[pinguin]

Vorabhinweis:
Der EuGH stellt klar, in welchem Sachverhalt die DSGVO keine Anwendung findet, da die dazugehörige Tätiugkeit, nicht in den Anwendungsbereich des Unionsrechts fällt.

URTEIL DES GERICHTSHOFS (Große Kammer)
16. Januar 2024(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Art. 16 AEUV – Verordnung (EU) 2016/679 – Art. 2 Abs. 2 Buchst. a – Anwendungsbereich – Ausnahmen – Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen – Art. 4 Abs. 2 EUV – Die nationale Sicherheit betreffende Tätigkeiten – Vom Parlament eines Mitgliedstaats eingesetzter Untersuchungsausschuss – Art. 23 Abs. 1 Buchst. a und h, Art. 51 und Art. 55 der Verordnung (EU) 2016/679 – Zuständigkeit der Datenschutz-Aufsichtsbehörde – Art. 77 – Recht auf Beschwerde bei einer Aufsichtsbehörde – Unmittelbare Wirkung“

In der Rechtssache C-33/22
https://curia.europa.eu/juris/document/document.jsf?text=&docid=281303&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=4140110

37      Aus der Rechtsprechung des Gerichtshofs ergibt sich, dass die in Art. 2 Abs. 2 DSGVO vorgesehene Ausnahme eng auszulegen ist (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 62 und die dort angeführte Rechtsprechung). In diesem Zusammenhang hat der Gerichtshof bereits entschieden, dass mit Art. 2 Abs. 2 Buchst. a DSGVO im Licht des 16. Erwägungsgrundes dieser Verordnung von deren Anwendungsbereich allein Verarbeitungen personenbezogener Daten ausgenommen werden sollen, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient, oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden , so dass der bloße Umstand, dass eine Tätigkeit eine spezifische Tätigkeit des Staates oder einer Behörde ist, nicht dafür ausreicht, dass diese Ausnahme automatisch für diese Tätigkeit gilt (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 66, und vom 20. Oktober 2022, Koalitsia „Demokratichna Bulgaria – Obedinenie“, C-306/21, EU:C:2022:813, Rn. 39).

38      Diese Auslegung, die sich bereits daraus ergibt, dass Art. 2 Abs. 1 DSGVO nicht danach unterscheidet, wer Urheber der betreffenden Verarbeitung ist, wird durch ihren Art. 4 Nr. 7 bestätigt, der den Begriff „Verantwortlicher“ als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, definiert.

SCHLUSSANTRÄGE DES GENERALANWALTS
MACIEJ SZPUNAR
vom 11. Mai 2023(1)
Rechtssache C-33/22
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273621&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=4140110

Zum Begriff „Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen“

35.      Wie ich in einer anderen Rechtssache( 4 ) aufzuzeigen versucht habe, ist dieser Begriff nicht eindeutig, weil er zwei verschiedene Lesarten zulässt. Angesichts der Kontroversen, die seine Auslegung in der vorliegenden Rechtssache trotz einer gefestigten Rechtsprechung des Gerichtshofs(5) aufwirft, halte ich es für erforderlich, die Gründe für die Entwicklung der Rechtsprechung in diesem Bereich umfassend darzulegen.

–       Konkretisierende Auslegung

36.      Die erste der möglichen Auslegungen des „Anwendungsbereichs des Unionsrechts“ kann als konkretisierend bezeichnet werden, weil sie zu der Frage führt, ob eine bestimmte Tätigkeit von einer spezifischen Bestimmung des Unionsrechts erfasst wird.

37.      Im Wesentlichen entspricht diese Auslegung dem Begriff der „Durchführung des Rechts der Union“, der den Anwendungsbereich der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) abgrenzt. In einem Kontext, der nichts mit dem des Schutzes personenbezogener Daten zu tun hat, wird dieser Begriff in der Rechtsprechung des Gerichtshofs dem „Anwendungsbereich des Unionsrechts“ gleichgestellt( 6 ).

