BDSG E-Book

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

Einleitung

Teil 1 Gemeinsame Bestimmungen

Kapitel 1 Anwendungsbereich und Begriffsbestimmungen

§ 1 Anwendungsbereich des Gesetzes

§ 2 Begriffsbestimmungen

Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen

§ 4 Videoüberwachung öffentlich zugänglicher Räume

Kapitel 3 Datenschutzbeauftragte öffentlicher Stellen

§ 5 Benennung

§ 6 Stellung

§ 7 Aufgaben

Kapitel 4 Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

§ 8 Errichtung

§ 9 Zuständigkeit

§ 10 Unabhängigkeit

§ 11 Ernennung und Amtszeit

§ 12 Amtsverhältnis

§ 13 Rechte und Pflichten

§ 14 Aufgaben

§ 15 Tätigkeitsbericht

§ 16 Befugnisse

Kapitel 5 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union

§ 17 Anwendungsbereich und Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle

§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder

§ 19 Zuständigkeiten

Kapitel 6 Rechtsbehelfe

§ 20 Gerichtlicher Rechtsschutz

§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der europäischen Kommission

Teil 2 Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679

Kapitel 1 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Abschnitt 1 Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken

Abschnitt 2 Besondere Verarbeitungssituationen

Kapitel 2 Rechte der betroffenen Person

§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

§ 34 Auskunftsrecht der betroffenen Person

§ 35 Recht auf Löschung

§ 36 Widerspruchsrecht

§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Kapitel 3 Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen

§ 39 Akkreditierung

Kapitel 4 Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen

§ 40 Aufsichtsbehörden der Länder

Kapitel 5 Sanktionen

§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren

§ 42 Strafvorschriften

§ 43 Bußgeldvorschriften

Kapitel 6 Rechtsbehelfe

§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter

Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

Kapitel 1 Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

§ 45 Anwendungsbereich

§ 46 Begriffsbestimmungen

§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten

§ 49 Verarbeitung zu anderen Zwecken

§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

§ 51 Einwilligung

§ 52 Verarbeitung auf Weisung des Verantwortlichen

§ 53 Datengeheimnis

§ 54 Automatisierte Einzelentscheidung

Kapitel 3 Rechte der betroffenen Person

§ 55 Allgemeine Informationen zu Datenverarbeitungen

§ 56 Benachrichtigung betroffener Personen

§ 57 Auskunftsrecht

§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person

§ 60 Anrufung der oder des Bundesbeauftragten

§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit

Kapitel 4 Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 62 Auftragsverarbeitung

§ 63 Gemeinsam Verantwortliche

§ 64 Anforderungen an die Sicherheit der Datenverarbeitung

§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten

§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

§ 67 Durchführung einer Datenschutz-Folgenabschätzung

§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten

§ 69 Anhörung der oder des Bundesbeauftragten

§ 70 Verzeichnis von Verarbeitungstätigkeiten

§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen

§ 74 Verfahren bei Übermittlungen

§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung

§ 76 Protokollierung

§ 77 Vertrauliche Meldung von Verstößen

Kapitel 5 Datenübermittlungen an Drittstaaten und an internationale Organisationen

§ 78 Allgemeine Voraussetzungen

§ 79 Datenübermittlung bei geeigneten Garantien

§ 80 Datenübermittlung ohne geeignete Garantien

§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten

Kapitel 6 Zusammenarbeit der Aufsichtsbehörden

§ 82 Gegenseitige Amtshilfe

Kapitel 7 Haftung und Sanktionen

§ 83 Schadensersatz und Entschädigung

§ 84 Strafvorschriften

Teil 4 Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

Literaturverzeichnis (Kommentare/Monographien)

Stichwortverzeichnis A

Stichwortverzeichnis B

Stichwortverzeichnis C

Stichwortverzeichnis D

Stichwortverzeichnis E

Stichwortverzeichnis G

Stichwortverzeichnis I

Stichwortverzeichnis K

Stichwortverzeichnis M

Stichwortverzeichnis O

Stichwortverzeichnis P

Stichwortverzeichnis R

Stichwortverzeichnis S

Stichwortverzeichnis V

Stichwortverzeichnis W

Vorwort

Mit der EU-Datenschutz-Grundverordnung (DSGVO)1 wird das Datenschutzrecht in Europa vereinheitlicht und zum ersten Mal auf ein in jedem Mitgliedstaat unmittelbar anwendbares Gesetz gestützt. Dennoch verbleiben den Mitgliedstaaten über die Öffnungs- bzw. Spezifizierungsklauseln der DSGVO zum Teil äußerst praxisrelevante Abweichungsbefugnisse. Der deutsche Gesetzgeber hat sich in diesem Zuge zur Schaffung eines gänzlichen neuen BDSG entschieden.

Dieser Praxiskommentar soll insbesondere den im neuen BDSG erwähnten nichtöffentlichen Stellen, also Unternehmen, Verbänden, Vereinen und anderen privatwirtschaftlichen Organisationen, als praxisbezogene Kommentierung dienen, um in der entstehenden Komplexität des Zusammenspiels von DSGVO und BDSG, also europäischen und nationalen Regelungen, den Blick für das Wesentliche zu wahren.

Bereits in meiner Funktion als Sachverständiger in der Anhörung des Innenausschusses des Bundestages zum Entwurf des neuen BDSG im März 2017 hatte ich an mehreren Stellen auf die rechtliche Unsicherheit verwiesen, die einige Regelungen des BDSG bei den Anwendern, sowohl in der Wirtschaft aber auch auf Seiten der Betroffenen, hervorrufen werden. Das finale Gesetz wurde, im Vergleich zum Entwurf, an einigen Stellen angepasst und zum Teil klar europarechtswidrige Normen wurden geändert oder gestrichen. Dies ist aus Sicht der Praxis zu begrüßen. Dennoch bergen weiterhin mehrere der neuen Regeln des BDSG das Risiko einer Europarechtswidrigkeit in sich. Diese Unsicherheit auf Seiten der Rechtsanwender wird final wohl erst mit entsprechenden Entscheidungen des EuGH, so es denn zu diesen kommt, beseitigt werden können. Andererseits ist dem Gesetzgeber zuzugestehen, dass er soweit als möglich die „alte Linie“ des BDSG beibehalten und bewährte Regelungen in das neue Datenschutzrecht retten wollte. Viele der nun im BDSG vorhandenen Vorgaben sollten datenverarbeitenden Stellen daher bereits bekannt sein.

Ich hoffe, dass ich den Ratsuchenden und sich teilweise durch das Dickicht der datenschutzrechtlichen Regelungen Kämpfenden mit diesem Kommentar wertvolle, praktische und zielführende Anregungen, Erläuterungen und auch Lösungen liefern kann. Auch ich selbst habe bei der Erstellung des Kommentars und auch in meiner praktischen beratenden Arbeit jeden Tag neue Probleme entdeckt und interessante Erkenntnisse gewonnen. Gerade in den nächsten Jahren dürfte sich für alle mit dem Datenschutzrecht auf die ein oder andere Weise befassten Stellen das Sprichwort bewahrheiten: Man lernt nie aus. In diesem Sinne wünsche ich Ihnen eine angenehme und anregende Lektüre und Arbeit mit diesem Werk.

Für die unendliche Geduld und mir eröffneten Freiräume, die für die Erstellung dieses Kommentars erforderlich waren, möchte ich herzlich meiner Frau und meinem Sohn danken. Ihnen ist dieses Werk gewidmet.

Berlin, September 2017

Dr. Carlo Piltz

1

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Abkürzungsverzeichnis

aA

andere Ansicht

Abs.

Absatz

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

aF

alte Fassung

AkkStelleG

Akkreditierungsstellengesetz

AO

Abgabenordnung

ArbG

Arbeitsgericht

ArbRAktuell

Arbeitsrecht Aktuell

Art.

Artikel

Aufl.

Auflage

BAG

Bundesarbeitsgericht

BauGB

Baugesetzbuch

BayLDA

Bayerisches Landesamt für Datenschutzaufsicht

BDSG

Bundesdatenschutzgesetz in der Fassung des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) vom 30. Juni 2017 (BGBl. I S. 2097)

BDSG aF

Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist

Beschl.

Beschluss

BfDI

Bundesbeauftragte/r für Datenschutz und Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BGBl.

Bundesgesetzblatt

BGH

Bundesgerichtshof

BRAO

Bundesrechtsanwaltsordnung

BR-Drs.

Bundesratdrucksache

BT-Drs.

Bundestagdrucksache

BVerwG

Bundesverwaltungsgericht

bzw.

beziehungsweise

DAkkS

Deutsche Akkreditierungsstelle

DSAnpUG-EU

Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU)

DSB

Datenschutzbeauftragte/r

DSGVO

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

DSRL

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

e.V.

eingetragener Verein

Ed.

Edition

EDSA

Europäischer Datenschutzausschuss

EGMR

Europäischer Gerichtshof für Menschenrechte

EMRK

Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten

ErwG

Erwägungsgrund

EU

Europäische Union

EuGH

Gerichtshof der Europäischen Union

EUR

Euro

EUV

Vertrag über die Europäische Union in der Fassung des Vertrags von Lissabon, 13.12.2007

EuZW

Europäische Zeitschrift für Wirtschaftsrecht

EWR

Der Europäische Wirtschaftsraum

f.

folgende

ff.

fortfolgende

Fn.

