über den DSB und dessen Befugnisse angeordnet.
12
Abs. 5 bestimmt, dass das BDSG n.F. dort nicht gilt, wo die DS-GVO unmittelbare Anwendung findet. Gemäß Abs. 6 werden die EWR-Staaten und die Schweiz den Mitgliedstaaten der EU gleichgestellt, wobei alle übrigen Staaten als Drittstaaten gelten.
13
Für den Bereich der Datenverarbeitung nach Art. 1 Abs. 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates stehen gem. Abs. 7 bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierte Staaten den Mitgliedstaaten der Europäischen Union gleich, wobei alle übrigen Staaten wieder als Drittstaaten gelten.
14
Gemäß Abs. 8 schließlich sollen für Verarbeitungen öffentlicher Stellen, die nicht in den Anwendungsbereich der DS-GVO und der Richtlinie (EU) 2016/680 fallen, die DS-GVO und jedenfalls Teile 1 und 2 des BDSG n.F. entsprechend Anwendung finden.
1. DSRL
15
Die DSRL enthielt in Art. 3 eine Art. 2 in Teilen entsprechende Vorschrift, insbesondere bezüglich einzelner Ausnahmen nach Art. 2 Abs. 2.
2. BDSG a.F.
16
§ 1 BDSG a.F. war in Teilen wortgleich, enthielt aber mangels Verordnungsrechts auf Ebene der EU insbesondere keine Abgrenzungsvorschriften gegenüber unmittelbar geltenden Vorschriften des EU-Rechts.
I. Allgemeines: Zweck, Bedeutung, Systematik/Verhältnis zu anderen Vorschriften
17
Art. 2 Abs. 1 beschreibt den sachlichen Anwendungsbereich der DS-GVO orientiert an den Zielen, die insbesondere in Art. 1 skizziert werden, aber auch bereits mit der DSRL verfolgt wurden, nämlich den Schutz natürlicher Personen durch Gefährdungen des allgemeinen Persönlichkeitsrechts, die mit der automatisierten Datenverarbeitung oder der Speicherung von Daten in Dateisystemen[1] auf Grundlage manueller Datenverarbeitung einhergehen. Die Erfassung von Vorgängen manueller Datenverarbeitung soll einer Umgehung der Anwendbarkeit des DS-GVO vorbeugen.[2]
18
Die DS-GVO konkretisiert so die Rechte von Unionsbürgern nach Art. 8 GRCh, wonach jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Dabei wird aber nicht jede Art der Datenverarbeitung in Bezug genommen, sondern lediglich die in Abs. 1 genannten. Zugleich verfolgt Art. 2 Abs. 1 das Ziel, den grenzüberschreitenden Verkehr mit personenbezogenen Daten zu harmonisieren und zu regulieren.
19
Ausnahmen von der Geltung der Verordnung regelt insbesondere Abs. 2, wonach die Verordnung auf Verarbeitung personenbezogener Daten in den dort genannten Fällen keine Anwendung findet, obgleich die Voraussetzungen des Art. 2 Abs. 1 erfüllt sind.
20
Abs. 3 regelt die fortgesetzte Anwendbarkeit der Verordnung (EG) Nr. 45/2001 auf die Tätigkeit der Unionsorgane und ihrer Untergliederungen, zugleich die Anwendbarkeit weiterer Rechtsakte, die die Datenverarbeitung durch die Unionsorgane zum Gegenstand haben; zugleich wird vorgeschrieben, dass die betreffenden Rechtsakte an die Regelungen der DS-GVO anzupassen sind.
21
Schließlich bestimmt Abs. 4 die Fortgeltung der E-Commerce-Richtlinie 2000/31/EG bezogen auf die Verantwortlichkeit von Vermittlern.
22
Insbesondere Art. 2 Abs. 1 nimmt Teile der Begrifflichkeit nach Art. 4, „personenbezogene Daten“ (Art. 4 Nr. 1), „Verarbeitung“ (Art. 4 Nr. 2) und „Dateisystem“ (Art. 4 Nr. 6) in Bezug.
23
Art. 2 entspricht insbesondere bezüglich der grundsätzlichen Anwendbarkeit sowie bezüglich der wesentlichen Ausnahmetatbestände Art. 3 DSRL. In Abweichung zur DSRL sind über Abs. 3 nunmehr auch die Unionsorgane und ihre Einrichtungen jedenfalls mittelbar Adressaten der DS-GVO, indem auf die Verordnung (EG) Nr. 45/2001 verwiesen wird, die an die Grundsätze des DS-GVO angepasst werden soll. Der Vorschlag des EU-Parlaments, die Verordnung (EG) Nr. 45/2001 für die Organe und Einrichtungen der Union vorrangig gelten zu lassen, soweit die der DS-GVO nicht spezieller seien, wurde zugunsten der Anpassungsregelung in Abs. 3 fallengelassen.[3] Die ursprünglich diskutierte Herausnahme der Datenverarbeitung im öffentlichen Bereich wurde zugunsten der Öffnungsklausel nach Art. 6 Abs. 2 verworfen.
II. Sachlicher Anwendungsbereich (Abs. 1)
24
Art. 2 Abs. 1 erstreckt die Anwendbarkeit des DS-GVO auf die Verarbeitung personenbezogener Daten im automatisierten und nicht-automatisierten Verfahren. ErwG 14 stellt klar, dass nur die Verarbeitung von Daten natürlicher Personen erfasst sein soll, nicht aber die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
1. Personenbezogene Daten
25
Personenbezogene Daten sind demnach gem. Art. 4 Nr. 1 solche Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zentral ist damit die Identifizierbarkeit der Person anhand der betreffenden Daten, sei es direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen. Gemeint sind somit Daten, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen,