159
Gemäß Art. 2 Abs. 1, 2. Alt. DSGVO fällt ferner auch die nichtautomatisierte Verarbeitung personenbezogener Daten in den Anwendungsbereich der DSGVO, vorausgesetzt, dass die jeweils verarbeiteten Informationen in einem „Dateisystem“ gespeichert sind oder in einem solchen gespeichert werden sollen.329 Aufgrund der Spannweite des Begriffs der automatisierten Verarbeitung betrifft Art. 2 Abs. 1, 2. Alt. DSGVO daher allenfalls die rein manuelle Verarbeitung personenbezogener Daten, bei der überhaupt kein Verarbeitungsschritt mit technischen Hilfsmitteln erfolgt.330
2. Merkmale eines Dateisystems
160
Der Begriff des Dateisystems wird nach Art. 4 Nr. 6 DSGVO definiert als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.
a) Sammlung personenbezogener Daten
161
Das Merkmal der Sammlung beschreibt die planmäßige Zusammenstellung von einzelnen Angaben, unabhängig davon, ob es sich dabei um Daten einer einzelnen natürlichen Person oder um Daten mehrerer Personen handelt. Maßgeblich ist, ob die Angaben in einem inneren Zusammenhang stehen, der sich aus der Gleichartigkeit der Informationen sowie aus einem gemeinsamen Zweck ergeben kann.331
b) Struktur
162
Die Sammlung muss zudem „strukturiert“ sein, wobei es nicht darauf ankommt, ob die Daten auf einem oder mehreren Datenträgern gesammelt sind.332 Entscheidend ist vielmehr der formale Aufbau der Datei. Diese muss eine systematisch gleichartige Ordnung in Bezug auf die Datenerhebung und -haltung aufweisen und dadurch die Erschließung der Daten erleichtern, wie etwa eine alphabetische oder nummerische Anordnung.333
163
Da bereits die Sammlung von Informationen über eine einzelne Person unter die Definition des Dateisystems fallen kann, muss sich die Struktur einer Sammlung nicht zwingend aus der (strukturierten) Anordnung von Informationen in Bezug auf verschiedene Betroffene ergeben. Vielmehr kann bereits die Erhebung personenbezogener Daten einer Person genügen, etwa wenn dies auf Grundlage einer systematischen, gleichförmigen Anordnung von Formularfeldern erfolgt oder sich als Zusammenfassung gleichartiger Informationen unter der Klammer der Beziehbarkeit auf eine bestimmte betroffene Person darstellt.334
c) Zugänglichkeit nach bestimmten Kriterien
164
Um als Dateisystem klassifiziert zu werden, muss die strukturierte Sammlung personenbezogener Daten „bestimmten Kriterien“ zugänglich sein. Dem Wortlaut nach bedarf es dabei mindestens zweier Kriterien.335 Hierunter sind diejenigen gemeinsamen Merkmale der jeweils vorliegenden Informationssammlung zu verstehen, anhand derer die Sammlung erschlossen werden kann.336
165
Entsprechende Kriterien können in erster Linie Angaben wie Namen, Aktenzeichen, Personalnummern oder auch Adressen sein. Daneben nennt die Norm als Ordnungskriterien beispielhaft funktionale und geografische Kriterien.337 Insofern können auch Berufe, Regionen und Kfz-Kennzeichen, sofern sie auf eine bestimmte Person bezogen werden können, geeignete Kriterien begründen.338 Im Umkehrschluss zu ErwG 15 Satz 2 fallen auch Akten, Aktensammlungen sowie deren Deckblätter unter den Schutz der DSGVO, sofern sie entsprechend geordnet und die jeweiligen Informationen nach mindestens zwei Kriterien zugänglich sind.339
166
