Der materiellen und territorialer Umfang ist in Art. 2 DSGVO und Art. 3 DSGVO definiert.
Materieller Geltungsbereich
Die DSGVO gilt für die Verarbeitung personenbezogener Daten
- (ganz oder teilweise) mit automatisierten Mitteln (z.B. Computer, Mobiltelefone, Wearables)
- nicht automatisierte Mittel, die Teil eines Ablagesystems sind und nach bestimmten Kriterien strukturiert sind (z.B. alphabetische Reihenfolge, chronologische Reihenfolge usw.)
Territorialer Geltungsbereich
Die DSGVO gilt für die folgenden Situationen:
- Wenn personenbezogene Daten im Rahmen der Tätigkeiten der Niederlassung eines Verantwortlichen/Verarbeiters (Auftragsverarbeiter) in der EU verarbeitet werden.
- Es spielt keine Rolle, ob die Verarbeitung selbst in der EU stattfindet oder nicht.
- Wenn ein Datenschutzverantwortlicher (Verantwortliche)/Verarbeiter, der nicht in der EU niedergelassen ist, die personenbezogenen Daten von Personen in der EU verarbeitet, und es bezieht sich auf:
- das Angebot von Waren/Dienstleistungen an sie (unabhängig davon, ob eine Zahlung erforderlich ist) oder
- die Überwachung ihres Verhaltens (soweit ihr Verhalten innerhalb der EU stattfindet)
Die Nationalität der Personen spielt dabei keine Rolle. Die Regel gilt für jeden, der sich im Gebiet der EU aufhält.