Fußnote

GewO

Gewerbeordnung

GG

Grundgesetz

GrCH

Charta der Grundrechte der Europäischen Union, 2010/C 83/02

GVG

Gerichtsverfassungsgesetz

GWB

Gesetz gegen Wettbewerbsbeschränkungen

HS

Halbsatz

ieS

im eigentlichen Sinn

iRd

im Rahmen des

iSd

im Sinne des

iSv

im Sinne von

iVm

in Verbindung mit

JI-RL

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgungvon Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

K&R

Kommunikation und Recht

krit.

kritisch

LAG

Landesarbeitsgericht

LfDI

Landesbeauftragte/r für Datenschutz und Informationsfreiheit

LG

Landgericht

LT-Drs.

Landtagdrucksache

mwN

mit weiteren Nachweisen

NJW

Neue Juristische Wochenschrift

NJW-Spezial

Neue Juristische Wochenschrift Spezial

Nr.

Nummer

NVwZ

Neue Zeitschrift für Verwaltungsrecht

NZA

Neue Zeitschrift für Arbeitsrecht

OLG

Oberlandesgericht

OVG

Oberverwaltungsgericht

OWiG

Gesetz über Ordnungswidrigkeiten

PinG

Privacy in Germany

Rn.

Randnummer

Rz.

Randziffer

SGB

Sozialgesetzbuch

StGB

Strafgesetzbuch

StPO

Strafprozessordnung

Urt.

Urteil

VG

Verwaltungsgericht

vgl.

vergleiche

VwGO

Verwaltungsgerichtsordnung

VwVfG

Verwaltungsverfahrensgesetz

VwVG

Verwaltungs-Vollstreckungsgesetz

WpÜG

Wertpapiererwerbs- und Übernahmegesetz

z.B.

zum Beispiel

ZD

Zeitschrift für Datenschutz

ZPO

Zivilprozessordnung

Einleitung

Übersicht

I. Einleitung

Das Ziel der EU-Datenschutz-Grundverordnung (DSGVO)1 ist die Vollharmonisierung der Regelungen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten der Europäischen Union (EU).2 Die oft zitierte Zielvorgabe „One continent, one law“ wird jedoch mit der DSGVO nicht in Gänze erreicht. Zwar wird ab dem 25.5.2018 ein unmittelbar anwendbares „Datenschutzgesetz“ in der EU existieren. Jedoch erlaubt es die DSGVO den Mitgliedstaaten an vielen Stellen weiterhin, nationale Regelungen vorzusehen. Die DSGVO ähnelt in Teilen daher eher einer europäischen Richtlinie, deren Regelungen nicht unmittelbar anwendbar sind, sondern erst nationalstaatlich umgesetzt werden müssen.3 Über diese in der DSGVO enthaltenen Öffnungsklauseln, die zum Teil einen obligatorischen Regelungsauftrag erteilen, zum Teil fakultative Handlungsmöglichkeiten eröffnen, wird das Datenschutzrecht in Zukunft in Europa also auch von einer Gemengelage aus europäischem und nationalem Recht geprägt sein. Ab dem 25.5.2018 werden datenverarbeitende Stellen, betroffene Personen, Aufsichtsbehörden und auch Gerichte also mit mehreren, ineinander greifenden Ebenen aus europäischen und nationalen Vorgaben (nicht nur jenen in Deutschland) konfrontiert sein. Ob dies im Ergebnis zu mehr oder weniger Rechtssicherheit in der Praxis führen wird, hängt auch maßgeblich davon ab, wie die Regelungen der nationalen Datenschutzgesetze ausgestaltet sind und wie sich diese in das Gesamtregelungskonzept der DSGVO einfügen. Wichtig ist, dass das neue deutsche Gesetz das Ziel hat, harmonische, verständliche und praxistaugliche Regelungen zu schaffen, um Rechtsanwender und Betroffene nicht mit noch mehr Rechtsunsicherheit (die bereits allein mit Blick auf die Anwendungen der DSGVO besteht) zu belasten. Leider konnte der deutsche Gesetzgeber dieses Ziel nicht in Gänze erreichen.

Das neue deutsche Bundesdatenschutzgesetz (BDSG)4 tritt nach Art. 8 Abs. 1 DSAnpUG-EU am 25.5.2018 in Kraft. Gleichzeitig tritt das bisher geltende Bundesdatenschutzgesetz (BDSG aF) in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66) außer Kraft. Mit Anwendbarkeit der DSGVO wird es also in Deutschland auch ein neues BDSG geben. Wesentliches Ziel der Neuregelung ist die Konsolidierung des allgemeinen Datenschutzrechts unter den Vorgaben der DSGVO und der JI-RL5 im Sinne einer homogenen Regelung, um eine Rechtszersplitterung, aber auch eine weitere Verkomplizierung des ohnehin schon komplexen Datenschutzrechts zu vermeiden.6

Deutschland ist der erste Mitgliedstaat der EU, der sein nationales Datenschutzrecht an die Vorgaben der DSGVO angepasst hat. Auch aus diesem Grund wurde das Gesetzgebungsverfahren zum BDSG zum einen von der Europäischen Kommission, zum anderen aber auch von anderen Mitgliedstaaten, denen ähnliche Regelungsaufgaben bevorstehen, mit Interesse beobachtet.7

Die Bestimmungen zur Ausgestaltung der DSGVO enthalten aus Sicht der Unternehmen die folgenden relevanten Regelungsschwerpunkte: Vorgaben zum sachlichen und räumlichen Anwendungsbereich (§ 1 BDSG); Schaffung einer allgemeinen Rechtsgrundlage für die Videoüberwachung (§ 4 BDSG); Festlegung der deutschen Vertretung im Europäischen Datenschutzausschuss (§§ 17 bis 19 BDSG); Rechtsbehelfe (§§ 20, 21 BDSG); Schaffung einer Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG); Festlegung der Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken durch nichtöffentliche Stellen (§ 24 BDSG); Regelung weiterer besonderer Verarbeitungssituationen (§§ 26 bis 31 BDSG); Regelungen zu den Betroffenenrechten (§§ 32 bis 37 BDSG); Regelungen zum Datenschutzbeauftragten (§ 38 BDSG); Regelungen zur Zuständigkeit und den Befugnissen der Aufsichtsbehörden (§ 40 BDSG); Verhängung von Geldbußen bei Verstößen gegen die DSGVO (§§ 41, 43 BDSG).

Wichtig für das Verständnis der Gesetzessystematik ist, dass das BDSG in § 1 Abs. 1 und in den gesamten Regelungen an der Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen des BDSG aF festhält. Diese Differenzierung ist so nicht in der DSGVO angelegt, wird von den europäischen Vorgaben aber auch nicht ausgeschlossen. Unternehmen und andere privatrechtliche Vereinigungen haben sich an die Regeln für nichtöffentliche Stellen zu halten.

Ab dem 25.5.2018 sind in der Praxis im Ergebnis drei Regelungsbereiche für das Datenschutzrecht in Deutschland maßgeblich: die DSGVO, das neue BDSG sowie das bereichsspezifische Datenschutzrecht.8 Die Komplexität des Datenschutzrechts wird hierdurch wohl nicht ab-, sondern eher zunehmen.

1

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

2

ErwG 10 DSGVO.

3

Kühling/Martini

et al., Die DSGVO und das nationale Recht, 2016, S. 1.

4

Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.6.2017, BGBl. I Nr. 44, S. 2097.

5

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.

6

Greve

, NVwZ 2017, 737.

7

Greve

, NVwZ 2017, 737.

8

Greve

, NVwZ 2017, 737, 738.

II. Europarechtliche Aspekte

1. Anwendung der Charta der Grundrechte der Europäischen Union

Zwar eröffnet der europäische Gesetzgeber den Mitgliedstaaten mit den in der DSGVO enthaltenen Öffnungsklauseln und Spezifizierungsmöglichkeiten einen Gestaltungsspielraum für die Beibehaltung bzw. Schaffung eigener nationaler Regelungen im Datenschutzrecht. Jedoch darf hieraus nicht der Schluss gezogen werden, dass im Fall der Anwendung des nationalen Datenschutzrechts allein die jeweilige nationale Verfassung und nationale Grundrechte zu beachten wären, insbesondere, wenn es um die Auslegung und Anwendung des nationalen Datenschutzrechts geht. Denn auch wenn den Mitgliedstaaten Ermessen bzw. Gestaltungsspielräume eingeräumt worden sind, ist der Anwendungsbereich der EU-Grundrechtecharta (GrCH)9 in diesen Fällen gem. Art. 51 Abs. 1 S. 1 GrCH eröffnet.10 So hat der EuGH zur nationalen Ausgestaltung in Umsetzung einer EU-Richtlinie entschieden, dass die Mitgliedstaaten die Erfordernisse des Schutzes der in der Gemeinschaftsrechtsordnung anerkannten allgemeinen Grundsätze, zu denen auch die Grundrechte zählen, bei der Durchführung gemeinschaftsrechtlicher Regelungen zu beachten haben.11 Nach Art. 51 Abs. 1 S. 1 GrCH gilt die Charta für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Der Rechtsprechung des EuGH ist eindeutig zu entnehmen, dass die Verpflichtung zur Einhaltung der im Rahmen der Union definierten Grundrechte für die Mitgliedstaaten nur dann gilt, wenn sie im Anwendungsbereich des Unionsrechts handeln.12

Die Frage, ob ein Mitgliedstaat europäisches Recht durchführt, stellt sich zumeist in Bezug auf die Umsetzung von europäischen Richtlinien. Doch auch im Fall einer Verordnung, wie dies hier mit der DSGVO der Fall ist, kann eine Situation entstehen, in der der europäische Gesetzgeber den Mitgliedstaaten entweder Regelungsmöglichkeiten oder aber Regelungsaufträge erteilt. Sowohl im einen als auch im anderen Fall führen die Mitgliedstaaten das Recht der Union durch, wenn sie der Grundlage der Öffnungsklauseln der Verordnung nationales Recht schaffen.

