DSGVO - BDSG - TTDSG

Art. 2 Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

1 a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

2 b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

3 c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

4 d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.

(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Mit der Norm korrespondieren die Erwägungsgründe 14–21, 27.

Literatur: Albrecht, Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung CR, 2016, 88; Bergt, Die Bestimmbarkeit als Grundproblem des Datenschutzrechts – Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, 365; Bischof, Drohnen im rechtlichen Praxistest, DuD 2017, 142; Boehme-Neßler, Das Ende der Anonymität – Wie Big Data das Datenschutzrecht verändert, DuD 2016, 419; Born, Gen-Milch und Goodwill – Äußerungsrechtlicher Schutz durch das Unternehmenspersönlichkeitsrecht, AfP 2005, 110; Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, 205; Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, 155; Calliess/Ruffert (Hrsg.), EUV/AEUV, 5. Aufl., München 2016; Dieterle, Sanktionierung von Neugierabfragen im Öffentlichen Dienst, ZD 2020, 135; Dienstbühl, Anforderungen an den Einsatz von „Wildkameras“ durch Privatpersonen, CR 2019, 359; Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, 623; Ehmann, Personenaufnahmen nach der DSGVO – Mehr Klarheit, als viele befürchtet haben, ZD 2020, 65; Ernst, Zur Un-Zulässigkeit von Dashcams, CR 2015, 620; Fuchs, Verwendung privater Kameras im öffentlichen Raum – Datenschutz bei Dash-Cams, Helm-, Wildkameras & Co., ZD 2015, 212; Giesen, Dashcam-Aufnahmen im Zivilprozess, NZV 2020, 70; Gola, Neues Recht – neue Fragen: Einige aktuelle Interpretationsfragen zur DSGVO, K&R 2017, 145; Gola/Lepperhoff, Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung – Aufnahme und Umfang der Ausnahmeregelung in der DS-GVO, ZD 2016, 9; Golland, Die „private“ Datennutzung im Internet, ZD 2020, 397; Gostomzyk, Äußerungsrechtliche Grenzen des Unternehmenspersönlichkeitsrechts – Die Gen-Milch-Entscheidung des BGH, NJW 2008, 2082; Grabitz/Hilf/Nettesheim (Begr./Hrsg.), Das Recht der Europäischen Union: EUV/AEUV, Loseblatt 5/2018, München; Grzeszick, Nationale Parlamente und EU-Datenschutzgrundverordnung, NVwZ 2018, 1505, 1508; Grzeszick/Schwartmann/Mühlenbeck, Nationale Parlamente und DS-GVO: Die unzutreffende Sicht des EuGH, NVwZ 2020, 1491; Härting, Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, 2065; Hofmann/Johannes, DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs – Begriffserklärung der entscheidenden Frage des sachlichen Anwendungsbereichs, ZD 2017, 221; Hornung/Schindler/Schneider, Die Europäisierung des strafverfahrensrechtlichen Datenschutzes, ZIS 2018, 566; Kugelmann, Datenschutz bei Polizei und Justiz – Der Richtlinienvorschlag der Kommission, DuD 2012, 581; Kühling/Klar, Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2013, 3611; Kühling/Martini u.a., Die Datenschutzgrundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, Münster 2016; Kühling/Schildbach, Corona-Apps – Daten- und Grundrechtsschutz in Krisenzeiten, NJW 2020, 1545; Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation (GDPR), Oxford 2018; Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Baden-Baden 2016; Martens, Anwendungsbereich des Entwurfs der Datenschutz-Grundverordnung im öffentlichen Bereich, PinG 2015, 213; Piltz, Die Datenschutz Grundverordnung, K&R 2016, 557; Rabe, Zur Begrenzung des sachlichen Anwendungsbereichs der DSGVO – Keine Anwendung des Datenschutzrechts auf die Verarbeitung „personenbezogener Daten juristischer Personen“, K&R 2019, 464; Reif, Und noch etwas Vorratsspeicherung ... – EU-Richtlinie über die Verwendung von Fluggastdaten beschlossen, RDV 2016, 205; Richter, Macht die Anonymisierung attraktiv!, PinG 2020, 181; Roßnagel/Kroschwald, Was wird aus der Datenschutzgrundverordnung?, ZD 2014, 495; Roßnagel/Richter/Nebel, Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, 103; Saeltzer, Sind diese Daten personenbezogen oder nicht?, DuD 2004, 218; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Schröder, Anwendbarkeit der DS-GVO und des BDSG auf den Deutschen Bundestag, ZRP 2018, 129; Seidel, Dürfen Ordnungsbehörden keine Cloudlösungen mit Drittlandsbezug nutzen?, ZD 2020, 455.

