Sachlicher Anwendungsbereich (Art. 2)
Alle privaten und öffentlichen Unternehmen und Einrichtungen sind verpflichtet, die Vorgaben der EU DS-GVO zu erfüllen. Auch kleine und kleinste Unternehmen müssen sich daran halten. Sie sind lediglich von einigen Formvorschriften ausgenommen.
Die einzigen, für die diese Verordnung nicht gilt, sind Polizei- und Justizbehörden.
In der EU-DSGVO geht es um den Schutz der Daten natürlicher Personen. Daten, die ganz oder teilweise automatisiert verarbeitet werden und auch Daten, die in Papierform irgendwo abgelegt sind, sind zu schützen.
Worum es nicht geht, sind Firmendaten. Wenn hier irgendwelche Informationen durchsickern, ist es nicht Sache der Datenschutz-Grundverordnung, sondern eine zivilrechtliche Angelegenheit.
Räumlicher Anwendungsbereich (Art. 3)
Es gilt das sogenannte „Marktortprinzip“. Damit ist nicht nur derjenige dazu verpflichtet, sich an die Europäische Datenschutz-Grundverordnung zu halten, der seinen Firmensitz innerhalb der Union hat, sondern auch jeder, der Waren und Dienstleistungen hier anbietet, der eine Niederlassung im Gebiet der Europäischen Union hat oder jemanden hat, der für ihn Daten im Auftrag bei uns verarbeitet.
Aber auch, wenn die Daten nicht innerhalb der EU verarbeitet werden – sobald es eine Niederlassung gibt, oder Geschäfte im Gebiet der EU abgewickelt werden, gilt die EU DS-GVO.
Das Gleiche gilt auch für alle, die das Verhalten von Betroffenen innerhalb der Union beobachten. Mit der sogenannte „Facebook-Klausel“ muss jeder, der eine Internetseite besucht, die Möglichkeit haben zu entscheiden ob er will, dass seine Informationen beispielsweise auch in Facebook gespeichert werden oder nicht.