Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung
Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
Artikel 1 besagt, dass jede Verarbeitung, ob sie voll-, teilautomatisch oder manuell gespeichert ist oder gespeichert werden, von der DSGVO betroffen ist.
Ein "Dateisystem" ist laut Artikel 4 Absatz 6, "jede strukturierte Sammlung" personenbezogener Daten[...]", also auch handschriftliche oder auf Papier gedruckte Daten, solange sie Teil eines strukturierten Systems sind
Ein Kundentagebuch, in dem personenbezogene Daten dokumentiert werden, unterliegt der DSGVO
Ein Zettel, auf dem eine Telefonnummer notiert wurde, die keinem System angehört, unterliegt nicht der DSGVO.
Eine Gästeliste oder ein Gästebuch, das alle Namen von Gästen (z.b. in einem Hotel oder einer Tagung enthält), unterliegt der DSGVO
Artikel 2 schildert die Ausnahmen, in denen die DSGVO nicht greift. Und zwar
a) Anwendungsbereich des Unionsrechts, na toll. Das bedeutet konkret, dass die DSGVO nicht bei Daten gilt, die nicht durch EU-Richtlinien harmonisiert ist. Das wäre z.b. die Einkommenssteuer und Außenpolitik
b) Titel V Kapitel 2 EUV dreht sich um die gemeinsame Außen- und Sicherheitspolitik der EU, also z.b. Anti-Terror- und Militäroperationen. Im Rahmen dieser Operationen können Mitgliedsstaaten der EU Daten verarbeiten, wie sie wollen. Damit wird, zumindest in diesem Gesetzesbuch, die Tür für "Staatstrojaner" geöffnet.
c) Jegliche Information, die von privaten Leuten gesammelt werden, fallen nicht unter die DSGVO, solange sie rein familiären Tätigkeiten zugeordnet werden.
Das heißt, solange sie Daten rein privat verwenden, dürfen sie mit den Daten tun und lassen, was sie wollen. Haben sie z.b. eine Telefonnummer ihres Malers gespeichert, ist das ihr gutes Recht. Rufen sie ihn aber an, um ihnen eine Stereoanlage aus ihrem Nebengewerbe zu verkaufen, fällt die Telefonnummer unter die Sicherheit des Datenschutzes.
Gleiches gilt, wenn sie privat gesammelte Informationen veröffentlichen, z.B. auf ihrem persönlichen Blog oder an der Pinnwand im Gemeindezentrum.
d) hier gehts wieder um den Schutz und die Strafverfolgung. (Polizeiliche) Behörden unterliegen nicht der DSGVO, solange sie der Strafverfolgung oder der öffentlichen Sicherheit dienen.
Sollte die Tätigkeit nicht unter Artikel 2 fallen (z.b. Anti-Terror) gilt die Verordnung auch für die Union, Organe, Ämter, etc.
Dieser Absatz stellt klar, dass die DSGVO die Anwendung der Bestimmungen der Richtlinie 2000/31/EG (E-Commerce-Richtlinie) nicht berührt, insbesondere nicht die Bestimmungen über die Verantwortlichkeit von Vermittlern. Die E-Commerce-Richtlinie regelt unter anderem die Haftung von Diensteanbietern für Informationen, die sie speichern oder durchleiten, und legt fest, unter welchen Umständen sie von der Haftung befreit sind (zum Beispiel, wenn sie als Host oder bloßer Durchleiter fungieren)
