sowie aufgrund technologischer Entwicklungen rasant zunahm. Mit dem Jahr 2016 sollte sich dies jedoch schlagartig ändern.
1.1.2 Die Geburtsstunde der DSGVO
Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in Kraft. Diese Verordnung hob die bisher in Geltung stehende DS-RL auf und sollte erst ab 25. Mai 2018 zur Anwendung gelangen. Den Normadressaten wurde sohin eine zweijährige „Schonfrist“ zur Umsetzung der datenschutzrechtlichen Bestimmungen gewährt.
Die Grundprinzipien der DS-RL finden sich im Wesentlichen auch in der DSGVO wieder, den entscheidenden Unterschied macht jedoch die Wahl des Rechtsinstruments aus.[3] Die DSGVO ist als Verordnung in den MS unmittelbar anwendbar, auch wenn aufgrund ihrer sogenannten „Öffnungsklauseln“ noch ein gewisser Umsetzungsspielraum für die nationalen Gesetzgeber verbleibt. Dies führt im Ergebnis zu einer leider nicht gänzlichen, aber doch weitgehenden Vereinheitlichung des Datenschutzrechts innerhalb der EU.
1.1.3 Datenschutz neu – Ein Blick nach Österreich
In Österreich wurden die Öffnungsklauseln der DSGVO mit dem Datenschutz-Anpassungsgesetz 2018 und zwei weiteren DSG-Novellen im Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSG) umgesetzt. Der österreichische Gesetzgeber machte allerdings – im Gegensatz zB zu Deutschland – von seinem Umsetzungsspielraum nur sehr eingeschränkt Gebrauch.[4]
1.2 Anwendungsbereich der DSGVO und des DSG
1.2.1 Sachlicher Anwendungsbereich der DSGVO
1.2.1.1Automatisierte und nichtautomatisierte Verarbeitung
Grundsätzlich gilt die DSGVO für die
1.ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie
2.nichtautomatisierte Verarbeitung personenbezogener Daten,
die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art 2 Abs 1 DSGVO).
Die DSGVO bietet keine klaren Anhaltspunkte darüber, was unter „automatisierter Verarbeitung“ zu verstehen ist. Eine solche wird jedoch anzunehmen sein, wenn automatisierte Mittel zur Datenverarbeitung verwendet werden. Unter dem Begriff „automatisierte Verarbeitung“ dürften daher „sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten zu verstehen sein“.[5] Von einer Definition wurde seitens des Gesetzgebers bewusst abgesehen, um auch zukünftige technologische Entwicklungen abzudecken. Der Begriff ist daher sehr weit auszulegen und umfasst zB auch die Videoüberwachung.[6] Werden einzelne Verarbeitungsschritte durch menschlich-manuelle Interaktion durchgeführt, zB wenn bei der Erhebung der Daten die Eingabe manuell durch eine Person erfolgt, liegt eine teilweise automatisierte Verarbeitung personenbezogener Daten vor.[7]
Nichtautomatisierte, d. h. rein manuelle Datenverarbeitungen sind nur dann vom Anwendungsbereich der DSGVO erfasst, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen[8]. Unter einem Dateisystem ist „jede strukturierte Sammlung personenbezogener Daten [zu verstehen], die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird“ (Art 4 Z 6 DSGVO). Werden daher beispielsweise Akten oder Aktensammlungen sowie deren Deckblätter nicht nach bestimmten Kriterien geordnet, ist der Anwendungsbereich der DSGVO nicht gegeben (ErwGr 15 DSGVO). Als solche Kriterien können u. a. eine Anordnung nach Jahr, Aktenzeichen oder Namen, beispielsweise in alphabetischen Reihenfolgen, in Betracht kommen.[9] Auch mündlich, akustisch oder visuell erlangte Daten sind vom Anwendungsbereich ausgenommen, soweit diese nicht gespeichert werden sollen.[10]
1.2.1.2Ausnahmen
Auch wenn die Voraussetzungen des Art 2 Abs 1 DSGVO gegeben sind, kann die Anwendung der DSGVO in bestimmten Fällen ausgeschlossen sein. Dies gilt bei der Verarbeitung von personenbezogenen Daten
+im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt[11];
+durch die MS im Rahmen von Tätigkeiten im Bereich der Gemeinsamen Außen- und Sicherheitspolitik (Titel V Kapitel 2 EUV);
+durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (zB Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen solcher Tätigkeiten)[12];
+durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art 2 Abs 2 DSGVO).
Die DSGVO findet ebenfalls keine Anwendung auf die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der EU, da diesbezüglich die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr gilt (VO (EG) Nr. 45/2001), wobei diese an die Grundsätze und Vorschriften der DSGVO angepasst und im Lichte der DSGVO angewandt werden sollte (Art 2 Abs 3; ErwGr 17 DSGVO).
1.2.2 Räumlicher Anwendungsbereich der DSGVO
1.2.2.1Niederlassung in der EU
Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten[13] einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art 3 Abs 1 DSGVO). Es spielt dabei keine Rolle, ob personenbezogene Daten von EU- oder Nicht-EU-Bürgern verarbeitet werden (ErwGr 14 DSGVO).[14]
Der Begriff der Niederlassung setzt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Dabei ist die Rechtsform einer solchen Einrichtung nicht ausschlaggebend. Es kann sich dabei sowohl um eine rechtlich unselbständige Zweigstelle als auch um eine rechtlich selbständige Tochtergesellschaft handeln und setzt somit zumindest eine gesellschaftsrechtliche Verbundenheit zwischen dem Verantwortlichen bzw. dem Auftragsverarbeiter und der Niederlassung voraus (ErwGr 22 DSGVO).[15] Auch auf die technische Umgebung der Datenverarbeitung, wie zB der physische Standort von Servern oder der Ort der technischen Implementierung von Schnittstellen, ist nicht abzustellen.[16]
Ein nur mit einer Person besetztes Büro wäre somit wohl als Niederlassung in diesem Sinne zu qualifizieren, soweit das Büro aktiv in die Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet werden.[17] Nicht als Niederlassung in diesem Sinne ist dagegen der gemäß Art 27 iVm Art 3 Abs 2 DSGVO zu benennende Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern zu qualifizieren.[18]
1.2.2.2Niederlassung außerhalb der EU
Die DSGVO findet aber auch Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen (im Folgenden auch „Betroffene“), die sich in der EU befinden[19], durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,
+betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen
