der Beschäftigten aus § 3 Abs. 1 BDSG a.F. hat ebenfalls keinen Eingang in den Katalog der DS-GVO gefunden. Auch die Begriffe „öffentliche und nichtöffentliche Stellen“ aus § 2 BDSG a.F. werden in der DS-GVO nicht legaldefiniert.[26]
5
Aufgrund der inhaltlichen Ähnlichkeit der Definitionen zu denen der DSRL kann teilweise an das bisher geltende Verständnis der Begrifflichkeiten angeknüpft werden. Im Falle neuer Definitionen eröffnen sich demgegenüber Handlungsspielräume für neue Auslegungen und Begriffsinterpretationen für den Rechtsanwender.[27] Damit bei der Auslegung der Begriffsdefinitionen keine sprachlichen Abweichungen erfolgen und unterschiedliche Begriffsverständnisse entstehen, die zu einer uneinheitlichen Rechtsanwendung führen können, ist zu beachten, dass die Verordnung auch in allen anderen Amtssprachen der EU authentisch abgefasst ist. Im Zweifel sind daher bei einer Auslegung andere Sprachversionen heranzuziehen und Diskrepanzen mit den gängigen Auslegungsmethoden zu beseitigen.[28] Faktisch – nicht rechtlich – dürfte die englische Sprachfassung häufig besonders hilfreich sein.
6
Durch die unmittelbare Geltung der DS-GVO stellt sich die Frage, ob und inwieweit nationale Gesetzgeber eigene Begriffsdefinitionen auf mitgliedstaatlicher Ebene erlassen oder beibehalten können.[29] Im Ausgangspunkt bedarf es für die Schaffung mitgliedstaatlichen Rechts im Geltungsbereich der DS-GVO stets einer Öffnungsklausel der DS-GVO. Im Hinblick auf die Frage, welche Regelungsbefugnisse den Mitgliedstaaten im Rahmen der Begriffsdefinitionen verbleiben, ist zwischen zwei Fallkonstellationen zu unterscheiden: Zum einen ist fraglich, ob die Mitgliedstaaten abweichende Begriffsbestimmungen zu den Begriffsdefinitionen der DS-GVO erlassen dürfen, indem sie die Definitionen der DS-GVO modifizieren oder einschränken. Zum anderen stellt sich die Frage, ob die Mitgliedstaaten Begriffsbestimmungen im nationalen Recht vornehmen dürfen, die selbst nicht im Katalog von Art. 4 DS-GVO enthalten sind.
7
In Bezug auf die Zulässigkeit einer Modifikation der Begriffsbestimmungen der DS-GVO durch mitgliedstaatliche Regelungen fehlt es an einer Öffnungsklausel im Rahmen von Art. 4 DS-GVO. Abweichungen kommen nur im Rahmen von Öffnungsklauseln, etwa nach Art. 6 Abs. 1 S. 1 lit. e i.V.m. Abs. 2 und 3 DS-GVO[30] oder Art. 23 DS-GVO[31] in Betracht, die aber nicht auf Art. 4 DS-GVO Bezug nehmen.[32] Für Abweichungen von Art. 4 DS-GVO fehlt es also an einer Öffnung für mitgliedstaatliches Recht. Dies ist konsequent, da andernfalls das Ziel der Harmonisierung des europäischen Datenschutzrechts durch Erlass mitgliedstaatlicher Regelungen konterkariert würde.
8
Hinsichtlich des Erlasses von Begriffsbestimmungen, die nicht durch die DS-GVO festgelegt wurden, ist ebenfalls problematisch, dass Art. 4 DS-GVO selbst keine Öffnungsklausel enthält, die den Mitgliedstaaten den Erlass weitergehender spezifischer Begriffsbestimmungen ermöglicht. Eine derartige Öffnungsklausel enthält lediglich Art. 6 Abs. 1 S. 1 lit. e i.V.m. Abs. 2 und 3 S. 3 DS-GVO.[33] Dies würde aber voraussetzen, dass es sich bei der Begriffsbestimmung um eine spezifische Regelung i.S.v. Art. 6 Abs. 3 S. 3 DS-GVO handelt.[34] Dies erscheint zweifelhaft.[35] Fraglich ist daher, ob die DS-GVO in dem Sinne abschließend ist, dass sie auch den Erlass mitgliedstaatlicher Begriffsbestimmungen sperrt, die selbst nicht Bestandteil der DS-GVO sind. Für diese Sichtweise spricht neben dem Fehlen einer Öffnung im Rahmen von Art. 4 DS-GVO, dass andernfalls die Mitgliedstaaten durch den Erlass von Begriffsdefinitionen darüber entscheiden könnten, ob die sonstigen Regelungen der DS-GVO Anwendung finden oder nicht. Dies ist mit der unmittelbaren Wirkung der DS-GVO und dem Ziel der Harmonisierung des Datenschutzrechts in Europa unvereinbar.
1. Allgemeines
9
Da der Anwendungsbereich der DS-GVO nur dann eröffnet ist, wenn personenbezogene Daten i.S.d. Art. 4 Nr. 1 verarbeitet werden, ist diese Bestimmung für den europäischen Datenschutz, insbesondere die Betroffenenrechte, zentral.[36]
10
Nach Art. 4 Nr. 1 sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, „personenbezogene Daten“. Nach Art. 2 lit. a DSRL sind personenbezogene Daten „alle Informationen über eine bestimmte oder bestimmbare natürliche Person“. Folglich wurden die Begriffe „bestimmt“ und „bestimmbar“ lediglich durch „identifiziert“ und „identifizierbar“ ersetzt. Nach ErwG 26 zu Art. 2 lit. a DSRL sollten zur „Bestimmbarkeit alle Mittel berücksichtigt werden, die vernünftigerweise entweder von einem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“. ErwG 26 S. 3 zur DS-GVO spricht nunmehr davon, dass „zur Identifizierbarkeit alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Inhaltlich ergeben sich aus der neuen Formulierung keine abweichenden Erkenntnisse, weil sie ebenfalls nur auf eine Wahrscheinlichkeitsprognose abstellt.[37]
11
Auch § 3 Abs. 1 BDSG a.F. sprach im Rahmen von personenbezogenen Daten von „Einzelangaben über eine bestimmte oder bestimmbare natürliche Person“. Insoweit steht Art. 4 Nr. 1 in der bisherigen Datenschutz-Tradition und bringt im Vergleich zur bisherigen Rechtslage unter der DSRL und dem BDSG als Vorgängerregelungen keine grundlegenden Neuerungen hinsichtlich der Reichweite des Personenbezugs.[38]
12
Von den allgemeinen personenbezogenen Daten sind die besonderen Kategorien von Daten[39] und die personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten[40] zu unterscheiden.[41] Laut des ErwG 26 S. 5 gelten die Grundsätze des Datenschutzes nicht für anonyme Daten, die insofern das Gegenstück zu den personenbezogenen Daten bilden.[42]
a) Betroffene Person
13
Personenbezogene Daten sind nur solche Informationen, die sich auf eine bestimmte oder bestimmbare bzw. identifizierte oder identifizierbare natürliche Person beziehen. Die DS-GVO bezeichnet diese Person „betroffene Person“ und unterstellt diese durch die Betroffenenrechte einem besonderen Schutz. Im Umkehrschluss folgt daraus, dass nicht-personenbezogene Daten, also anonyme Daten nicht unter die DS-GVO fallen (vgl. dazu Rn. 43), wohl aber pseudonymisierte Daten, die bei Aufhebung der Pseudonymisierung zu einer Identifizierbarkeit führen.[43] Der Schutz anonymer Daten