Die europäischen Grundrechte sind also auch bei der Anwendung und Auslegung des BDSG zu beachten, da der deutsche Gesetzgeber bei der Schaffung des BDSG zum ganz überwiegenden Teil im Anwendungsbereich des Unionsrechts agiert. Mit dem BDSG führt der deutsche Gesetzgeber also gemeinschaftsrechtliche Regelungen durch. Aus diesem Grund wurde auch im Gesetzgebungsprozess zum BDSG stets die Frage aufgeworfen, inwieweit bestimmte Regelungen des BDSG europarechtswidrig sind, weil sie nicht den Vorgaben der DSGVO entsprechen.

2. Anwendungsvorrang der DSGVO

Für eine adäquate Anwendung und damit eventuell erforderliche Auslegung des BDSG ist es unerlässlich, die Grenzen zu kennen, in denen sich der deutsche Gesetzgeber bewegt, wenn er die Öffnungsklauseln der DSGVO im neuen BDSG mit Leben füllt und der Rechtsanwender in der Praxis sich die Frage stellt, welche Regelung im Zweifel gilt.

Treffen in der Praxis nationale und europäische Regelungen aufeinander, gilt ein Anwendungsvorrang des europäischen vor nationalem Recht.13 Bei einem Widerspruch der nationalen Norm gegenüber der unmittelbar anwendbaren europäischen Regelung genießt Letztere Anwendungsvorrang. Nationales Recht ist nicht nichtig, da die EU und damit der EuGH für eine solche Nichtigkeitserklärung und Verwerfung nationalstaatlichen Rechts keine Kompetenz haben. Aber nationale Stellen (sowohl Behörden als auch Gerichte) müssen im Fall einer Kollision nationales Recht unangewendet lassen.

Für den Anwender des BDSG wird sich daher stets die Frage stellen, ob bei den vorliegenden Regelungen eine solche Kollision vorliegt und damit das BDSG nicht anwendbar wäre. Es dürfte klar sein, dass es das Ziel des deutschen Gesetzgebers hätte sein müssen, diese Situation zu vermeiden. Völlig gelungen ist es ihm, zum Leidwesen der Praxis, jedoch nicht.

Dieser Konflikt europäischen Rechts mit nationalem Recht und der damit einhergehende Anwendungsvorrang des EU-Rechts entsteht dann, wenn eine direkte oder auch indirekte Kollision gesetzlicher Regelungen vorliegt.14 Damit eine solche Kollision entsteht, muss die EU-Vorgabe unmittelbar anwendbar sein, was bei der DSGVO nach Art. 288 Abs. 2 AEUV der Fall ist. Zudem muss aber auch die Regelung selbst (im Sinne des konkreten Artikels und seines Wortlauts) derart gestaltet sein, dass sie im Mitgliedstaat unmittelbar angewendet werden kann. Hierzu ist erforderlich, dass die Norm hinreichend bestimmt und unbedingt formuliert ist. Für viele der Öffnungsklauseln der DSGVO trifft dieses Merkmal nicht zu, da dem nationalen Gesetzgeber, etwa hinsichtlich bestimmter Verarbeitungssituationen, nur der Rahmen an die Hand gegeben wird, den er bei der Schaffung nationaler Regelungen zu beachten hat. Innerhalb dieses Rahmens können und müssen aber nationale Datenschutzregelungen geschaffen werden, die neben der DSGVO zur Konkretisierung und Spezifizierung eben dieser zur Anwendung kommen. Solange eine europäische Norm einen Sachverhalt nicht abschließend regelt, können auch nationale Regelungen bestehen bleiben und insbesondere auch eigene Vorgaben vorsehen. Ein Konflikt mit europäischem Recht existiert dann also nicht, wenn die EU-Norm einen Sachverhalt gar nicht selbst regelt bzw. aufgrund mangelnder Gesetzgebungskompetenz auf europäischer Ebene nicht selbst regeln darf. Kein Konflikt besteht auch dann, wenn kein Widerspruch zwischen nationaler und europäischer Norm existiert.15

Zudem muss bei der Frage, ob ein Konflikt von EU- und nationalem Recht besteht, stets der Anwendungsbereich der DSGVO beachtet werden. Ein Konflikt mit ihren Regelungen ist nur möglich, soweit sich eine nationale Norm innerhalb des sachlichen Anwendungsbereichs der DSGVO bewegt, der sich konkret aus Art. 2 DSGVO ergibt.

Es bleibt mithin festzuhalten, dass unter Geltung der DSGVO weiterhin die Schaffung und Beibehaltung nationaler Regelungen möglich ist, ja teilweise sogar verpflichtend vorgeschrieben wird. Soweit diese nationalen Regelungen die Gestaltungsspielräume der DSGVO (und die dort jeweils aufgestellten Voraussetzungen, etwa in Art. 6 Abs. 3 und Abs. 4 DSGVO) erfüllen und nicht im Widerspruch zu den Zielvorgaben der DSGVO stehen, können sie angewendet werden.16

3. Regelungsspielraum des deutschen Gesetzgebers

Das neue BDSG dient der Umsetzung der fakultativen und obligatorischen Regelungsaufträge. Die Öffnungsklauseln der DSGVO stellen sich in verschiedenen Varianten dar. Sie erlauben die Konkretisierung, die Ergänzung und auch die Modifikation der Vorgaben der DSGVO.

Im Rahmen dieser Öffnungsklauseln ist es den nationalen Gesetzgebern jedoch nicht grundsätzlich gestattet, Spezifizierungen in der Art vorzunehmen, dass ein höheres Schutzniveau als jenes der DSGVO geschaffen wird. Dies zumindest soweit, wie eine Erhöhung des Schutzniveaus nicht durch die Vorgaben der DSGVO selbst vorgesehen ist.17 Dies ergibt sich zum einen aus den Arbeitsdokumenten des Rates zur DSGVO.18 Insbesondere Art. 6 Abs. 2 und 3 DSGVO erlauben es den Mitgliedstaaten nicht, ein gegenüber der DSGVO höheres Schutzniveau zu schaffen.19 Die Europäische Kommission weist zum anderen in ihrer Mitteilung zum Standpunkt des Rates darauf hin, dass die Einigung den Mitgliedstaaten Spielraum für eine Spezifizierung der Datenschutzvorschriften für den öffentlichen Sektor lässt.20 Ein höheres Schutzniveau, insbesondere durch strengere Regelungen als sie in der DSGVO existieren, ist damit vor allem für Verarbeitungen im öffentlichen Sektor nicht gestattet. Diese Schlussfolgerungen lassen sich auch mit Blick auf den Sinn und Zweck der DSGVO und insbesondere ihren Verordnungscharakter begründen. Die Verordnung soll gerade ein einheitliches Schutzniveau schaffen, von dem nicht jeder Mitgliedstaat beliebig, sondern nur in ausdrücklich gesetzlich geregelten Fällen nach unten21 abweichen darf. Andernfalls hätte es des Instruments der Verordnung nicht bedurft. Selbst für EU-Richtlinien hat der EuGH anerkannt, dass bei einer intendierten Vollharmonisierung strengere Vorschriften nicht angewendet werden dürfen.22 Schutzbereich und -niveau nationaler Umsetzungsregelungen müssen in diesem Fall identisch oder zumindest gleichwertig sein.23 Ähnlich stellt sich die Situation unter der DSGVO dar, die dem Grunde nach eine verbindliche Verordnung ist, jedoch an eine Richtlinie erinnernde Umsetzungsmöglichkeiten für Mitgliedstaaten eröffnet.24 Der Harmonisierungscharakter der DSGVO kann aber nur mit jenem der Vollharmonisierung einer Richtlinie verglichen werden, in deren Grenzen und nicht darüber hinausgehend, nationale Spezifizierungen möglich sind.

