Zulässig bleiben jedoch solche Schutzmaßnahmen der Mitgliedstaaten, die anderen Zielsetzungen als einem höheren Datenschutzstandard folgen, auch wenn sie de facto zu einer Einschränkung des freien Datenverkehrs führen.8 Die Abgrenzung kann in Einzelfall sehr schwierig sein.9
2 Vgl. Art. 1 Abs. 1 DSGVO. 3 Zur Datensicherheit siehe Kap. 13. 4 Quasi als Vorbilder für diese Grundrechtsverbürgung gelten im Wesentlichen die Europarats-Konvention Nr. 108 und auch Art. 8 EMRK; daneben gibt es teilweise vergleichbare Grundrechtsverbürgungen in den mitgliedstaatlichen Verfassungen; vgl. Knecht, in: Schwarze/Becker/Hatje/Schoo, EU-Kommentar, 4. Aufl. 2019, Art. 8 GrCh Rn. 1. 5 Siehe Kap. 19 Rn. 96. 6 BeckOK-DS/Schantz, Art. 1 DSGVO Rn. 9. 7 Paal/Pauly/Ernst, Art. 1 DSGVO Rn. 14. 8 Mitteilung der Europäischen Kommission, Building a European Data Economy, COM(2017) 9 final, S. 5; Ehmann/Selmayr/Zerdick, Art. 1 DSGVO Rn. 13. 9 BeckOK-DS/Schantz, Art. 1 DSGVO Rn. 9.
III. Grundbegriffe des Datenschutzrechts
1. Personenbezug
10
Das wichtigste Merkmal zur Definition des Anwendungsbereichs – und damit auch zur Abgrenzung von anderen Rechtsmaterien – ist der „Personenbezug“ der Daten. Nur wenn Daten einen solchen Personenbezug aufweisen, unterfallen sie der DSGVO und den sonstigen Datenschutzvorschriften.
11
Der für das gesamte Datenschutzrecht zentrale Begriff des „personenbezogenen Datums“ ist in Art. 4 Nr. 1 DSGVO definiert. Demnach ist Personenbezug dann gegeben, wenn sich die jeweilige Information auf eine natürliche Person und nicht ausschließlich auf Sachen bezieht. Die Person muss durch die Information identifiziert oder zumindest identifizierbar sein.
Beispiel
In Abgrenzung zu personenbezogenen Daten haben Sachdaten keinen Personenbezug; bspw. „Das Handy ist mit einer 16 Megapixel Kamera ausgestattet.“ Entsprechend kann auch keine Person identifiziert werden.10
12
Wenn die natürliche Person nicht unmittelbar aus den Informationen des Datums identifiziert werden kann, ist ein Bezug dennoch gegeben, wenn eine entsprechende Identifizierung mit Hilfe von Verknüpfungen mit weiteren Informationen hergestellt werden kann.11
13
Das Gegenstück zu personenbezogenen Daten sind anonyme Daten. Wann ein ausreichender „Grad an Anonymität“ gegeben ist, so dass die DSGVO unanwendbar ist, ist in der Praxis häufig nicht leicht festzustellen. Grundsätzlich gilt, dass Anonymität bei Informationen vorliegt, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder bei personenbezogenen Daten, die (nachträglich) in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Anonyme Daten sind gemäß Erwägungsgrund 26 Satz 5 und 6 nicht vom Anwendungsbereich der DSGVO umfasst.12
Praxishinweis
Denkbare Vorgehensweisen zur Anonymisierung:13
– Löschung von identifizierenden Merkmalen (Name, Adresse, Bankverbindung),
– Aggregation von Daten,
– Bildung von Gruppen und/oder die kontrollierte Einbringung von Zufallsfehlern.
2. Datenverarbeitung
14
Ein weiteres bedeutsames Merkmal zur Bestimmung des Anwendungsbereichs ist die „Datenverarbeitung“ gem. Art. 4 Nr. 2 DSGVO. Die DSGVO fasst unter dem Merkmal der Datenverarbeitung eine ganze Reihe von Nutzungsvorgängen zusammen:14 Umfasst ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
– das Erheben;
– das Erfassen;
– die Organisation;
– das Ordnen;
– die Speicherung;
– die Anpassung oder die Veränderung;
– das Auslesen;
– das Abfragen;
– die Verwendung;
– die Offenlegung durch Übermittlung;
– die Verbreitung oder eine andere Form der Bereitstellung;
– der Abgleich oder die Verknüpfung;
– die Einschränkung;
– das Löschen oder die Vernichtung.
Praxishinweis
Ein automatisiertes Verfahren liegt vor, wenn bestimmte Aufgaben mit Hilfe einer informationstechnischen Infrastruktur, wie z.B. Hardware, Software oder Übertragungsnetze, unter Einbeziehung personenbezogener Daten wahrgenommen werden (bspw. über PCs, Netzwerke mit Servern, Notebooks, Smartphones oder auch den Einsatz digitaler Kamerasysteme etc.).
Weiterhin sollte darauf geachtet werden, dass das „aufbau- und ablauforganisatorische Umfeld“ in seiner Gesamtheit berücksichtigt wird. Dazu zählen Speichermedien, wie Disketten, USB-Sticks, externe Festplatten und CDs, aber auch Videokameras, Kopierer, Multifunktionsgeräte sind Datenverarbeitungsanlagen. Diese spielen bei der Beurteilung eine Rolle, da dort personenbezogene Daten zwischengespeichert oder gar langfristig gespeichert werden können.15
Ein nicht-automatisiertes Verfahren ist bei einer manuellen Verarbeitung gegeben. Trotz manueller Verarbeitung werden von der DSGVO dennoch sog. Dateisysteme gem. Art. 4 Nr. 6 DSGVO erfasst, also z.B. Karteien. Nicht umfasst bleiben allerdings unstrukturierte Akten, Aufzeichnungen oder Notizen, wie z.B. Papierakten, in denen die Daten selbst nicht strukturiert sind.16
3. Verantwortlicher
15
Der zentrale Begriff zur Bestimmung des persönlichen Anwendungsbereichs der DSGVO ist derjenige des Verantwortlichen. Der Verantwortliche ist der hauptsächliche Träger der Pflichten nach der DSGVO. Der Begriff des Verantwortlichen ist in Art. 4 Nr. 7 DSGVO definiert. Verantwortlicher ist danach derjenige, der alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.17 Dies kann eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle sein. Eine solche Verantwortlichkeit kann sich für jeden, der Daten für sich verarbeitet, ergeben. Letzteres unterscheidet den Verantwortlichen auch vom Auftragsverarbeiter,18 der Daten nicht für sich selbst, sondern lediglich „im Auftrag“ und auf Weisung eines Verantwortlichen verarbeitet.
16
Der Begriff des Verantwortlichen ist auch nicht auf eine einzelne Stelle limitiert. Denkbar ist gem. Art. 26 Abs. 1 Nr. 1 DSGVO eine gemeinsame Verantwortlichkeit.19 Eine solche ist dann gegeben, wenn zwei oder mehrere Stellen