Praxishandbuch DSGVO

3. Besonderer Geheimnisschutz

30

In manchen Fällen werden personenbezogene Daten nicht nur durch die DSGVO und die bereichsspezifischen Datenschutzgesetze geschützt, sondern zusätzlich durch besondere gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten.

a) Berufsrechtliche Schweigepflichten

31

So unterliegen z.B. Geheimnisse, die einem Arzt, Apotheker, Rechtsanwalt, Notar, Steuerberater oder Wirtschaftsprüfer in dessen jeweiliger Funktion anvertraut worden sind, einer gesetzlichen Schweigepflicht, die auch über den Tod der betroffenen Person hinaus gilt. Diese Pflicht bestimmter Berufsträger zur Verschwiegenheit ergibt sich primär aus den jeweils für sie geltenden berufsrechtlichen Vorschriften, also z.B. der Berufsordnung für Ärzte (vgl. § 9 MBO-Ä), für Rechtsanwälte aus § 43a Abs. 2 BRAO und § 2 BORA, für Notare aus § 18 BNotO, für Steuerberater aus § 57 Abs. 1 StBerG und für Wirtschaftsprüfer aus § 43 Abs. 1 S. 1 WiPrO. Solche Geheimnisse werden oftmals auch personenbezogene Daten umfassen; also z.B. soweit sie sich auf eine natürliche Person als Patient oder Mandant beziehen.

b) Strafrechtliche Schweigepflichten

32

Daneben und grundsätzlich unabhängig von den berufsrechtlichen Pflichten folgt eine gesetzliche Schweigepflicht – wiederum für Angehörige bestimmter Berufe – auch aus dem Strafrecht, und zwar aus § 203 StGB. Neben den oben genannten Berufsgruppen unterfallen dieser Klausel zusätzlich z.B. auch Angehörige von privaten Unfall-, Kranken- und Lebensversicherungen sowie die jeweils für sie berufsmäßig tätigen Gehilfen (z.B. Sprechstundenhilfen, Referendare etc.).

Praxishinweis

Im hiesigen Kontext besonders wichtig ist auch die Erstreckung der Geheimhaltungspflicht auf die jeweils bei den Verpflichteten bestellten (betrieblichen) Datenschutzbeauftragten: Nach § 203 Abs. 4 S. 1 StGB macht sich der Datenschutzbeauftragte einer Stelle, die dem Geheimhaltungsregime unterfällt, selbst strafbar, wenn er ein ihm in seiner Eigenschaft bekannt gewordenes Geheimnis offenbart.

33

In der Praxis wirkt sich die Überschneidung von Datenschutzrecht und gesetzlichen Schweigepflichten oft aus, wenn nach beiden Rechtsmaterien geschützte Informationen einem Dritten bekannt gegeben werden sollen, ohne dass eine gesetzliche Vorschrift dies anordnen oder gestatten würde. Wird hier datenschutzrechtlich also auf das Instrument einer Einwilligung gesetzt, ist die Erklärung parallel als eine wirksame Befreiung von der Schweigepflicht auszugestalten.37

c) Fernmeldegeheimnis

34

Eine auch in der Unternehmenspraxis relevante Berührung gibt es ferner zum Fernmeldegeheimnis nach § 88 TKG. Nach § 88 Abs. 2 S. 1 TKG ist jeder Diensteanbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet. Diensteanbieter ist nach § 3 Nr. 6 TKG jeder, „der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste“ mitwirkt. Telekommunikationsdienste sind nach § 3 Nr. 24 TKG „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“.

35

Vor allem die Datenschutzaufsichtsbehörden sehen Arbeitnehmer als solche „Dritte“ im Sinne dieser Regelung an, wenn ihnen vom Arbeitgeber die Privatnutzung dienstlicher Telekommunikationsdienste wie z.B. der beruflichen E-Mail beziehungsweise des Internetzugang erlaubt werde.38 Die juristische Literatur beurteilt dies zwar wohl überwiegend anders39 und auch die Rechtsprechung hat sich bisher gegen eine Geltung des Fernmeldegeheimnisses in diesen Konstellationen ausgesprochen;40 es bleibt aber eine gewisse Rechtsunklarheit.

d) Schutz von Geschäftsgeheimnissen

36

Schließlich können sich datenschutzrechtliche Vorgaben überschneiden mit den Regelungen zum Schutz von Geschäftsgeheimnissen. Insoweit ist zunächst zu beachten, dass am 26.4.2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten ist, welches die EU-Geschäftsgeheimnisrichtlinie41 (verspätet) umgesetzt hat.