Übersicht

I. Allgemeines
1. Zweck der Vorschrift

1

Art. 2 DSGVO bestimmt den sachlichen Anwendungsbereich der DSGVO durch Anknüpfung an Form und Zweck der Datenverarbeitung1 sowie das Verhältnis der DSGVO zu anderen Vorschriften. In Art. 2 Abs. 1 DSGVO findet sich dafür eine positive Bestimmung des Anwendungsbereichs für die automatisierte oder dateimäßige Verarbeitung personenbezogener Daten. Art. 2 Abs. 2 und Abs. 3 DSGVO schränken den sachlichen Anwendungsbereich durch Ausnahmeregelungen ein. Art. 2 Abs. 4 DSGVO normiert das Verhältnis der DSGVO zur eCommerce-Richtlinie.

2. Entstehungsgeschichte

2

Art. 2 DSGVO knüpft sprachlich und inhaltlich an der Vorgängerregelung in Art. 3 DSRl an. Art. 2 Abs. 1 DSGVO entspricht der Formulierung von Art. 3 Abs. 1 DSRl fast wortgleich; lediglich die Formulierung „Verarbeitung in einer Datei“ wird zu „Verarbeitung in einem Dateisystem“, ohne dass dies zu einer inhaltlichen Änderung führen würde.2 Die Ausnahmeregelungen in Art. 2 Abs. 2 DSGVO sind inhaltsgleich von Art. 3 Abs. 1 DSRl übernommen. Für Art. 2 Abs. 3 DSGVO und die darin geregelte Ausnahme der Anwendbarkeit für Organe und Einrichtungen der EU gibt es keine direkte Entsprechung in der DSRl; inhaltlich ergibt sich die Ausnahme aber auch für die DSRl daraus, dass in Art. 34 DSRl die Mitgliedstaaten und nicht die Organe und Einrichtungen der EU adressiert werden.3

3

Im Gesetzgebungsprozess war insbesondere umstritten, ob die DSGVO für die Tätigkeit der Organe und Einrichtungen der EU gelten soll. Obwohl Art. 16 Abs. 2, 1. Alt. AEUV eine Kompetenz der EU hierfür ausdrücklich vorsieht, enthielt der erste Kommissionsentwurf4 in Art. 2 Abs. 2 lit. b eine Formulierung, nach der die Datenverarbeitung durch Organe und Einrichtungen der EU nicht erfasst sein sollte. In dem Entwurf des Parlaments5 wurde diese Formulierung gestrichen und in Art. 89a eine Formulierung zum Anwendungsvorrang der DSGVO mit einer Ausnahme für speziellere Regelungen aufgenommen. In den Trilogverhandlungen einigten sich Parlament und Rat dann auf die Kompromissformulierung des aktuellen Art. 2 Abs. 3 DSGVO, wonach die einschlägigen Rechtsnormen für die Datenverarbeitung durch Organe und Einrichtungen der EU an die DSGVO angepasst werden sollen.

4

Zur Ausnahme des Anwendungsbereichs für persönliche/familiäre Zwecke in Art. 2 Abs. 2 lit. c DSGVO war zwischen Kommission und Parlament umstritten, ob entsprechend dem ersten Kommissionsentwurf6 die Ausnahme des Anwendungsbereichs auf private Tätigkeiten „ohne Gewinnerzielungsabsicht“ beschränkt sein sollte und ob die Ausnahme entsprechend dem Entwurf des Parlaments7 auch für die Veröffentlichung personenbezogener Daten an eine begrenzte Anzahl von Personen gelten sollte.8 Beide Vorschläge wurden nicht umgesetzt. In ErwG 18 wurde jedoch die Formulierung aufgenommen, dass die DSGVO nicht für persönliche oder familiäre Tätigkeiten ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gilt.