38.      Auf diese Auslegung stützt sich das vorlegende Gericht in seinem Vorabentscheidungsersuchen, indem es darauf hinweist, dass die Tätigkeiten der parlamentarischen Untersuchungsausschüsse nach wie vor ausschließlich dem nationalen Recht unterlägen, was es dazu veranlasst, Zweifel an der Anwendbarkeit der DSGVO im Ausgangsverfahren zu hegen.

39.      Auf diese Auslegung hatte sich auch Generalanwalt Tizzano in seinen Schlussanträgen in den verbundenen Rechtssachen Österreichischer Rundfunk u. a.( 7 ) und in der Rechtssache Lindqvist( 8 ) – unter der Geltung der Richtlinie 95/46/EG(9) – gestützt, denen der Gerichtshof aber nicht gefolgt ist.

40.      Es ist darauf hinzuweisen, dass die Richtlinie 95/46 auf der Grundlage des früheren Art. 100a EG-Vertrag, später Art. 95 EG und jetzt Art. 114 AEUV, im Rahmen von Maßnahmen erlassen worden war, die die Errichtung und das Funktionieren des Binnenmarkts zum Gegenstand hatten. Diese Richtlinie, die den freien Datenverkehr und ein gleichwertiges Schutzniveau für personenbezogene Daten innerhalb der Union gewährleisten sollte, fand gemäß ihrem Art. 3 Abs. 2 keine Anwendung auf Tätigkeiten, „die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates … und die Tätigkeiten des Staates im strafrechtlichen Bereich“ sowie auf die Verarbeitung personenbezogener Daten, „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“.

41.      Anhand dieser Bestimmungen kam Generalanwalt Tizzano zu dem Schluss, dass die Richtlinie 95/46 in den verbundenen Rechtssachen Österreichischer Rundfunk u. a.(10) keine Anwendung finden könne. Im Zusammenhang mit der Verarbeitung von Daten über die von öffentlichen Körperschaften gezahlten Entgelte, die in einen Bericht des österreichischen Rechnungshofs an das Parlament aufgenommen werden sollten, stellte er nämlich fest, dass der Rechnungshof in diesem Fall eine „öffentliche Kontrolltätigkeit [ausübt], die von den österreichischen Stellen aufgrund einer selbständigen politisch-institutionellen Entscheidung vorgesehen und (mit Verfassungsrang) geregelt wurde, nicht aber … eine Tätigkeit, mit der eine gemeinschaftsrechtliche Verpflichtung erfüllt werden soll. Da diese Tätigkeit keiner spezifischen Gemeinschaftsregelung unterliegt, muss sie in die Zuständigkeit der Mitgliedstaaten fallen.“(11)

42.      Derselben Auslegung folgend vertrat Generalanwalt Tizzano in der Rechtssache Lindqvist die Auffassung, die von Frau Lindqvist im Rahmen ihrer ehrenamtlichen Tätigkeit als Religionslehrerin erstellte Website gehöre zu einer „Tätigkeit ohne wirtschaftlichen Charakter, die keinen (jedenfalls keinen direkten) Zusammenhang mit der Ausübung der vom Vertrag gewährleisteten Grundfreiheiten aufweist und auch nicht Gegenstand irgendeiner besonderen Vorschrift auf Gemeinschaftsebene ist“(12). Nach Ansicht des Generalanwalts fiel diese Tätigkeit daher nicht in den Anwendungsbereich des Gemeinschaftsrechts im Sinne von Art. 3 Abs. 2 der Richtlinie 95/46.

43.      Diesen Schlussanträgen ist der Gerichtshof nicht gefolgt, und zwar aus Gründen, die mit dem Wunsch nach Wahrung der Rechtssicherheit und der Notwendigkeit, die praktische Wirksamkeit der Richtlinie 95/46 zu gewährleisten, in Verbindung gebracht werden können.

