Was fällt unter die DSGVO?
Februar 2026
Viele Unternehmer fragen sich: Betrifft mich die DSGVO überhaupt? Die Antwort lautet in den allermeisten Fällen: Ja. Die Datenschutz-Grundverordnung greift deutlich weiter, als viele vermuten. Sobald Sie personenbezogene Daten verarbeiten, müssen Sie die DSGVO beachten. Und das tun Sie mit ziemlicher Sicherheit bereits.
Sachlicher Anwendungsbereich: Welche Datenverarbeitungen fallen unter die DSGVO?
Die Datenschutz-Grundverordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Das klingt kompliziert, bedeutet aber: Sobald Sie einen Computer, ein Smartphone oder auch nur eine Excel-Tabelle nutzen, um personenbezogene Daten zu erfassen, greift die DSGVO.
Automatisierte Verarbeitung meint dabei jeden Vorgang mit technischen Hilfsmitteln: E-Mails versenden, Kundendatenbanken führen, Bewerbungsunterlagen digital speichern oder Website-Besucher per Cookie tracken.
Aber auch nichtautomatisierte Verarbeitungen fallen darunter, wenn Sie die Daten strukturiert ablegen. Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Selbst handschriftliche Bewerbungsordner oder Aktendeckblätter mit Namen können darunter fallen, wenn Sie diese systematisch organisieren.
Da jedes Unternehmen regelmäßig mindestens die Mitarbeiterdaten für die Lohnabrechnung erfasst und verarbeitet und sicherlich auch eine Kundendatenbank hat, ist der sachliche Anwendungsbereich der DSGVO erfüllt.
Was sind personenbezogene Daten: Mehr als nur Name und Adresse
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet: Alles, was Rückschlüsse auf eine echte Person zulässt. Dazu zählen beispielsweise Name, Adresse, Telefonnummer, Autokennzeichen oder auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.
Auch E-Mail-Adressen, Geburtsdaten, Bankverbindungen, Standortdaten, Fotos, auf denen Personen erkennbar sind, oder selbst technische Daten wir Gerätedaten gehören dazu, wenn Sie genug Informationen haben, um eine Person gegenüber einer Gruppe auszusondern. Ein Beispiel wäre eine Kennnummer wie eine UID oder eine Tracking-ID, welche ein bestimmtes Endgerät gegenüber anderen identifizierbar macht.
Räumlicher Anwendungsbereich: Auch ohne EU-Niederlassung betroffen
Hier wird es besonders wichtig für Unternehmen, die international agieren oder Kunden in der EU haben. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
Das Niederlassungsprinzip greift also, wenn Ihr Unternehmen eine Niederlassung in der EU hat. Dann gilt die DSGVO, selbst wenn Sie die Daten auf einem Server in den USA speichern.
Noch wichtiger ist das Marktortprinzip: Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
Konkret bedeutet das: Selbst wenn Sie als US-amerikanisches, schweizerisches oder asiatisches Unternehmen keine EU-Niederlassung haben, müssen Sie die DSGVO einhalten, sobald Sie Waren oder Dienstleistungen an Personen in der EU verkaufen oder deren Verhalten beobachten. Das erfasst beispielsweise Online-Shops, SaaS-Anbieter oder Social-Media-Plattformen.
Persönlicher Anwendungsbereich: Nur natürliche Personen sind geschützt
Ein wichtiger Punkt: Die DSGVO verfolgt einen besonders restriktiven Ansatz und schützt ausschließlich natürliche Personen, also Menschen, vor der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten. Unternehmen, Vereine und andere juristische Personen bleiben außen vor.
Das bedeutet: Wenn Sie Daten eines Unternehmens verarbeiten, etwa die Firmierung einer GmbH, greift die DSGVO nicht. Aber Vorsicht: Die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, stellt eine Verarbeitung personenbezogener Daten dar.
Wenn Sie also den Namen des Geschäftsführers, die E-Mail-Adresse eines Ansprechpartners oder die Telefonnummer eines Vertriebsmitarbeiters speichern, verarbeiten Sie personenbezogene Daten natürlicher Personen. Und dann greift die DSGVO wieder vollumfänglich.
Wichtige Ausnahmen: Wann die DSGVO nicht gilt
Die DSGVO findet keine Anwendung auf
die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
Tätigkeiten außerhalb des Unionsrechts betreffen etwa Bereiche der nationalen Sicherheit, die nicht in den Kompetenzbereich der EU fallen.
Titel V Kapitel 2 EUV umfasst die Gemeinsame Außen- und Sicherheitspolitik (GASP) der EU. Datenverarbeitungen im Rahmen dieser Politikbereiche unterliegen nicht der DSGVO.
Strafverfolgung und Gefahrenabwehr durch zuständige Behörden wie Polizei, Staatsanwaltschaften oder Justizvollzugsanstalten fallen ebenfalls nicht unter die DSGVO. Für diesen Bereich gilt stattdessen eine spezielle Richtlinie, die in Deutschland durch eigene Gesetze umgesetzt wurde.
Haushaltsausnahme: Hierunter fällt beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten. Wenn Sie also privat eine Geburtstagsfeier organisieren und dafür eine Gästeliste führen, müssen Sie keine Datenschutzerklärung verfassen.
Aber Vorsicht bei Social-Media-Veröffentlichungen: Der EuGH hat klargestellt, dass eine Verarbeitung, wodurch personenbezogene Daten einer unbestimmten Zahl von Personen zugänglich gemacht wurden, nicht im Rahmen der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt. Die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite oder öffentlichen Social-Media-Profilen fällt nicht unter die Haushaltsausnahme.
Wenn Sie Urlaubsfotos auf Ihrem öffentlichen Instagram-Profil posten oder Partybilder auf Facebook mit Hunderten von Followern teilen, gehen Sie aus dem privaten Bereich hinaus. Die DSGVO kann dann wieder anwendbar sein. Geschlossene WhatsApp-Gruppen mit Freunden oder passwortgeschützte Bereiche hingegen bleiben im privaten Rahmen.
Sobald Sie geschäftlich agieren, auch nur nebenberuflich oder als Kleinunternehmer, greift die DSGVO. Selbst Vereine und Freiberufler müssen die DSGVO beachten.
Warum der weite Anwendungsbereich für Ihr Unternehmen relevant ist
Der weite Anwendungsbereich der DSGVO ist kein Zufall. Er spiegelt die Realität wider: Datenverarbeitung ist allgegenwärtig. Jedes E-Mail-Programm, jede Kundendatenbank, jede Website mit Kontaktformular verarbeitet personenbezogene Daten.
Viele mittelständische Unternehmen und Startups unterschätzen, wie schnell sie in den Anwendungsbereich fallen. Schon eine simple Newsletter-Anmeldung auf Ihrer Website genügt. Bewerbungsunterlagen in einem digitalen Ordner? DSGVO. Kundenkontakte im CRM-System? DSGVO. Mitarbeiterdaten in der Lohnbuchhaltung? DSGVO.
Die gute Nachricht: Wenn Sie die DSGVO von Anfang an richtig umsetzen, schaffen Sie Vertrauen bei Kunden, Geschäftspartnern und Mitarbeitern. Transparenter Umgang mit Daten wird zunehmend zum Qualitätsmerkmal. Unternehmen, die Datenschutz ernst nehmen, positionieren sich als verlässliche Partner in einem sensiblen Marktumfeld.
Sie möchten klären, ob und wie die DSGVO für Ihr Geschäftsmodell gilt? MAINLY unterstützt mittelständische Unternehmen und Startups mit pragmatischen Lösungen: von der ersten Analyse des Anwendungsbereichs bis zur vollständigen rechtssicheren Umsetzung der DSGVO-Anforderungen.
