Anwendungsbereich der DSGVO: Das sollten Sie wissen

Die DSGVO regelt – wie das BDSG auch – ihren sachlichen, persönlichen und räumlichen Anwendungsbereich. Sie bekommen nachfolgend einen schnellen Überblick, für welche Sachverhalte die DSGVO gilt. Der nachfolgende Überblick ist auf den Bereich der Privatwirtschaft bezogen.

Sachlicher Anwendungsbereich

Art. 2 Abs. 1 DSGVO stellt wie das BDSG wesentlich auf folgendes Merkmal ab: personenbezogene Daten.

Merken Sie sich:

Die Frage nach den personenbezogenen Daten ist weiterhin wesentlich für den Anwendungsbereich des Datenschutzrechts.

Der Terminus „personenbezogene Daten“ ist in Art. 4 Abs. 1 DSGVO wie folgt definiert:

„… alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene Person“) beziehen; als bestimmbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen bestimmt werden kann, die Aus- druck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“

Hieraus ergibt sich zunächst, dass der Schutz auf natürliche Personen – also Menschen – beschränkt ist. Unterstrichen wird dies durch die entsprechende Klarstellung in ErwGr 14. Juristische Personen – also z. B. GmbH und AG – sind nicht durch die DSGVO geschützt. Letztlich bleibt es hier insoweit weitgehend beim Alten.

Die Wendung „bestimmte oder bestimmbare“ entspricht dem Wortlaut der Definition in § 3 Abs. 1 BDSG. Die bisher geführte Diskussion, wann von einer Bestimmbarkeit im Sinne dieser Regelung auszugehen ist, scheint sich daher fortzusetzen. Denn auch der zweite Satz der o.g. Definition („als bestimmbar …“ klärt nicht, ob für die Bestimmbarkeit nur die Möglichkeiten des für die Verarbeitung Verantwortlichen herangezogen werden (sogenannter subjektiver Ansatz) oder ihm auch die Kenntnis Dritter zugerechnet wird (sogenannter objektiver Ansatz).

Wann ist man eine natürliche Person?

ErwGr 26 hält für Sie weitere Informationen bereit: „… Um fest- zustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller Voraussicht nach genutzt werden, um die Person direkt oder indirekt zu identifizieren, wie das Herausgreifen. …“ Ob damit Klarheit geschaffen ist oder die Diskussion darüber fortgesetzt wird, was „nach allgemeinem Ermessen aller Voraussicht nach genutzt“ wird, muss die Praxis zeigen. Eine eindeutige Klärung ist damit nicht erfolgt.

Beachten Sie aber, dass diese Frage durch den EuGH wohl noch geklärt wird, bevor die DSGVO anzuwenden sein wird. Beim EuGH ist derzeit ein Verfahren anhängig, in dem es darum geht, wie die Bestimmbarkeit auszulegen ist.

Merken Sie sich: Die Definition des Personenbezugs ist der bisherigen Definition im BDSG ähnlich. ErwGr 26 enthält weitere Anhaltspunkte zur Auslegung. Diese sind aber nicht eindeutig. Allerdings wird der EuGH diese Frage geklärt haben, bevor die DSGVO 2018 anzuwenden ist.

Exkurs zum Schutz juristischer Personen:

Der Vollständigkeit halber sollten Sie in Erinnerung behalten, dass der Datenschutz im Telekommunikationsgesetz in be- stimmten Fällen auch zugunsten juristischer Personen greift. Es liegt nahe (wenngleich nicht abschließend geklärt), dass sich dies auch unter der Geltung der DSGVO nicht ändert, da sich der Schutz aus Art. 10 GG (Fernmeldegeheimnis) ableitet.

Dementsprechend greift der Schutz nach der Rechtsprechung des BVerfG auch nur für Verkehrs- nicht aber für Bestandsdaten, da die Bestandsdaten nicht in den Schutzbereich von Art. 10 GG fallen.

Kein Datenschutz für anonymisierte Daten

Was unter Anonymisierung zu verstehen ist, ist nicht im Definitionskatalog in Art. 4 DSGVO festgelegt. Aber ErwGr 26 enthält dazu Informationen. Dort heißt es:

„… Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen, oder Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische und für Forschungszwecke.“

Vereinfacht gesagt: Ein Datum ist anonym, wenn es nicht mehr personenbezogen ist.

Unsere Zusammenfassung für Sie: Wie unter dem BDSG ist das Datenschutzrecht der DSGVO nicht auf anonyme und anonymisierte Daten anwendbar. Personenbezug und Anonymität sind – bildlich gesprochen – die zwei Seiten derselben Münze.

Was gilt für pseudonymisierte Daten?

Die Pseudonymisierung ist in Art. 4 Abs. 5 DSGVO definiert; die Definition ist der in § 3 BDSG ähnlich, aber nicht inhaltsgleich:

„… die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unter- liegen, die die Nichtzuordnung zu einer bestimmten oder bestimm- baren Person gewährleisten.“

Bewertung von pseudonymisierten Daten

In ErwGr 26 der DSGVO wird klargestellt, dass auch einer „Pseudonymisierung unterzogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten“, als personenbezogene Daten zu bewerten sind. Die Pseudonymisierung als Instrument des Datenschutzes wird durch die DSVO gegenüber dem BDSG deutlich gestärkt.

Zwar war unter dem BDSG auch schon anerkannt, dass eine Pseudonymisierung im Rahmen einer Interessenabwägung (beispielsweise nach § 28 BDSG) positiv zu berücksichtigen ist. Die DSGVO spricht dies aber nun auch explizit an (ErwGr 28).

Fazit: Pseudonymisierte Daten sind (wie unter dem BDSG) personenbezogene Daten und das Datenschutzrecht kommt zur Anwendung. Anders als im BDSG wird die Pseudonymisierung in der DSGVO explizit angesprochen.

Die Pseudonymisierung wird insbesondere an folgenden Stellen der DSGVO angesprochen

  • ErwGr 28: Verringerung der Risiken für betroffene Person durch Pseudonymisierung
  • ErwGr 29: Privilegierung von Analysen bei Verwendung pseu-donymisierter Daten
  • ErwGr 75: Aufhebung der Pseudonymisierung als Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person
  • ErwGr 78/Art. 25: Pseudonymisierung als Aspekt bei „Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen“
  • ErwGr 85: Aufhebung der Pseudonymisierung im Kontext der Verletzung des Schutzes personenbezogener Daten
  • ErwGr 156/Art. 89: Prüfung der Möglichkeit einer Pseudonymisierung als Voraussetzung für die Weiterverarbeitung zu Archivzwecken, zu wissenschafftlichen und historischen Forschungszwecken oder zu statistischen Zwecken
  • Art. 6 Abs. 4 lit. e DSGVO: Berücksichtigung der Pseudonymisierung bei Zulässigkeitsprüfung einer Zweckänderung
  • Art. 32 Abs. 1 lit. a DSVGO: Pseudonymisierung als Bestand- teil der Sicherheit der Verarbeitung
  • Art. 40 Abs. 2 lit. d DSVGO: Pseudonymisierung als Bestand- teil von Verhaltensregeln

Diese Ausnahmen vom Anwendungsbereich der DSGVO sollten Sie kennen

Art. 2 Abs. 2 DSGVO benennt explizit Bereiche, die nicht unter die DSGVO fallen. Neben den Ausnahmen für den staatlichen Bereich, wie insbesondere nationale Sicherheit, Strafverfolgung und öffentliche Sicherheit, ist auch die Verarbeitung zu „ausschließlich“ persönlichen oder familiären Tätigkeiten ausgenommen.

In ErwGr 18 sind weitere Erläuterungen hierzu enthalten. Mit der Formulierung „ausschließlich“ wird klargestellt, dass die persönliche oder familiäre Tätigkeit der einzige Zweck sein darf. Es darf – so ErwGr 18 – kein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit bestehen.

Der ErwGr 18 stellt klar, dass für die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen, die Verordnung jedoch gelten sollte. Die Diskussionen über die Einordnung von „privaten Blogs“ und „privater Videoüberwachung“ werden wieder entbrennen, denn auf den ersten Blick sind diese von der DSGVO nicht erfasst.

Fazit: Ausschließlich familiäre oder persönliche Tätigkeiten werden nicht erfasst. Ähnlich der bisherigen Regelung in §1Abs.2Nr.3BDSG.

Sonderregelung für bestimmte Tätigkeiten

In Kapitel IX sind Spezialvorschriften für besondere Datenverarbeitungssituationen vorgesehen. Wir geben Ihnen einen Überblick:

  • Art. 85 DSGVO: Freiheit der Meinungsäußerung und Informationsfreiheit
  • Art. 86 DSGVO: Zugang der Öffentlichkeit zu amtlichen Dokumenten
  • Art. 87 DSGVO: Verarbeitung einer nationalen Kennziffer
  • Art. 88 DSGVO: Datenverarbeitung im Beschäftigungskontext

Hinweis: Der nationale Gesetzgeber erhält die Möglichkeit, für Beschäftigte spezifischere Vorschriften zu schaffen.

  • Art. 89 DSGVO: Garantien und Ausnahmen in Bezug auf die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen und historischen Forschungszwecken und zu statistischen Zwecken
  • Art. 90 DSGVO: Befugnisse der Aufsichtsbehörden gegenüber Berufsgeheimnisträgern und bei gleichwertigen Geheimhaltungspflichtigen
  • Art. 91 DSGVO: Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
  • Art. 95 DSGVO: Verhältnis zur „Telekommunikations-Daten- schutzrichtlinie“ 2002/58/EG

Hinweis: Die Datenschutzbestimmungen dieser Richtlinie 2002/58/EG sind in Deutschland in erster Linie im TKG und teilweise im TMG umgesetzt.


Warning: Use of undefined constant thumbnail - assumed 'thumbnail' (this will throw an Error in a future version of PHP) in /kunden/506574_53721/rp-hosting/1/1/dsgvo-gesetz.org/wp-content/themes/wisteria/template-parts/autoren-box.php on line 22

Robert Sasse
Robert Sasse ist Unternehmensgründer, Geschäftsführer, Journalist und seit über 17 Jahren in der Medien-, Finanz- und Verlagsbranche tätig. Er ist studierter Betriebswirt und besitzt einen Master of Science in Marketing und Sales.