Anwendungsbereich der DSGVO (Art. 2, 3 DSGVO)
Überblick über den sachlichen und räumlichen Anwendungsbereich der DSGVO: wann das europäische Datenschutzrecht überhaupt gilt, welche Verarbeitungen und welche Sachverhalte es erfasst.
Bevor eine einzelne Verarbeitung am Maßstab der DSGVO gemessen wird, ist die Vorfrage zu klären, ob die Verordnung überhaupt gilt. Das entscheidet sich auf zwei Ebenen: Der sachliche Anwendungsbereich (Art. 2 DSGVO) legt fest, welche Arten von Verarbeitung erfasst werden und welche Tätigkeiten ausgenommen sind. Der räumliche Anwendungsbereich (Art. 3 DSGVO) bestimmt, welche grenzüberschreitenden Sachverhalte dem europäischen Datenschutzrecht unterfallen. Beide Bereiche müssen eröffnet sein, damit die Pflichten der DSGVO greifen.
Das Wichtigste in Kürze
- Die DSGVO gilt nur, wenn sowohl der sachliche (Art. 2 DSGVO) als auch der räumliche Anwendungsbereich (Art. 3 DSGVO) eröffnet ist.
- Sachlich erfasst sind die ganz oder teilweise automatisierte Verarbeitung sowie die dateibasierte nichtautomatisierte Verarbeitung; ausgenommen sind unter anderem nationale Sicherheit, Strafverfolgung (JI-RL) und das Haushaltsprivileg.
- Räumlich knüpft die Verordnung an die Niederlassung in der Union (Art. 3 Abs. 1 DSGVO) und an das Marktortprinzip (Art. 3 Abs. 2 DSGVO) an, nicht an die Staatsangehörigkeit der betroffenen Person.
- Die Prüfung des Anwendungsbereichs steht vor der Frage nach Rechtsgrundlage (Art. 6 DSGVO) und Grundsätzen (Art. 5 DSGVO).
1 Die beiden Ebenen des Anwendungsbereichs
Der sachliche und der räumliche Anwendungsbereich beantworten unterschiedliche Fragen. Der sachliche Anwendungsbereich fragt, welche Art von Umgang mit Daten die DSGVO regelt und welche Lebensbereiche sie bewusst ausspart. Der räumliche Anwendungsbereich fragt, welche Stellen und welche grenzüberschreitenden Konstellationen an die europäischen Vorgaben gebunden sind. Erst wenn beide Bereiche eröffnet sind, kommt es auf Rechtsgrundlage und Grundsätze der Verarbeitung an.
Sachlicher Anwendungsbereich
Art. 2 DSGVO: automatisierte und dateibasierte Verarbeitung, Bereichsausnahmen, Haushaltsprivileg, öffentlicher und nichtöffentlicher Bereich.
Räumlicher Anwendungsbereich
Art. 3 DSGVO: Niederlassungsprinzip, Marktortprinzip, Beobachtung des Verhaltens, Flaggen- und Vertretungskonstellationen.
2 Einordnung in die Prüfung
Der Anwendungsbereich ist die erste Weiche jeder datenschutzrechtlichen Prüfung. Solange er nicht eröffnet ist, stellt sich die Frage nach einer Rechtsgrundlage oder nach den Grundsätzen der Verarbeitung nicht. Ob überhaupt personenbezogene Daten betroffen sind, klärt sich über den Begriff der personenbezogenen Daten; ob eine Verarbeitung vorliegt, über den Begriff der Verarbeitung. Diese Tatbestandsmerkmale sind dem Anwendungsbereich vorgelagert und werden dort vertieft.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Einzelthemen
Einzelne Themen der DSGVO, untergliedert nach Regelungsbereichen.
Sachlicher Anwendungsbereich (Art. 2 DSGVO)
Wann die DSGVO sachlich gilt: automatisierte und dateibasierte Verarbeitung, Bereichsausnahmen wie nationale Sicherheit, Strafverfolgung und Haushaltsprivileg sowie bereichsspezifische Sonderregelungen.