbestimmungen".

Unter Artikel 4, Nummer 6 finden wir also die "Begriffsbestimmung" (Definition, Erklärung) von "Dateisystem":

DEFINITION: "Dateisystem" jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; (Art. 4 Nr. 6 EU-DSGVO)

Die EU-DSGVO gilt in ganz Europa. Und zwar in jedem Land der Europäischen Union. Außerdem haben sich noch drei Staaten, die nicht der EU angehören, freiwillig dazu verpflichtet, diese EU-DSGVO anzuwenden. Ungeachtet der Tatsache, dass sie alle in Europa liegen, nennt man diese Staaten "NIL-Staaten", weil es sich um

  • Norwegen
  • Island
  • Liechtenstein

handelt, deren Namen sich zu dem schönen Kürzel NIL zusammensetzen und leichter merken lassen.

Hier gilt überall die EU-DSGVO: EU, Norwegen, Island, Liechtenstein (außer der Schweiz und der Türkei)

Das Bundesdatenschutzgesetz gilt darüber hinaus in Deutschland für alle Privatpersonen und Unternehmen. Es gibt eine alte Fassung (abgekürzt: BDSG aF), die bis zum 25.05.2018 galt und es gibt eine neue Fassung (BDSG nF), die ab dem 25.05.2018 gilt. Der Gesetzgeber hat also gerade noch die Kurve gekriegt. Was ist wann anzuwenden? Nun, das ist einfach. Behandeln Sie einen Verstoß, der nachweislich vor dem 25.05.2018 passierte, nutzen Sie die alte Fassung, ansonsten die neue. In einem Rechtstaat dürfen Sie nämlich nur nach Gesetzen beurteilt werden, die während der Tat schon galten. DAvon können sich manche Staaten eine Scheibe abschneiden.

Die Landesdatenschutzgesetze gelten für die Behörden des jeweiligen Landes und für die Kommunen in diesem Land.

Und die EU-DSGVO? Schauen wir einfach nach:

1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 EU-DSGVO).

Wir erfahren, dass die EU-DSGVO auf alle Datenverarbeitungen immer anwendbar ist, wenn der Verantwortliche wenigstens eine Niederlassung (oder den Hauptsitz) innerhalb der EU hat. Facebook, Twitter und Google sind hier also betroffen, auch wenn die Rechenzentren in den USA stehen.

Sollte alles außerhalb der EU stehen, gilt die EU-DSGVO aber vielleicht trotzdem:

2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten,
unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(Art. 3. Abs. 2 EU-DSGVO)

Sollen also die Daten von Personen innerhalb der EU (nicht unbedingt nur EU-Bürger, auch Touristen, Asylbewerber etc.) verarbeitet werden, ist die EU-DSGVO ebenso anwendbar ("Marktortprinzip").

3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Nehmen sich Firmen außerhalb der EU einen Sitz, findet die Datenverarbeitung nicht in der EU statt und werden obendrein noch Daten von Personen verarbeitet, die sich nicht in der EU befinden, ist die EU-DSGVO dennoch anwendbar. Dieses "Kaugummi-Prinzip" soll den größtmöglichen Datenschutz liefern.

Fassen wir zusammen. Die EU-DSGVO ist zuständig, wenn

  • die Verarbeitung für eine Tätigkeit in der EU stattfindet,
  • von einem Verarbeiter ausgeführt wird, der sich in der EU niedergelassen hat
  • oder für einen Verarbeiter, der dem Recht eines Mitgliedsstaates unterworfen ist.

Weitere Informationen

  • England wird sich vermutlich nicht an die EU-DSGVO halten (05.02.2020).
  • Das "Haushaltsprivileg" (EU-DSGVO gilt nicht bei privater Datenverarbeitung) ist nach Auffassung der Datenschutzbeauftragten von Nordrhein-Westfalen eng auszulegen (Datenschutzpraxis, 16.06.2020).