DSGVO Teil 2 | Wen betrifft die EU-Datenschutzgrundverordnung?
Um es kurz zu machen: Fast alle Unternehmen. Sobald personenbezogene Daten natürlicher Personen (etwa Kunden- oder Mitarbeiterdaten) verarbeitet werden, beginnen die Bestimmungen die DSGVO zu greifen. Für Daten von juristische Personen (Firmen usw.) gelten die Regeln übrigens nicht. Klingt jetzt sehr einfach, ist es aber irgendwie doch nicht. Zahlreiche juristische Feinheiten und – vor allem – die recht weit gefassten und teilweise schwer durchschaubaren Begriffsdefinitionen sorgen dafür, dass es bei der Umsetzung der Verordnung garantiert nicht langweilig wird. Aus diesem Grund ist es auch unumgänglich, einen kurzen Blick auf eben jene Begriffe zu werfen.
Der Anwendungsbereich gibt Ausschlag
Ausschlaggebend dafür, ob man unter die DSGVO fällt, ist der so genannte sachliche Anwendungsbereich. Im feinsten Gesetzes-Deutsch heißt es dazu in Artikel 2 DSGVO:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Bereits die Absicht reicht
Unternehmen, die noch auf die gute alte handschriftliche Kundenkartei (sprich: „nichtautomatisierte Verarbeitung“) setzen, können jetzt übrigens NICHT aufatmen. Dafür sorgt schon allein die Formulierung „…gespeichert werden sollen“. Demnach reicht bereits die Absicht, personenbezogene Daten irgendwann in ein Dateisystem aufzunehmen, aus, um der DSGVO zu unterliegen. Zur „automatisierten Verarbeitung“ zählen wiederum Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer. Das heißt auch: Jede Benutzung von Computer, Internet, E-Mail kann also zur Anwendbarkeit der DSGVO führen, sobald personenbezogene Daten betroffen sind.
Der Term “Datenverarbeitung” beinhaltet
Mitunter etwas missverständlich kann in diesem Sinne auch der Begriff „Verarbeitung“ sein. Dazu zählt laut DSGVO nämlich jeder Vorgang, der in Zusammenhang mit personenbezogenen Daten steht. Also das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen aber auch die Vernichtung von Daten. Im Grunde also alle Tätigkeiten, die man beispielsweise in einer normalen Kundenkartei durchführt.
Der räumliche Anwendunsgbereich der DSGVO
Schneller und einfacher erklärt ist dafür der räumliche Anwendungsbereich der DSGVO, übrigens eine der wesentlichen Neuerungen gegenüber den bisherigen nationalen Datenschutzgesetzen. Alle Unternehmen, die innerhalb der Europäischen Union ihren Firmensitz oder eine Niederlassung haben fallen ebenso drunter, wie auch Unternehmen, die Daten von EU-Bürgern verarbeiten. Dabei ist es unerheblich, wenn diese ihren Sitz ausschließlich in einem Land außerhalb der EU haben (etwa in den USA). Kleiner Tipp: Europäische Unternehmen, die mit externen Datenverarbeitern (Dienstleistern) außerhalb Europas (USA, Indien usw.) zusammenarbeiten, müssen diese darauf drängen, dass sie sich ab Mai 2018 an die europäischen Regeln halten müssen. Tun sie es nicht, trägt das Risiko der Auftraggeber, also das europäische Unternehmen.
Interessantes Detail am Rande: Auch die personenbezogenen Daten von Menschen, die sich zwar in der EU aufhalten aber nicht Staatsangehörige eines EU-Mitgliedstaates sind (so etwa auch Touristen) unterliegen dem DSGVO.
Personenbezogene Daten
Weil immer wieder von personenbezogene Daten die Rede ist: Dieser Begriff wird in der DSGVO übrigens sehr weit gefasst und umfasst unter anderen Informationen wie Name, Adresse, Geburtsdatum, Telefonnummer, Bankdaten oder aber auch die IP-Adresse einer Person. Vorsicht: Es genügt bereits, wenn eine Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden KANN.
Sensible personenbezogene Daten
Eine spezielle Untergruppe bilden zudem die sensiblen personenbezogenen Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit abzulesen sind. Auch genetische und biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person beitragen, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung zählen dazu. Deren Verarbeitung unterliegt sehr strengen Maßstäben beziehungsweise ist generell untersagt – es sei denn, die Person willigt ein und die Datenverarbeitung fällt unter die in Artikel 9 Absatz 2 DSGVO definierten Ausnahmen (etwa für den Bereich Arbeitsmedizin).
Anonyme Informationen
Keine Geltung hat die DSGVO übrigens für anonyme Informationen, das heißt für alle Informationen, die nicht einer natürlichen Person zugeordnet werden können. Auch die Daten Verstorbener unterliegen nicht mehr den Regelungen, allerdings können die Mitgliedstaaten eigene, konkretere Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
Falls du mittels IT-Audit prüfen möchtest, wie es um deine Daten- und IT-Sicherheit steht, steht techbold dir und deinem Unternehmen gerne zur Verfügung.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 1 3434333
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.
Christian Lanner
Ist Fachjournalist mit Schwerpunkten IT, Gebäudeautomation, Consumer Electronic und Home Appliances. Er war unter anderen für die Computerzeitschrift „PC Austria“, die Tageszeitung „Die Presse“ sowie das Nachrichtenmagazin „Format“ tätig und danach langjähriger Chefredakteur des damals führenden Elektro-Branchenmagazins “Elektrojournal”. Nach seiner Tätigkeit als Chefredakteur des IT-Magazins „Monitor“, arbeitet der gebürtige Steirer jetzt als freier Journalist.