In der öffentlichen Diskussion um das neue BDSG wurde oft kritisiert, dass die Bundesregierung das Datenschutzniveau der DSGVO absenken möchte und dass dies nicht zulässig sei. Man muss es klar sagen: Die Absenkung des Schutzniveaus bei der Verarbeitung personenbezogener Daten nach unten, insbesondere durch die Einschränkung der Betroffenenrechte (Art. 23 DSGVO), ist vom europäischen Gesetzgeber vorgesehen, gewollt und nicht unzulässig, solange die Vorgaben der DSGVO eingehalten werden. Der juristische Dienst des Rates der Europäischen Union stellt hierzu fest:25

Mit den Vorschlägen der Beschränkung von Betroffenenrechten im BDSG wird also per se nicht gegen die DSGVO verstoßen. Dem nationalen Gesetzgeber sind beschränkende Maßnahmen nach Art. 23 DSGVO ausdrücklich gestattet. Die Frage ist freilich, ob die Beschränkungen die in der DSGVO hierfür aufgestellten Anforderungen erfüllen.

4. Mögliche Europarechtswidrigkeit einzelner Bestimmungen und Folgen

a) Europäisches Normwiederholungsverbot

Mit dem europäischen Wiederholungsverbot soll verhindert werden, dass die allein dem EuGH zustehende Kompetenz zur Auslegung des Unionsrechts durch den Erlass gleichlautender nationaler Vorschriften begrenzt wird.26 Mitgliedstaaten sind generell verpflichtet, nicht die unmittelbare Geltung zu vereiteln, die Verordnungen und sonstige Vorschriften des Gemeinschaftsrechts äußern.27 Das Wiederholungsverbot ist eine Ausprägung dieses Verbots. Die Mitgliedstaaten dürfen nach der Rechtsprechung des EuGH keine Maßnahmen ergreifen, die geeignet sind, die Zuständigkeit des EuGH zur Entscheidung über Fragen der Auslegung des Gemeinschaftsrechts oder der Gültigkeit der von den Organen der Gemeinschaft vorgenommenen Handlungen zu beschneiden. Infolgedessen sind Praktiken unzulässig, durch die die Normadressaten über den Gemeinschaftscharakter einer Rechtsnorm im Unklaren gelassen werden.28

Jedoch ist für den Fall von Spezifizierungs- bzw. Öffnungsklauseln anerkannt, dass für diesen Bereich der Öffnung des europäischen Rechts für eigene Regelungen des nationalen Gesetzgebers dieser auch Teile des Wortlautes der europäischen Verordnung übernehmen darf, um die nationale Regelung klarer zu gestalten.29 Für eine Befugnis des deutschen Gesetzgebers, Teile der DSGVO und dort enthaltene Vorgaben der Öffnungsklauseln im nationalen Recht zu wiederholen, spricht zudem auch ErwG 8 DSGVO. Danach können die Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der DSGVO in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Soweit das BDSG gewisse den DSGVO-Text wiederholende Vorschriften enthält, ist dies mithin nicht von vornherein unzulässig.30

b) Verstoß gegen den EU-Vertrag durch Schaffung rechtlicher Unsicherheit

Aus dem Anwendungsvorrang des unmittelbar anwendbaren europäischen Rechts ergibt sich für den deutschen Gesetzgeber ein im Rahmen des BDSG besonders zu beachtendes Risiko: Nach der Rechtsprechung des EuGH ergeben „sich aus der Einführung oder unveränderten Beibehaltung einer gegen eine Vorschrift des Gemeinschaftsrechts verstoßenden Bestimmung in den Rechtsvorschriften eines Mitgliedstaats, selbst wenn diese Gemeinschaftsvorschrift in der Rechtsordnung der Mitgliedstaaten unmittelbar gilt, Unklarheiten tatsächlicher Art, weil die betroffenen Normadressaten bezüglich der ihnen eröffneten Möglichkeiten, sich auf das Gemeinschaftsrecht zu berufen, in einem Zustand der Ungewissheit gelassen werden. Eine solche Beibehaltung stellt deshalb eine Verletzung der Verpflichtungen des genannten Mitgliedstaats aus dem EWG-Vertrag dar“.31 Nach Art. 4 Abs. 3 EUV sind die Mitgliedstaaten verpflichtet, die Union bei der Erfüllung ihrer Aufgabe zu unterstützen und müssen alle Maßnahmen unterlassen, die die Verwirklichung der Ziele der Union gefährden könnten. Eine solche Gefährdung kann sich aus gegen die DSGVO verstoßende Normen im neuen BDSG ergeben, sollten diese im Widerspruch zur Verordnung stehen.32

c) Nichtanwendung des BDSG durch deutsche Behörden?

Aus dem vorstehend beschriebenen Anwendungsvorrang des EU-Rechts im Konfliktfall kann sich für deutsche Datenschutzbehörden das Problem ergeben, mit, zumindest ihrer Meinung nach, europarechtswidrigen Regelungen des BDSG konfrontiert zu sein, die sie aufgrund ihrer Bindung an die Gesetze (Art. 20 Abs. 3 GG) eigentlich anwenden müssten.33 Die Vorsitzende der Datenschutzkonferenz von Bund und Ländern, Barbara Thiel, hat hierzu festgestellt, dass für die Aufsichtsbehörden das Europarecht in jedem Fall bindend ist und die Aufsichtsbehörden sich in ihren Auslegungsprinzipien deshalb an der Datenschutz-Grundverordnung zu orientieren haben.34

Diese Problematik der (Nicht-)Anwendung von möglicherweise europarechtswidrigen Normen ist nicht neu. Wichtig ist jedoch, zunächst klar zu stellen, dass es nicht um die Frage geht, ob eine Behörde eine nationale Norm als ungültig erklären darf (sog. Normverwerfung), sondern um die Frage der Nichtanwendung nationaler Regelungen.

Es geht mithin um die Frage, ob und gegebenenfalls unter welchen Voraussetzungen einer nationalen Behörde prinzipiell die Befugnis zusteht, Vorschriften nationalen Rechts im Falle der von ihr so beurteilten Gemeinschaftswidrigkeit mit unmittelbar anwendbarem EU-Recht außer Anwendung zu lassen.35

Der EuGH hat sich in der Vergangenheit oft mit dieser Frage befasst. In seiner Entscheidung vom 22.6.1989 ist er im Fall einer EU-Richtlinie und einer damit nicht in Einklang stehenden nationalen Regelung zu dem Ergebnis gelangt, dass eine Nichtanwendungspflicht jedenfalls dann besteht, wenn sich der Einzelne auf die gemeinschaftsrechtliche Bestimmung berufen kann.36 Im Fall der hier vorliegenden DSGVO kann sich jeder Adressat bereits ipso iure auf ihre Regelungen berufen. Der Vorrang des Gemeinschaftsrechts bedeutet im Fall der Normenkollision eine Verpflichtung zur Nichtanwendung des nationalen Rechts und auch die öffentliche Verwaltung ist verpflichtet, nationale Regelungen, die mit den europäischen unvereinbar sind, nicht anzuwenden.37

In einem weiteren Verfahren vor dem EuGH ging es um die italienische Wettbewerbsbehörde, die nationale Regelungen zum gesetzlichen Zündholzsystem Italiens auf deren Vereinbarkeit mit den Vorgaben des EU-Rechts prüfte, und die italienischen Regelungen, dies ist besonders hervorzuheben, vor jeder gerichtlichen Feststellung als gemeinschaftswidrig einstufte. Der EuGH entschied in diesem Fall, dass „die Pflicht, eine dem Gemeinschaftsrecht entgegenstehende nationale Rechtsvorschrift unangewendet zu lassen, nicht nur den nationalen Gerichten obliege, sondern allen staatlichen Organen einschließlich der Verwaltungsbehörden“.38

Aus der Formulierung „alle Verwaltungsbehörden“ folgt, dass die genannte Nichtanwendungspflicht sich an alle zuständigen staatlichen Träger richtet.39 Gehen also etwa in Zukunft die deutschen Datenschutzbehörden von der Europarechtswidrigkeit einer Norm des BDSG aus, so ist es ihnen gestattet, die nationale Regelung unangewendet zu lassen.40 Jedoch ist darauf hinzuweisen, dass eine solche Situation und Vorgehensweise wohl insbesondere für datenverarbeitende Unternehmen ein erhebliches rechtliches Risiko darstellt und der effektiven Umsetzung des neuen Datenschutzrechts in Deutschland einen Bärendienst erweisen würde. Zudem besteht aus Sicht der Behörde das Risiko, eine nationale Norm unangewendet zu lassen, die im Ergebnis, etwa in einem anschließenden Verwaltungsgerichtsprozess mit Vorlage an den EuGH, als europarechtskonform eingestuft wird.

