Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Wann muss ich die DSGVO beachten?

Die DSGVO ist seit Mai 2018 als EU-Verordnung direkt gültiges Recht in allen Mitgliedstaaten der EU und im europäischen Wirtschaftsraum. Als direkt anwendbares Recht hat sie Anwendungsvorrang vor nationalen Gesetzen.

Die DSGVO muss nicht beachtet werden für alle privaten familiären Zwecke, also nicht für das Fotoalbum oder das private Adressbuch. Alle anderen Datenverarbeitungen mit personenbezogenen Daten fallen hingegen unter die DSGVO. Dazu gehören insbesondere die beruflich genutzten Daten, aber auch die Daten im Sport- oder Musikverein. Denn auch wenn das hauptsächlich private Aktivitäten sind, fallen sie nicht mehr in den Bereich der familiären Anwendungszwecke.

Wenn also der sachliche Anwendungsbereich eröffnet ist, dann muss noch der örtliche Anwendungsbereich geprüft werden. Denn die DSGVO grenzt sich nicht nur hinsichtlich der Anwendungszwecke ab sondern auch, was den Anwendungsort anbetrifft. So ist die DSGVO in allen Ländern der EU und des europäischen Wirtschaftsraums anzuwenden, wenn die Verarbeitung dort stattfindet. Sie ist aber auch anzuwenden, wenn die Verarbeitung dem Angebot von Waren und Dienstleistungen für Menschen in der EU dient, die Verarbeitung aber außerhalb der EU stattfindet. Und sie ist zu guter letzt auch anwendbar, wenn es darum geht, Menschen, die sich in der EU aufhalten, in ihrem Verhalten zu überwachen, vollkommen egal, wo die Verarbeitung stattfindet.

Man sieht also leicht, die DSGVO ist nicht nur für Betriebe, Vereine und andere in der EU Tätige relevant, sondern für alle, die mit Menschen in der EU Geschäfte machen bzw. deren Verhalten überwachen, auch wenn sie ihren Sitz überhaupt nicht in der EU haben.

Noch ein kleiner Hinweis zum Schluß. So mancher Selbstständige oder kleines Unternehmen glaubt, dass die DSGVO keine Rolle spielt, wenn man keinen Datenschutzbeauftragten benennen muss bzw. man sich um den Datenschutz erst kümmern muss, wenn man auch einen Datenschutzbeauftragten braucht. Das ist definitiv falsch. Auch Freelancer, Solo-Selbständige und kleine Unternehmen müssen von der ersten Sekunde an alle Regeln der DSGVO einhalten. Sie müssen es im Zweifel nur ohne einen fachkundigen DSB tun. Die von der Bundesregierung erhöhte Grenze zur Benennung eines DSB hat hier keine wirkliche Erleichterung gebracht.