„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.[58]
81
Art. 4 Nr. 8 ist Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.[59]
82
Für die Person des Verantwortlichen wie des Auftragsverarbeiters kommt es auf die Staatsangehörigkeit nicht an; das BDSG folgt insoweit dem Territorialprinzip.[60]
83
Auszunehmen aus den vorgenannten Definition des Art. 4 Nr. 7 und der Nr. 8 ist jeweils die Behörde, die öffentliche Stelle i.S.d. BDSG ist.
bb) § 1 Abs. 4 S. 2 Nr. 2
84
Ergänzend ordnet Nr. 2 die Anwendbarkeit des BDSG nur auf solche nichtöffentlichen Stellen an, die personenbezogene Daten i.S.d. Nr. 1 verarbeiten und eine Niederlassung im Inland haben. Die Vorschrift richtet sich, wie aus dem Kontext der Nr. 3 zu entnehmen ist, an Stellen, die aus einem EU-Mitgliedstaat mit einer Niederlassung in der Bundesrepublik tätig werden. Wie unter Geltung des § 1 Abs. 5 S. 1 BDSG a.F. ist anzunehmen, dass die Verarbeitung durch eine feste Einrichtung im Inland, gleich in welcher Organisationsform, erfolgen muss.[61]
cc) § 1 Abs. 4 S. 2 Nr. 3
85
Sofern die Voraussetzungen der Nr. 2 nicht vorliegen, ist das BDSG dennoch auf solche nichtöffentlichen Stellen anwendbar, die aus Staaten außerhalb der EU stammen, aber in den Anwendungsbereich der DS-GVO fallen. Dies ist als Bezugnahme auf Art. 3 Abs. 2 und 3 zu verstehen, wonach die DS-GVO zunächst (Art. 3 Abs. 2) Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen findet, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, (lit. a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder (lit. b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Weiterhin findet sie (Art. 3 Abs. 3) Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
c) Ergänzende Anwendbarkeit des BDSG außerhalb des Satzes 2
86
Auch wenn die Voraussetzungen des S. 2, genauer der dortigen Nr. 2 und 3, nicht vorliegen, finden auf Verantwortliche und Auftragsverarbeiter dem Wortlaut nach jedenfalls §§ 8 bis 21 und §§ 39 bis 44 Anwendung.
87
Dies bedeutet zunächst, dass die betreffenden Datenverarbeiter den Vorschriften über die Aufsichtsbehörden auf nationaler und EU-Ebene unterliegen, einschließlich der denkbaren Rechtsbehelfe gegen Handlungen dieser Organe (§§ 8 bis 21). Dass die betreffenden Vorschriften Anwendung finden sollen, erscheint partiell undifferenziert. So ist theoretisch denkbar, dass Verantwortliche oder Auftragsdatenverarbeiter, die nicht nach S. 2 vom BDSG erfasst sind, der Zuständigkeit des oder der Bundesbeauftragten unterfallen, der seine Befugnisse nach § 16 Abs. 1 ausüben könnte. Ist dies ausnahmsweise der Fall, ist es vertretbar, aber nicht notwendig, die Vorschriften über die oder den Bundesbeauftragten nach §§ 8 bis 15 in ihrer Gesamtheit bezüglich Errichtung und Organisation einzubeziehen, ebenso §§ 17 bis 19. Eine Anwendbarkeit der Befugnisse nach § 16 Abs. 2 dagegen ist nicht vorstellbar. Wenn man den ausnahmsweisen Fall der Einbeziehung der Stellen nach S. 2 als möglich erachtet, ist es dann wiederum nachvollziehbar, die Vorschiften über denkbare Rechtsbehelfe, §§ 20, 21 einzubeziehen, dies aber wiederum nur höchst vorsorglich.
88
Zudem sollen jedenfalls §§ 39 bis 44 gelten. Dies würde die Vorschriften über die Akkreditierungsstellen (§ 39), sowie die Vorschriften zu Aufsichtsbehörden (§ 40), die Sanktionsmöglichkeiten (§§ 41 bis 43) und Rechtsbehelfe gegen Datenverarbeiter (§ 44) betreffen.
89
Wenn man die Möglichkeit einer relevanten Datenverarbeitung bei Stellen nach Satz 3 sieht, wäre die Einbeziehung des § 38 aus dem 3. Kapitel des 2. Teils zu erwägen, die das Gesetz derzeit nicht vorsieht, da bei den betreffenden Stellen jedenfalls eine Datenverarbeitung stattfindet, die die Benennung einer oder eines DSB rechtfertigen könnte.
90
Wenig nachvollziehbar ist dagegen die Einbeziehung nur des § 39 aus dem 3. Kapitel des 2. Teils, der die Akkreditierung als Zertifizierungsstelle nach Art. 42 Abs. 1 S. 1 betrifft, und der im Kontext des S. 3 wenig Sinn macht.
91
Konsequenter erscheint dann wieder die Einbeziehung der §§ 40 bis 44. Sollte der S. 3 einschlägig sein, bietet § 40 eine Zuständigkeitszuordnung der betreffenden Aufsichtsbehörden. Sollte eine Stelle nach S. 3 außerhalb des S. 2 Daten verarbeiten, ist es theoretisch denkbar, dass sie sich rechtswidrig verhalten und Sanktionen nach dem fünften Kapitel des zweiten Teils unterworfen sind, und dass Klagen gegen sie erhoben werden, die nach § 44 zu behandeln sind.
92
Insgesamt scheinen die Verweisnormen nach S. 3 abgesehen von der Einbeziehung der §§ 40 bis 44 allerdings überprüfungswürdig. Allerdings hat der Gesetzgeber in der jüngsten Novelle des BDSG[62] nicht reagiert.
6. Vorrangige Geltung des DS-GVO als unmittelbar geltendes Recht
93
Der Hinweis auf die vorrangige Geltung der DS-GVO vor den Vorschriften des BDSG folgt aus dem Charakter der DS-GVO als Verordnung i.S.d. Art. 288 UAbs. 2 AEUV. Die Vorschrift hat insoweit deklaratorischen Charakter, findet laut Gesetzesbegründung aber ihre Rechtfertigung darin, dass wenn in diesem Kapitel punktuelle Wiederholungen von sowie Verweise auf Bestimmungen aus der DS-GVO erfolgten, dies aus Gründen der Verständlichkeit und Kohärenz geschehe und die unmittelbare Geltung der DS-GVO unberührt lasse: „Durch den integrativen Ansatz, gemeinsame Bestimmungen ‚vor die Klammer‘ zu ziehen, trägt der Gesetzgeber diesem hier besonderen Umstand Rechnung und mindert die Herausforderungen für den Rechtsanwender soweit europarechtlich vertretbar unter gleichzeitiger normökonomischer Entlastung des Fachrechts.“[63]
7. Klarstellung bezüglich der Gleichstellung von Staaten mit Mitgliedstaaten der EU (Abs. 6 und 7)
94
§ 1 Abs. 6 und 7 BDSG dienen der Klarstellung, welche Staaten bei Datenverarbeitungen zu Zwecken des Art. 2 (Abs. 6) und zu Zwecken des Art. 1 Abs. 1 der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen