# Anwendungsbereich der DSGVO (Art. 2, 3 DSGVO)

Überblick über den sachlichen und räumlichen Anwendungsbereich der DSGVO: wann das europäische Datenschutzrecht überhaupt gilt, welche Verarbeitungen und welche Sachverhalte es erfasst.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo
> Sprache: en



Bevor eine einzelne Verarbeitung am Maßstab der DSGVO gemessen wird, ist die Vorfrage zu klären, ob die Verordnung überhaupt gilt. Das entscheidet sich auf zwei Ebenen: Der sachliche Anwendungsbereich (Art. 2 DSGVO) legt fest, welche Arten von Verarbeitung erfasst werden und welche Tätigkeiten ausgenommen sind. Der räumliche Anwendungsbereich (Art. 3 DSGVO) bestimmt, welche grenzüberschreitenden Sachverhalte dem europäischen Datenschutzrecht unterfallen. Beide Bereiche müssen eröffnet sein, damit die Pflichten der DSGVO greifen.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Die DSGVO gilt nur, wenn sowohl der sachliche (Art. 2 DSGVO) als auch der räumliche Anwendungsbereich (Art. 3 DSGVO) eröffnet ist.
  * **Sachlich** erfasst sind die ganz oder teilweise automatisierte Verarbeitung sowie die dateibasierte nichtautomatisierte Verarbeitung; ausgenommen sind unter anderem nationale Sicherheit, Strafverfolgung (JI-RL) und das Haushaltsprivileg.
  * **Räumlich** knüpft die Verordnung an die Niederlassung in der Union (Art. 3 Abs. 1 DSGVO) und an das Marktortprinzip (Art. 3 Abs. 2 DSGVO) an, nicht an die Staatsangehörigkeit der betroffenen Person.
  * Die Prüfung des Anwendungsbereichs steht vor der Frage nach Rechtsgrundlage (Art. 6 DSGVO) und Grundsätzen (Art. 5 DSGVO).
</Callout>

## 1 Die beiden Ebenen des Anwendungsbereichs [#1-die-beiden-ebenen-des-anwendungsbereichs]

Der sachliche und der räumliche Anwendungsbereich beantworten unterschiedliche Fragen. Der sachliche Anwendungsbereich fragt, **welche Art von Umgang mit Daten** die DSGVO regelt und welche Lebensbereiche sie bewusst ausspart. Der räumliche Anwendungsbereich fragt, **welche Stellen und welche grenzüberschreitenden Konstellationen** an die europäischen Vorgaben gebunden sind. Erst wenn beide Bereiche eröffnet sind, kommt es auf Rechtsgrundlage und Grundsätze der Verarbeitung an.

<Cards>
  <Card title="Sachlicher Anwendungsbereich" href="/docs/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo/1.3.1.1-sachlicher-anwendungsbereich" description="Art. 2 DSGVO: automatisierte und dateibasierte Verarbeitung, Bereichsausnahmen, Haushaltsprivileg, öffentlicher und nichtöffentlicher Bereich." />

  <Card title="Räumlicher Anwendungsbereich" href="/docs/dsgvo-hub/einzelthemen/anwendungsbereich-der-dsgvo/1.3.1.2-raeumlicher-anwendungsbereich" description="Art. 3 DSGVO: Niederlassungsprinzip, Marktortprinzip, Beobachtung des Verhaltens, Flaggen- und Vertretungskonstellationen." />
</Cards>

## 2 Einordnung in die Prüfung [#2-einordnung-in-die-prüfung]

Der Anwendungsbereich ist die erste Weiche jeder datenschutzrechtlichen Prüfung. Solange er nicht eröffnet ist, stellt sich die Frage nach einer [Rechtsgrundlage](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung) oder nach den [Grundsätzen der Verarbeitung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung) nicht. Ob überhaupt personenbezogene Daten betroffen sind, klärt sich über den Begriff der [personenbezogenen Daten](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten); ob eine Verarbeitung vorliegt, über den Begriff der [Verarbeitung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung). Diese Tatbestandsmerkmale sind dem Anwendungsbereich vorgelagert und werden dort vertieft.


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.