3. Verhältnis zu anderen Vorschriften

5

Während sich die sachliche Anwendbarkeit der DSGVO aus Art. 2 Abs. 1 bis 3 DSGVO ergibt, folgt der räumliche Anwendungsbereich aus Art. 3 DSGVO und der zeitliche Anwendungsbereich aus Art. 99 DSGVO. Die Anwendbarkeit mitgliedstaatlicher Datenschutzgesetze im Rahmen der Öffnungsklauseln der DSGVO ergibt sich aus diesen Gesetzen, etwa aus § 1 BDSG. Art. 2 Abs. 3 und Abs. 4 DSGVO stehen in engem Zusammenhang mit den Schlussvorschriften der DSGVO. So konkretisiert Art. 2 Abs. 3 DSGVO die Regelung in Art. 98 DSGVO. Art. 2 Abs. 4 DSGVO regelt das Verhältnis der DSGVO zur eCommerce-Richtlinie, während Art. 95 DSGVO das Verhältnis zur ePrivacy-Richtlinie und Art. 96 DSGVO das Verhältnis zu vor dem 24.5.2016 geschlossenen Übereinkünften zur Übermittlung personenbezogener Daten in Drittstaaten und an internationale Organisationen regelt. Erläuterungen und Auslegungshilfen zu Art. 2 DSGVO ergeben sich aus den ErwG 13–21 und 27.

II. Automatisierte und dateimäßige Verarbeitung (Abs. 1)

6

Aus Art. 2 Abs. 1 DSGVO ergibt sich die positive Bestimmung des Anwendungsbereichs der DSGVO, der vorbehaltlich der Ausnahmen in Art. 2 Abs. 2 DSGVO für die automatisierte Verarbeitung personenbezogener Daten und die nichtautomatisierte Verarbeitung personenbezogener Daten in Dateisystemen eröffnet ist. Damit werden technische Umstände beschrieben, die zur Anwendbarkeit der DSGVO führen.9 Entsprechend der DSRl, aber abweichend von der deutschen Konzeption der Anwendbarkeit des Datenschutzrechts, kommt es nicht auf die Tätigkeit des Verantwortlichen an (öffentlich-rechtlich oder privatrechtlich).

1. Personenbezogene Daten

7

Zentrale Anwendungsvoraussetzung der DSGVO, wie auch deren Vorgängerregelungen in Art. 3 Abs. 1 DSRl ist die Verarbeitung personenbezogener Daten. Die Feststellung, dass Daten Gegenstand eines Verarbeitungsvorgangs sind, ist regelmäßig nicht mit Problemen verbunden. Zur „Gretchen-“10 bzw. „Kardinalfrage“11 wird jedoch die Feststellung des Bestehens eines Personenbezugs der verarbeiteten Daten. Personenbezogen sind Daten gemäß der Legaldefinition in Art. 4 Nr. 1 DSGVO (siehe Art. 4 Rn. 2ff.), wenn darin Informationen enthalten sind, die sich auf eine identifizierte oder identifizierbare Person beziehen. Diese zentrale Frage des Datenschutzrechts ist Gegenstand intensiver Diskussionen, die sich im Kern darum drehen, wer die Kenntnis haben muss, um eine Information einer natürlichen Person zuzuordnen.12 Nach der relativen Theorie des Personenbezugs muss dies der Verantwortliche selbst sein, nach der absoluten Theorie reicht auch die Kenntnis eines Dritten.13 Zudem ist umstritten, mit welchem Grad an Wahrscheinlichkeit eine Identifizierung möglich sein muss (siehe Art. 4 Rn. 8ff.). Aus Erwägungsgrund 14 Satz 2 folgt, dass personenbezogene Daten einer juristischen Person nicht in den Anwendungsbereich der DSGVO fallen sollen (siehe Art. 4 Rn. 16).14

2. Ganz oder teilweise automatisierte Verarbeitung

8

Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legaldefiniert und umfasst mit Hilfe automatisierter Verfahren ausgeführten Umgang mit personenbezogenen Daten (siehe Art. 4 Rn. 60ff.). Damit knüpft die DSGVO am Begriffsverständnis der DSRl und nicht an den Ansatz des deutschen Datenschutzrechts mit einem schematischen Phasenmodell der Verarbeitungsschritte (Erhebung, Speicherung, Verarbeitung, Nutzung, Löschung) an. Der Anwendungsbereich der DSGVO wird damit hinsichtlich der technischen Umstände maximal weit und technologieneutral bestimmt,15 indem letztlich jeder Umgang mit personenbezogenen Daten erfasst wird.

