Sachlicher Anwendungsbereich (Art. 2 DSGVO)
Wann die DSGVO sachlich gilt: automatisierte und dateibasierte Verarbeitung, Bereichsausnahmen wie nationale Sicherheit, Strafverfolgung und Haushaltsprivileg sowie bereichsspezifische Sonderregelungen.
Art. 2 DSGVO bestimmt, welche Arten der Verarbeitung personenbezogener Daten die Verordnung überhaupt erfasst und welche Tätigkeiten sie ausspart. Die Vorschrift entscheidet damit über die erste von zwei Eröffnungsfragen des Datenschutzrechts; die zweite betrifft den räumlichen Anwendungsbereich. Nur wenn der sachliche Anwendungsbereich eröffnet ist, kommt es auf Rechtsgrundlage und Grundsätze der Verarbeitung an.
Das Wichtigste in Kürze
- Erfasst ist jede ganz oder teilweise automatisierte Verarbeitung sowie die nichtautomatisierte Verarbeitung, soweit die Daten in einem Dateisystem gespeichert sind oder werden sollen (Art. 2 Abs. 1 DSGVO).
- Rein analoge, unstrukturierte Vorgänge ohne Dateisystembezug fallen nicht darunter; klassische Akten sind grundsätzlich kein Dateisystem.
- Ausgenommen sind unter anderem Tätigkeiten außerhalb des Unionsrechts (nationale Sicherheit), die Gemeinsame Außen- und Sicherheitspolitik, die Strafverfolgung (dafür gilt die JI-RL) und das Haushaltsprivileg.
- Die Bereichsausnahmen sind eng auszulegen; das Haushaltsprivileg entfällt, sobald ein Bezug zu beruflicher oder wirtschaftlicher Tätigkeit oder zur Öffentlichkeit besteht.
- Für Medien, Beschäftigte und Telekommunikation gelten zusätzlich bereichsspezifische Sonderregelungen.
1. Überblick
1.1 Rechtsfolge und Prüfungsstandort
Ist der sachliche Anwendungsbereich eröffnet, gilt die DSGVO für die betreffende Verarbeitung; ist er nicht eröffnet, greifen ihre Pflichten von vornherein nicht. Die Frage steht am Anfang der Prüfung, noch vor der Rechtsgrundlage und den Grundsätzen der Verarbeitung. Voraussetzung ist stets, dass personenbezogene Daten im Wege einer Verarbeitung betroffen sind.
Für rein nicht-personenbezogene Daten gilt seit 2019 die VO (EU) 2018/1807 über den freien Verkehr nicht-personenbezogener Daten. Verbleiben in einem Datensatz personenbezogene Daten, bleibt es jedoch bei der DSGVO; sie erfasst den gesamten Datensatz, soweit eine Trennung nicht sinnvoll möglich ist.
1.2 Zwei Tore und ein Ausnahmekatalog
Der sachliche Anwendungsbereich ist über zwei Tore eröffnet: die automatisierte Verarbeitung und die dateibasierte nichtautomatisierte Verarbeitung (Art. 2 Abs. 1 DSGVO). Ist eines dieser Tore offen, prüft sich anschließend, ob eine der Bereichsausnahmen des Art. 2 Abs. 2 und 3 DSGVO greift.
2. Erfasste Verarbeitungsformen (Art. 2 Abs. 1 DSGVO)
2.1 Automatisierte Verarbeitung
Im Zentrum steht die ganz oder teilweise automatisierte Verarbeitung. Gemeint ist jeder Einsatz von Datenverarbeitungsanlagen; eine feste Definition oder Beispiele nennt die Verordnung bewusst nicht, damit der Begriff auch künftige Techniken erfasst und technologieneutral bleibt (Erwägungsgrund 15 DSGVO). Er ist deshalb weit auszulegen. Textverarbeitung, E-Mail-Verkehr und digitale Kopierer beruhen auf digitaler Verarbeitung und sind erfasst; die bloße analoge Speicherung auf Bild- und Tonträgern, das Telefax oder der Einsatz fotomechanischer Kopierer dagegen nicht.