44.      Angesichts der Besonderheit personenbezogener Daten, deren Verbreitung und wirtschaftliche Verwertung durch ihre Digitalisierung erleichtert werden, ist es nämlich in der Praxis sehr schwierig, im Einzelfall zu bestimmen, ob ihre Verarbeitung einen Bezug zu besonderen Bestimmungen des Unionsrechts oder zu den Freiheiten des Binnenmarkts aufweist, wie es die konkretisierende Auslegung erfordern würde.

45.      Um beim Beispiel der Rechtssache zu bleiben, in der das Urteil Lindqvist(13) ergangen ist, wäre es in der Praxis schwierig, zu bestimmen, ob der Betrieb einer für einen begrenzten Kreis von Gemeindemitgliedern bestimmten Website einen konkreten Bezug zu den Bestimmungen der Richtlinie 95/46 über den freien Datenverkehr zwischen den Mitgliedstaaten im Rahmen des Gemeinsamen Marktes aufwies. Die Antwort auf diese Frage könnte u. a. vom physischen Standort der Server abhängen, auf denen die in Rede stehende Website gehostet wird(14).

46.      Ich möchte hinzufügen, dass ähnliche Schwierigkeiten auftreten könnten, wenn im vorliegenden Fall unter der Geltung der DSGVO der konkretisierenden Auslegung zu folgen wäre.

47.      Beispielsweise wäre es schwierig, genau zu bestimmen, inwieweit die Tätigkeiten bestimmter für die Verarbeitung Verantwortlicher – wie Kirchen oder religiöser Vereinigungen bzw. Gemeinschaften, die von dieser Verordnung ausdrücklich erfasst werden(15) – tatsächlich besonderen Bestimmungen des Unionsrechts unterliegen(16). Die gleiche Frage könnte sich bei gemeinnützigen Organisationen stellen, die keine wirtschaftlichen Tätigkeiten ausüben. Dies würde zu einer Rechtsunsicherheit hinsichtlich des Anwendungsbereichs der DSGVO führen.

48.      Angesichts dieser Schwierigkeiten hat der Gerichtshof die konkretisierende Auslegung des „Geltungsbereichs des Gemeinschaftsrechts“ unter der Geltung der Richtlinie 95/46 abgelehnt. In den Urteilen Österreichischer Rundfunk u. a.( 17 ) und Lindqvist( 18 ) hat er entschieden: „Da somit alle personenbezogenen Daten zwischen den Mitgliedstaaten übermittelt werden können, verlangt die Richtlinie 95/46 grundsätzlich die Einhaltung von Regeln zum Schutz solcher Daten bei einer Verarbeitung im Sinne der Definition in Artikel 3. … Daher kann die Anwendbarkeit der Richtlinie 95/46 nicht davon abhängen, ob in den [in Rede stehenden] Sachverhalten … ein hinreichender Zusammenhang mit der Ausübung der durch den EG-Vertrag garantierten Grundfreiheiten … bestand. Eine gegenteilige Auslegung würde nämlich dazu führen, dass die Abgrenzung des Anwendungsbereichs der genannten Richtlinie ungewiss wäre und von Zufälligkeiten abhinge, was deren Hauptzweck zuwiderliefe, der darin besteht, die Rechts- und Verwaltungsvorschriften der Mitgliedstaaten einander anzugleichen, um Hindernisse für das Funktionieren des Binnenmarktes zu beseitigen, die sich gerade aus den Unterschieden zwischen den nationalen Regelungen ergeben.“(19)

49.      Somit hat sich in der Rechtsprechung des Gerichtshofs die „generalisierende“ Auslegung der Richtlinie 95/46 durchgesetzt.

–       Generalisierende Auslegung

50.      Diese Auslegung führt dazu, dem Anwendungsbereich des Unionsrechts alle Tätigkeiten zuzuordnen, die ihm in dem Sinne unterliegen können, dass sie ihm nicht aufgrund der ausschließlichen Zuständigkeiten der Mitgliedstaaten entzogen sind.

