2. Entstehungsgeschichte
2
Art. 2 DSGVO knüpft sprachlich und inhaltlich an der Vorgängerregelung in Art. 3 DSRl an. Art. 2 Abs. 1 DSGVO entspricht der Formulierung von Art. 3 Abs. 1 DSRl fast wortgleich; lediglich die Formulierung „Verarbeitung in einer Datei“ wird zu „Verarbeitung in einem Dateisystem“, ohne dass dies zu einer inhaltlichen Änderung führen würde.2 Die Ausnahmeregelungen in Art. 2 Abs. 2 DSGVO sind inhaltsgleich von Art. 3 Abs. 1 DSRl übernommen. Für Art. 2 Abs. 3 DSGVO und die darin geregelte Ausnahme der Anwendbarkeit für Organe und Einrichtungen der EU gibt es keine direkte Entsprechung in der DSRl; inhaltlich ergibt sich die Ausnahme aber auch für die DSRl daraus, dass in Art. 34 DSRl die Mitgliedstaaten und nicht die Organe und Einrichtungen der EU adressiert werden.3
3
Im Gesetzgebungsprozess war insbesondere umstritten, ob die DSGVO für die Tätigkeit der Organe und Einrichtungen der EU gelten soll. Obwohl Art. 16 Abs. 2, 1. Alt. AEUV eine Kompetenz der EU hierfür ausdrücklich vorsieht, enthielt der erste Kommissionsentwurf4 in Art. 2 Abs. 2 lit. b eine Formulierung, nach der die Datenverarbeitung durch Organe und Einrichtungen der EU nicht erfasst sein sollte. In dem Entwurf des Parlaments5 wurde diese Formulierung gestrichen und in Art. 89a eine Formulierung zum Anwendungsvorrang der DSGVO mit einer Ausnahme für speziellere Regelungen aufgenommen. In den Trilogverhandlungen einigten sich Parlament und Rat dann auf die Kompromissformulierung des aktuellen Art. 2 Abs. 3 DSGVO, wonach die einschlägigen Rechtsnormen für die Datenverarbeitung durch Organe und Einrichtungen der EU an die DSGVO angepasst werden sollen.
4
Zur Ausnahme des Anwendungsbereichs für persönliche/familiäre Zwecke in Art. 2 Abs. 2 lit. c DSGVO war zwischen Kommission und Parlament umstritten, ob entsprechend dem ersten Kommissionsentwurf6 die Ausnahme des Anwendungsbereichs auf private Tätigkeiten „ohne Gewinnerzielungsabsicht“ beschränkt sein sollte und ob die Ausnahme entsprechend dem Entwurf des Parlaments7 auch für die Veröffentlichung personenbezogener Daten an eine begrenzte Anzahl von Personen gelten sollte.8 Beide Vorschläge wurden nicht umgesetzt. In ErwG 18 wurde jedoch die Formulierung aufgenommen, dass die DSGVO nicht für persönliche oder familiäre Tätigkeiten ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gilt.
3. Verhältnis zu anderen Vorschriften
5
Während sich die sachliche Anwendbarkeit der DSGVO aus Art. 2 Abs. 1 bis 3 DSGVO ergibt, folgt der räumliche Anwendungsbereich aus Art. 3 DSGVO und der zeitliche Anwendungsbereich aus Art. 99 DSGVO. Die Anwendbarkeit mitgliedstaatlicher Datenschutzgesetze im Rahmen der Öffnungsklauseln der DSGVO ergibt sich aus diesen Gesetzen, etwa aus § 1 BDSG. Art. 2 Abs. 3 und Abs. 4 DSGVO stehen in engem Zusammenhang mit den Schlussvorschriften der DSGVO. So konkretisiert Art. 2 Abs. 3 DSGVO die Regelung in Art. 98 DSGVO. Art. 2 Abs. 4 DSGVO regelt das Verhältnis der DSGVO zur eCommerce-Richtlinie, während Art. 95 DSGVO das Verhältnis zur ePrivacy-Richtlinie und Art. 96 DSGVO das Verhältnis zu vor dem 24.5.2016 geschlossenen Übereinkünften zur Übermittlung personenbezogener Daten in Drittstaaten und an internationale Organisationen regelt. Erläuterungen und Auslegungshilfen zu Art. 2 DSGVO ergeben sich aus den ErwG 13–21 und 27.