Auch die Videoüberwachung ist eine automatisierte Verarbeitung, sofern die Bilder auf einem Speichermedium gesichert werden (EuGH, Urt. v. 11.12.2014, C-212/13, Ryneš). Erfasst sind damit Dashcams, Bodycams, Actioncams und Drohnenaufzeichnungen. Eine Kamera, die ohne jede Zwischenspeicherung allein ein Live-Bild überträgt, verarbeitet hingegen nichts und fällt nicht darunter; ob abgebildete Personen erkennbar sind, ist erst eine Frage des Personenbezugs.
Weil die Verordnung ausdrücklich auch die teilweise Automatisierung einbezieht, werden Vorgänge in ihrer Gesamtheit erfasst, sobald einzelne Zwischenschritte digitalisiert sind. Das gilt etwa, wenn die Eingabe von Hand erfolgt, die Verarbeitung im Übrigen aber maschinell läuft, oder wenn eine an sich analog geführte Sammlung über einen digital gespeicherten Index erschlossen wird, beispielsweise Prüfungsunterlagen in Papierform, die über eine digital gespeicherte Kennziffer zugeordnet werden. Auch die unmittelbare Nutzung automatisiert gespeicherter Information außerhalb der Anlage gehört dazu, etwa der Ausdruck eines Textes und seine anschließende Weitergabe. Selbst die mündliche Weitergabe von Daten, die zuvor automatisiert gespeichert wurden, kann eine Verarbeitung im Anwendungsbereich der Verordnung sein.
2.2 Nichtautomatisierte Verarbeitung im Dateisystem
Über das zweite Tor erstreckt sich die Verordnung auf nichtautomatisierte Verarbeitungen, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, gleich ob zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet (Art. 4 Nr. 6 DSGVO).
Hinter dieser Erstreckung steht ein Umgehungsschutz: Der Verordnungsgeber wollte verhindern, dass Verantwortliche den datenschutzrechtlichen Bindungen ausweichen, indem sie statt einer Datenbank eine manuelle Kartei anlegen (Erwägungsgrund 15 DSGVO). Daraus folgt, dass nicht jede äußere Ordnung genügt. Erfasst sind Sammlungen, die nach mindestens zwei personenbezogenen Kriterien auswertbar sind und so das Auffinden der Information ähnlich erleichtern wie eine automatisierte Verarbeitung. Karteikarten mit festen Feldern (Name, Adresse, Geburtsdatum) sind das typische Beispiel. Vertieft unter Dateisystem.
Der Anwendungsbereich greift bereits, wenn die Daten in ein Dateisystem aufgenommen werden sollen, nicht erst mit der Einordnung. Wer also bei einem Bewerbungsgespräch handschriftliche Notizen anfertigt, um sie anschließend in die nach Bewerbern geordnete Akte zu legen, verarbeitet die Daten schon im Zeitpunkt der Aufzeichnung im Anwendungsbereich der Verordnung.
Auf diesen weiten, an der Wiederauffindbarkeit orientierten Dateibegriff hat sich auch der EuGH gestützt: Handschriftliche, dezentral geführte Aufzeichnungen können ein Dateisystem bilden, wenn die Daten nach Kriterien leicht wiederauffindbar sind (EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas).
Klassische Akten sind im Ausgangspunkt kein Dateisystem (Erwägungsgrund 15 DSGVO). Sie fallen erst dann unter die Verordnung, wenn sie eine spezifische innere Struktur nach einheitlich festgelegten personenbezogenen Kriterien aufweisen, wie es etwa bei systematisch gegliederten Personalakten der Fall sein kann. Eine bloße Ordnung nach Aktenzeichen oder Sachgegenstand genügt nicht.
3. Bereichsausnahmen (Art. 2 Abs. 2 und 3 DSGVO)
Ist eines der beiden Tore eröffnet, bleibt zu prüfen, ob die Verarbeitung in einen ausgenommenen Bereich fällt. Die folgende Übersicht ordnet die Ausnahmen ihren Rechtsgrundlagen zu.
| Ausgenommener Bereich | Norm | Folge |
|---|---|---|
| Tätigkeiten außerhalb des Unionsrechts (u.a. nationale Sicherheit, Nachrichtendienste, Militär) | Art. 2 Abs. 2 lit. a DSGVO | DSGVO gilt nicht |
| Gemeinsame Außen- und Sicherheitspolitik | Art. 2 Abs. 2 lit. b DSGVO | DSGVO gilt nicht |
| Ausschließlich persönliche oder familiäre Tätigkeit (Haushaltsprivileg) | Art. 2 Abs. 2 lit. c DSGVO | DSGVO gilt nicht |
| Verhütung, Verfolgung und Vollstreckung von Straftaten | Art. 2 Abs. 2 lit. d DSGVO | Stattdessen JI-RL und Teil 3 BDSG |
| Verarbeitung durch Organe und Einrichtungen der Union | Art. 2 Abs. 3 DSGVO | Stattdessen VO (EU) 2018/1725 |
3.1 Tätigkeiten außerhalb des Unionsrechts
Verarbeitungen im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, sind ausgenommen (Art. 2 Abs. 2 lit. a DSGVO). Hauptanwendungsfall ist die nationale Sicherheit, zu der neben dem militärischen Verteidigungsbereich die Tätigkeit der Nachrichtendienste zählt. Diese Begrenzung folgt bereits aus dem Prinzip der begrenzten Einzelermächtigung im Primärrecht; insoweit hat die Vorschrift nur klarstellende Bedeutung.
Allein der Umstand, dass ein rein innerstaatlicher Sachverhalt ohne grenzüberschreitenden Datenverkehr vorliegt, genügt nicht, um die Ausnahme auszulösen; andernfalls hinge die Anwendbarkeit von Zufälligkeiten des Datenflusses ab. Den öffentlichen Bereich unterstellt der deutsche Gesetzgeber unabhängig davon dem europäischen Datenschutzregime (§ 1 Abs. 8 BDSG).
3.2 Gemeinsame Außen- und Sicherheitspolitik
Ausgenommen ist außerdem die Verarbeitung durch die Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik (Art. 2 Abs. 2 lit. b DSGVO).
3.3 Strafverfolgung und Abgrenzung zur JI-RL
Die Verarbeitung zum Zweck der Verhütung, Verfolgung und Vollstreckung von Straftaten einschließlich der Gefahrenabwehr für die öffentliche Sicherheit ist vom Anwendungsbereich der DSGVO ausgenommen (Art. 2 Abs. 2 lit. d DSGVO). Für diesen Bereich gilt die zeitgleich erlassene Richtlinie zum Datenschutz bei Justiz und Inneres (JI-RL), in Deutschland umgesetzt in Teil 3 des BDSG.
Die Anwendungsbereiche von DSGVO und JI-RL schließen einander aus. Derselbe Datenbestand kann jedoch je nach Verarbeitungszweck dem einen oder dem anderen Regime unterfallen. Der Ausschluss erfasst nur den Kernbereich vollzugspolizeilicher Tätigkeit, nicht die allgemeine Gefahrenabwehr nach besonderem Verwaltungsrecht (etwa Bauordnungs-, Aufenthalts- oder Katastrophenrecht); insoweit bleibt es bei der DSGVO.
Drei Abgrenzungen sind in der Praxis wichtig. Der Begriff der Straftat schließt Ordnungswidrigkeiten ein. Behördliche Tätigkeiten ohne Bezug zu einer konkreten Straftat bleiben dagegen bei der DSGVO; das gilt etwa für die Bearbeitung einer Vermisstenanzeige durch die Polizei oder die Ermittlung einer Steuerschuld durch die Finanzverwaltung, anders erst bei der Verfolgung von Steuerstraftaten. Und die Ausnahme greift nur für die Verarbeitung durch die zuständige Behörde; verarbeitet ein nichtöffentlicher Verantwortlicher Daten, bleibt es auch dann bei der DSGVO, wenn die Verarbeitung der Strafverfolgung dient.
3.4 Haushaltsprivileg
Nicht erfasst ist die Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO). Dazu zählen das Führen eines privaten Schriftverkehrs und von Anschriftenverzeichnissen, Tagebücher, Fotosammlungen, Hobbys, die Teilnahme am privaten Versandhandel sowie die Nutzung sozialer Netze und Online-Tätigkeiten in diesem Rahmen (Erwägungsgrund 18 DSGVO). Auch Sammlungen, die nicht den Familienkreis betreffen, etwa Adresslisten eines Lauftreffs oder Sammlerkollegen, können darunterfallen.
Die Ausnahme ist eng auszulegen; entscheidend ist das Merkmal der Ausschließlichkeit. Voraussetzung ist, dass jeder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit fehlt. Schon die erstmalige Verwendung privater Daten zu geschäftlichen Zwecken lässt das Privileg entfallen, ebenso eine ehrenamtliche oder eine geschäftsvorbereitende Tätigkeit. Ein gemischtes Adressbuch mit privaten und geschäftlichen Kontakten ist daher nicht privilegiert; auch die Vermögensverwaltung nennenswerten Umfangs, etwa die Vermietung eigener Immobilien, fällt nicht mehr darunter.
Drei Grenzen sind in der Praxis besonders wichtig:
- Erfassung öffentlicher Bereiche. Erstreckt sich eine private Videoüberwachung, sei es auch nur teilweise, auf den öffentlichen Raum, greift das Privileg nicht; die Verarbeitung bedarf einer Rechtsgrundlage (EuGH, Urt. v. 11.12.2014, C-212/13, Ryneš). Dasselbe gilt für Dashcam-Aufnahmen im Verkehrsfluss oder die Ablichtung von Falschparkern.
- Veröffentlichung gegenüber der Öffentlichkeit. Wer Informationen über eine frei zugängliche Internetseite oder ein soziales Netzwerk ohne Begrenzung des Empfängerkreises offenlegt, handelt nicht mehr im geschützten persönlichen Bereich (EuGH, Urt. v. 06.11.2003, C-101/01, Lindqvist). Maßgeblich ist die Zugriffsmöglichkeit: Einzel- und Gruppennachrichten an einen begrenzten Kreis bleiben privilegiert, die Veröffentlichung an einen unbestimmten Personenkreis nicht.
- Verarbeitung fremder Daten. Das Privileg betrifft nur die Verarbeitung von Daten anderer Personen. Die Verarbeitung eigener Daten, etwa zur Selbstdarstellung in sozialen Netzwerken, unterfällt der DSGVO ohnehin nicht.
Bei Foto- und Videoaufnahmen entscheidet der Zweck. Aufnahmen von Sehenswürdigkeiten oder die Dokumentation familiärer Ereignisse im öffentlichen Raum bleiben privilegiert, auch wenn dabei Dritte ins Bild geraten. Zielt die Aufnahme dagegen gerade darauf, Daten fremder Personen zu erheben, ist der persönliche Bereich verlassen.
Berufen können sich auf das Privileg nur die handelnden natürlichen Personen, nicht der Plattformbetreiber, der die Mittel für die Verarbeitung bereitstellt (Erwägungsgrund 18 DSGVO). Wer ein soziales Netzwerk oder eine Cloud betreibt, bleibt Verantwortlicher oder Auftragsverarbeiter, auch wenn der einzelne Nutzer privilegiert handelt.
| Tätigkeit | Privilegiert? |
|---|---|
| Privates Adressbuch, Familien- und Hobbykontakte | Ja |
| Einzel- oder Gruppennachricht an begrenzten Kreis | Ja |
| Urlaubsfotos, familiäre Ereignisse im öffentlichen Raum | Ja |
| Adressbuch mit privaten und geschäftlichen Kontakten gemischt | Nein |
| Veröffentlichung fremder Daten auf frei zugänglicher Website | Nein |
| Private Videoüberwachung, die den öffentlichen Raum erfasst | Nein |
| Dashcam-Aufnahmen, Ablichtung von Falschparkern | Nein |
| Vermietung eigener Immobilien, sonstige wirtschaftliche Tätigkeit | Nein |
3.5 Verarbeitung durch Organe der Union
Die Verarbeitung durch Organe, Einrichtungen, Ämter und Agenturen der Union ist vom Anwendungsbereich ausgenommen (Art. 2 Abs. 3 DSGVO). Für sie gilt die an die Grundsätze der DSGVO angepasste VO (EU) 2018/1725.
4. Reichweite innerhalb des Anwendungsbereichs
4.1 Öffentlicher und nichtöffentlicher Bereich
Das deutsche Datenschutzrecht unterscheidet herkömmlich zwischen der Verarbeitung durch öffentliche und durch nichtöffentliche Stellen. Maßgeblich ist dabei die Organisationsform, nicht die Handlungsform. Öffentliche Stellen sind die öffentlich-rechtlich organisierten Einrichtungen von Exekutive, Judikative und Legislative; nichtöffentliche Stellen sind natürliche Personen und privatrechtlich organisierte Unternehmen und Vereinigungen.
