Die Bestimmbarkeit des Personenbezugs – Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015/563; Preuß Digitaler Nachlass – Vererbbarkeit eines Kontos bei einem sozialen Netzwerk, NJW 2018, 3146; Reif Gemeinsame Verantwortung beim Lettershopverfahren – praktische Konsequenz der EUGH-Rechtsprechung zu den „Fanpages“ und „Zeugen Jehovas“, RDV 2019, 30; Sattler Gemeinsame Verantwortlichkeit – getrennte Pflichten, GRUR 2019, 1023; Scheppach Und jetzt: Ihr Wetter, Technology Review vom 6.5.2015[11]; Schreiber Gemeinsame Verantwortlichkeit gegenüber Betroffenen und Aufsichtsbehörden, ZD 2019, 55; Schwartmann Praxishandbuch Medien-, IT- und Urheberrecht, 4. Aufl. 2018; ders. Editorial RDV 2019, 51; Schwartmann/Benedikt/Jacquemain Die ePrivacy-VO kommt: Reichweitenmessung und Nutzungsprofile über Cookies zwischen DSGVO und ePrivacy-VO, PinG 2018, 150; Schwartmann/Hermann/Mühlenbeck Datenschutzrechtliche Zulässigkeit der Kenntlichmachung des Entzuges eines Doktorgrades in (Online-)Bibliothekskatalogen v. Sept. 2018[12]; dies. Die Veröffentlichung des Entzuges von Doktorgraden und der Datenschutz, RDV 2018, 252; Schwartmann/Jacquemain DataAgenda Arbeitspapier 02 – Personenfotografie: DS-GVO vs. KUG[13]; dies. DataAgenda Arbeitspapier 04 – EuGH: Facebook Fanpages[14]; dies. DataAgenda-Arbeitspapier 05 – „Cookies“ richtig setzen: Anwendbarkeit des TMG?[15]; dies. DataAgenda Arbeitspapier 10 – Die EuGH-Rechtsprechung zum Joint-Controllership?[16]; Schwartmann/Jacquemain/Mühlenbeck DataAgenda Arbeitspapier 17 – Positionen zur Zulässigkeit von Handytracking wegen Corona-Pandemie[17]; Schwartmann/Keber/Mühlenbeck Social Media, 2. Aufl. 2018; Schwartmann/Mühlenbeck Die Corona-App und der Datenschutz, F.A.Z. Einspruch v. 6.4.2020; Schwartmann/Weiß Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz, 2017[18]; dies. Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen, 2018[19]; dies. Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung, 2019[20]; dies. Ein Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung, RDV 2020, 71; Specht-Riemschneider/Schneider Die gemeinsame Verantwortlichkeit im Datenschutzrecht, MMR 2019, 503; Thüsing/Kugelmann/Schwartmann Datenschutz-Experten beurteilen Corona-App in F.A.Z. v. 9.4.2020; Weichert Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251; Wissenschaftlicher Dienst des Deutschen Bundestages Ausarbeitung zu Einzelfragen zum Handy-Tracking in Deutschland im Zusammenhang mit der Corona-Pandemie 2020[21]; Ziebarth Google als Geheimnishüter? Verantwortlichkeit der Suchmaschinenbetreiber nach dem EuGH-Urteil, ZD 2014, 394.
A. Einordnung und Hintergrund
1
Einordnung und Hintergrund der Begriffsbestimmungen ergeben sich unmittelbar aus der nachfolgenden Kommentierung. Auf die einschlägigen Erwägungsgründe wird in der Kommentierung zur jeweiligen Begriffsbestimmung Bezug genommen. Wichtige Zusammenhänge mit dem BDSG a.F., der DSRL und dem BDSG n.F. lassen sich auch den jeweiligen Kommentierungen entnehmen.
I. Art. 4: Allgemeines
2
Art. 4 legt die Bedeutung und Reichweite der wesentlichen Begriffe des europäischen Datenschutzrechts fest. Die Norm ist nicht abschließend. Daneben finden sich in Art. 51 („Aufsichtsbehörde“) und Art. 68 („Ausschuss“) sowie in Art. 5 bei der Festlegung der fundamentalen Grundsätze für die Verarbeitung personenbezogener Daten (z.B. „Rechtmäßigkeit“, „Zweckbindung“, „Transparenz“, „Verhältnismäßigkeit“ und „Rechenschaft“) sowie in Art. 9 hinsichtlich besonderer Kategorien personenbezogener Daten erklärende Umschreibungen mit definierendem Charakter.[22] Der Begriff „Kind“ wird weder in Art. 8 selbst noch in Art. 4 definiert.[23] Für die Anwendung des Art. 8 bedarf es aber wegen der geregelten Altersgrenze keiner genaueren Definition.[24] Diese leitet sich gem. Art. 8 Abs. 3 aus dem Recht der Mitgliedstaaten ab.[25]
3
Im Vergleich zur Vorgängervorschrift des Art. 2 DSRL erweitert Art. 4 den Katalog der legaldefinierten Begriffe. Fanden sich in Art. 2 DSRL noch acht Definitionen, hat Art. 4 26 Ziffern. Hinzugekommen sind Begriffe wie „Profiling“, „Pseudonymisierung“, „Gesundheitsdaten“, „Hauptniederlassung“ und „grenzüberschreitende Verarbeitung“.
4
Gleichwohl erfasst der umfangreiche Katalog der DS-GVO nicht alle Definitionen, die das BDSG a.F. auf nationaler Ebene beinhaltete. Hier verfolgt die DS-GVO einen anderen Ansatz. Der Begriff der „Verarbeitung“ des Art. 4 Nr. 2 fasst etwa die Begriffe „Erheben, Speichern, Verändern, Nutzen“ des § 3 Abs. 3 bis 5 BDSG a.F. zusammen und die Definition der Beschäftigten aus § 3 Abs. 1 BDSG a.F. hat ebenfalls keinen Eingang in den Katalog der DS-GVO gefunden. Auch die Begriffe „öffentliche und nichtöffentliche Stellen“ aus § 2 BDSG a.F. werden in der DS-GVO nicht legaldefiniert.[26]
5
Aufgrund der inhaltlichen Ähnlichkeit der Definitionen zu denen der DSRL kann teilweise an das bisher geltende Verständnis der Begrifflichkeiten angeknüpft werden. Im Falle neuer Definitionen eröffnen sich demgegenüber Handlungsspielräume für neue Auslegungen und Begriffsinterpretationen für den Rechtsanwender.[27] Damit bei der Auslegung der Begriffsdefinitionen keine sprachlichen Abweichungen erfolgen und unterschiedliche Begriffsverständnisse entstehen, die zu einer uneinheitlichen Rechtsanwendung führen können, ist zu beachten, dass die Verordnung auch in allen anderen Amtssprachen der EU authentisch abgefasst ist. Im Zweifel sind daher bei einer Auslegung andere Sprachversionen heranzuziehen und Diskrepanzen mit den gängigen Auslegungsmethoden zu beseitigen.[28] Faktisch – nicht rechtlich – dürfte die englische Sprachfassung häufig besonders hilfreich sein.
6
Durch die unmittelbare Geltung der DS-GVO stellt sich die Frage, ob und inwieweit nationale Gesetzgeber eigene Begriffsdefinitionen auf mitgliedstaatlicher Ebene erlassen oder beibehalten können.[29] Im Ausgangspunkt bedarf es für die Schaffung mitgliedstaatlichen Rechts im Geltungsbereich der DS-GVO stets einer Öffnungsklausel der DS-GVO. Im Hinblick auf die Frage, welche Regelungsbefugnisse den Mitgliedstaaten im Rahmen der Begriffsdefinitionen verbleiben, ist zwischen zwei Fallkonstellationen zu unterscheiden: Zum einen ist fraglich, ob die Mitgliedstaaten abweichende Begriffsbestimmungen zu den Begriffsdefinitionen der DS-GVO erlassen dürfen, indem sie die Definitionen der DS-GVO modifizieren oder einschränken. Zum anderen stellt sich die Frage, ob die Mitgliedstaaten Begriffsbestimmungen im nationalen Recht vornehmen dürfen, die selbst nicht im Katalog von Art. 4 DS-GVO enthalten sind.
7
In Bezug auf die Zulässigkeit einer Modifikation der Begriffsbestimmungen der DS-GVO durch mitgliedstaatliche Regelungen fehlt es an einer Öffnungsklausel im Rahmen von Art. 4 DS-GVO. Abweichungen kommen nur im Rahmen von Öffnungsklauseln, etwa nach Art. 6 Abs. 1 S. 1 lit. e i.V.m.