DS-GVO/BDSG. David Klein
href="#ulink_8cdcf94e-8612-50d7-9e0e-3f689c9ea603">3 DS-GVO[30] oder Art. 23 DS-GVO[31] in Betracht, die aber nicht auf Art. 4 DS-GVO Bezug nehmen.[32] Für Abweichungen von Art. 4 DS-GVO fehlt es also an einer Öffnung für mitgliedstaatliches Recht. Dies ist konsequent, da andernfalls das Ziel der Harmonisierung des europäischen Datenschutzrechts durch Erlass mitgliedstaatlicher Regelungen konterkariert würde.
8
Hinsichtlich des Erlasses von Begriffsbestimmungen, die nicht durch die DS-GVO festgelegt wurden, ist ebenfalls problematisch, dass Art. 4 DS-GVO selbst keine Öffnungsklausel enthält, die den Mitgliedstaaten den Erlass weitergehender spezifischer Begriffsbestimmungen ermöglicht. Eine derartige Öffnungsklausel enthält lediglich Art. 6 Abs. 1 S. 1 lit. e i.V.m. Abs. 2 und 3 S. 3 DS-GVO.[33] Dies würde aber voraussetzen, dass es sich bei der Begriffsbestimmung um eine spezifische Regelung i.S.v. Art. 6 Abs. 3 S. 3 DS-GVO handelt.[34] Dies erscheint zweifelhaft.[35] Fraglich ist daher, ob die DS-GVO in dem Sinne abschließend ist, dass sie auch den Erlass mitgliedstaatlicher Begriffsbestimmungen sperrt, die selbst nicht Bestandteil der DS-GVO sind. Für diese Sichtweise spricht neben dem Fehlen einer Öffnung im Rahmen von Art. 4 DS-GVO, dass andernfalls die Mitgliedstaaten durch den Erlass von Begriffsdefinitionen darüber entscheiden könnten, ob die sonstigen Regelungen der DS-GVO Anwendung finden oder nicht. Dies ist mit der unmittelbaren Wirkung der DS-GVO und dem Ziel der Harmonisierung des Datenschutzrechts in Europa unvereinbar.
1. Allgemeines
9
Da der Anwendungsbereich der DS-GVO nur dann eröffnet ist, wenn personenbezogene Daten i.S.d. Art. 4 Nr. 1 verarbeitet werden, ist diese Bestimmung für den europäischen Datenschutz, insbesondere die Betroffenenrechte, zentral.[36]
10
Nach Art. 4 Nr. 1 sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, „personenbezogene Daten“. Nach Art. 2 lit. a DSRL sind personenbezogene Daten „alle Informationen über eine bestimmte oder bestimmbare natürliche Person“. Folglich wurden die Begriffe „bestimmt“ und „bestimmbar“ lediglich durch „identifiziert“ und „identifizierbar“ ersetzt. Nach ErwG 26 zu Art. 2 lit. a DSRL sollten zur „Bestimmbarkeit alle Mittel berücksichtigt werden, die vernünftigerweise entweder von einem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“. ErwG 26 S. 3 zur DS-GVO spricht nunmehr davon, dass „zur Identifizierbarkeit alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Inhaltlich ergeben sich aus der neuen Formulierung keine abweichenden Erkenntnisse, weil sie ebenfalls nur auf eine Wahrscheinlichkeitsprognose abstellt.[37]
11
Auch § 3 Abs. 1 BDSG a.F. sprach im Rahmen von personenbezogenen Daten von „Einzelangaben über eine bestimmte oder bestimmbare natürliche Person“. Insoweit steht Art. 4 Nr. 1 in der bisherigen Datenschutz-Tradition und bringt im Vergleich zur bisherigen Rechtslage unter der DSRL und dem BDSG als Vorgängerregelungen keine grundlegenden Neuerungen hinsichtlich der Reichweite des Personenbezugs.[38]
12
Von den allgemeinen personenbezogenen Daten sind die besonderen Kategorien von Daten[39] und die personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten[40] zu unterscheiden.[41] Laut des ErwG 26 S. 5 gelten die Grundsätze des Datenschutzes nicht für anonyme Daten, die insofern das Gegenstück zu den personenbezogenen Daten bilden.[42]
a) Betroffene Person
13
Personenbezogene Daten sind nur solche Informationen, die sich auf eine bestimmte oder bestimmbare bzw. identifizierte oder identifizierbare natürliche Person beziehen. Die DS-GVO bezeichnet diese Person „betroffene Person“ und unterstellt diese durch die Betroffenenrechte einem besonderen Schutz. Im Umkehrschluss folgt daraus, dass nicht-personenbezogene Daten, also anonyme Daten nicht unter die DS-GVO fallen (vgl. dazu Rn. 43), wohl aber pseudonymisierte Daten, die bei Aufhebung der Pseudonymisierung zu einer Identifizierbarkeit führen.[43] Der Schutz anonymer Daten kann aber aus anderen Rechtsvorschriften folgen.[44] Wenngleich es sich bei der DS-GVO um eine Regelung des europäischen Datenschutzrechts handelt, fallen auch Nicht-EU-Bürger unter diese Begriffsdefinition, sofern ihre Daten im Geltungsbereich von Art. 3 verarbeitet werden.[45] Dies folgt auch aus ErwG 14.
b) Juristische Personen
14
Die DS-GVO schützt, wie auch schon das BDSG a.F., ausschließlich natürliche Personen. So stellt ErwG 14 S. 2 klar, dass die DS-GVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Personen gegründete Unternehmen gilt. ErwG 14 S. 2 nennt dabei exemplarisch Name, Rechtsform und Kontaktdaten der juristischen Person. Demzufolge fallen juristische Personen und Personengemeinschaften, wie offene Handelsgesellschaften, aus dem Schutzbereich der Vorschrift heraus. Gleichwohl können die Mitgliedstaaten Regelungen hinsichtlich eines Unternehmenspersönlichkeitsschutzes erlassen – wie es etwa in Italien oder Luxemburg der Fall ist – [46], auch wenn dies von der DS-GVO nicht vorgesehen ist.[47] Zudem ist zu beachten, dass sich Informationen über eine juristische Person oder Personengruppe gleichsam auf eine identifizierte oder identifizierbare natürliche (Einzel-)Person beziehen können, z.B. im Falle einer Ein-Personen-Gesellschaft oder einer Ein-Mann-GmbH wodurch dann diese Information zu einem personenbezogenen Datum werden kann.[48]
15
Gleichwohl ist nicht zu übersehen, dass auch juristische Personen im Hinblick auf die Wahrung ihrer digitalen Souveränität schutzbedürftig sind.[49] Insoweit findet aber nicht die DS-GVO, sondern bereichsspezifische Regelungen wie etwa das Geschäftsgeheimnisgesetz (GeschGehG) als Umsetzung der RL 2016/943 Anwendung.[50]
c) Verstorbene
16
Aus ErwG 27 S. 1 folgt, dass die DS-GVO nicht für die personenbezogenen Daten Verstorbener gilt. Insofern gibt es keinen „postmortalen Datenschutz“[51]. Gleichwohl bestimmt ErwG 27 S. 2, dass die Mitgliedstaaten Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen können. Darüber hinaus darf nicht außer Acht gelassen werden, dass auch Daten eines Verstorbenen womöglich einen Bezug zu einer lebenden Person haben und damit einen Personenbezug aufweisen können, wie etwa Angaben zum Vermögen des Erblassers oder Informationen hinsichtlich vererblicher Krankheiten des Verstorbenen.[52]
17
Datenschutzrechtlich