51.      Unter der Geltung der Richtlinie 95/46 hat diese Auslegung den Gerichtshof veranlasst, die Ausnahme für nicht in den Anwendungsbereich des Gemeinschaftsrechts fallende Tätigkeiten restriktiv auszulegen. So hat der Gerichtshof im Urteil Lindqvist entschieden, dass „die in Artikel 3 Absatz 2 erster Gedankenstrich der Richtlinie 95/46 als Beispiele aufgeführten Tätigkeiten dazu dienen sollen, den Anwendungsbereich der dort geregelten Ausnahme festzulegen, so dass diese nur für Tätigkeiten gilt, die entweder dort ausdrücklich genannt sind oder derselben Kategorie (ejusdem generis) zugeordnet werden können“(20).

52.      Vor dem Inkrafttreten des Vertrags von Lissabon gehörten die unter diese Ausnahme fallenden Tätigkeiten – betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates, den strafrechtlichen Bereich sowie die in den Titeln V und VI des Vertrags über die Europäische Union genannten Tätigkeiten – zum zweiten und zum dritten Pfeiler der Union und fielen als solche unter die zwischenstaatliche Zusammenarbeit. Diese Tätigkeiten konnten daher aufgrund der damals in den Verträgen vorgesehenen Aufteilung der Zuständigkeiten zwischen der Union und den Mitgliedstaaten nicht Gegenstand einer Gemeinschaftsregelung sein.

53.      Dies ist der Kontext, in dem der in Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 enthaltene Ausschluss der „Tätigkeiten …, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen“, zu verstehen ist. Der Anwendungsbereich der DSGVO wurde jedoch mit ähnlichen Worten definiert.

54.      Gemäß ihrem Art. 2 Abs. 2 Buchst. a findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten „a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“. Die letztgenannte Art der Verarbeitung wurde den Bestimmungen der Richtlinie (EU) 2016/680(21) unterworfen.

55.      Im Licht des 16. Erwägungsgrundes der DSGVO gehören zu den Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, insbesondere solche, die die nationale Sicherheit betreffen.

56.      Auf der Grundlage all dieser Bestimmungen hat der Gerichtshof im Urteil Land Hessen entschieden, dass die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme für eine „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, eng auszulegen ist, so dass „der Umstand, dass eine Tätigkeit eine spezifische des Staates oder einer Behörde ist, nicht [dafür] aus[reicht], [dass] diese Ausnahme automatisch für diese Tätigkeit gilt. Es ist nämlich erforderlich, dass die Tätigkeit zu denjenigen gehört, die ausdrücklich in dieser Vorschrift genannt sind, oder dass sie derselben Kategorie wie diese zugeordnet werden kann.“(22)

57.      Keines der in der vorliegenden Rechtssache vorgebrachten Argumente scheint mir geeignet, diese Auslegung in Frage zu stellen.

58.      Insbesondere schließe ich mich nicht den auf den Grundsatz der begrenzten Einzelermächtigung gestützten Argumenten an, die u. a. vom vorlegenden Gericht und vom Präsidenten des Nationalrates vorgebracht wurden.

59.      Gemäß dem in Art. 5 Abs. 2 EUV(23) verankerten Grundsatz der begrenzten Einzelermächtigung verfügt die Union nur über die Zuständigkeiten, die ihr die Mitgliedstaaten in den Verträgen übertragen haben.

60.      Auf rein lexikalischer Ebene erweist sich der Begriff „Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen“ in dieser Hinsicht als mehrdeutig. Auf den ersten Blick könnte die in der Rechtsprechung des Gerichtshofs vorgenommene generalisierende Auslegung dieses Begriffs fragwürdig erscheinen, weil sie dazu führt, dass alle Tätigkeiten, die dem Anwendungsbereich der DSGVO nicht entzogen wurden, den Bestimmungen dieser Verordnung unterworfen werden, was dem oben genannten Grundsatz zu widersprechen scheint.

