IV. Anwendungsbereich mitgliedstaatlicher Regelungen
83
Mit der Feststellung, dass die Verordnung anwendbar ist, ist die Prüfung des anwendbaren Datenschutzrechts in der Regel noch nicht abgeschlossen.
84
Denn das mit der Verordnung verfolgte rechtspolitische Ziel der Errichtung eines einheitlichen Datenschutzregimes in der EU ist nur teilweise erreicht worden. Die Verordnung beinhaltet an vielen Stellen Öffnungsklauseln, welche die Mitgliedstaaten dazu verpflichten bzw. ihnen gestatten, eigene nationale Regelungen zu treffen. Soweit sich eine Datenverarbeitung im Rahmen dieser Öffnungsklauseln bewegt, ist daher auch zu prüfen, welches mitgliedstaatliche Recht neben der Verordnung zur Anwendung kommt.77
85
Eine allgemeine Kollisionsnorm wie in Art. 4 DSRL sucht man in der Verordnung vergebens. Es bleibt daher den Mitgliedstaaten überlassen, festzulegen, wann eine nationale Regelung gilt.
Nationale Regelungen in Deutschland
86
Für öffentliche Stellen des Bundes und der Länder ergibt sich der sachliche Anwendungsbereich aus § 1 Abs. 1 S. 1, Abs. 8 BDSG bzw. aus den Landesdatenschutzgesetzen und der räumliche Anwendungsbereich aus § 1 Abs. 4 S. 1 BDSG. Für öffentliche Stellen ist der Anwendungsbereich gegenüber der DSGVO deutlich erweitert. Die Regelung in § 1 Abs. 8 BDSG dient daher dazu, die DSGVO für öffentliche Stellen insoweit für entsprechend anwendbar zu erklären.
87
§ 1 Abs. 5 BDSG bestimmt deklaratorisch, dass das BDSG keine Anwendung findet, soweit EU-Recht und insbesondere die DSGVO unmittelbar gelten.
88
Soweit dies nicht der Fall ist, ist das BDSG auf die Verarbeitung durch nichtöffentliche Stellen sachlich gemäß § 1 Abs. 1 S. 2 BDSG und persönlich und räumlich gemäß § 1 Abs. 4 S. 2 BDSG anwendbar.
89
Zur Bestimmung des sachlichen Anwendungsbereichs für die Verarbeitung durch nichtöffentliche Stellen wiederholt § 1 Abs. 1 S. 2 BDSG den Wortlaut des Art. 2 Abs. 1 und kombiniert ihn mit dem Wortlaut der Haushaltsausnahme aus Art. 2 Abs. 2 lit. c). Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 2 DSGVO verwiesen werden.78 Zu beachten ist allerdings, dass das BDSG gemäß § 1 Abs. 2 S. 1 BDSG im Verhältnis zu anderen Rechtsvorschriften des Bundes (mit Ausnahme des VwVfG des Bundes, § 1 Abs. 3) subsidiär ist.
90
Die Regelung zum persönlichen und räumlichen Anwendungsbereich des BDSG für nichtöffentliche Stellen in § 1 Abs. 4 BDSG darf als verunglückt bezeichnet werden und sieht sich teilweise dem Vorwurf ausgesetzt, europarechtswidrig zu sein.79
91
§ 1 Abs. 4 S. 2 Nr. 1 erklärt das BDSG unter Wiedereinführung des Territorialitätsprinzips für nichtöffentliche Stellen für anwendbar, wenn der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet, obwohl die DSGVO in Art. 3 und Erwägungsgrund 22 vom Kriterium des Ortes der Datenverarbeitung bewusst Abstand genommen hat.80 Das Merkmal der „Verarbeitung im Inland“ ist aus § 1 Abs. 5 S. 2 BDSG a.F. bekannt und wurde im Geltungszeitraum der Richtlinie richtlinienkonform dahingehend ausgelegt, dass die Belegenheit der Verarbeitungsmittel entscheidend ist. Da die richtlinienkonforme Auslegung entfällt, seit die Richtlinie nicht mehr gilt, ist unklar, ob der deutsche Gesetzgeber das Merkmal der „Verarbeitung im Inland“ auch in Zukunft als „Belegenheit der Verarbeitungsmittel“ verstanden wissen will. Die Gesetzesbegründung bietet hierüber keinen Aufschluss, da sie schon aufgrund offensichtlich fehlerhafter Bezugnahmen kaum verständlich ist und auch inhaltlich falsch zu sein scheint.81
92
§ 1 Abs. 4 S. 2 Nr. 1 kann dazu führen, dass die DSGVO für nichtöffentliche Stellen zur Anwendung kommt, wo die Verordnung nicht anwendbar ist (z.B. aufgrund der Verwendung eines in Deutschland belegenen Servers für eine Datenverarbeitung ohne sonstigen Bezug zur EU). Insoweit wäre es ein eigenständiges mitgliedstaatliches Gesetz. Als solches könnte es unanwendbar sein, wenn der Unionsgesetzgeber mit Art. 3 DSGVO die räumliche Reichweite des Datenschutzrechts im Hinblick auf die Regelungsbereiche der Verordnung abschließend regeln wollte. Denn das Datenschutzrecht ist Gegenstand der geteilten Zuständigkeit zwischen der Union und den Mitgliedstaaten und es gilt gemäß Art. 2 Abs. 2 S. 2 AEUV, dass die Mitgliedstaaten nur gesetzgeberisch tätig werden können, sofern und soweit die Union ihre Zuständigkeit nicht ausgeübt hat.82 Die Prüfung, ob ein solcher Fall gegeben ist, bedarf einer vertieften europarechtlichen Analyse und kann hier nicht vorgenommen werden.
