Praxishandbuch DSGVO. Tobias Rothkegel
oder durch Auftragsverarbeiter gilt, wofür im Übrigen auch natürliche Personen in Betracht kommen.
5
Nach Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich für Datenverarbeitungen eröffnet, die im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgen.2 Hat ein Verantwortlicher oder ein Auftragsverarbeiter keine Niederlassung in einem Mitgliedstaat, gilt die DSGVO gemäß Art. 3 Abs. 2, wenn dieser Daten von Personen verarbeitet, die sich in der Union befinden und die Datenverarbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an solche Personen erfolgt oder das Verhalten solcher Personen in einem Mitgliedstaat beobachtet wird.
6
Eine Rechtswahl im Rahmen eines Vertrages, mit der die Anwendung der DSGVO abbedungen werden soll, dürfte unwirksam sein, da es sich bei datenschutzrechtlichen Vorschriften um Eingriffsnormen i.S.v. Art. 9 Abs. 1 Rom I-VO handelt, bei denen eine Rechtswahl unzulässig ist.3
Praxishinweis
Zu beachten ist, dass der Anwendungsbereich jeweils für einen bestimmten Datenverarbeitungsvorgang, durchgeführt durch eine bestimmte datenverarbeitende Stelle, eröffnet ist.4 Es ist daher denkbar, dass dieselbe Stelle dieselben personenbezogenen Daten sowohl innerhalb als auch außerhalb des Anwendungsbereichs der Verordnung verarbeitet.5
7
Die Verordnung eröffnet den Mitgliedstaaten an vielen Stellen die Möglichkeit, die Vorschriften der Verordnung durch eigene datenschutzrechtliche Vorschriften zu präzisieren oder einzuschränken.
8
Soweit sich eine Datenverarbeitung im Rahmen dieser Öffnungsklauseln bewegt, ist daher noch zu prüfen, welches mitgliedstaatliche Recht zur Ausfüllung zur Anwendung kommt. Die Verordnung selber macht hierzu keine Vorgaben.6 Es bleibt daher den Mitgliedstaaten überlassen, den Anwendungsbereich der nationalen Regelung zu bestimmen.
[Rn. 9–11 entfallen]
2 Das Gebiet der Union bestimmt sich nach Art. 52 EUV und Art. 355 AEUV. 3 Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 70; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 105. 4 Vgl. in Bezug auf den räumlichen Anwendungsbereich auch BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 10; Gola/Piltz, Art. 3 DSGVO Rn. 18. Art. 2 Abs. 1 „gilt für die ... Verarbeitung“; Art. 3 Abs. 2 „... findet Anwendung auf die Verarbeitung ... durch einen Verantwortlichen ...“. 5 Gola/Piltz, Art. 3 DSGVO Rn. 18. 6 Lediglich in Erwägungsgrund 153 S. 6 gibt der Unionsgesetzgeber eine Art kollisionsrechtliche Empfehlung.
II. Sachlicher Anwendungsbereich
1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO
12
Nicht jede Verarbeitung personenbezogener Daten eröffnet den sachlichen Anwendungsbereich der Verordnung. So ist zum Beispiel die Verarbeitung personenbezogener Daten durch die betroffene Person selbst schon nicht vom Schutzzweck der DSGVO umfasst.7
13
Zudem muss es sich laut Art. 2 Abs. 1 DSGVO entweder um eine ganz oder teilweise automatisierte Verarbeitung handeln oder um eine nichtautomatisierte Verarbeitung, bei der die Daten in einem Dateisystem gespeichert werden oder werden sollen.
14
Der Begriff „automatisiert“ wird in der DSGVO nicht näher definiert. Erwägungsgrund 15 DSGVO stellt dem Begriff der automatisierten Verarbeitung den Begriff der „manuellen“ Verarbeitung gegenüber und verdeutlicht damit zugleich, dass „manuell“ gleichbedeutend ist mit „nichtautomatisiert“.
15
Letztlich gibt es bei dem Begriff „automatisiert“ in der Praxis keine Schwierigkeiten in der Handhabung. Sofern es sich um elektronische Datenverarbeitung handelt, handelt es sich grundsätzlich auch um automatisierte Datenverarbeitung. Dem Wortlaut des Art. 2 Abs. 1 DSGVO ist wohl auch zu entnehmen, dass das Vorliegen einer nur teilweise automatisierten Verarbeitung dazu führt, dass das Datenschutzrecht auch auf die nichtautomatisierten Bestandteile dieser Verarbeitung Anwendung finden kann. Unter Heranziehung der Legaldefinition des Verarbeitungsbegriffs in Art. 4 Nr. 2 DSGVO bedeutet dies, dass sowohl die automatisierten als auch die nichtautomatisierten Bestandteile eines Vorgangs beziehungsweise einer Vorgangsreihe in ihrer Gesamtheit im sachlichen Anwendungsbereich des Datenschutzrechts liegen können.8 Und zwar selbst dann, wenn der manuelle Bestandteil des Vorgangs für sich genommen nicht die Voraussetzungen für die Eröffnung des sachlichen Anwendungsbereichs für nichtautomatisierte Verarbeitungen erfüllen würde.
Beispiel
Die manuelle Erhebung von Daten im Rahmen einer Kundenbefragung oder Umfrage ist als Bestandteil einer teilweise automatisierten Verarbeitung vom sachlichen Anwendungsbereich umfasst, wenn die Daten anschließend elektronisch weiterverarbeitet werden, da die Erhebung zur gleichen Vorgangsreihe zu zählen ist.
16
Im Gegensatz zur automatisierten Verarbeitung liegt die nichtautomatisierte bzw. manuelle Verarbeitung personenbezogener Daten nur dann im sachlichen Anwendungsbereich der Verordnung, wenn die Daten in einem Dateisystem gespeichert werden bzw. gespeichert werden sollen. Das Ziel der Speicherung in einem Dateisystem muss dabei hinreichend konkret sein (Englisch: „intended“). Die bloße Möglichkeit oder Wahrscheinlichkeit einer solchen Speicherung reicht nicht.9
17
Der Begriff des „Dateisystems“ ist in Art. 4 Nr. 6 DSGVO legaldefiniert als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.10 Die konkreten Ordnungskriterien sind unerheblich. Es reicht, dass die Daten so strukturiert sind, dass sie in der Praxis zur späteren, dem Erhebungszweck entsprechenden Verwendung leicht wiederauffindbar sind.11 In Erwägungsgrund 15 wird demgegenüber erwähnt, dass Akten, Aktensammlungen und ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen.
Beispiel
Auch personenbezogene Daten auf Papier können somit im sachlichen Anwendungsbereich der Verordnung liegen, sofern sie entweder Bestandteil einer teilweise automatisierten Datenverarbeitung sind oder wenn sie Bestandteil einer strukturierten Sammlung von Daten in Papierform sind (z.B. in Personal- und Krankenakten oder Kundenlisten). Der Umgang mit einem einzelnen Ausdruck eines Datenbankauszugs oder handschriftlichen Notizen aus einer Datenbank wird dagegen häufig außerhalb des sachlichen Anwendungsbereichs liegen, da diese in der Regel weder Bestandteil des Datenverarbeitungsvorgangs sind, zu dem die Datenbank gehört, noch Bestandteil einer strukturierten Sammlung von Daten in Papierform. Es gibt insofern keine über den Datenverarbeitungsvorgang hinausgehende Fortwirkung der Anwendbarkeit des Datenschutzrechts.12 Werden mehrere solcher Ausdrucke oder Notizen zusammen strukturiert abgelegt, kann jedoch eine strukturierte Sammlung und damit ein Dateisystem entstehen, welches dann wieder in den sachlichen Anwendungsbereich der Verordnung fiele.
2. Ausnahmetatbestände, Art. 2 Abs. 2 bis 4 DSGVO
18
Gemäß