Geschrieben am 01.05.2017 von:
Bereits 2016 wurde die EU-Datenschutzgrundverordnung (DS-GVO) verabschiedet, welche in der Europäischen Union für ein einheitliches Datenschutzniveau sorgen soll. In etwas mehr als einem Jahr – im Mai 2018 – wird sie wirksam und für alle verbindlich.
Auf welche Sachverhalte ist die DS-GVO anwendbar?
Der sachliche Anwendungsbereich ergibt sich im Wesentlichen aus Art. 2 Abs. 1 DSGVO. Danach gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Der Begriff personenbezogene Daten ist dabei sehr weit gefasst. Nach Art. 4 Nr. 1 DS-GVO sind alle Informationen umfasst, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann und diese Merkmale Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Unter Verarbeitung wird nach Art. 4 Nr. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Verbreiten etc.) verstanden. Als nicht automatisiert sind dabei insbesondere auch handschriftliche Aufzeichnungen anzusehen.
Ein Dateisystem im Sinne von Art. 2 Abs. 1 DS-GVO ist schließlich nach Art. 4 Nr. 6 DS-GVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Wenige Ausnahmen
Anhand der einzelnen Begriffsdefinitionen ist leicht erkennbar, dass die DS-GVO einen denkbar weiten sachlichen Anwendungsbereich hat. Daher kann man im Grundsatz davon ausgehen, dass die DS-GVO wohl immer anwendbar ist, wenn personenbezogene Daten betroffen sind.
Allerdings sieht die DS-GVO einige Ausnahmen von dieser Regel vor. Nach Art. 2 Abs. 2 DS-GVO findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten
- im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt
- durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen
- durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
- durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit
In der Praxis dürfte hier besonders die Ausnahme für den privaten und familiären Lebensbereich von Bedeutung sein. Dieser umfasst unter anderem privaten Schriftverkehr oder private Adressverzeichnisse. Er umfasst aber auch die private Nutzung sozialer Netzwerke und private Online-Tätigkeiten (Erwägungsgrund 18).
Sonderbereiche
Strittig ist auch das Verhältnis zwischen der DS-GVO und der ePrivacy-Richtlinie. Es ist zu erwarten, dass diese Unklarheiten spätestens durch die geplante ePrivacy-Verordnung beseitigt werden. Auch in anderen Sonderbereichen ist die DS-GVO nicht anwendbar. So regelt die sogenannte e-Commerce-Richtlinie die Verantwortlichkeit bei der reinen Durchleitung, beim Caching oder beim Hosting von Daten. Diese Regelungen sind im deutschen Recht in § 7 ff TMG umgesetzt.
Für die Datenverarbeitung durch Organe und Einrichtungen der Union gilt weiterhin nur die VO (EG) Nr. 45/2001. Zur Erhaltung und Schaffung eines kohärenten Schutzes personenbezogener Daten kann die EU-Kommission nach Art. 98 DS-GVO auch Fälle überprüfen, die nicht vom sachlichen Anwendungsbereich der DS-GVO umfasst sind. Auf diese Weise sollen wohl auch Sachverhalte überprüft werden können, die Aufgrund der Umgehung von Unionsrecht eigentlich unantastbar sind.
Die alte Datenschutz-Richtlinie wird mit Wirksamwerden der DS-GVO aufgehoben. Nach Art. 94 DS-GVO sind dann sämtliche Verweise auf die Datenschutz-Richtlinie durch die Art. 29 Datenschutzgruppe als Verweise auf die DS-GVO anzusehen.
Vergleich zum BDSG
Wichtig für Unternehmen ist, dass sich in Deutschland durch die DS-GVO keine grundsätzlichen Änderungen in Bezug auf die geltenden datenschutzrechtlichen Grundsätze und Definitionen ergeben. Es kommen vielmehr neue Grundsätze und Definitionen hinzu, die aufgrund der technischen Fortentwicklung notwendig sind. Im Vergleich zum BDSG birgt die neue Verordnung jedoch höhere Haftungsrisiken und enthält einige Informationspflichten, die es in dieser Form bisher nicht gibt. Es ist also zwingend notwendig, sich mit den neuen Anforderungen auseinanderzusetzen und die Umsetzung der kommenden Pflichten bereits jetzt vorzubereiten.