93
Geht man in einem konkreten Fall davon aus, dass das BDSG aufgrund von § 1 Abs. 4 S. 2 Nr. 1 auf die Datenverarbeitung durch nichtöffentliche Stellen als eigenständiges mitgliedstaatliches Gesetz anwendbar ist, ergibt sich zudem das Problem, dass zur Rechtsfindung auf die Vorschriften der Verordnung nicht zurückgegriffen werden kann (§ 1 Abs. 8 BDSG gilt in diesem Fall nicht) und das BDSG damit lückenhaft und unverständlich bleibt. Ob das BDSG insoweit noch den aus dem Rechtsstaatsprinzip folgenden Geboten der Normenklarheit und Bestimmtheit entspricht, darf bezweifelt werden.
94
Nach § 1 Abs. 4 S. 2 Nr. 2 ist das BDSG für nicht-öffentliche Stellen räumlich anwendbar, sofern die Verarbeitung der Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragnehmers erfolgt. Dies entspricht im Wesentlichen der Regelung des Art. 3 Abs. 1 DSGVO unter Beschränkung auf Niederlassungen in Deutschland. Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 3 Abs. 1 DSGVO verwiesen werden.83
95
Nach § 1 Abs. 4 S. 2 Nr. 3 ist das BDSG für nicht-öffentliche Stellen, die nicht in der Union und nicht im Europäischen Wirtschaftsraum niedergelassen sind, anwendbar, sofern sie in den Anwendungsbereich der Verordnung fallen.
96
Auch wenn es an einer ausdrücklichen Bezugnahme fehlt, ist dies im Ergebnis ein Rechtsgrundverweis auf Art. 3 Abs. 2 und Abs. 3 DSGVO. Zur Auslegung und Anwendung dieser Vorschrift kann daher auf die entsprechenden Ausführungen zu Art. 3 Abs. 2 DSGVO verwiesen werden.84 In der Praxis ist in erster Linie die Bezugnahme auf das in Art. 3 Abs. 2 Nr. 1 und 2 DSGVO beschriebene Marktortprinzip von Bedeutung.85
97
Im Gegensatz zu § 1 Abs. 4 S. 2 Nr. 1 und 2 BDSG hat der Gesetzgeber bei § 1 Abs. 4 S. 2 Nr. 3 BDSG keine Einschränkung auf das Inland und somit keine Beschränkung auf Deutschland als Marktort vorgenommen. Weder muss sich die betroffene Person in Deutschland befinden, noch muss sich das Angebot von Waren und Dienstleistungen an Personen in Deutschland richten. Auch beobachtetes Verhalten muss nicht in Deutschland erfolgen. Solange die territorialen Anknüpfungspunkte in Art. 3 Abs. 2 DSGVO für irgendeinen Mitgliedstaat der Union gegeben sind, soll das BDSG gemäß § 1 Abs. 4 S. 2 Nr. 3 gelten. Dies führt zu offensichtlich unangemessenen Ergebnissen.86 Eine Kollision mit den Datenschutzgesetzen anderer Mitgliedstaaten ist vorprogrammiert. So hat eine konsequente Anwendung von § 1 Abs. 4 S. 2 Nr. 3 BDSG i.V.m. Art. 3 Abs. 2 lit. a DSGVO zum Beispiel zur Folge, dass für die Datenverarbeitung durch ein in Argentinien niedergelassenes Unternehmen im Zusammenhang mit einem Angebot, welches sich ausschließlich an Personen in Spanien richtet, das BDSG zu beachten wäre. Das spanische Datenschutzrecht wird in diesem Fall jedoch ebenfalls gelten.
98
Die geschilderten Anwendungsprobleme im Zusammenhang mit § 1 Abs. 4 S. 2 Nr. 1 und Nr. 3 BDSG können vorliegend