im Sinne der DSGVO zeichnet sich nach Art. 4 Nr. 26 DSGVO dadurch aus, dass es sich um eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung handelt, die durch eine zwischen zwei oder mehreren Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft getroffen wurde.
508
Auch ohne entsprechende Legaldefinition besteht bezüglich der Merkmale einer völkerrechtlichen Organisation weitestgehend Einigkeit. Sie muss entweder durch ein bi- oder multilaterales völkerrechtliches Übereinkommen geschaffen werden oder (abgeleitet) auf der Grundlage eines solchen Übereinkommens bestehen. Zudem muss eine völkerrechtliche Organisation mit eigenen Aufgaben betraut sein sowie zumindest über ein Organ verfügen und damit handlungsfähig sein.878 Ferner muss sie Völkerrechtspersönlichkeit aufweisen und damit Träger völkerrechtlicher Rechte und Pflichten sein können.879
509
Nicht erfasst sind demgegenüber nichtstaatliche Organisationen (NGO), da sie gerade nicht auf einem völkerrechtlichen Übereinkommen beruhen. Als Verbände unterliegen sie daher dem jeweiligen nationalen Datenschutzrecht. Eine Ausnahme besteht allenfalls dann, wenn ihnen ein völkerrechtliches Mandat zukommt.880
1 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9.9.2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1). 2 Kritisch bezüglich der ausschließlichen Anknüpfung an personenbezogene Daten und für eine Einbeziehung von materiellen Schutzpositionen (wie z.B. nach Art. 1 und 8 GRCh) Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 2. 3 So im Ergebnis auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 2; Karg, DuD 2015, 520, 521. Zu den konkreten Unterschieden sogleich in den einzelnen Merkmalen. Ausführlich zur Entstehungsgeschichte des Art. 4 Nr. 1 DSGVO Buchholtz/Stentzel, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 1 Rn. 4ff. 4 Insbesondere Art.-29-Datenschutzgruppe, WP 136, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007, Art.-29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014 zu Anonymisierungstechniken v. 10.4.2014 und EuGH, Urt. v. 19.10.2016 – Rs. C-582/14, MMR 2016, 842 – Breyer, mit Anm. Moos/Rothkegel, MMR 2016, 842, 845. 5 Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 6; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 8; noch zur Definition von personenbezogenen Daten in Art. 2 lit. a DSRl, welche ebenfalls „alle Informationen“ umfasste, Art.-29-Datenschutzgruppe, WP 136, 7; zum Vergleich mit dem Datenbegriff der Informatik Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 6 Art.-29-Datenschutzgruppe, WP 136, 7; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 7. Ausführlich zu Werturteilen Gola, in: Gola, DS-GVO, Art. 4 Rn. 12. 7 Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 1 Rn. 9, und Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8, jeweils mit Verweis auf BVerfG, 15.12.1983 – 1 BvR 209/83 u.a., NJW 1984, 419, 422 – Volkszählungsurteil. 8 Vgl. ErwG 51 Satz 3 DSGVO. 9 Vgl. die biologische Analyse zur Gewinnung genetischer Daten in Art. 4 Nr. 13 DSGVO, Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 275. 10 Art.-29-Datenschutzgruppe, WP 136, 8ff.; vgl. auch die Technologieneutralität in ErwG 15 DSGVO; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 7. 11 Ähnlich Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 8. 12 Zur binären Natur des Personenbezuges, der eine Rechtsgüterabwägung ausschließt, Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 Rn. 14ff. 13 Art.-29-Datenschutzgruppe, WP 105, 9. 14 Art.-29-Datenschutzgruppe, WP 136, 11ff. 15 „IP“ steht für „Internet Protocol“ und ist das grundlegende Netzwerkprotokoll für das Internet. Computern wird im Internet eine IP-Adresse zugeteilt, um sie adressieren zu können, die entweder 32 Bit lang ist nach IPv4 (z.B. 207.142.131.235) oder zukünftig 128 Bit lang nach IPv6 (z.B. 2001:0db8:85a3:08d3:1319:8a2e:0370:7344). Ferner ist zwischen statischen, mithin dauerhaft zugeteilten, und dynamischen, mithin lediglich temporär zugeteilten, IP-Adressen zu differenzieren. 16 Hier kommt es gerade noch nicht darauf an, ob bzw. wie der dahinterstehende Nutzer tatsächlich identifiziert werden kann. 17 Art.-29-Datenschutzgruppe, WP 148, 9. 18 Ausführlich Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 22f. 19 Art.-29-Datenschutzgruppe, WP 136, 13; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 8. 20 Art.-29-Datenschutzgruppe, WP 136, 13. 21 Art.-29-Datenschutzgruppe, WP 136, 13. 22 Im Gegensatz zur DSGVO ist im Entwurf der EU-Kommission zur sich noch im Gesetzgebungsprozess befindlichen ePrivacy-Verordnung vorgesehen, dass all diese Kommunikationsdaten von vernetzten Geräten (machine-to-machine communcations) unabhängig vom Personenbezug geschützt sind. Der Entwurf des LIBE-Ausschusses des Europäischen Parlaments schlägt allerdings wiederum eine Einschränkung auf Kommunikationsdaten vor, die sich auf Nutzer beziehen. Der jüngste Entwurf des Rats sieht diese Einschränkung hingegen nicht vor. Es bleibt insofern abzuwarten, was die für die zweite Hälfte des Jahres 2018 geplanten Trilog-Verhandlungen ergeben. 23 Art.-29-Datenschutzgruppe, WP 136, 25. 24 So auch schon nach ErwG 2 DSRl, Art.-29-Datenschutzgruppe, WP 136, 25. 25 Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 34; noch weiter, weil auch den Schutz von anderen Zusammenschlüssen von Personen als ausgeschlossen ansehend Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Rn. 4; Ernst, in: Paal/Pauly, DS-GVO BDSG, Art. 4 Rn. 5; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 8, lässt darunter auch Bürgerinitiativen fallen. 26 Siehe Art.-29-Datenschutzgruppe, WP 136, 27, mit Verweis im Hinblick auf die Zulässigkeit einer solchen Ausweitung unter der DSRl auf EuGH, Urt. v. 6.11.2003 – Rs. C-101/01, EuZW 2004, 245, 252, Rn. 98 – Lindqvist; vgl. insoweit auch zur unter Umständen bestehenden grundrechtlichen Schutzfähigkeit juristischer Personen Gola, in: Gola, DS-GVO, Art. 4 Rn. 24. 27 Schild, in: BeckOK DatenschutzR, Art. 4 Rn. 8. 28 Braun, in: Beck’scher TKG-Kommentar, § 91 Rn. 21 m.w.N. 29 Art.-29-Datenschutzgruppe, WP 136, 27. 30 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 318, mit Verweis u.a. auf BGH, Urt. v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505, 2506, und BGH, Urt. v. 24.6.2003 – VI ZR 3/03, NJW 2003, 2904, 2904f.; Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 14;