II. Automatisierte und dateimäßige Verarbeitung (Abs. 1)
6
Aus Art. 2 Abs. 1 DSGVO ergibt sich die positive Bestimmung des Anwendungsbereichs der DSGVO, der vorbehaltlich der Ausnahmen in Art. 2 Abs. 2 DSGVO für die automatisierte Verarbeitung personenbezogener Daten und die nichtautomatisierte Verarbeitung personenbezogener Daten in Dateisystemen eröffnet ist. Damit werden technische Umstände beschrieben, die zur Anwendbarkeit der DSGVO führen.9 Entsprechend der DSRl, aber abweichend von der deutschen Konzeption der Anwendbarkeit des Datenschutzrechts, kommt es nicht auf die Tätigkeit des Verantwortlichen an (öffentlich-rechtlich oder privatrechtlich).
1. Personenbezogene Daten
7
Zentrale Anwendungsvoraussetzung der DSGVO, wie auch deren Vorgängerregelungen in Art. 3 Abs. 1 DSRl ist die Verarbeitung personenbezogener Daten. Die Feststellung, dass Daten Gegenstand eines Verarbeitungsvorgangs sind, ist regelmäßig nicht mit Problemen verbunden. Zur „Gretchen-“10 bzw. „Kardinalfrage“11 wird jedoch die Feststellung des Bestehens eines Personenbezugs der verarbeiteten Daten. Personenbezogen sind Daten gemäß der Legaldefinition in Art. 4 Nr. 1 DSGVO (siehe Art. 4 Rn. 2ff.), wenn darin Informationen enthalten sind, die sich auf eine identifizierte oder identifizierbare Person beziehen. Diese zentrale Frage des Datenschutzrechts ist Gegenstand intensiver Diskussionen, die sich im Kern darum drehen, wer die Kenntnis haben muss, um eine Information einer natürlichen Person zuzuordnen.12 Nach der relativen Theorie des Personenbezugs muss dies der Verantwortliche selbst sein, nach der absoluten Theorie reicht auch die Kenntnis eines Dritten.13 Zudem ist umstritten, mit welchem Grad an Wahrscheinlichkeit eine Identifizierung möglich sein muss (siehe Art. 4 Rn. 8ff.). Aus Erwägungsgrund 14 Satz 2 folgt, dass personenbezogene Daten einer juristischen Person nicht in den Anwendungsbereich der DSGVO fallen sollen (siehe Art. 4 Rn. 16).14
2. Ganz oder teilweise automatisierte Verarbeitung
8
Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DSGVO legaldefiniert und umfasst mit Hilfe automatisierter Verfahren ausgeführten Umgang mit personenbezogenen Daten (siehe Art. 4 Rn. 60ff.). Damit knüpft die DSGVO am Begriffsverständnis der DSRl und nicht an den Ansatz des deutschen Datenschutzrechts mit einem schematischen Phasenmodell der Verarbeitungsschritte (Erhebung, Speicherung, Verarbeitung, Nutzung, Löschung) an. Der Anwendungsbereich der DSGVO wird damit hinsichtlich der technischen Umstände maximal weit und technologieneutral bestimmt,15 indem letztlich jeder Umgang mit personenbezogenen Daten erfasst wird.
9
Wann eine Verarbeitung automatisiert erfolgt, ist in der DSGVO nicht legaldefiniert und technikneutral zu verstehen.16 Automatisiert ist eine Verarbeitung mit Funktionsabläufen, die nach vorgegebenen Parametern ohne Mitwirkung eines Menschen arbeitet. Vom Anwendungsbereich der DSGVO sind neben ganz automatisierten Verarbeitungen auch teilweise automatisierte Verarbeitungen erfasst. Es ist daher unerheblich für die Eröffnung des sachlichen Anwendungsbereichs der DSGVO, ob einzelne Schritte einer im Übrigen automatisierten Verarbeitungsreihe durch Menschen vollzogen werden, etwa die vorgelagerte manuelle Erhebung personenbezogener Daten,17 Auswertungen oder Zwischenschritte eines Geschäftsprozesses. In den Anwendungsbereich der DSGVO fallen damit alle ganz oder teilweise rechnergestützten Verarbeitungen personenbezogener Daten.18 Ob die personenbezogenen Daten dabei strukturiert gespeichert sind, ist unerheblich.19
3. Nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem
10
Die DSGVO findet auch auf die nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem Anwendung. Nichtautomatisiert ist eine rein manuelle Verarbeitung.20 Der Begriff Dateisystem ist in Art. 4 Nr. 6 DSGVO legaldefiniert (siehe Art. 4 Rn. 160ff.) und umfasst strukturierte Datensammlungen, in denen Informationen nach bestimmten Kriterien