61.      Nach ständiger Rechtsprechung sind jedoch bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut und die mit ihr verfolgten Ziele zu berücksichtigen, sondern auch ihr Zusammenhang und das gesamte Unionsrecht. Auch die Entstehungsgeschichte einer Vorschrift des Unionsrechts kann relevante Anhaltspunkte für deren Auslegung liefern(24).

62.      Sieht man von der wörtlichen Auslegung ab, die mir angesichts der Mehrdeutigkeit des Ausdrucks „Anwendungsbereichs des Unionsrechts“ wenig aufschlussreich erscheint, sprechen die systematische(25) und die teleologische Analyse eindeutig für die generalisierende Auslegung von Art. 16 Abs. 2 AEUV, so dass die Tragweite dieser Bestimmung über die der „Durchführung des Rechts der Union“ im Sinne von Art. 51 Abs. 1 der Charta hinausgeht.

63.      Erstens drängt sich dieses Ergebnis in Anbetracht der Systematik des AEU-Vertrags und der besonderen Stellung von Art. 16 Abs. 2 im Aufbau dieses Vertrags auf.

64.      Dieser Artikel steht im Ersten Teil, Titel II des AEU-Vertrags, der „allgemein geltende Bestimmungen“ enthält. Daraus folgt, dass dem in dieser Bestimmung verankerten Recht natürlicher Personen auf den Schutz personenbezogener Daten im Verhältnis zu den anderen Grundrechten, die ihren Platz in der dem Vertrag beigefügten Charta gefunden haben, eine besondere Bedeutung zukommt.

65.      Konkret legt die privilegierte Stellung von Art. 16 AEUV in der Systematik des Vertrags nahe, dass sich der in dieser Bestimmung genannte „Anwendungsbereich“ nicht auf die Fälle beschränkt, in denen die Mitgliedstaaten im Sinne von Art. 51 Abs. 1 der Charta „das Recht der Union durchführen“, was der oben dargelegten konkretisierenden Auslegung entspräche.

66.      Insoweit möchte ich darauf hinweisen, dass zwischen den Bestimmungen von Art. 16 Abs. 2 AEUV und denen der Charta ein Wesensunterschied besteht.

67.      Gemäß ihrem Art. 51 Abs. 2 „begründet [die Charta] weder neue Zuständigkeiten noch neue Aufgaben für die Union, noch ändert sie die in den Verträgen festgelegten Zuständigkeiten und Aufgaben“. Ihre Bestimmungen gelten für die Mitgliedstaaten, soweit diese das Unionsrecht in Bereichen durchführen, die bereits in den Anwendungsbereich dieses Rechts fallen.

68.      Anders verhält es sich mit Art. 16 Abs. 2 AEUV, dessen Bestimmungen eine Gesetzgebungsbefugnis für den Schutz und den freien Verkehr personenbezogener Daten begründen und der Union übertragen und zu diesem Zweck einen spezifischen Anwendungsbereich festlegen, der auf den Bestimmungen der Richtlinie 95/46 basiert, wie die Entstehungsgeschichte dieser Bestimmung belegt.

69.      Zweitens geht nämlich aus den Vorarbeiten zum Vertrag von Lissabon klar hervor, dass die Verfasser des AEU-Vertrags den Anwendungsbereich der Vorschriften zum Schutz personenbezogener Daten, wie er unter der Geltung der Richtlinie 95/46 festgelegt worden war, bekräftigen wollten.

70.      Hierzu ist darauf hinzuweisen, dass sich der Wortlaut von Art. 16 AEUV unmittelbar an den Entwurfvertrag über eine Verfassung für Europa anlehnt, dessen Art. 36a Abs. 2 (jetzt Art. 50 Abs. 2 in der endgültigen Fassung des Entwurfs vom 18. Juli 2003(26)) die Zuständigkeit des Parlaments und des Rates für den Erlass von „Regeln über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen [und sonstigen Stellen] der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr“ vorsah(27).

