DS-GVO/BDSG. David Klein
18 enthält nur ansatzweise Hinweise auf den Umfang der Regelung. So soll „auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten“ Ausdruck persönlicher oder familiärer Datenverarbeitungstätigkeiten sein können. Insbesondere Art. 4 enthält insoweit keine Definitionen der Begriffe „persönlich“ und „familiär“.[15] Sprachlich ist eine Abweichung festzustellen zum Wortlaut etwa der englischen und der französischen Fassung, die anstelle des Begriffs „private“ in der deutschen Fassung die Begriffe „household“ bzw. „domestique“ verwenden. Die genannten Fassungen dürften somit den Regelungsgehalt besser zum Ausdruck bringen, weil sie stärker als die deutsche Fassung auf die häusliche Privatsphäre abstellen.
39
Der Abgrenzung bedarf die Vorschrift insoweit, als – wie ErwG 18 dies ausführt – auch bei häuslicher Datenverarbeitung kein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit bestehen darf. Damit sind neben der Erfassung und Pflege bspw. rein familiärer Kontaktdaten auch Datensammlungen erfasst, die über den privaten Kreis hinausgehen, also Dritte außerhalb des Familienkreises betreffen, so über Prominente, Sportler oder sonstige außenstehende Personen, die für den Privaten von Interesse sind, etwa im Rahmen eines privaten Hobbies.[16] Fehlt derartigen Verarbeitungsvorgängen der wirtschaftlich-berufliche Bezug, sind auch diese von der Geltung der DS-GVO ausgenommen. Somit dürfte etwa die Beobachtung des Eingangsbereichs privat genutzter Wohnhäuser mittels einer Videokamera nicht der DS-GVO unterfallen.[17]
40
Die Nutzung sozialer Netzwerke im häuslich-privaten Bereich ist dann von der Geltung der DS-GVO ausgenommen, wenn der Kreis der Zugriffsberechtigten auf das jeweilige Datum begrenzt ist. Wird die Information an eine unbestimmte Vielzahl von Personen verbreitet, muss hierfür die DS-GVO trotz des grundsätzlich privaten Rahmens der Nutzung gelten.[18] Dies steht im Übrigen im Einklang mit der Rechtsprechung des EuGH zu Art. 3 Abs. 1, 2, Art. 8 Abs. 1 DSRL, wonach auch die private Nutzung des Internets dann der Richtlinie unterfällt, wenn die betreffenden Daten einer unbegrenzte Zahl von Personen zugänglich gemacht werden.[19] Deswegen ist eine Beschränkung der Privilegierung bei Nutzung sozialer Netzwerke auf einen engen Familien- und Freundeskreis zu fordern.[20] Ob die Ausnahme nach lit. c greift, ist damit aber letztlich einzelfallabhängig.
41
Besteht eine Verbindung zu beruflicher oder wirtschaftlicher Betätigung, gleich in welcher konkreten Ausgestaltung diese stattfindet, greift die Ausnahme nach lit. c nicht. Dies gilt nach zutreffender Ansicht auch, wenn die Tätigkeit nicht auf Gewinnerzielung angelegt ist, also auch bei Datenverarbeitung in ehrenamtlicher Funktion; letztere dient gerade nicht nur persönlichen Zwecken.[21]
42
Das Kriterium der Ausschließlichkeit einer Datenverarbeitung zu persönlichen oder privaten Zwecken führt zugleich dazu, dass eine private Datenverarbeitung, die sowohl den privaten wie den geschäftlichen Bereich betrifft, nicht der Privilegierung nach lit. c unterfallen kann.[22] Ob gerade bei gemischten Dateien bzw. Nutzungen eine Abgrenzung nach dem Schwerpunkt der jeweiligen Datenverarbeitung vorzugswürdig wäre,[23] kann insoweit bezweifelt werden, als die zunehmende Durchdringung auch des privaten Bereichs mit beruflichen Aspekten und die wachsenden technischen Möglichkeiten eine eher restriktive Auslegung fordern.[24] Ob eine Abgrenzung nach dem Schwerpunkt praktikabler wäre als das Kriterium der Ausschließlichkeit,[25] ist letztlich nicht nachweisbar; eine solche Vorgehensweise würde sich im Zweifel noch eher in Beweisfragen im Einzelfall aufreiben.
43
Wenn sich die Nutzung sozialer Netzwerke im Rahmen der Ausnahme nach lit. c bewegt, stellt ErwG 18 zugleich klar, dass die Ausnahme sich nicht auf den Diensteanbieter bezieht.[26]
4. Strafrechtliche Tätigkeiten und Schutz der öffentlichen Sicherheit
44
Die Ausnahme nach lit. d zugunsten des Tätigwerdens zuständiger Behörden in den Bereichen der Prävention von Straftaten, der Strafverfolgung und -vollstreckung sowie auf dem Gebiet des Schutzes und der Abwehr von Gefahren bezogen auf die öffentliche Sicherheit galt bereits bei der DSRL.
45
Die betreffenden Fragen werden in der parallel zur DS-GVO erlassenen RL (EU) 2016/680 geregelt. Durch die Ausnahme nach lit. d werden die Handlungsspielräume der national zuständigen Behörden nicht zuletzt im Datenaustausch zum Zwecke effektiven polizeilichen Handelns erweitert, ohne dass die Rechte der Betroffenen übermäßig eingeschränkt werden sollen. Zugleich wird durch die Beschränkung auf datenschutzrechtliche Mindeststandards auf die Souveränität der Mitgliedstaaten im Bereich der polizeilichen Tätigkeiten mehr Rücksicht genommen.[27] Nutzen die Mitgliedstaaten die in Art. 1 Abs. 3 RL (EU) 2016/680 angelegte Möglichkeit zur Normierung höherer Schutzstandards, führt dies dazu, dass ein Handeln im Rahmen dieser Standards verstärkt an nationalen Grundrechten und durch die nationalen Gerichte, für die Bundesrepublik insbesondere das Bundesverfassungsgericht, überprüft werden kann.[28]
46
Die Formulierung „einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ beruht auf dem Bestreben der Mitgliedstaaten im Rechtsetzungsverfahren, den gesamten Bereich der öffentlichen Sicherheit und Ordnung in den Anwendungsbereich der RL (EU) 2016/680 fallen zu lassen.[29] Die Verwendung des Begriffs „einschließlich“ im 2. Hs. stellt klar, dass die hier angesprochene Gefahrenabwehr eine solche im Kontext der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten i.S.d. 1. Hs. sein muss.[30] Nur bei diesem engen Verständnis ist zudem sichergestellt, dass die Mitgliedstaaten sich nicht bei jeder beliebigen Gefährdung der öffentlichen Sicherheit der Bindung durch die DS-GVO entziehen können. Insbesondere scheidet eine solche Loslösung über lit. d bezüglich eventueller Maßnahmen zur Bekämpfung der Corona-Pandemie aus, die bei einem weiten Verständnis als Gefahr für die öffentliche Sicherheit gedeutet werden könnte. Hier kommen den Mitgliedstaaten allenfalls, aber immerhin, die Öffnungsklauseln nach Art. 6 Abs. 1 lit. d oder Art. 9 Abs. 2 lit. h oder i zugute.[31]
47
ErwG 19 führt dementsprechend an, dass nur die in lit. d genannten Tätigkeiten von der Privilegierung erfasst sind; andere Aufgaben, die den für repressives oder präventives Handeln zuständigen Behörden übertragen sind oder werden, unterfallen weiterhin der Geltung der DS-GVO.[32] Zugleich ist auch das Handeln unzuständiger Behörden auf dem Tätigkeitsfeld nach lit. d weiterhin der DS-GVO unterworfen.[33] Dies gilt gleichermaßen für das Tätigwerden nichtöffentlicher Stellen auf dem Gebiet der Strafverfolgung.[34]
48
Die Tätigkeit der Justizbehörden und Gerichte unterfällt grundsätzlich der DS-GVO, allerdings rät ErwG 20 ausdrücklich dazu, im Interesse der Unabhängigkeit der Gerichte deren Tätigkeit nicht durch Aufsichtsbehörden, sondern durch in der Justiz angesiedelte Stellen überprüfen zu lassen.[35]
IV. Tätigwerden der EU-Organe und ihrer Einrichtungen
49
Art. 2 Abs. 3 sieht vor, dass das Handeln der EU-Organe und ihrer Einrichtungen, der Ämter und der Agenturen weiterhin der Anwendung der VO (EG) 45/2001 unterfällt. Diese ist auf Grundlage des früheren Art. 286 Abs. 2 EG erlassen worden. Sie ist nach Inkrafttreten des Lissabon-Vertrages so auszulegen, dass Datenverarbeitungsvorgänge bezüglich personenbezogener Daten von Organen, Einrichtungen und sonstigen Stellen der EU, die ganz oder teilweise in den Anwendungsbereich