Art. 2 DSGVO: Sachlicher Anwendungsbereich
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 22.02.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Allgemeines
- Verarbeitung personenbezogener Daten ganz oder teilweise in automatisierter Form oder nichtautomatisiert in einem Dateisystem (Art. 2 Abs. 1 DSGVO)
- Ausnahmen vom Anwendungsbereich (Art. 2 Absätze 2, 3 und 4 DSGVO)
- Tätigkeiten außerhalb der Anwendung des Unionsrechts (Art. 2 Abs. 2 Buchst. a DSGVO)
- Tätigkeiten im Anwendungsbereich von Titel V Kapitel 2 EUV (Art. 2 Abs. 2 Buchst. b DSGVO)
- Persönliche oder familiäre Tätigkeit (Art. 2 Abs. 2 Buchst. c DSGVO)
- Behördentätigkeiten im Strafrechtsbereich (Art. 2 Abs. 2 Buchst. d DSGVO)
- Inhalt der Regelung
- Allgemeines
- Verarbeitung personenbezogener Daten ganz oder teilweise in automatisierter Form oder nichtautomatisiert in einem Dateisystem (Art. 2 Abs. 1 DSGVO)
- Ausnahmen vom Anwendungsbereich (Art. 2 Absätze 2, 3 und 4 DSGVO)
- Tätigkeiten außerhalb der Anwendung des Unionsrechts (Art. 2 Abs. 2 Buchst. a DSGVO)
- Tätigkeiten im Anwendungsbereich von Titel V Kapitel 2 EUV (Art. 2 Abs. 2 Buchst. b DSGVO)
- Persönliche oder familiäre Tätigkeit (Art. 2 Abs. 2 Buchst. c DSGVO)
- Behördentätigkeiten im Strafrechtsbereich (Art. 2 Abs. 2 Buchst. d DSGVO)
Inhalt der Regelung
Art. 2 Datenschutzgrundverordnung (DSGVO) nennt den sachlichen Anwendungsbereich der DSGVO. Die Verordnung gilt gemäß Absatz 1 grundsätzlich für jede Verarbeitung personenbezogener Daten.
Für die Eröffnung des sachlichen Anwendungsbereichs müssen folgende Voraussetzungen kumulativ erfüllt sein:
- Verarbeitung personenbezogener Daten
- ganz oder teilweise in automatisierter Form oder nichtautomatisiert in einem Dateisystem (Art. 2 Abs. 1 DSGVO)
- kein Ausschlussgrund (Art. 2 Abs. 2 DSGVO)
- keine Anwendbarkeit vorrangiger Regelungen (Art. 2 Abs. 3 und 4 DSGVO).
Ergänzende/korrespondierende Regelungen
Die Regelung des Art. 2 DSGVO wird ergänzt durch § 35 SGB I und die Vorschriften §§ 67ff SGB X. Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen der DSGVO 15 bis 27.
§ 35 SGB I ist die Grundnorm des Sozialdatenschutzes.
§ 77 SGB X regelt die Datenübermittlung ins Ausland und an über- und zwischenstaatliche Stellen mit Sitz im Geltungsbereich des Sozialgesetzbuches.
Allgemeines
Art. 2 Abs. 1 DSGVO hält an dem grundsätzlichen Ziel der EU-Datenschutzrichtlinie und des BDSG fest, den besonderen Gefährdungen des Persönlichkeitsrechts natürlicher Personen durch die automatisierte Verarbeitung personenbezogener Daten Rechnung zu tragen. Um Möglichkeiten der Umgehung des bei automatisierter Verarbeitung gewährten Schutzes durch in gewissem Umfang gleichstehender manueller Datenverarbeitung auszuschließen, werden Verarbeitungen in sonstiger dateistrukturierter Form ebenso erfasst.
In Art. 2 Abs. 1 DSGVO werden die grundlegenden Voraussetzungen genannt, die erfüllt sein müssen, damit die DSGVO zur Anwendung kommt.
Ausnahmen vom Anwendungsbereich legt Art. 2 Abs. 2 DSGVO fest, wonach trotz Erfüllung der in Art. 2 Abs. 1 DSGVO genannten Voraussetzungen die DSGVO keine Anwendung findet.
Art. 2 Abs. 3 DSGVO regelt das Verhältnis zur Verordnung (EG) Nr. 45/2001.
Der Abs. 4 grenzt den Anwendungsbereich der DSGVO von der E-Commerce-Richtlinie 2000/31/EG ab.
Verarbeitung personenbezogener Daten ganz oder teilweise in automatisierter Form oder nichtautomatisiert in einem Dateisystem (Art. 2 Abs. 1 DSGVO)
Zur Regelung des sachlichen Anwendungsbereichs greift Art. 2 Abs. 1 DSGVO auf ein Zusammenspiel verschiedener in Art. 4 DSGVO näher definierter Begriffe zurück.