71.      Gemäß den Erläuterungen seiner Verfasser soll jedoch „der Entwurf des Artikels 36a eine einzige Rechtsgrundlage für den Schutz personenbezogener Daten schaffen, und zwar sowohl für den Schutz dieser Daten durch die Organe als auch durch die Mitgliedstaaten, wenn sie in einem Bereich tätig werden, der in den Anwendungsbereich des Unionsrechts fällt. Der Text basiert auf der derzeitigen Gemeinschaftsregelung, die sich aus der Richtlinie 95/46 … (gestützt auf Artikel 95 EGV) in Bezug auf das Handeln der Mitgliedstaaten ergibt“(28).

72.      Daraus folgt eindeutig, dass es dem im AEU-Vertrag zum Ausdruck gebrachten Willen der Mitgliedstaaten zuwiderliefe, wenn der Begriff „Anwendungsbereich des Unionsrechts“ in Art. 2 Abs. 2 Buchst. a DSGVO dahin auszulegen wäre, dass die Anwendung dieser Verordnung im Vergleich zur Anwendung der Richtlinie 95/46 eingeschränkt sei.

73.      Drittens müssen teleologische Erwägungen berücksichtigt werden, die mit der Dynamik und den spezifischen Zielen des Schutzes personenbezogener Daten zusammenhängen, in die sich der Erlass der DSGVO einfügt.

74.      Unter diesem Blickwinkel besteht kein Zweifel daran, dass der Unionsgesetzgeber bestrebt war, diesen Schutz zu stärken und den Anwendungsbereich der einschlägigen Vorschriften zu konsolidieren. Dies wird durch die bewusste Ersetzung der Richtlinie 95/46 durch ein strengeres Regelwerk und – ausdrücklich – durch die Erwägungsgründe 9, 11 und 13 der DSGVO belegt.

75.      Die insoweit angestrebten Ziele ergeben sich aus der Besonderheit des Phänomens der Verarbeitung personenbezogener Daten, das über den Rahmen der Tätigkeiten, bei denen diese Daten erhoben werden können, hinausgeht.

76.      Außerdem handelt es sich bei diesen Tätigkeiten nicht zwangsläufig um wirtschaftliche Tätigkeiten, die bereits den unionsrechtlichen Vorschriften über den Binnenmarkt unterliegen, was den Marktwert der erhobenen Daten aber keineswegs mindert und die mit ihrer Verarbeitung verbundenen Gefahren nicht beseitigt.

77.      In dieser Hinsicht erweist sich die Problematik der personenbezogenen Daten als bereichsübergreifend, so dass die Vorschriften über ihren Schutz nicht auf den Anwendungsbereich der bereits bestehenden Kategorien des Unionsrechts beschränkt werden können.

78.      Mit anderen Worten: Wenn der „Anwendungsbereich des Unionsrechts“ im Sinne von Art. 16 Abs. 2 AEUV über die Fälle der „Durchführung des Rechts der Union“ im Sinne von Art. 51 Abs. 1 der Charta hinausgeht, so ist dies auf die eigenständige Natur der mit der Verarbeitung personenbezogener Daten verbundenen Problematik zurückzuführen, die einen eigenen gesetzgeberischen Eingriff erforderte, dessen Tragweite über die Summe der bereits bestehenden Bestimmungen des Unionsrechts hinausgeht. Aus dieser Sicht bringt der weite Anwendungsbereich der DSGVO den Willen zum Ausdruck, den Herausforderungen des Schutzes personenbezogener Daten durch den Erlass einer „maßgeschneiderten“ Regelung gerecht zu werden.

79.      In Anbetracht der übereinstimmenden Schlussfolgerungen, die sich aus der systematischen und der teleologischen Analyse von Art. 16 Abs. 2 AEUV ergeben, schlage ich dem Gerichtshof vor, seine bisherige Rechtsprechung(29) zu bestätigen, indem er die in Art. 2 Abs. 2 Buchst. a DSGVO vorgesehene Ausnahme für eine „Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, eng auslegt.