11
Damit nichtautomatisierte, dateibezogene Verarbeitungen in den Anwendungsbereich der DSGVO fallen, muss ihr Inhalt nach Kriterien strukturiert sein, die den Zugriff erleichtern. In der Legaldefinition eines Dateisystems in Art. 4 Nr. 6 DSGVO wird dafür der Plural verwendet („Kriterien“). Dennoch wird teilweise angenommen, dem Sinn und Zweck der Norm folgend sei es auch hinreichend, wenn die Strukturierung nur anhand eines Kriteriums erfolge.23 Aufgrund des insofern klaren Wortlauts ist aber die Gegenauffassung überzeugend, nach der mindestens zwei Kriterien zur Strukturierung genutzt werden müssen, damit ein Dateisystem vorliegt.24 Da praktisch jede aktenmäßige Informationssammlung nach bestimmten Kriterien strukturiert ist, etwa durch eine chronologische oder alphabetische Abheftung, nach dem Sinn der Norm aber gewisse nicht digitale Akten vom Anwendungsbereich der DSGVO ausgeschlossen sein sollen, wird vertreten, das Tatbestandsmerkmal der Strukturierung sei teleologisch einschränkend auszulegen. Um den Anwendungsbereich der DSGVO für nichtautomatisierte Verarbeitungen zu eröffnen, müsste sich daher aus der Struktur unmittelbar die Zugriffsmöglichkeit auf personenbezogene Informationen ergeben.25 Dass es dieser teleologischen Reduktion bedarf, ist jedoch nicht zwingend. Zum einen ist der Anwendungsbereich der DSGVO bewusst weit gefasst und zum anderen ergibt sich ein Ausschluss dateibezogener Verarbeitungen, soweit diese nur nach einem Kriterium strukturiert sind.
12
Für den Beschäftigtendatenschutz hat der deutsche Gesetzgeber mit § 26 Abs. 7 BDSG entsprechend der ursprünglichen deutschen Rechtslage den Anwendungsbereich auch auf Verarbeitungen außerhalb von Dateisystemen erstreckt (siehe § 26 BDSG Rn. 101). Zum erweiterten Anwendungsbereich für deutsche öffentliche Stellen siehe § 1 BDSG Rn. 8f.
III. Ausnahmen vom Anwendungsbereich (Abs. 2 und Abs. 3)
13
Art. 2 Abs. 2 und Abs. 3 DSGVO normieren Ausnahmen von der sachlichen Anwendbarkeit der DSGVO für Bereiche, die spezialgesetzlich geregelt sind, für die der Gesetzgeber keinen Regelungsbedarf gesehen hat oder die nicht in die Regelungskompetenzen der Union fallen.26 Über die Fälle der Art. 2 Abs. 2 und Abs. 3 DSGVO hinaus gibt es nicht ausdrücklich normierte, aber sich aus dem Schutzzweck der DSGVO ergebende Ausnahmen von der Anwendbarkeit. So fällt etwa die Verarbeitung personenbezogener Daten durch die betroffene Person selbst nicht in den Anwendungsbereich der DSGVO.27 Soweit eine Ausnahme des Anwendungsbereichs nach Art. 2 Abs. 2 DSGVO besteht, schließt dies den Erlass datenschutzrechtlicher Regelungen durch die Mitgliedstaaten für diese Bereiche nicht aus.28
1. Fehlender Anwendungsbereich des Unionsrechts (Abs. 2 lit. a)
14
Art. 2 Abs. 2 lit. a DSGVO schließt die Anwendbarkeit der DSGVO für Tätigkeiten aus, die nicht in den Anwendungsbereich des Unionsrechts fallen. Diese Rechtsfolge ergibt sich auch schon aus dem vorrangig anwendbaren Art. 16 Abs. 2 AEUV. Die Regelung ist also rein deklaratorisch.29 Kompetenzen der Union ergeben sich aus dem Primärrecht, namentlich Art. 3 bis Art. 6 AEUV und werden weit ausgelegt,30 ohne dass sie jedoch aus eigener Kompetenz der Union erweitert werden könnten (Prinzip der begrenzten Einzelermächtigung).31 Nicht in den Anwendungsbereich der DSGVO fallen insbesondere Tätigkeiten der Streitkräfte und Nachrichtendienste der Mitgliedstaaten.32 Für die Tätigkeit mitgliedstaatlicher Parlamente im Rahmen parlamentarischer Tätigkeiten wurde ursprünglich herrschend angenommen, diese unterfalle nicht der Anwendung des Unionsrechts und sei daher vom Anwendungsbereich der DSGVO nicht erfasst.33 Der EuGH hat hierzu entschieden, dass auch nationale Parlamente (im relevanten Fall der Petitionsausschuss des hessischen Landtags) verantwortliche Stellen im Anwendungsbereich der DSGVO sind.34
