Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Auf unserem DS-GVO-Spaziergang erreichen wir nach Betrachtung von Artikel 1 heute mit Artikel 2 eine Trauerstelle für den Datenschutz. Geregelt ist hier der sachliche Anwendungsbereich der DS-GVO und praktisch besonders wichtig ist natürlich vor allem, wo die Datenschutz-Grundverordnung nicht gilt.
Erster Absatz
Im ersten Absatz gibt es gleich eine Formulierung, die bei Datenschutz-Schulungen zur Entscheidung zwingt: Soll man das den Teilnehmenden verschweigen oder sie zur Verzweiflung bringen? Warum gilt der Datenschutz nicht für die nicht automatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen? Beispiel: Herr A beschwert sich telefonisch über das Unternehmen B bei der tätigen Mitarbeiterin Frau C. Diese findet die Beschwerde albern, fertigt sich handschriftliche Notizen und hängt sie zur Erheiterung der Kollegen im Büro an das schwarze Brett oder an die Litfaßsäule vor dem Bürogebäude. Kein Fall für den Datenschutz?
Nach den Vorgaben des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze gilt Datenschutz bei Behörden allgemein und auch für handschriftliche Notizen. Dasselbe ist für Beschäftigtendaten geregelt. Also: Wenn im Beispiel oben Herr A nicht Kunde, sondern Mitarbeiter – oder Bürger im Behördenalltag – ist, gilt für den handschriftlichen Zettel am schwarzen Brett der Datenschutz.
Warum so kompliziert? Ausnahme und Ausnahme von der Ausnahme? Wie soll man so etwas irgendjemandem in einer klaren und einfachen Sprache (Art. 12 DS-GVO) vermitteln?
Zweiter Absatz
Der zweite Absatz beginnt mit einer Selbstverständlichkeit unter Buchstabe a): Die DS-GVO gilt nur dort, wo die Europäische Union auch Regeln aufstellen darf – also soweit sie von den Mitgliedstaaten Kompetenzen erhalten hat. Diese logische und eigentliche überflüssige Regelung wird allerdings vom Europäischen Gerichtshof (EuGH) erstaunlich eingeschrumpft: Auch die Vorbereitung nationaler Wahlen (Rs. C-306/21) und die an der Haustür klingelnden Zeugen Jehovas bei ihrer Missionierungstätigkeit (Rs. C-25/17) unterliegen dem Anwendungsbereich des Unionsrechts. Das ist juristisch falsch, aber – da es vom EuGH kommt – verbindlich. Roma locuta, causa finita hieß das bei den Juristen des Römischen Reiches. Lässt sich in der Europäischen Union ungefähr auf Luxemburg übertragen.
Der eigentlich wichtige und selbstverständliche Ausnahmebereich nach Art. 2 Abs. 2 lit. a) DS-GVO ist also durch die Rechtsprechung des EuGH fast bedeutungslos.
Die nächste Ausnahme unter Buchstabe b) zwingt, einen Blick in den Vertrag über die Europäische Union zu werfen. Was steht da in Titel V Kapitel 2? Gemeinsame Außen- und Sicherheitspolitik. Dafür gilt die DS-GVO also nicht. Hätte man hinschreiben können; wäre klar und einfach.
Buchstabe c) dann wieder wichtig: Wenn personenbezogene Daten von Menschen ausschließlich persönlich oder familiär verwendet werden, gilt die DS-GVO nicht. Das ist eigentlich nur eine Klarstellung, weil schon unter Buchstabe a) enthalten: Private und familiäre Tätigkeiten fallen nicht in den Anwendungsbereich des Unionsrechts. Allerdings wird auch diese Ausnahme vom EuGH wieder eng ausgelegt (Rs. C-212/13): Wenn jemandem mehrfach Fensterscheiben eingeworfen wurden und er deshalb zum Schutz des eigenen Hauses eine Kamera installiert, ist das jedenfalls nach Luxemburger Verständnis keine private Tätigkeit, falls der Fußweg vor dem Grundstückszaun mitgefilmt wird (von dort flogen die Steine). Merke: Private Tätigkeiten gibt es nur im eigenen Grundstück.
Buchstabe d) ist dann einfach die Abgrenzung zur sogenannten JI-Richtlinie für Justiz und Inneres – RL (EU) 2016/680.
Dritter Absatz
Absatz 3 ist inzwischen teils historisch: Die dort genannte Verordnung (EG) Nr. 45/2001 für die Datenverarbeitung durch EU-Behörden wurde ersetzt durch die Verordnung (EU) 2018/1725. Ärgerlich ist und bleibt aber, dass die Europäische Union für ihre eigenen Datenverarbeitungen der Organe, Einrichtungen, Ämter und Agenturen nicht dieselben Regeln anwenden will, die sie für den Rest der Europäischen Union – die Behörden und die Unternehmen in den Mitgliedstaaten – aufstellt. Das hat ein „Geschmäckle“ und sollte geändert werden.
Absatz 4 ist sodann nur klarstellend: Die Richtlinie über den elektronischen Geschäftsverkehr (auch „E-Commerce-Richtlinie“ genannt) bleibt neben der DS-GVO anwendbar.
Fazit
Der sachliche Anwendungsbereich ist kompliziert geregelt. Dabei soll die DS-GVO doch vereinfachen und harmonisieren… . Oder was meinen Sie?
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