9

Wann eine Verarbeitung automatisiert erfolgt, ist in der DSGVO nicht legaldefiniert und technikneutral zu verstehen.16 Automatisiert ist eine Verarbeitung mit Funktionsabläufen, die nach vorgegebenen Parametern ohne Mitwirkung eines Menschen arbeitet. Vom Anwendungsbereich der DSGVO sind neben ganz automatisierten Verarbeitungen auch teilweise automatisierte Verarbeitungen erfasst. Es ist daher unerheblich für die Eröffnung des sachlichen Anwendungsbereichs der DSGVO, ob einzelne Schritte einer im Übrigen automatisierten Verarbeitungsreihe durch Menschen vollzogen werden, etwa die vorgelagerte manuelle Erhebung personenbezogener Daten,17 Auswertungen oder Zwischenschritte eines Geschäftsprozesses. In den Anwendungsbereich der DSGVO fallen damit alle ganz oder teilweise rechnergestützten Verarbeitungen personenbezogener Daten.18 Ob die personenbezogenen Daten dabei strukturiert gespeichert sind, ist unerheblich.19

3. Nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem

10

Die DSGVO findet auch auf die nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem Anwendung. Nichtautomatisiert ist eine rein manuelle Verarbeitung.20 Der Begriff Dateisystem ist in Art. 4 Nr. 6 DSGVO legaldefiniert (siehe Art. 4 Rn. 160ff.) und umfasst strukturierte Datensammlungen, in denen Informationen nach bestimmten Kriterien zugänglich sind. Damit wird der Anwendungsbereich auf nicht digitale Inhalte erstreckt, wie Akten, Aktensammlungen und dazugehörige Deckblätter, die dieses Kriterium erfüllen.21 Die Intention für die Erstreckung des Anwendungsbereichs über klassische rechnergestützte Verarbeitungen hinaus ist es, die technologieneutrale Anwendbarkeit des Datenschutzrechts sicherzustellen, die Gefahr von Umgehungen des Datenschutzrechts zu vermeiden und einen umfassenden Schutz der Betroffenen zu gewährleisten.22

11

Damit nichtautomatisierte, dateibezogene Verarbeitungen in den Anwendungsbereich der DSGVO fallen, muss ihr Inhalt nach Kriterien strukturiert sein, die den Zugriff erleichtern. In der Legaldefinition eines Dateisystems in Art. 4 Nr. 6 DSGVO wird dafür der Plural verwendet („Kriterien“). Dennoch wird teilweise angenommen, dem Sinn und Zweck der Norm folgend sei es auch hinreichend, wenn die Strukturierung nur anhand eines Kriteriums erfolge.23 Aufgrund des insofern klaren Wortlauts ist aber die Gegenauffassung überzeugend, nach der mindestens zwei Kriterien zur Strukturierung genutzt werden müssen, damit ein Dateisystem vorliegt.24 Da praktisch jede aktenmäßige Informationssammlung nach bestimmten Kriterien strukturiert ist, etwa durch eine chronologische oder alphabetische Abheftung, nach dem Sinn der Norm aber gewisse nicht digitale Akten vom Anwendungsbereich der DSGVO ausgeschlossen sein sollen, wird vertreten, das Tatbestandsmerkmal der Strukturierung sei teleologisch einschränkend auszulegen. Um den Anwendungsbereich der DSGVO für nichtautomatisierte Verarbeitungen zu eröffnen, müsste sich daher aus der Struktur unmittelbar die Zugriffsmöglichkeit auf personenbezogene Informationen ergeben.25 Dass es dieser teleologischen Reduktion bedarf, ist jedoch nicht zwingend. Zum einen ist der Anwendungsbereich der DSGVO bewusst weit gefasst und zum anderen ergibt sich ein Ausschluss dateibezogener Verarbeitungen, soweit diese nur nach einem Kriterium strukturiert sind.

