Von Franz J. Heidinger / Laurin Maran – Der Anwendungsbereich beantwortet stets die Frage, für welche Sachverhalte bestimmte Gesetze anzuwenden sind. Man unterscheidet zwischen dem sachlichen und dem räumlichen Anwendungsbereich. Während der sachliche Anwendungsbereich klärt, ob ein Gesetz überhaupt thematisch für eine bestimmte Situation anzuwenden ist, klärt der räumliche Anwendungsbereich, wo, also in welchem Land, sich diese bestimmte Situation abgespielt haben muss, damit das Gesetz gilt.

Der sachliche Anwendungsbereich

Gemäß Artikel 2 Abs 1 EU-DSGVO gilt die Datenschutzgrundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nun stellt sich natürlich die Frage, was der Verfasser der EU-DSGVO unter den Begriffen „personenbezogene Daten“ und  „Verarbeitung“ versteht.

Die Definitionen finden sich nur zwei Artikel später: Gemäß Artikel 4 Z 1 EU-DSGVO versteht man unter personenbezogenen Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Somit findet die EU-DSGVO immer dann Anwendung, wenn personenbezogene Daten von natürlichen Personen verarbeitet werden. Die Grundrechte und insbesondere das Recht auf Schutz personenbezogener Daten aller Menschen, ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsort, sollen gewahrt bleiben.

Durch das aktuelle österreichische Datenschutzgesetz (DSG 2000) sind auch die Daten juristischer Personen, also von Vereinen, Stiftungen, Aktiengesellschaften, GmbHs etc.,  geschützt. Sobald die EU-DSGVO das DSG 2000 abgelöst haben wird, wird dieser Schutz jedoch wegfallen. Verarbeitet man also zukünftig unternehmensbezogene Daten, wie beispielsweise Kontaktdaten oder die Rechtsform eines Unternehmens, wird die EU-DSGVO auf diese Verarbeitung nicht anwendbar sein. Die hinter der juristischen Personen stehenden Menschen sind jedoch weiterhin geschützt, handelt es sich bei diesen schließlich um natürliche Personen.

Unter Verarbeitung versteht die EU-DSGVO „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Wie man sieht wird jede denkmögliche Auseinandersetzung mit personenbezogenen Daten erfasst. Somit muss sich jedes Unternehmen, jeder Einzelunternehmer und jeder Onlineshopbetreiber, auch wenn er nur am Rande seiner beruflichen Tätigkeit mit personenbezogenen Daten in Kontakt kommt, mit den Bestimmungen der EU-DSGVO auseinandersetzen.

Es gibt jedoch ein paar Ausnahmen: Die Verordnung findet unter anderem keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, solange sie ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen werden. Die Nutzung sozialer Netze und Online-Tätigkeiten von Privaten fällt somit nicht in den Anwendungsbereich der EU-DSGVO. Die Verordnung gilt jedoch dennoch für die Verantwortlichen, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönliche oder familiäre Tätigkeiten bereitstellen.

Beispiel:

Verschickt jemand Fotos einer anderen Person über Whatsapp, fällt dieser Vorgang nicht unter das neue Regelwerk. Das Unternehmen „WhatsApp Inc.“ allerdings, welches das Foto verarbeitet, muss sich an die datenschutzrechtlichen Bestimmungen halten. Ebenso ist es mit der Veröffentlichung von Fotos anderer Personen auf Facebook. Aber auch wenn dies vielleicht datenschutzrechtlich nicht relevant sein mag, werden dennoch Persönlichkeitsrechte der betroffenen Person verletzt.

Räumlicher Anwendungsbereich

• Die EU-DSGVO wird angewendet, wenn personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union verarbeitet werden und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet. Eine Niederlassung ist laut EuGH eine auf eine gewisse Dauer angelegte Außenstelle eines Stammhauses, die über hinreichende materielle und personelle Ausstattung verfügt, um Geschäfte zu betreiben.
• Weiters findet die Verordnung Anwendung, wenn personenbezogene Daten von Personen, die sich in der Europäischen Union befinden, verarbeitet werden, der für die Verarbeitung Verantwortliche aber nicht in der Europäischen Union niedergelassen ist. Allerdings nur, wenn die Verarbeitung im Zusammenhang damit steht, Personen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der EU zu beobachten.

Somit müssen sich unter Umständen bald auch nicht-europäische Unternehmen ohne Niederlassung in der EU an das europäische Datenschutzrecht halten.

Beispiel:

Ein texanischer Hutmacher verkauft seine Westernhüte über einen Onlineshop im Internet. Selbstverständlich ist dieser Onlineshop über das Internet auch aus Österreich nutzbar. Für eine Bestellung müssen sich Käufer mit Name, Anschrift und E-Mailadresse registrieren –  zweifelsohne personenbezogene Daten. Die Frage der Anwendbarkeit der EU-DSGVO hängt nun davon ab, ob der Hutmacher offensichtlich vor hat, seine Hüte auch in der EU zu verkaufen. Dies wird anhand des Einzelfalls entschieden. Ist es beispielweise möglich, die Sprache des Onlineshops auf Deutsch umzustellen, werden die Preise auch in Euro angezeigt und stellt er Informationen über die Einfuhrbestimmungen in die EU zu Verfügung, spricht dies für eine Anwendung der EU-DSGVO. Ist der einzige Zusammenhang zwischen dem Onlineshop und der EU jedoch nur ein Cowboyhut mit einer EU-Flagge, sind die Daten eines österreichischen Käufers nur durch texanisches Datenschutzrecht geschützt.

 

Das Verhalten von Personen wird beobachtet, wenn ihre Internetaktivitäten nachvollzogen werden können und durch diese Aktivitäten anschließend von der Person ein Profil erstellt wird, anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert und vorausgesagt werden.

Beispiel

Ein Österreicher nutzt auf seinem Smartphone eine kostenlose App. Diese App speichert und analysiert seine Standortdaten, die Marke seines Handys, die Häufigkeit der Nutzung etc. Anhand dieser Daten schließt der Betreiber auf die soziale Herkunft, die Bildung und das Einkommen des Nutzers und bietet dementsprechende Werbung an.

Ergebnis

Für die Anwendung europäischen Datenschutzrechts kommt es bald nicht mehr nur auf den Ort der Niederlassung an, sondern auch auf den Ort, wo sich der Betroffene aufhält (Marktortprinzip). Ist dieser Ort innerhalb der Europäischen Union, wird die EU-DSGVO angewendet, selbst wenn die Person australischer Staatsbürger ist. Hält sich das datenverarbeitende Unternehmen nicht an die Regeln, drohen europaweit einheitliche Strafen.