Der Anwendungsbereich der DSGVO bezieht sich sachlich wie bisher auf Datenverarbeitungsvorgänge die personenbezogene Daten umfassen. Diese Verarbeitungsvorgänge sind dann umfasst, wenn sie entweder ganz oder teilweise automatisiert erfolgen. Oder sie erfolgen zwar nicht automatisiert, die Daten werden aber auf einem Dateisystem gespeichert. Da mittlerweile fast alle Daten elektronisch erfasst werden, ist daher der Anwendungsbereich der DSGVO sehr weit zu sehen, so dass faktisch alle Datenverarbeitungsvorgänge erfasst werden.

Der Anwendungsbereich der DSGVO bezieht sich räumlich künftig einerseits auf Datenverarbeitungsvorgänge von Unternehmen die Sitz oder Niederlassung in der EU haben sowie andererseits auf – und das ist eine vollständige neue Regelung – die Person, deren personenbezogene Daten erhoben werden, wenn diese sich in der EU befindet (auf den Wohnsitz in der EU kommt es dabei nicht an) und dieser Person Waren oder Dienstleistungen angeboten werden (Marktortprinzip) oder das Verhalten dieser Person beobachtet wird. Für die Anwendbarkeit des Kriteriums „Aufenthaltsort“ kommt es dabei auf die Ausrichtung des jeweiligen Angebotes an.

Im Verhältnis zu anderen nationalen Gesetzen hat die DSGVO direkten Gesetzesrang und geht daher im Regelungsbereich des Datenschutzes den nationalen Gesetzen vor beziehungsweise ersetzt diese, wie das bisherige Bundesdatenschutzgesetz. Andere Gesetze, die den Datenschutz nur am Rande betreffen beziehungsweise – wie das IT Sicherheitsgesetz – technisch sichere Ausgestaltungen von IT Infrastrukturen betreffen, bleiben von der DSGVO unberührt beziehungsweise ergänzen diese, da zum Beispiel Art. 25 DSGVO den Datenschutz durch Technikgestaltung regelt und damit Gesetze, die die Datensicherheit betreffen, mit den Regelungen der DSGVO verknüpft.

Nur für gewisse Ausnahmebereiche wird es auch künftig eine nationale Regelung zum Datenschutz geben; der Entwurf des BDSG-Neu umfasst zum Beispiel den Arbeitnehmerdatenschutz und den Datenschutz der Behörden allgemein und der Strafverfolgungsbehörden, da hier die DSGVO ausdrücklich Raum für nationale Regelungen gelassen hat.

Eine weitere Ebene der Verbindung zu anderen IT nahen Regelungen ergibt sich unter anderem im Bereich der Zertifizierung, die zur Absicherung von Datenschutzprozessen in der DSGVO eine sehr große Rolle spielt und damit eine Verbindung zum Beispiel zu den Anforderungen der ISO 27001 herstellt, da auch dort Prozesse dokumentiert und geprüft sowie Risiken eingeschätzt und mit Maßnahmen belegt werden, wie es nach der DSGVO zum Beispiel im Rahmen der Datenschutz-Risikoabschätzung gleichfalls erforderlich ist. Hier kann für die Dokumentation der Maßnahmen nach der DSGVO auf die Erfahrungen und Tools der ISO Zertifizierung zurückgegriffen werden, da es hier – teilweise sogar bereits auf die DSGVO zugeschnittene – entsprechende Software gibt.