2. Anwendungsbereich von Titel V Kap. 2 EUV (Abs. 2 lit. b)
15
Nach Art. 2 Abs. 2 lit. b DSGVO findet die DSGVO keine Anwendung auf Datenverarbeitungen der Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik sowie des gemeinsamen auswärtigen Handelns der Union gemäß Titel V Kapitel 2 EUV. Die Regelung in Art. 2 Abs. 2 lit. b DSGVO ist deklaratorisch und stellt klar, dass die DSGVO hier keine Anwendung findet.35 Die Kompetenz zum Erlass entsprechender Regelungen zum Schutz personenbezogener Daten ergibt sich anders als die Kompetenz zum Erlass der DSGVO nicht aus Art. 16 Abs. 2 AEUV, sondern aus Art. 39 EUV. Sie begründet eine Zuständigkeit des Rates in der Form des Beschlusses ohne Beteiligung des Parlaments.36 Für den Bereich der gemeinsamen Außen- und Sicherheitspolitik sowie des gemeinsamen auswärtigen Handelns der Union gibt es kein allgemeines, der DSGVO vergleichbares Regelungswerk zum Datenschutz, sondern nur einzelfallbezogenen Regelungen.37
3. Persönlich familiäre Tätigkeiten (Abs. 2 lit. c)
16
Art. 2 Abs. 2 lit. c DSGVO enthält die sogenannte Household Exemption oder Haushaltsausnahme, also eine Einschränkung der Anwendbarkeit der Verarbeitung personenbezogener Daten durch natürliche Personen für ausschließlich persönliche/familiäre Tätigkeiten. Diese Ausnahme der Anwendbarkeit war schon in Art. 3 Abs. 2 DSRl enthalten und wird durch Art. 2 Abs. 2 lit. c DSGVO fast wortgleich fortgeschrieben. Entsprechend der Regelungsintention beim Erlass der DSRl soll auch die DSGVO nicht anwendbar sein, wenn personenbezogene Daten im privaten Rahmen zur Ausprägung des allgemeinen Persönlichkeitsrechts verarbeitet werden.38 Das Festhalten des europäischen Gesetzgebers an der Haushaltsausnahme wird teilweise kritisch gesehen, da Gefährdungen der Persönlichkeitsrechte der Betroffenen aufgrund gestiegener technischer Verarbeitungsmöglichkeiten von Privatpersonen auch bei der Verarbeitung durch diese drohten.39 Zutreffend an dieser Kritik ist, dass es auch – und besonders im persönlich/familiären Rahmen – zu erheblichen Persönlichkeitsrechtsverletzungen kommen kann.40 Der europäische Gesetzgeber hat hierfür aber gerade festgelegt, dass solche Verletzungen nicht im Rahmen des Datenschutzrechts, sondern nach allgemeinen zivil- und ggf. strafrechtlichen Maßstäben bewertet und sanktioniert werden sollen.
a) Definition persönlich/familiärer Tätigkeiten
17
Die DSGVO enthält keine Definition der Begriffe „persönlich“ und „familiär“. Diese müssen daher autonom nach der Verkehrsauffassung bestimmt werden.41 Dabei ist die objektiv erkennbare Zweckbestimmung einer Verarbeitungstätigkeit heranzuziehen. Persönliche Tätigkeiten dienen allgemein der Selbstentfaltung in Freizeit und privatem Bereich.42 Familiäre Tätigkeiten dienen dem sozialen Umgang im Kreis der Familie.43 Indiz für eine persönlich/familiäre Zweckbestimmung sind die erkennbare persönlich/familiäre Motivation, der soziale Kontext44 sowie das Fehlen eines gewerblichen45 oder öffentlich/politischen Hintergrundes. Eine familienrechtliche Auslegung der Begriffe persönlich und familiär ist nicht geboten,46 was beim Vergleich anderer Sprachfassungen deutlich wird.47 Die Größe einer Datensammlung ist für die Qualifikation nicht entscheidend, eine große Datensammlung kann jedoch ein Indiz sein, das gegen persönliche/familiäre Zwecke spricht.48 Der Grundsatz der Bestimmung nach dem objektiv erkennbaren Zweck einer Tätigkeit wird nach der Rechtsprechung des EuGH für Veröffentlichungen im Internet sowie für Videoaufnahmen in öffentlich zugänglichen Bereichen durchbrochen. Die Haushaltsausnahme ist nur für natürliche Personen eröffnet.49 Erfasst werden aber auch Personenmehrheiten, die zu persönlich/familiären Zwecken handeln.50 Auch wenn juristischen Personen ein Unternehmenspersönlichkeitsrecht zugesprochen wird,51 können sie nämlich