DSGVO – sachlicher Anwendungsbereich
Die Frage eines jeden Unternehmens ist zunächst, ob dort der Datenschutz notwendig ist. Dazu lohnt sich ein Blick in Art. 2 DSGVO. Art. 2 DSGVO zeigt auf, wann Datenschutz in einem durchzuführen ist.
Wann muss ich also an Datenschutz denken?
Art. 2 Abs.1 DSGVO bietet zunächst den Ausgangspunkt für die Frage, ob Datenschutz in Ihrem Unternehmen notwendig ist:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 4 DSGVO hilft bei der Begriffsbestimmung und beim Verständnis der einzelnen Vorschriften.
Personenbezogene Daten
Die Datenschutz-Grundverordnung ist nicht anzuwenden, wenn keine personenbezogenen Daten betroffen sind. Der Begriff der personenbezogenen Daten ist unbestimmt und auch sehr weit gefasst (Art. 4 Nr. 1 DSGVO). Der Begriff „Personenbezogene Daten“ umfasst beispielsweise Informationen wie Name, Telefonnummer, Adresse, Kontodaten oder aber auch die IP-Adresse des Computers einer Person. Dabei ist es ausreichend, wenn die Informationen einer Person lediglich irgendwie in Zusammenhang gebracht und damit ein Personenbezug hergestellt werden kann.
Unterschied von automatisierter und nicht automatisierter Verarbeitung
Die EU-Datenschutzgrundverordnung bezieht schließlich jede automatisierte Verarbeitung und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein.
Durch den Einsatz beispielsweise von Computern, Laptops, Kameras, Webcams, Smartphones,Scannern oder Kopierern gelangt man im Bereich der automatisierten Verarbeitung. Jeder Gebrauch unter anderem von Computern, Internet, E-Mails kann also zur Anwendbarkeit der Datenschutz-Grundverordnung führen, wenn personenbezogene Daten betroffen sind.
Bei handschriftlichen Aufzeichnungen gelangt man in den Bereich der nichtautomatisierten Verarbeitung.
Unter einem Dateisystem nach Art. 4 Nr. 6 DSGVO versteht man
jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Zu einem Dateisystem gehören also Akten, Aktensysteme und auch Deckblätter. Insbesondere gehören nach Art. 2 Abs. 1 DSGVO handschriftliche Aufzeichnungen dazu, die später in aufgrund der personenbezogenen Daten in ein Dateisystem aufgenommen werden sollen.
Verarbeitung
Nach Art. 4 Nr. 2 DSGVO umfasst eine Verarbeitung
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Ausnahmebereiche für den Datenschutz
Die Datenschutzausnahmebereiche sind in Art. 2 Abs.2 DSGVO geregelt.
Die Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn
- die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt
- im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen
- natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
- die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.
Die Datenschutzgrundverordnung lässt nur wenige Ausnahmen zu. Regelmäßig ist jedenfalls der private Bereich abgedeckt. Darunter fällt jeglicher privater Schriftverkehr, die private Nutzung sozialer Dienste oder auch private Online-Tätigkeiten.