Als zentrales Begriffspaar ist hier die Verarbeitung personenbezogener Daten anzusehen. Der Begriff der Verarbeitung wird in Art. 4 Nr. 2 DSGVO definiert. Danach ist jeder personenbezogene Daten betreffende Vorgang erfasst, beginnend mit der Erhebung und endend mit der Löschung oder der Vernichtung. Der Begriff „personenbezogene Daten“ wird in Art. 4 Nr. 1 DSGVO definiert. Danach sind personenbezogene Daten nur solche Informationen, die sich auf eine natürliche Person beziehen. Damit fallen Angaben über juristische Personen und über verstorbene Personen (ErwG 27 DSGVO) nicht unter diesen Begriff und damit nicht in den Schutz der DSGVO. Geschützt werden diese Daten in der gesetzlichen Rentenversicherung durch die Vorschriften des § 35 Abs. 4 und 5 SGB I.
Anwendung finden die Normen der DSGVO zunächst, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Dies ist immer dann der Fall, wenn Datenverarbeitungsanlagen zum Einsatz kommen. Eine konkrete Definition einer automatisierten Verarbeitung unter Einsatz von Datenverarbeitungsanlagen findet sich nicht in der DSGVO. Das ist als bewusste Entscheidung zu verstehen, da die DSGVO auch zukünftige technologische Entwicklungen abdecken soll. Dies bekräftigt auch der Erwägungsgrund 15 (ErwG 15 DSGVO), indem er ein Schutzsystem einfordert, das „technologieneutral“ ist und nicht von den verwendeten Techniken abhängt.
Auch die nichtautomatisierte Datenverarbeitung fällt unter die Normen der DSGVO, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nach Erwägungsgrund 15 ist unter nichtautomatisierter Verarbeitung die rein manuelle Verarbeitung zu verstehen. In Art. 4 Nr. 6 DSGVO wird der Begriff des „Dateisystems“ definiert. Danach ist unter „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten zu verstehen, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Gemäß Erwägungsgrund 15 (ErwG 15 DSGVO) fallen Akten oder Aktensammlungen sowie ihre Deckblätter beziehungsweise dort gespeicherte personenbezogene Daten nicht in den Anwendungsbereich dieser Verordnung, es sei denn, dass die Akte dateimäßig strukturiert ist, also aufgrund einer vorgegebenen Struktur nach bestimmten Kriterien auswertbar ist. Derartige Kriterien können etwa eine Anordnung nach Jahr, Aktenzeichen oder Namen beispielsweise in alphabetischer Reihenfolge darstellen.
Ausnahmen vom Anwendungsbereich (Art. 2 Absätze 2, 3 und 4 DSGVO)
Die DSGVO sieht bestimmte Ausnahmen von ihrem Anwendungsbereich vor.
Die Absätze 2, 3 und 4 regeln Situationen beziehungsweise Fallgestaltungen, für die die DSGVO keine Anwendung findet. Sie sind für die Aufgabenerfüllung der Rentenversicherung nicht relevant.
Tätigkeiten außerhalb der Anwendung des Unionsrechts (Art. 2 Abs. 2 Buchst. a DSGVO)
Keine Anwendung findet die DSGVO auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die sich außerhalb des Anwendungsbereichs des Unionsrechts bewegt. Als Beispiel nennt Erwägungsgrund 16 (ErwG 16 DSGVO) die nationale Sicherheit betreffende Tätigkeiten.
Tätigkeiten im Anwendungsbereich von Titel V Kapitel 2 EUV (Art. 2 Abs. 2 Buchst. b DSGVO)
Ausgenommen von der Anwendung der Verordnung ist auch die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Zusammenhang mit Tätigkeiten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik.
Persönliche oder familiäre Tätigkeit (Art. 2 Abs. 2 Buchst. c DSGVO)
Eine weitere Ausnahme ist die Verarbeitung personenbezogener Daten durch natürliche Personen, wenn eine Datenverarbeitung vorgenommen wird, die ausschließlich der Ausübung persönlicher oder familiärer Tätigkeiten dient (Haushaltsprivileg).
Eine Klarstellung findet sich in Erwägungsgrund 18 (ErwG 18 DSGVO). Danach können privater Schriftverkehr oder private Adressbücher sowie die Nutzung sozialer Netzwerke und Online-Tätigkeiten jeweils allein im persönlichen oder familiären Kontext den sachlichen Anwendungsbereich der DSGVO ausschließen. Für die Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO), die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen, gilt die DSGVO.
Behördentätigkeiten im Strafrechtsbereich (Art. 2 Abs. 2 Buchst. d DSGVO)
Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie für den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit durch diese Behörden. Diese behördlichen Verarbeitungstätigkeiten fallen in den Anwendungsbereich der sogenannten „Polizei-Richtlinie“ RL (EU) 2016/680 vom 27. April 2016.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.