DSGVO-3.personenbezog. Daten
Datenschutzgrundverordnung - Artikelreihe
3. Sachlicher Anwendungsbereich - Verarbeitung personenbezogener Daten
Nachdem die Ziele und die neue Ideen der Datenschutzgrundverordnung dargestellt wurden, wird es nun konkret. Der sachliche Anwendungsbereich der DSGVO, nämlich welche Datenverarbeitungen überhaupt betroffen sind, soll näher beleuchtet werden. Denn längst nicht alle Daten sind von der Datenschutzgrundverordnung betroffen.
a) Gegenstand der DSGVO
Die Datenschutzgrundverordnung findet gemäß Artikel 3 Absatz 1 DSGVO Anwendung auf die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter:
"Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt."
Gemäß Artikel 2 Absatz 1 DSGVO gibt die Datenschutzgrundverordnung Pflichten für die automatisierte Verarbeitung personenbezogener Daten vor. Dabei ist es unerheblich, ob die Datenverarbeitung vollständig oder nur teilweise automatisiert erfolgt.
Darüber hinaus gilt die DSGVO nach Artikel 2 Absatz 1 DSGVO auch für die nichtautomatisierte Datenverarbeitung von personenbezogenen Daten, sofern diese in einer Datei gespeichert oder künftig in einer Datei gespeichert werden sollen:
"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen."
Indem die DSGVO für alle personenbezogenen Daten gilt, die nicht nur automatisiert verarbeitet, sondern ebenfalls für personenbezogene Daten, die entweder bereits gespeichert sind oder erst noch gespeichert werden, wird der breite Anwendungsbereich der Datenschutzgrundverordnung deutlich. Daten, die einmal erhoben wurden, werden in der Regel auch weiterverarbeitet. Selbst wenn ein Unternehmen die erhobenen personenbezogenen Daten zunächst erhebt und im Anschluss daran lediglich in einer unternehmensinternen E-Mail über die erhobenen Daten berichtet, ist der sachliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet.
b) Definition "personenbezogene Daten"
Personenbezogene Daten sind nach der Definition in Art. 4 Nr. 2 "alle Informationen, die sich auf eine betroffene Person beziehen". Der Begriff des personenbezogenen Datums ist weit zu bestimmen, da es durch die Entwicklung der Informationstechnologie keine belanglosen Daten mehr gibt. So lautete bereits die Einschätzung des Bundesverfassungsgerichts im Urteil vom 15.12.1983:
"Entscheidend sind ihre Nutzbarkeit und Verwendungsmöglichkeit. Diese hängen einerseits von dem Zweck, dem die Erhebung dient, und andererseits von den der Informationstechnologie eigenen Verarbeitungsmöglichkeiten und Verknüpfungsmöglichkeiten ab. Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr."
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Dies beiden Begrifflichkeiten entsprechen dem im deutschen Recht bislang gebräuchlichen Begrifflichkeiten der "bestimmten oder bestimmbaren Person". Als bestimmbar gilt eine Person, sofern diese anhand von direkten oder indirekten Merkmalen bestimmt werden kann. Dies kann beispielhaft erfolgen durch die Zuordnung von Namen, Standortdaten oder einer Online-Kennung.
a) Gegenstand der DSGVO
Die Datenschutzgrundverordnung findet gemäß Artikel 3 Absatz 1 DSGVO Anwendung auf die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter:
"Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt."
Gemäß Artikel 2 Absatz 1 DSGVO gibt die Datenschutzgrundverordnung Pflichten für die automatisierte Verarbeitung personenbezogener Daten vor. Dabei ist es unerheblich, ob die Datenverarbeitung vollständig oder nur teilweise automatisiert erfolgt.
Darüber hinaus gilt die DSGVO nach Artikel 2 Absatz 1 DSGVO auch für die nichtautomatisierte Datenverarbeitung von personenbezogenen Daten, sofern diese in einer Datei gespeichert oder künftig in einer Datei gespeichert werden sollen:
"Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen."
Indem die DSGVO für alle personenbezogenen Daten gilt, die nicht nur automatisiert verarbeitet, sondern ebenfalls für personenbezogene Daten, die entweder bereits gespeichert sind oder erst noch gespeichert werden, wird der breite Anwendungsbereich der Datenschutzgrundverordnung deutlich. Daten, die einmal erhoben wurden, werden in der Regel auch weiterverarbeitet. Selbst wenn ein Unternehmen die erhobenen personenbezogenen Daten zunächst erhebt und im Anschluss daran lediglich in einer unternehmensinternen E-Mail über die erhobenen Daten berichtet, ist der sachliche Anwendungsbereich der Datenschutzgrundverordnung eröffnet.
b) Definition "personenbezogene Daten"
Personenbezogene Daten sind nach der Definition in Art. 4 Nr. 2 "alle Informationen, die sich auf eine betroffene Person beziehen". Der Begriff des personenbezogenen Datums ist weit zu bestimmen, da es durch die Entwicklung der Informationstechnologie keine belanglosen Daten mehr gibt. So lautete bereits die Einschätzung des Bundesverfassungsgerichts im Urteil vom 15.12.1983:
"Entscheidend sind ihre Nutzbarkeit und Verwendungsmöglichkeit. Diese hängen einerseits von dem Zweck, dem die Erhebung dient, und andererseits von den der Informationstechnologie eigenen Verarbeitungsmöglichkeiten und Verknüpfungsmöglichkeiten ab. Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein "belangloses" Datum mehr."
