Datenschutzbeauftragter und Sachverständiger für Datenschutz

Sachlicher Wirkungsbereich

Die Datenschutzgrundverordnung hat als europäische Verordnung unmittelbare Wirkung in allen Mitgliedsstaaten der EU. Sie ist damit primäre Rechtsquelle, wenn es um den Datenschutz auf europäischer Ebene geht und auch dann, wenn es um den Datenschutz in den einzelnen Ländern geht. In Deutschland hat die DSGVO das davor einschlägige Bundesdatenschutzgesetz ergänzt bzw. modifiziert: Sie ist vorrangig und bedarf damit keiner Umsetzung in nationale Gesetze.

Der deutsche Gesetzgeber hat parallel zur Datenschutzverordnung auch das Bundesdatenschutzgesetz entsprechend abgeändert: Es enthält nun einen direkten Bezug zur DSGVO und verweist auf Vorschriften der Verordnung, um auch national für Rechtssicherheit und Klarheit zu sorgen.

Einzelne Bereiche sind aber auch im Bereich Datenschutz immer noch der nationalen Gesetzgebung der einzelnen Mitgliedsstaaten unterworfen. Die sogenannten Öffnungsklauseln erlauben eine Regelung auf nationaler Ebene – diese darf allerdings nicht im Widerspruch zur DSGVO stehen (und natürlich auch nicht im Widerspruch zu anderen Regeln des EU-Rechts). Der Handlungsspielraum der Nationalstaaten hat sich aber durch die DSGVO deutlich reduziert: Gesetze werden sich also zukünftig auch der Überprüfung durch die EU-Kommission bzw. durch den Europäischen Gerichtshof stellen müssen, damit eine Vertragskonformität auch langfristig gesichert ist.

Räumlicher Wirkungsbereich

Als europäisches Gesetz gilt die DSGVO für alle Unternehmen, die in der EU ansässig sind oder sich gewerblich in der EU betätigen. Damit ist der europäische Datenschutz auch dann einschlägig, wenn ein Unternehmen aus einem Nicht-EU-Land in Europa eine Filiale eröffnet oder hier Geschäfte tätigt, die die Verarbeitung von personenbezogenen Daten mit sich bringt.

Wichtig zu wissen: Solange keine personenbezogenen Daten betroffen sind, ist die DSGVO auch nicht einschlägig!

Die personenbezogenen Daten werden in Art. 4 Nr. 1 DSGVO näher definiert; demnach liegen personenbezogene Daten explizit vor, wenn es um folgende Informationen geht:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtstag
  • Kontoverbindung
  • Kfz-Kennzeichen
  • Standortdaten
  • IP-Adressen
  • Cookies.

Daneben sind personenbezogene Daten auch dann anzunehmen, wenn eine Information geeignet ist, um die Zuordnung zu einer bestimmten Person zu ermöglichen.

Ausnahmsweise ist die DSGVO auch bei der Verarbeitung von personenbezogenen Daten nicht einschlägig, wenn diese lediglich den rein privaten bzw. familiären Bereich tangieren – hier zieht die Rechtsprechung allerdings enge Grenzen.

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau