7 und 8 bestimmt werden.
77
Art. 4 Nr. 2 meint mit Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“[55]
78
Zu beachten ist allerdings, dass gem. § 26 Abs. 1 BDSG im Bereich des Beschäftigtendatenschutzes auch für die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten eingreift, wenn diese nicht in einem Dateisystem gespeichert werden oder gespeichert werden sollen; in der Folge ist auch der Zettelkasten, der unsortiert Vermerke über Beschäftigte enthält, vom BDSG erfasst.[56]
79
Zugleich muss allein aus Gründen der mangelnden Unterscheidbarkeit davon ausgegangen werden, dass das BDSG auch grenzüberschreitende Verarbeitungsvorgänge erfassen muss.[57]
80
Nach Art. 4 Nr. 7 ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.[58]
81
Art. 4 Nr. 8 ist Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.[59]
82
Für die Person des Verantwortlichen wie des Auftragsverarbeiters kommt es auf die Staatsangehörigkeit nicht an; das BDSG folgt insoweit dem Territorialprinzip.[60]
83
Auszunehmen aus den vorgenannten Definition des Art. 4 Nr. 7 und der Nr. 8 ist jeweils die Behörde, die öffentliche Stelle i.S.d. BDSG ist.
bb) § 1 Abs. 4 S. 2 Nr. 2
84
Ergänzend ordnet Nr. 2 die Anwendbarkeit des BDSG nur auf solche nichtöffentlichen Stellen an, die personenbezogene Daten i.S.d. Nr. 1 verarbeiten und eine Niederlassung im Inland haben. Die Vorschrift richtet sich, wie aus dem Kontext der Nr. 3 zu entnehmen ist, an Stellen, die aus einem EU-Mitgliedstaat mit einer Niederlassung in der Bundesrepublik tätig werden. Wie unter Geltung des § 1 Abs. 5 S. 1 BDSG a.F. ist anzunehmen, dass die Verarbeitung durch eine feste Einrichtung im Inland, gleich in welcher Organisationsform, erfolgen muss.[61]
cc) § 1 Abs. 4 S. 2 Nr. 3
85
Sofern die Voraussetzungen der Nr. 2 nicht vorliegen, ist das BDSG dennoch auf solche nichtöffentlichen Stellen anwendbar, die aus Staaten außerhalb der EU stammen, aber in den Anwendungsbereich der DS-GVO fallen. Dies ist als Bezugnahme auf Art. 3 Abs. 2 und 3 zu verstehen, wonach die DS-GVO zunächst (Art. 3 Abs. 2) Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen findet, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, (lit. a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder (lit. b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Weiterhin findet sie (Art. 3 Abs. 3) Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
c) Ergänzende Anwendbarkeit des BDSG außerhalb des Satzes 2
86
Auch wenn die Voraussetzungen des S. 2, genauer der dortigen Nr. 2 und 3, nicht vorliegen, finden auf Verantwortliche und Auftragsverarbeiter dem Wortlaut nach jedenfalls §§ 8 bis 21 und §§ 39 bis 44 Anwendung.
87
Dies bedeutet zunächst, dass die betreffenden Datenverarbeiter den Vorschriften über die Aufsichtsbehörden auf nationaler und EU-Ebene unterliegen, einschließlich der denkbaren Rechtsbehelfe gegen Handlungen dieser Organe (§§ 8 bis 21). Dass die betreffenden Vorschriften Anwendung finden sollen, erscheint partiell undifferenziert. So ist theoretisch denkbar, dass Verantwortliche oder Auftragsdatenverarbeiter, die nicht nach S. 2 vom BDSG erfasst sind, der Zuständigkeit des oder der Bundesbeauftragten unterfallen, der seine Befugnisse nach § 16 Abs. 1 ausüben könnte. Ist dies ausnahmsweise der Fall, ist es vertretbar, aber nicht notwendig, die Vorschriften über die oder den Bundesbeauftragten nach §§ 8 bis 15 in ihrer Gesamtheit bezüglich Errichtung und Organisation einzubeziehen, ebenso §§ 17 bis 19. Eine Anwendbarkeit der Befugnisse nach § 16 Abs. 2 dagegen ist nicht vorstellbar. Wenn man den ausnahmsweisen Fall der Einbeziehung der Stellen nach S. 2 als möglich erachtet, ist es dann wiederum nachvollziehbar, die Vorschiften über denkbare Rechtsbehelfe, §§ 20, 21 einzubeziehen, dies aber wiederum nur höchst vorsorglich.
88
Zudem sollen jedenfalls §§ 39 bis 44 gelten. Dies würde die Vorschriften über die Akkreditierungsstellen (§ 39), sowie die Vorschriften zu Aufsichtsbehörden (§ 40), die Sanktionsmöglichkeiten (§§ 41 bis 43) und Rechtsbehelfe gegen Datenverarbeiter (§ 44) betreffen.
89
Wenn man die Möglichkeit einer relevanten Datenverarbeitung bei Stellen nach Satz 3 sieht, wäre die Einbeziehung des § 38 aus dem 3. Kapitel des 2. Teils zu erwägen, die das Gesetz derzeit nicht vorsieht, da bei den betreffenden Stellen jedenfalls eine Datenverarbeitung stattfindet, die die Benennung einer oder eines DSB rechtfertigen könnte.
90
Wenig nachvollziehbar ist dagegen die Einbeziehung nur des § 39 aus dem 3. Kapitel des 2. Teils, der die Akkreditierung als Zertifizierungsstelle nach Art. 42 Abs. 1 S. 1 betrifft, und der im Kontext des S. 3 wenig Sinn macht.
91
Konsequenter