Die Verordnung gibt insoweit nicht vor, ob die in der Sammlung zusammengefassten Informationen bereits nach mindestens zwei Merkmalen zugänglich sein müssen oder ob bereits die bloße Möglichkeit ausreicht, eine entsprechende Ordnung der Sammlung herzustellen. Daran anschließend stellt sich die Frage, mit welchem Aufwand eine entsprechende Ordnung herzustellen sein muss. Während ErwG 15 zur DSRl damals noch davon sprach, dass die Struktur der Datei einen „leichten Zugriff“ ermöglichen muss, ist eine entsprechende Einschränkung weder dem Verordnungstext noch den ErwG zur DSGVO zu entnehmen.340 Der Umstand, dass ErwG 15 Satz 1 im Hinblick auf den sachlichen Anwendungsbereich der DSGVO davon spricht, dass „ein ernsthaftes Risiko einer Umgehung der Vorschriften [der DSGVO]“ zu vermeiden ist, spricht grundsätzlich für ein niedrigschwelliges Verständnis. Gleichwohl muss es sich ausdrücklich um ein „ernsthaftes Risiko“ handeln. Demgemäß sollte eine bloß in der Theorie bestehende Ordnungsfähigkeit einer Sammlung wohl nicht genügen, um den Anwendungsbereich der DSGVO zu eröffnen. In Anlehnung an die Frage, ob eine Information als personenbezogenes Datum angesehen werden muss, erscheint es daher angemessen, die Anwendbarkeit der DSGVO davon abhängig zu machen, ob eine entsprechende Ordnung der Sammlung bzw. Zugänglichkeit der darin enthaltenen Informationen mit einem verhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften herzustellen wäre.341
167
Hierbei ist jedoch zu beachten, dass, soweit Informationen bereits zu einem gewissen Grad vorstrukturiert sind, insbesondere bereits nach jedenfalls einem Kriterium zugänglich sind (etwa eine Kennzeichnung mit Namen oder Aktenzeichen), eine Zugänglichkeit nach einem weiteren Kriterium in aller Regel mit verhältnismäßigem Aufwand herzustellen sein wird.342 Damit dürfte nahezu jegliche Form der ordentlichen Aktenführung, mit Ausnahme von einer chaotischen Zettelwirtschaft, dem sachlichen Anwendungsbereich der DSGVO unterfallen.343
d) Unstrukturierte Erhebung als Vorstufe ausreichend
168
Gemäß Art. 2 Abs. 1, 2. Alt. DSGVO genügt es für die Anwendung der DSGVO bereits, dass nichtautomatisiert verarbeitete personenbezogene Daten (später) in einem Dateisystem gespeichert werden sollen. Insofern ist bereits etwa die handschriftliche Aufzeichnung personenbezogener Daten (etwa im Rahmen eines Formulars) von dem sachlichen Anwendungsbereich der DSGVO erfasst, sofern im Zeitpunkt der Aufzeichnung bereits der Zweck verfolgt wird, die Aufzeichnungen später in ein Dateisystem aufzunehmen.344
3. Ausnahme: § 26 Abs. 7 BDSG
169
§ 26 Abs. 7 BDSG erweitert den sachlichen Anwendungsbereich der DSGVO sowie der ergänzenden Regelungen des BDSG zum Beschäftigtendatenschutz auch auf die nichtautomatisierte Datenverarbeitung, die nicht in einem Dateisystem gespeichert ist oder gespeichert werden soll. Die Regelung entspricht damit im Ergebnis den bisherigen Vorgaben des § 32 Abs. 2 BDSG a.F.345 Demgemäß ist es für die Anwendbarkeit datenschutzrechtlicher Vorgaben im Beschäftigungskontext unerheblich, ob (manuell) verarbeitete, personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen oder nicht.346 Typische Anwendungsfälle dieser Regelung in der betrieblichen Praxis sind etwa das Befragen oder Beobachten von Beschäftigten.347 Erfasst werden somit zum Beispiel auch (handschriftliche) Protokolle oder Notizen des Arbeitgebers im Rahmen eines Vorstellungsgesprächs; ferner fallen auch mündliche Datenverarbeitungen wie zum Beispiel Telefongespräche mit früheren Arbeitgebern eines Bewerbers unter den Anwendungsbereich des Beschäftigtendatenschutzes.348
VIII. Verantwortlicher (Nr. 7)
170