Im Übrigen geht auch das BVerwG davon aus, dass der Anwendungsvorrang von EU-Recht es für die Zeit des „Widerspruchs“ verbietet, die entgegenstehenden Bestimmungen des nationalen Rechts einer behördlichen oder gerichtlichen Entscheidung zugrunde zu legen.41

Aus Art. 20 Abs. 3 GG lässt sich nicht herleiten, dass eine Verwaltungsbehörde unmittelbar geltendes Gemeinschaftsrecht unangewendet lassen muss, um entgegenstehendem nationalen Recht den Vorrang zu verschaffen.42 Bindung an Recht und Gesetz bedeutet im Falle des Anwendungsvorrangs von unmittelbar geltendem Gemeinschaftsrecht eine Bindung (auch) an das europäische Recht. Wie beschrieben, sind alle nationalen Behörden an unmittelbar geltendes EU-Recht gebunden. Hieraus folgt auch, dass das Gewaltenteilungsprinzip des Art. 20 GG nicht verletzt sein kann.43

Natürlich lässt sich diese Rechtsprechung des EuGH auch kritisieren, da es, mit Blick auf die fehlende Möglichkeit von Behörden im Vergleich zu den Gerichten, ein Vorabentscheidungsersuchen an den EuGH zu stellen, zweifelhaft erscheinen kann, warum sie dennoch verpflichtet sind, inländische Bestimmungen nicht anzuwenden.44 Die Exekutive ist nicht befugt, gesetzliche Regelungen für ungültig zu erklären. Dies obliegt der Judikative. Es wird daher vermittelnd vorgeschlagen, nationalen Behörden die Nichtanwendung nationaler Normen dann zu gestatten, wenn die Gemeinschaftsrechtswidrigkeit evident ist.45 Dennoch ist festzuhalten, dass die Rechtsprechung des EuGH in dieser Frage zur Nichtanwendung nationaler Normen gefestigt erscheint. In derartigen Situationen, in denen eine deutsche Datenschutzbehörde in Zukunft möglicherweise Bestimmungen des BDSG nicht anwenden möchte, sollte daher die eben zitierte vermittelnde Ansicht Beachtung finden. Möchte eine Datenschutzbehörde nationale Normen nicht anwenden, sollte in jedem Fall eine Überzeugungsgewissheit über den Verstoß nationaler Bestimmungen gegen vorrangiges Gemeinschaftsrecht als erforderlich, wohl aber auch als ausreichend erachtet werden. Nicht ausreichend wäre eine bloße Vermutung der Gemeinschaftswidrigkeit.46

9

Charta der Grundrechte der Europäischen Union, 2010/C 83/02.

10

Greve

, NVwZ 2017, 737, 744. Für eine europäische Richtlinie: EuGH, Urt. v. 27.6.2006 – C-540/03, Rz. 104 f.

11

EuGH, Urt. v. 27.6.2006 – C-540/03, Rz. 104.

12

Erläuterungen zur Charta der Grundrechte der Europäischen Union (2007/C 303/02), S. 32.

13

Grundlegend hierzu: EuGH, Urt. v. 15.7.1964 – C-6/64 (Costa / E.N.E.L.);

vgl.

auch

Terhechte

, JuS 2008, 403.

14

Umfassend zur Situation vor dem Hintergrund der DSGVO:

Roßnagel

, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, S. 69 ff.;

Kühling/Martini

et al., Die DSGVO und das nationale Recht, 2016, S. 3 ff.

15

Piltz

, Ausschussdrucksache 18(4)824 C.

16

Roßnagel

, in: Roßnagel, Europäische Datenschutz-Grundverordnung, 2017, S. 73.

17

Vgl. etwa Art. 9 Abs. 4 DSGVO, mit dem es Mitgliedstaaten gestattet wird, zusätzliche Beschränkungen bei der Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten einzuführen.

18

In Ratsdokument 14732/12, 24.10.2014 wurde eine sog. Minimumharmonisierungsklausel (Art. 1 Abs. 2a) vorgeschlagen, in der es den Mitgliedstaaten ausdrücklich gestattet werden sollte, „strengere“ nationale Regelungen für die Verarbeitung personenbezogener Daten durch öffentliche Stellen vorzusehen. Dieser Vorschlag wurde nicht in den finalen Text übernommen. In Ratsdokument 9398/1/13 REV 1 ADD 1, 27.5.2013, S. 48 dort Fn. 47, forderten die deutsche und die dänische Delegation, dass Mitgliedstaaten nicht nur die Möglichkeit haben sollten, spezifischere, sondern auch umfassendere Regelungen vorzusehen. Auch dieser Vorschlag wurde nicht übernommen.

19

Ratsdokument 15389/14, 13.11.2014, S. 5 f.

20

Mitteilung der Kommission an das Europäische Parlament betreffend den Standpunkt des Rates im Hinblick auf den Erlass einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Datenschutz-Grundverordnung) und zur Aufhebung der Richtlinie 95/46/EG, COM(2016) 214 final, 11.4.2016, S. 4.

21

Eine solche gesetzliche Erlaubnis zur Abweichung vom aufgestellten Schutzniveau findet sich insbesondere in Art. 23 (Beschränkungen);

vgl.

hierzu Stellungnahme des Juristischen Dienstes des Rates, Ratsdokument 15712/14, 18.11.2014.

22

EuGH, Urt. v. 8.4.2003 – C-44/01, Rz. 44.

23

Nils Wahl

, Schlussanträge v. 15.5.2013 – C-184/12, Rz. 42.

24

Kühling/Martini

, EuZW 2016, 448, 449.

25

Ratsdokument 15712/14, 18.11.2014, S. 10.

26

Kühling/Martini

et al., Die DSGVO und das nationale Recht, 2016, S. 7 mwN.

27

EuGH, Urt. v. 10.10.1973 – C-34/73, Rz. 10.

28

EuGH, Urt. v. 10.10.1973 – C-34/73, Rz. 11.

29

Kühling/Martini

et al., Die DSGVO und das nationale Recht, 2016, S. 7 mwN; BT-Drs. 18/11325, S. 73.

30

Kühling

, NJW 2017, 1985, 1986.

31

EuGH, Urt. v. 26.4.1988 – C-74/86, Rz. 10.

32

So auch:

Kühling/Martini

et al., Die DSGVO und das nationale Recht, 2016, S. 3.

33

Hierzu auch

Greve

, NVwZ 2017, 737, 743 f.

34

Heise online vom 17.3.2017, Datenschutzaufsicht: Entwurf zum Bundesdatenschutzgesetz teilweise europarechtswidrig, abrufbar unter: https://www.heise.de/newsticker/meldung/Datenschutzaufsicht-Entwurf-zum-Bundesdatenschutzgesetz-teilweise-europarechtswid rig-3657607.html.

35

Vgl. hierzu etwa: OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06; OVG Lüneburg, Urt. v. 28.11.2016 – 9 LC 335/14.

36

EuGH, Urt. v. 22.6.1989 – C-103/88, Rz. 28 ff.

37

Dámaso Ruiz-Jarabo Colomer

, Schlussanträge v. 25.6.2009 – C-205/08, Rz. 51.

38

EuGH, Urt. v. 9.9.2003 – C-198/01, Rz. 49.

39

OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06.

40

So auch für deutsche Behörden in anderen Fällen: OVG Lüneburg, Urt. v. 28.11.2016 – 9 LC 335/14; OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06.

41

BVerwG, Urt. v. 29.11.1990 – 3 C 77/87.

42

OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06.

43

OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06.

44

Dámaso Ruiz-Jarabo Colomer

, Schlussanträge v. 25.6.2009 – C-205/08, Rz. 51;

Ruffert

, in: Calliess/Ruffert/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 288 AEUV Rn. 73.

45

Ruffert

, in: Calliess/Ruffert/Ruffert, EUV/AEUV, 5. Aufl. 2016, Art. 288 AEUV Rn. 73 f. mwN.

46

OVG Saarlouis, Beschl. v. 22.1.2007 – 3 W 14/06.

Teil 1 Gemeinsame Bestimmungen

Kapitel 1 Anwendungsbereich und Begriffsbestimmungen

§ 1 Anwendungsbereich des Gesetzes

(1) 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch

1. öffentliche Stellen des Bundes,

2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

a) Bundesrecht ausführen oder

b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

2Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

(2) 1Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. 2Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. 3Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(4) 1Dieses Gesetz findet Anwendung auf öffentliche Stellen. 2Auf nichtöffentliche Stellen findet es Anwendung, sofern

1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,

2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder

3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.

3Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.

(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

(6) 1Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.

(7) 1Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.

(8) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.

Übersicht

I. Absatz 1

1. Satz 1

Nicht kommentiert.