12

Für den Beschäftigtendatenschutz hat der deutsche Gesetzgeber mit § 26 Abs. 7 BDSG entsprechend der ursprünglichen deutschen Rechtslage den Anwendungsbereich auch auf Verarbeitungen außerhalb von Dateisystemen erstreckt (siehe § 26 BDSG Rn. 101). Zum erweiterten Anwendungsbereich für deutsche öffentliche Stellen siehe § 1 BDSG Rn. 8f.

III. Ausnahmen vom Anwendungsbereich (Abs. 2 und Abs. 3)

13

Art. 2 Abs. 2 und Abs. 3 DSGVO normieren Ausnahmen von der sachlichen Anwendbarkeit der DSGVO für Bereiche, die spezialgesetzlich geregelt sind, für die der Gesetzgeber keinen Regelungsbedarf gesehen hat oder die nicht in die Regelungskompetenzen der Union fallen.26 Über die Fälle der Art. 2 Abs. 2 und Abs. 3 DSGVO hinaus gibt es nicht ausdrücklich normierte, aber sich aus dem Schutzzweck der DSGVO ergebende Ausnahmen von der Anwendbarkeit. So fällt etwa die Verarbeitung personenbezogener Daten durch die betroffene Person selbst nicht in den Anwendungsbereich der DSGVO.27 Soweit eine Ausnahme des Anwendungsbereichs nach Art. 2 Abs. 2 DSGVO besteht, schließt dies den Erlass datenschutzrechtlicher Regelungen durch die Mitgliedstaaten für diese Bereiche nicht aus.28

1. Fehlender Anwendungsbereich des Unionsrechts (Abs. 2 lit. a)

14

Art. 2 Abs. 2 lit. a DSGVO schließt die Anwendbarkeit der DSGVO für Tätigkeiten aus, die nicht in den Anwendungsbereich des Unionsrechts fallen. Diese Rechtsfolge ergibt sich auch schon aus dem vorrangig anwendbaren Art. 16 Abs. 2 AEUV. Die Regelung ist also rein deklaratorisch.29 Kompetenzen der Union ergeben sich aus dem Primärrecht, namentlich Art. 3 bis Art. 6 AEUV und werden weit ausgelegt,30 ohne dass sie jedoch aus eigener Kompetenz der Union erweitert werden könnten (Prinzip der begrenzten Einzelermächtigung).31 Nicht in den Anwendungsbereich der DSGVO fallen insbesondere Tätigkeiten der Streitkräfte und Nachrichtendienste der Mitgliedstaaten.32 Für die Tätigkeit mitgliedstaatlicher Parlamente im Rahmen parlamentarischer Tätigkeiten wurde ursprünglich herrschend angenommen, diese unterfalle nicht der Anwendung des Unionsrechts und sei daher vom Anwendungsbereich der DSGVO nicht erfasst.33 Der EuGH hat hierzu entschieden, dass auch nationale Parlamente (im relevanten Fall der Petitionsausschuss des hessischen Landtags) verantwortliche Stellen im Anwendungsbereich der DSGVO sind.34

2. Anwendungsbereich von Titel V Kap. 2 EUV (Abs. 2 lit. b)

15

Nach Art. 2 Abs. 2 lit. b DSGVO findet die DSGVO keine Anwendung auf Datenverarbeitungen der Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik sowie des gemeinsamen auswärtigen Handelns der Union gemäß Titel V Kapitel 2 EUV. Die Regelung in Art. 2 Abs. 2 lit. b DSGVO ist deklaratorisch und stellt klar, dass die DSGVO hier keine Anwendung findet.35 Die Kompetenz zum Erlass entsprechender Regelungen zum Schutz personenbezogener Daten ergibt sich anders als die Kompetenz zum Erlass der DSGVO nicht aus Art. 16 Abs. 2 AEUV, sondern aus Art. 39 EUV. Sie begründet eine Zuständigkeit des Rates in der Form des Beschlusses ohne Beteiligung des Parlaments.36 Für den Bereich der gemeinsamen Außen- und Sicherheitspolitik sowie des gemeinsamen auswärtigen Handelns der Union gibt es kein allgemeines, der DSGVO vergleichbares Regelungswerk zum Datenschutz, sondern nur einzelfallbezogenen Regelungen.37