Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, wer von der Datenschutzgrundverordnung betroffen ist und in welchem Ausmass.

Die Datenschutzgrundverordnung stellt klar, dass „Verantwortlicher“ jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein kann, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Für all diese Personen und Stellen gilt die Verordnung – ihr Anwendungsbereich ist also breit.

Sind Behörden von der Datenschutzgrundverordnung betroffen?

Für Behörden (wie etwa Justizbehörden, Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden) und Gerichte gelten eine Reihe von Ausnahmen und besonderen Vorschriften und der nationale Gesetzgeber kann insoweit bestimmte weitere nationale Regelungen treffen.

Sind Privatpersonen von der Datenschutzgrundverordnung betroffen?

Für Privatpersonen bleibt es dabei, dass die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit) vorgenommen wird, nicht erfasst wird.

Sind Auftragsdatenverarbeiter von der Datenschutzgrundverordnung betroffen?

Auch Auftragsdatenverarbeiter sind Gegenstand der Datenschutzgrundverordnung (in der Datenschutzgrundverordnung als sog. „Auftragsverarbeiter“ bezeichnet) und ihre Pflichten werden ausgeweitet (insbesondere auch im Bereich der Haftung – vgl. insoweit näher Frage 24 in der Checkliste zu Datenschutzgrundverordnung).
Räumlich findet die Datenschutzgrundverordnung zunächst auf die Verarbeitung personenbezogener Daten Anwendung, wenn und soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsdatenverarbeiters in der Europäischen Union (EU) erfolgt, und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet. Kurz gesagt: die Verordnung findet Anwendung auf alle Verantwortlichen und Auftragsdatenverarbeiter in der EU.
Für Verantwortliche und Auftragsdatenverarbeiter außerhalb der EU, für welche bisher nach der Datenschutzrichtlinie 95/46/EG das – vom Europäischen Gerichtshof („EuGH“) allerdings deutlich abgeschwächte – Territorialitätsprinzip galt, wird nun das Marktortprinzip eingeführt und damit der Anwendungsbereich stark erweitert. Die Verordnung findet Anwendung, wenn sich

  • ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder
  • wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient.

Umfasst sind also auch außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. Auch hier ist der Anwendungsbereich wieder sehr weit gewählt und gießt die (rechtlich teils sehr konstruiert wirkende) gegenwärtige „gelebte“ Praxis der Datenschutzbehörden und des EuGH, europäisches Datenschutzrecht auch auf (EU-Verbraucher betreffende) Vorgänge außerhalb der EU zu erweitern, im Ergebnis in eine ausdrückliche Regelung.