2. Satz 2

Nach § 1 Abs. 1 S. 2 gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das BDSG orientiert sich hierbei am sachlichen Anwendungsbereich der DSGVO.1 Im Unterschied zu öffentlichen Stellen des Bundes und der Länder (vgl. Abs. 1 S. 1 Nr. 1 und Nr. 2)2 muss für die Anwendbarkeit auf nichtöffentliche Stellen eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vorliegen (eine Ausnahme gilt nach § 26 Abs. 7).

a) Verarbeitung

Der Begriff der Verarbeitung wird im BDSG nicht definiert. Dies ist auch nicht erforderlich, da die Legaldefinitionen der DSGVO unmittelbar und vorrangig gelten.3 Im Rahmen des Anwendungsbereichs des BDSG bedeutet daher „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Die bekannte Begriffstrias des BDSG aF („Erheben, Verarbeiten und Nutzen“) entfällt.

b) Ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten

Damit das BDSG auf nichtöffentliche Stellen Anwendung findet, muss entweder eine ganz oder eine teilweise automatisierte Verarbeitung personenbezogener Daten vorliegen. Auch hier deckt sich das BDSG mit dem sachlichen Anwendungsbereich nach Art. 2 Abs. 1 DSGVO.

c) Nicht automatisierte Verarbeitung personenbezogener Daten in einem Dateisystem

Zudem ist das BDSG, wie auch die DSGVO nach Art. 2 Abs. 1 DSGVO, anwendbar, wenn eine nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, durchgeführt wird. Wichtig ist es, hier zu beachten, dass bereits die Absicht („gespeichert werden sollen“) der Speicherung personenbezogener Daten in einem Dateisystem genügt.4 Ein Dateisystem5 ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sein müssen (Art. 4 Nr. 6 DSGVO). Die Definition nutzt ausdrücklich den Plural und verlangt daher eine Zugänglichkeit nach mindestens zwei Kriterien. Bei den Kriterien handelt es sich um bestimmte Merkmale, nach denen die Daten im Dateisystem (hierzu zählen auch Akten) zugänglich sind und ausgewertet werden können.6 Eine Sortierung nach Personen, Namen, Adressen, Geschlecht oder Beruf genügt.

Die Verarbeitung personenbezogener Daten muss zudem durch nicht automatisierte Mittel erfolgen. Vom Anwendungsbereich des BDSG sind daher auch Verarbeitung personenbezogener Daten in Papierform bzw. manuelle Verarbeitungen erfasst.7

d) Abs. 1 S. 2 HS 2 Haushaltsausnahme

Nach Abs. 1 S. 2 HS 2 gilt das BDSG nicht, wenn eine Verarbeitung durch natürliche Personen erfolgt und zwar zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Auch diese sog. Haushaltsausnahme entspringt den Vorgaben der DSGVO (Art. 2 Abs. 2 lit. c) DSGVO). Die Haushaltsausnahme ist bereits in Art. 3 Abs. 2 DSRL enthalten gewesen und hat ihre Interpretation durch den EuGH erfahren.8

Damit die Ausnahme eingreift, darf die betreffende Datenverarbeitung keinerlei Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweisen (ErwG 18 DSGVO). Eine Datenverarbeitung, die etwa auch (jedoch nicht nur) persönlichen Zwecken dient, ist nicht privilegiert.9 Nach Ansicht des EuGH fällt eine Verarbeitung personenbezogener Daten nur dann unter die Ausnahme,10 wenn sie in der ausschließlich persönlichen oder familiären Sphäre desjenigen vorgenommen wird, der die Daten verarbeitet.11 Mit der Ausnahme sind nur Tätigkeiten gemeint, die zum Privat- oder Familienleben von Einzelpersonen gehören, was nach Ansicht des EuGH offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden.12

„Wirtschaftliche Tätigkeit“ umfasst kommerzielle Tätigkeiten, aber auch solche, die ohne Gewinnerzielungsabsicht durchgeführt werden.13 Für Unternehmen hat die Vorgabe in der Praxis mithin praktisch keine Bedeutung.

Die Begrifflichkeit der persönlichen und familiären Tätigkeiten ist nicht national auszulegen, sondern es ist, da es sich um Vorgaben der DSGVO handelt, eine europäische Auslegung vorzunehmen. Insofern lassen sich die Urteile zur Auslegung der Begrifflichkeit in Art. 3 Abs. 2 DSRL übertragen.

Ein in der Praxis immer noch diskutierter Anwendungsfall der Haushaltsausnahme ist der Einsatz von Dashcams. Zwar unterfällt die private Videoüberwachung grundsätzlich der Ausnahme für persönliche und familiäre Tätigkeiten.14 Soweit sich eine Videoüberwachung aber auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre der Person, die die Videoüberwachung verantwortet, findet die Ausnahmeregelung keine Anwendung.15 Werden also öffentliche Räume, zum Beispiel Teile einer Straße oder ein Nachbargrundstück, miterfasst, dient sie nicht mehr „ausschließlich“ persönlicher oder familiärer Tätigkeit.16 Werden Dashcams daher zumindest auch dazu genutzt, um Verkehrsordnungswidrigkeiten anderer Verkehrsteilnehmer unabhängig von einer eigenen Betroffenheit im öffentlichen Verkehrsraum zu dokumentieren, fehlt es an der persönlichen und familiären Tätigkeit.17

Soweit mit Dashcams in öffentlich zugänglichen Bereichen gefilmt wird und als Hauptzweck der Aufnahmen die Weitergabe von Filmaufnahmen zur Dokumentation eines Unfallhergangs angegeben wird, ist der Einsatz an den Regelungen des BDSG zu messen.18 Sofern der Einsatz einer Dashcam ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, ist das BDSG jedoch nicht anwendbar.19 Diese Konstellation kann in der Praxis etwa für sog. Actioncams und deren Einsatz beim Wandern, Radfahren, Surfen oder Skifahren relevant sein.

II. Absatz 2

1. Satz 1

Abs. 2 S. 1 bestimmt das Verhältnis des BDSG zu spezifischen datenschutzrechtlichen Vorschriften auf Bundesebene. Wie auch bisher hat das neue BDSG den Charakter eines Auffanggesetzes.20 Spezifische Rechtsvorschriften des Bundes gehen den allgemeinen Regelungen des BDSG vor.21 Abs. 2 S. 1 dient dieser Klarstellung. Für Sachverhalte, die die Länder betreffen, insbesondere für den Datenschutz bei öffentlichen Stellen der Länder, greifen als allgemeine Normen die Landesdatenschutzgesetze (Abs. 1 S. 1 Nr. 2), die ebenfalls mit den Vorgaben der DSGVO in Einklang gebracht werden müssen.22

2. Satz 2

Hinsichtlich des Vorrangs von spezialgesetzlichen Regelungen ist jedoch zu beachten, dass der Vorrang nur insofern gilt, als tatsächlich eine Tatbestandskongruenz zwischen der Regelung im Spezialgesetz und dem BDSG vorliegt.23 Ist für einen zu untersuchenden Sachverhalt keine bereichsspezifische Datenschutzregelung vorhanden, so greift das BDSG mit seiner lückenfüllenden Auffangfunkfunktion.24 Diese Funktion tritt auch ein, soweit es in einem Bereich zwar spezifische gesetzliche Regelungen gibt, diese jedoch nicht abschließend sind und nur eine teilweise Regelung vornehmen. „Schweigt“ ein Spezialgesetz zu einem Sachverhalt, so gilt ebenfalls das BDSG.25

Die Auffangfunktion des BDSG entfaltet mithin dann keine Wirkung, wenn spezifische Regelungen für einen bestimmten Bereich insgesamt umfassend abschließend die Verarbeitung personenbezogener Daten regeln. Eine abschließende Regelung, mit der die Anwendbarkeit der Vorschriften des BDSG ausgeschlossen wird, trifft etwa § 35 Abs. 2 S. 1 SGB I, weil danach hinsichtlich der Verarbeitung von Sozialdaten das SGB abschließend ist.26

In der Praxis stellt sich dieses Verhältnis zwischen BDSG als Auffanggesetz zu spezialgesetzlichen Regelung im nationalen Recht insbesondere bei der Thematik der Einschränkung der Betroffenenrechte.27 Auf die Einschränkungen der Betroffenenrechte im BDSG kann dann zurückgegriffen werden, wenn im bereichsspezifischen Recht keine tatbestandskongruenten Regelungen zur Beschränkung vorhanden sind. Solche spezifischen Regelungen zur Einschränkung der Betroffenenrechte hat der deutsche Gesetzgeber kurz nach Verabschiedung das BDSG relativ geräuschlos im Rahmen des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften getroffen.28 Durch die Beschlussempfehlung des Ausschusses für Arbeit und Soziales (11. Ausschuss)29 wurden umfassende Änderungen an verschiedensten spezialgesetzlichen Normen beschlossen, mit denen unter anderem auch Betroffenenrechte eingeschränkt werden. Gestützt werden die Beschränkungen stets auf Art. 23 Abs. 1 DSGVO.

Hiervon betroffen sind das Handelsgesetzbuch, das Patentgesetz, das Gebrauchsmustergesetz, die Abgabenordnung, das Markengesetz, das Halbleiterschutzgesetz, das Urheberrechtsgesetz, das Verwertungsgesellschaftengesetz, das Designgesetz, das Finanzverwaltungsgesetz, das SGB I und X. Die datenschutzspezifischen Änderungen in diesen Fachgesetzen treten nach Art. 31 Abs. 4 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften am 25.5.2018 in Kraft.

3. Satz 3

S. 3 entspricht der bisherigen Regelung des § 1 Abs. 3 S. 2 BDSG aF.30 Insofern kann grundsätzlich auf die bisherige Literatur und Rechtsprechung zu § 1 Abs. 3 S. 2 BDSG aF verwiesen werden.

Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. Die Vorschrift umfasst drei Kategorien, nämlich die gesetzlichen Geheimhaltungspflichten, die Berufsgeheimnisse, die nicht auf gesetzlichen Vorschriften beruhen, sowie die besonderen Amtsgeheimnisse, die nicht gesetzlich geregelt sind.