Die DSGVO übernimmt diese förmliche Zweiteilung nicht. Sie eröffnet den Mitgliedstaaten jedoch für den öffentlichen Bereich erweiterte Gestaltungsspielräume, insbesondere über Art. 6 Abs. 2 und 3 DSGVO für Verarbeitungen im öffentlichen Interesse und in Ausübung öffentlicher Gewalt (vertieft unter Öffnungsklauseln und nationales Recht).
4.2 Gerichte
Gerichte sind nicht vom Anwendungsbereich ausgenommen, auch wenn für sie eine Reihe von Sonderregelungen gilt (EuGH, Urt. v. 02.03.2023, C-268/21, Norra Stockholm Bygg). Für die Strafgerichtsbarkeit und die Verwaltungsgerichtsbarkeit in polizeirechtlichen Sachen gilt das Umsetzungsrecht zur JI-RL, im Übrigen die DSGVO.
4.3 Mitgliedstaatliche Vorbehaltsbereiche und Parlamente
Manche Bereiche verbleiben nach dem Prinzip der begrenzten Einzelermächtigung bei den Mitgliedstaaten, sodass der europäische Gesetzgeber gar nicht regelungsbefugt ist. Dazu zählen nationale Sicherheit, Streitkräfte und Nachrichtendienste.
Die Reichweite des Ausschlusses ist umstritten. Der EuGH legt Art. 2 Abs. 2 lit. a DSGVO eng aus: Ausgenommen sind nur die ausdrücklich benannten oder ihnen gleichartigen Tätigkeiten. Danach fällt eine Tätigkeit nicht schon deshalb aus dem Unionsrecht, weil sie von einem Parlamentsorgan ausgeübt wird; die DSGVO gilt grundsätzlich auch für einen parlamentarischen Untersuchungsausschuss, solange dieser nicht dem Schutz der nationalen Sicherheit dient (EuGH, Urt. v. 16.01.2024, C-33/22, Untersuchungsausschuss).
5. Bereichsspezifische Sonderregelungen
Innerhalb des Anwendungsbereichs verdrängen oder ergänzen besondere Vorschriften die allgemeinen Regeln der DSGVO. Praktisch bedeutsam sind drei Felder:
- Medienprivileg. Für die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken sehen die Mitgliedstaaten Abweichungen und Ausnahmen vor, um Datenschutz und Meinungs- sowie Informationsfreiheit in Einklang zu bringen (Art. 85 DSGVO). Auf dieser Grundlage bestehen die Medienprivilegien des Bundes und der Länder fort.
- Beschäftigtendatenschutz. Art. 88 DSGVO eröffnet den Mitgliedstaaten die Ausgestaltung des Beschäftigtendatenschutzes. Für die Verarbeitung im Beschäftigungsverhältnis ist im Ausgangspunkt auf die allgemeinen Vorschriften der DSGVO zurückzugreifen, insbesondere Art. 6 Abs. 1 DSGVO.
- Telekommunikation. Der Telekommunikationsdatenschutz ist im Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) geregelt und bleibt als bereichsspezifisches Recht neben der DSGVO bestehen (Art. 95 DSGVO).
Vor jeder datenschutzrechtlichen Prüfung lohnt die kurze Kontrollfrage: Ist die Verarbeitung automatisiert oder dateibasiert, und greift keine Bereichsausnahme? Erst wenn beides bejaht ist, ist die DSGVO sachlich anwendbar und die Prüfung von Rechtsgrundlage und Grundsätzen eröffnet.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Anwendungsbereich der DSGVO (Art. 2, 3 DSGVO)
Überblick über den sachlichen und räumlichen Anwendungsbereich der DSGVO: wann das europäische Datenschutzrecht überhaupt gilt, welche Verarbeitungen und welche Sachverhalte es erfasst.
Räumlicher Anwendungsbereich (Art. 3 DSGVO)
Wann die DSGVO räumlich gilt: Niederlassungsprinzip, Marktortprinzip und Beobachtung des Verhaltens, Flaggen- und Vertretungskonstellationen sowie die internationale Wirkung des europäischen Datenschutzrechts.