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Dies beiden Begrifflichkeiten entsprechen dem im deutschen Recht bislang gebräuchlichen Begrifflichkeiten der "bestimmten oder bestimmbaren Person". Als bestimmbar gilt eine Person, sofern diese anhand von direkten oder indirekten Merkmalen bestimmt werden kann. Dies kann beispielhaft erfolgen durch die Zuordnung von Namen, Standortdaten oder einer Online-Kennung.
Ist eine Angabe einer bestimmten Person zuordenbar, liegt ein personenbezogenes Datum vor. Bei nicht möglicher Herstellung eines Zusammenhangs zwischen dem Datum und der natürlichen Person handelt es sich nicht um ein personenbezogenes Datum. Genügen jedoch kleine Datenmengen oder Auszüge aus Dateisystemen, die in größerer Zahl miteinander verknüpft werden, für die Bestimmbarkeit einer Person, fällt diese Verarbeitung ebenfalls unter die Vorgaben der DSGVO.
Handelt es sich um Daten, die mehrere bestimmte oder bestimmbare Personen betreffen, sind diese Daten allen hiervon betroffenen Personen zuzuordnen.
c) Definition "betroffene Person"
Betroffener kann ausschließlich eine natürliche Person sein. Natürliche Personen sind Menschen. Im Gegensatz dazu sind juristische Personen durch Gesetze geschaffene Rechtsgebilde, die sich in juristische Personen des Privatrechts (z. B. GmbH, AG) und juristische Personen des öffentlichen Rechts (Körperschaften, Anstalten und Stiftungen) untergliedern.
Angaben zu einer juristischen Person gelten als nicht personenbezogen und sind somit nicht von den Pflichten der Datenschutzgrundverordnung betroffen. Allerdings ist dies anders, wenn einzelne Daten der juristischen Person dazu geeignet sind, zumindest mittelbar eine natrürliche Persone zu identifizieren. Damit sind nur solche Daten der juristischen Person nicht mittelbar zur Identifizierung von natürlichen Personen geeignet, die reine Unternehmensdaten oder Sachinformationen über die juristische Person sind und keinerlei Rückschlüsse auf eine natürliche Person geben (z. B. problematisch bei einer Ein-Mann-GmbH).
Datenschutzgrundverordnung:
1. Ziele und neue Ideen
2. Datenschutz ganz neu
3. personenbezog. Daten
4. Transparenzgebot
5. Infos Art. 13/14 die I.
6. Infos Art. 13/14, die II.
7. Checkliste DSGVO
8. Erläuterungen Checkliste
9. FAQ-wichtigste Probleme
c) Definition "betroffene Person"
Betroffener kann ausschließlich eine natürliche Person sein. Natürliche Personen sind Menschen. Im Gegensatz dazu sind juristische Personen durch Gesetze geschaffene Rechtsgebilde, die sich in juristische Personen des Privatrechts (z. B. GmbH, AG) und juristische Personen des öffentlichen Rechts (Körperschaften, Anstalten und Stiftungen) untergliedern.
Angaben zu einer juristischen Person gelten als nicht personenbezogen und sind somit nicht von den Pflichten der Datenschutzgrundverordnung betroffen. Allerdings ist dies anders, wenn einzelne Daten der juristischen Person dazu geeignet sind, zumindest mittelbar eine natrürliche Persone zu identifizieren. Damit sind nur solche Daten der juristischen Person nicht mittelbar zur Identifizierung von natürlichen Personen geeignet, die reine Unternehmensdaten oder Sachinformationen über die juristische Person sind und keinerlei Rückschlüsse auf eine natürliche Person geben (z. B. problematisch bei einer Ein-Mann-GmbH).
Datenschutzgrundverordnung:
1. Ziele und neue Ideen
2. Datenschutz ganz neu
3. personenbezog. Daten
4. Transparenzgebot
5. Infos Art. 13/14 die I.
6. Infos Art. 13/14, die II.
7. Checkliste DSGVO
8. Erläuterungen Checkliste
9. FAQ-wichtigste Probleme
Weitere Informationen zum Thema Datenschutz erhalten Sie hier. Bitte wenden Sie sich bei Fragen dazu gern an mich: Kontaktformular
Tags: Datenschutz, Abmahnung Online - Handel, Infos für Unternehmer und Verbraucher, Rechtliche Informationen