Geheimhaltungspflichten sind Verschwiegenheitspflichten, welche nicht an besondere berufliche oder amtliche Funktionen anknüpfen. Sie müssen gesetzlich ausdrücklich und außerhalb des BDSG statuiert sein und sich jedenfalls auch auf personenbezogene Daten beziehen.31

Berufsgeheimnisse sind Verschwiegenheitspflichten, welche an bestimmte berufliche Positionen oder Pflichten anknüpfen. Sie entstammen regelmäßig dem Recht der Selbstverwaltungsorganisationen von Ärzten, Psychologen, Notaren, Anwälten und anderen Berufsorganisationen, soweit sie für ihre Mitglieder bindende Vorschriften erlassen haben und diese mit höherrangigem Recht vereinbar sind.32

Das BDSG möchte in keiner Weise in den Schutzbereich dieser Berufs- oder besondere Amtsgeheimnisse garantierenden Normen eingreifen.33 Auf diese gesetzlichen Geheimhaltungspflichten und Berufs- oder besondere Amtsgeheimnisse haben die Regelungen des BDSG mithin keinen Einfluss.

III. Absatz 3

Abs. 3 entspricht der bisherigen Regelung des § 1 Abs. 4 BDSG aF.34 Der Vorrang des BDSG bei der Sachverhaltsermittlung bezieht sich auf die §§ 24 und 26 VwVfG, die der Behörde Befugnisse bei der Sachverhaltsermittlung einräumen.35

Die datenschutzrechtliche Vorrangregelung korrespondiert mit der Subsidiaritätsklausel des § 1 Abs. 1 VwVfG.36 Die Behörden haben das BDSG jedoch nicht nur in der Phase der „Ermittlung“ von Sachverhalten, also vor allem bei der erstmaligen Sammlung personenbezogener Daten, einzuhalten. Vielmehr greifen die Vorgaben des BDSG auch bei der Datennutzung im weiteren Verlauf der Bearbeitung eines Vorgangs.37 Zum einen enthält das VwVfG selbst eine Subsidiaritätsklausel und zum anderen würde eine Beachtung der Vorgaben des BDSG allein bei der tatsächlichen Ermittlung dazu führen, dass im nachfolgenden Verwaltungsverfahren datenschutzrechtliche Regelungen des BDSG nicht mehr zu beachten wären, was auch zu einer künstlichen Aufspaltung des datenschutzregulatorischen Rahmens des Verwaltungsverfahrens führen würde.

IV. Absatz 4

1. Satz 1

Nicht kommentiert.

2. Satz 2

Die DSGVO selbst macht keine Vorgaben dazu, wann welches nationale Datenschutzrecht, das in Ausübung der eröffneten Spielräume der diversen (obligatorischen oder fakultativen) Öffnungsklauseln entsteht, Anwendung findet. Bereits dieses Fehlen einer europarechtlich einheitlichen Vorgabe in der DSGVO ist zu kritisieren, aber nicht dem Bundesgesetzgeber anzulasten.

Der nationale Gesetzgeber ist nicht gezwungen, Regelungen zum territorialen Anwendungsbereich des eigenen Datenschutzrechts vorzusehen.38 Der deutsche Gesetzgeber hat sich dennoch entschlossen, spezifische Vorgaben zum räumlichen Anwendungsbereich im BDSG unterzubringen. Jedoch sind die Vorgaben zum räumlichen Anwendungsbereich des BDSG zum Teil nicht mit der Regelung des Art. 3 DSGVO kongruent, und es besteht das Risiko eines Verstoßes gegen die DSGVO.39

In Abs. 4 S. 2 Nr. 1–3 regelt das BDSG, wann es mit Blick auf nichtöffentliche Stellen zur Anwendung kommt. Die Aufzählung des Abs. 4 S. 2 Nr. 1–3 ist alternativ ausgestaltet.40 Das BDSG ist mithin anwendbar, wenn eine der Voraussetzungen der Nr. 1–3 erfüllt ist.

a) Nummer 1

Das BDSG findet Anwendung, sofern der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet. Nach der Gesetzesbegründung gilt das BDSG nach Abs. 4 S. 2 Nr. 1, wenn die Datenverarbeitung im Inland stattfindet.41 Dem Wortlaut nach knüpft das Gesetz seinen Anwendungsbereich hier an den faktischen Umgang mit personenbezogenen Daten. Ausreichend für die Anwendung des BDSG ist damit die technische Verarbeitung personenbezogener Daten in Computern und Servern oder anderen Systemen auf dem Boden der Bundesrepublik Deutschland. Abs. 4 S. 2 Nr. 1 erfordert nicht das Vorhandensein einer Niederlassung auf dem Gebiet der Bundesrepublik. Der Regelungsbereich dieser Norm umfasst also allein den physischen Ort der Datenverarbeitung, denn ansonsten, wenn als ungeschriebenes Tatbestandsmerkmal eine Niederlassung erforderlich wäre, wäre Abs. 4 S. 2 Nr. 1 deckungsgleich mit der Vorgabe des Abs. 4 S. 2 Nr. 2. Dies lässt den Schluss zu, dass der deutsche Gesetzgeber in Abs. 4 S. 2 Nr. 1 tatsächlich allein den Ort der Datenverarbeitung als Anknüpfungspunkt zur Anwendbarkeit des BDSG ausreichen lässt.

Genau diesen Anknüpfungspunkt wollte die DSGVO jedoch nicht wählen. Der räumliche Anwendungsbereich nach Art. 3 DSGVO hängt gerade nicht vom Ort der Datenverarbeitung ab, wie sich aus dem Wortlaut von Art. 3 Abs. 1 DSGVO ergibt.42

Der räumliche Anwendungsbereich des BDSG ist damit also weiter als jener der DSGVO nach Art. 3 Abs. 1 DSGVO, da dort in jedem Fall Bezug zu einer Niederlassung erforderlich ist. Die Folge ist, dass das BDSG bereits anwendbar sein kann, ohne dass die DSGVO Anwendung findet. Hinsichtlich der Regelung des Abs. 4 S. 2 Nr. 1 und ihres Verstoßes gegen die Vorgaben des Art. 3 Abs. 1 DSGVO besteht daher das Risiko einer Europarechtswidrigkeit der Vorschrift.43

b) Nummer 2

In Abs. 4 S. 2 Nr. 2 wird als Anknüpfungspunkt des räumlichen Anwendungsbereichs auf die Verarbeitung im Rahmen der Tätigkeiten einer inländischen Niederlassung Bezug genommen. S. 2 Nr. 2 steht alternativ neben den anderen Varianten des Abs. 4 S. 2. Anders als S. 2 Nr. 1 knüpft Nr. 2 den Anwendungsbereich des BDSG nicht mehr an den tatsächlichen Ort der Verarbeitung personenbezogener Daten, sondern, insofern kongruent mit den Vorgaben des Art. 3 Abs. 1 DSGVO, an den Sitz einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters an.

Anders als in Art. 3 Abs. 1 DSGVO fehlt in Abs. 4 S. 2 Nr. 2 aber der Zusatz, dass es irrelevant ist, ob die Datenverarbeitung technisch in der Union bzw. hier im Gebiet der Bundesrepublik Deutschland stattfindet.

Inkongruent mit den Vorgaben des Art. 3 Abs. 1 DSGVO ist S. 2 Nr. 2 auch, wenn man zusätzlich die Gesetzesbegründung hierzu betrachtet. Danach kommt das BDSG zur Anwendung, wenn eine Datenverarbeitung „durch“ eine in Deutschland ansässige Niederlassung vorliegt.44 Diese Umschreibung des Anwendungsbereichs weicht jedoch entscheidend von den Vorgaben des Art. 3 Abs. 1 DSGVO bzw. auch der Vorschrift des Abs. 4 S. 2 Nr. 2 selbst ab, wo es darauf ankommt, dass eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung“ vorgenommen wird. Mit Blick auf die Rechtsprechung des EuGH zu dem Merkmal „im Rahmen der Tätigkeiten“ zu Art. 4 Abs. 1 lit. a) DSRL lässt sich feststellen, dass es hierbei eben gerade nicht, wie in der Gesetzesbegründung angeführt, darum geht, dass eine Datenverarbeitung „durch“ eine Niederlassung selbst vorgenommen werden muss. Die Datenverarbeitung muss nur im Rahmen ihrer Tätigkeiten erfolgen und damit im Zusammenhang stehen. Sie muss aber gerade nicht selbst durch die Niederlassung vorgenommen werden.45 In der Praxis sollte man sich im Zweifel am Wortlaut der Vorschrift orientieren und die missliche und mit S. 2 Nr. 2 nicht übereinstimmende Gesetzesbegründung als Fehler des Gesetzgebers ansehen. Es ist also ausreichend, wenn die Datenverarbeitung im Rahmen der Tätigkeiten der Niederlassung erfolgt.

Elementare Tatbestandsmerkmale sind die Begriffe der Verarbeitung „im Rahmen der Tätigkeiten“ einer „Niederlassung“. Zu diesen Begrifflichkeiten hat der EuGH in der Vergangenheit bereits mehrfach Urteile auf der Grundlage der DSRL gesprochen.46 Beide Begrifflichkeiten werden auch in der DSGVO verwendet und sind im Rahmen des BDSG nicht national autonom, sondern mit Blick auf die DSGVO auszulegen und anzuwenden.

aa) „im Rahmen der Tätigkeiten“

Im Hinblick auf die Ziele der DSGVO, einen wirksamen Schutz personenbezogener Daten und ein gleichmäßiges und hohes Schutzniveau zu gewährleisten, kann die Wendung nicht eng ausgelegt werden.47 Es geht um die Frage, ob im Tätigkeitsbereich einer bestimmten Niederlassung die in Rede stehende Datenverarbeitung erfolgt. Indizien für die Feststellung, ob die Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt, können auf tatsächlicher Ebene Kriterien wie der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben, sein.48

In jedem Fall muss genau auf die Tätigkeiten abzustellen sein, in deren Rahmen die Verarbeitung stattgefunden hat, insbesondere auf den Grad ihrer Verbindung mit einer konkreten Niederlassung. Pauschale Einordnungen, dass eine Niederlassung generell Datenverarbeitungen durchführt, die irgendwie mit dem Geschäftsbetrieb einer Muttergesellschaft zusammenhängen, reichen nicht aus.49Wenn nach dem Datenschutzrecht schon jede Datenverarbeitung einzeln auf ihre Rechtmäßigkeit hin überprüft werden muss und kann, so lässt sich nicht erklären, warum eine solche Differenzierung im Rahmen der Feststellung des anwendbaren Rechts nicht auch geboten ist.

Im Rahmen dieser der Prüfung zugrunde zu legenden Verarbeitung muss die Niederlassung eine bedeutende Rolle, im Sinne von vorhandenen Entscheidungs-, Einfluss- und Kontrollmöglichkeiten, spielen.50

Befindet sich der Verantwortliche oder der Auftragsverarbeiter in einem Drittstaat, so bedarf es einer untrennbaren Verbundenheit zwischen der Niederlassung in der Europäischen Union und dem Verantwortlichen bzw. Auftragsverarbeiter.51 Im Fall des Suchmaschinenbetreibers Google, mit einer Niederlassung in Spanien, hat der EuGH angenommen, dass die Verarbeitung personenbezogener Daten, die für den Dienst einer Suchmaschine erfolgt, die von einem Unternehmen betrieben wird, das seinen Sitz in einem Drittstaat hat, jedoch in einem Mitgliedstaat über eine Niederlassung verfügt, „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt wird, wenn diese die Aufgabe hat, in dem Mitgliedstaat für die Förderung des Verkaufs der angebotenen Werbeflächen der Suchmaschine, mit denen die Dienstleistung der Suchmaschine rentabel gemacht werden soll, und diesen Verkauf selbst zu sorgen.52

Für diese Konstellationen, in denen der Verantwortliche selbst außerhalb der Union sitzt, jedoch eine Niederlassung in einem Mitgliedstaat besitzt, entwickelte der EuGH eine neue Voraussetzung für das Eingreifen europäischen Datenschutzrechts, nämlich dass eine untrennbare Verbundenheit zwischen dem Verantwortlichem und seiner Niederlassung existieren muss. Diese besteht zum einen aus einer wirtschaftlichen Abhängigkeit. Es bedarf einer „existenzbegründenden Symbiose“ zwischen dem Verantwortlichen bzw. Auftragsverarbeiter und der Niederlassung. Für die spanische Niederlassung von Google wurde angenommen, dass sie nur Werbeflächen verkaufen (und dabei personenbezogene Daten verarbeiten) kann, wenn diese auch durch Google Inc. auf der Internetseite angezeigt und mit Ergebnissen verknüpft werden. Google Inc. in den USA andererseits kann seine Suchmaschine nur rentabel betreiben, wenn es die Einnahmen aus den Verkäufen der Tochtergesellschaften erhält.53 Eine Tätigkeit wird ohne die andere nicht möglich sein. Es besteht mithin eine zwingende, das Geschäftsmodell des für die Verarbeitung Verantwortlichen stützende, wirtschaftliche Beziehung zwischen den Tätigkeiten.54 Zum anderen stellte der EuGH auch die Verknüpfung auf der datenschutzrechtlichen Ebene her, um die Datenverarbeitung von Google Inc. als „im Rahmen der Tätigkeit“ von Google Spain ausgeführt begreifen zu können. Diese erkennt der EuGH darin, dass das Ergebnis der Datenverarbeitung durch Google Spain (der Inhalt der Werbeanzeige) auf derselben Internetseite angezeigt wird, auf der auch das Ergebnis der von Google Inc. durchgeführten Datenverarbeitungsprozesse (die Ergebnisliste nach einer Personensuche) dargestellt und mit den von Werbekunden gebuchten Keywords verknüpft wird.

bb) „Niederlassung“

Der Begriff der Niederlassung ist weit zu verstehen.55 Eine Niederlassung setzt nach ErwG 22 DSGVO die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.

Der EuGH geht von einer flexiblen Konzeption des Begriffs der Niederlassung aus, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist.56 Insbesondere ist daher auch die Eintragung im Handelsregister noch nicht allein ausschlaggebend.

Um festzustellen, ob eine Gesellschaft, die für eine Datenverarbeitung verantwortlich ist, über eine Niederlassung in einem Mitgliedstaat verfügt, ist daher sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in diesem Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.57 Eine Niederlassung kann bereits dann vorliegen, wenn ein Vertreter und ein Bankkonto in dem Mitgliedstaat vorhanden sind.58

Andererseits genügt für das Bestehen einer Niederlassung in einem Mitgliedstaat nicht, wenn von dort aus auf die Website des fraglichen Unternehmens zugegriffen werden kann.59

c) Nummer 3

Zuletzt ist das BDSG nach S. 2 Nr. 3 auch anwendbar, sofern der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der EU oder dem EWR hat, er aber mit der Datenverarbeitung in den Anwendungsbereich der DSGVO fällt. Der deutsche Gesetzgeber referenziert mit dieser Vorgabe auf Art. 3 Abs. 2 DSGVO.

Hierbei unterlässt er es jedoch, irgendeinen nationalen Anknüpfungspunkt zu etablieren.60 S. 2 Nr. 3 verweist unmodifiziert auf den Anwendungsbereich der DSGVO nach Art. 3 Abs. 2 DSGVO. Ein außerhalb des EWR ansässiger Verantwortlicher oder Auftragsverarbeiter fällt aber auch dann in den Anwendungsbereich der DSGVO, wenn er beispielsweise Waren oder Dienstleistungen an Personen in Spanien oder in Polen über das Internet anbietet. Nach S. 2 Nr. 3 wäre die betreffende außereuropäische Stelle aber auch in diesem Fall an die Regelungen des BDSG gebunden.61

Lösen ließe sich dieses Dilemma nur, wenn man den Verweis in S. 2 Nr. 3 auf Art. 3 Abs. 2 DSGVO so versteht, dass der dortige Wortlaut „in der Union“ in diesem Fall als „in der Bundesrepublik Deutschland“ verstanden werden müsste. Dafür könnte allein die Gesetzesbegründung sprechen, in der darauf verwiesen wird, dass S. 2 Nr. 3 dem § 1 Abs. 5 S. 2 BDSG aF entspricht. Danach findet das BDSG Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der EU oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Im BDSG aF wird also klar ein Inlandsbezug durch einen Zugriff auf dort belegene Mittel hergestellt. Man muss dieser Auslegung aber entgegenhalten, dass ein solcher Inlandsbezug hinsichtlich eines EU-Mitgliedstaates in Art. 3 Abs. 2 DSGVO gerade nicht mehr vorausgesetzt wird.

Insgesamt fehlen für eine solche Auslegung oder hinter der Vorschrift stehende Intention des Gesetzgebers daher konkrete Anhaltspunkte. Insbesondere der Wortlaut des S. 2 Nr. 3 spricht für einen schlichten Verweis auf die Eröffnung des Anwendungsbereichs der DSGVO, unabhängig von einem nationalen Anknüpfungspunkt.

3. Satz 3

Nach Abs. 4 S. 3 gelten bestimmte Vorschriften des BDSG (§§ 8–21 und 39–44) auch dann für Verantwortliche und Auftragsverarbeiter auf dem Gebiet der Bundesrepublik Deutschland, wenn das BDSG nach § 1 Abs. 4 S. 2 keine Anwendung findet. Zu diesen Vorschriften gehören insbesondere die Regelungen zur Bundesbeauftragten für den Datenschutz (§§ 8–16) sowie Regelungen für die Vertretung der deutschen Datenschutzbehörden im Datenschutzausschuss und zur Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in den §§ 17–19. Ebenfalls gelten in diesen Fällen auch § 20 zum gerichtlichen Rechtsschutz und § 21 zur Möglichkeit der Aufsichtsbehörden, eine gerichtliche Entscheidung gegen Beschlüsse der Europäische Kommission zu erwirken.