37

Geschäftsgeheimnisse sind Informationen, die nicht allgemein bekannt oder ohne Weiteres zugänglich, von wirtschaftlichem Wert und Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber sind (§ 2 Nr. 1 GeschGehG). Dabei kann es sich, muss es sich aber nicht um personenbezogene Informationen handeln. Geschäftsgeheimnisse können neben (zumeist anonymen) Geschäftsstrategien, Businessplänen oder Marktanalysen z.B. auch Sammlungen von Kunden- oder Lieferantendaten, Informationen über Personalangelegenheiten oder auch bestimmte Erfindungen sein.

38

Besonders zu bedenken ist, dass nach dem GeschGehG Informationen nur geschützt sind, wenn sie geheim, von wirtschaftlichem Wert und zudem durch angemessene Maßnahmen geschützt sind.

Praxishinweis

Bei letztgenannter Voraussetzung ergibt sich in der Praxis eine relevante Überlappung mit datenschutzrechtlichen Anforderungen: Die angemessenen Maßnahmen zur Geheimhaltung, die nach GeschGehG erforderlich sind, müssen im Fall von personenbezogenen Daten zugleich als angemessene technische oder organisatorische Maßnahme im Sinne von Art. 32 DSGVO qualifiziert werden können, damit die Schutzmaßnahmen auch den datenschutzrechtlichen Anforderungen genügen.

4. Arbeits- und Mitbestimmungsrecht

39

Zu dem Arbeits- und Mitbestimmungsrecht weist das Datenschutzrecht eine besondere Nähe auf. In der Praxis kommt es vor allem bei der Verarbeitung von Beschäftigtendaten sehr häufig vor, dass Anforderungen aus beiden Rechtsgebieten zu berücksichtigen sind. Die in der Praxis bedeutsamsten Schnittmengen werden nachfolgend kurz aufgezeigt.42

a) Umfang von Datenerhebungen im Bewerbungsgespräch

40

Datenschutzrechtlich gilt, dass personenbezogene Daten eines Bewerbers nur dann erhoben werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 Alt. 1). Zum Umfang der hierbei zugelassenen Datenerhebungen hat sich bereits vor der DSGVO und außerhalb des Regelungsbereichs des BDSG auf Basis zivilrechtlicher Vorschriften eine ausdifferenzierte Rechtsprechung zum sog. Fragerecht des Arbeitsgebers herausgebildet, die hier wertungsmäßig mit zu berücksichtigen ist.

41

Hiernach ist das Recht des Arbeitgebers, einem Bewerber Fragen zu stellen, auf Fragen beschränkt, an deren Beantwortung der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat, das so stark ist, dass das Interesse des Arbeitnehmers dahinter zurücktritt. Grundsätzlich sind hierbei nur solche Fragen zulässig, die in einem sachlichen Zusammenhang mit den Pflichten des Arbeitnehmers aus dem Arbeitsverhältnis stehen.43

Beispiel

Der Arbeitgeber darf keine Fragen stellen, bei denen es um Risiken geht, die die Rechtsordnung ausdrücklich ihm zuweist, beispielsweise die Frage nach der Schwangerschaft einer Bewerberin.44

42

Darf der Arbeitgeber nach diesen Grundsätzen eine bestimmte Frage nicht stellen, ist ihm datenschutzrechtlich auch die Erhebung der als Antwort mitgeteilten personenbezogenen Daten untersagt.

b) Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisvorschrift

43

Betriebsvereinbarungen können eine Doppelfunktion haben. Betriebsverfassungsrechtlich übt die Arbeitnehmervertretung darüber ihr Recht auf Mitbestimmung in betrieblichen Angelegenheiten aus. Daneben kann ihnen auch eine bedeutsame datenschutzrechtliche Funktion zukommen: Gemäß § 26 Abs. 1 S. 1 BDSG kann die Verarbeitung von Beschäftigtendaten u.a. auch gerechtfertigt sein, wenn sie zur Ausübung oder Erfüllung der sich aus einer Kollektivvereinbarung (d.h. einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Praxishinweis

In der Praxis ist deshalb bei der Gestaltung und Verhandlung einer Betriebsvereinbarung darauf zu achten, ob und, wenn ja, welche datenschutzrechtliche Legitimationswirkung ihr zukommen soll. Macht eine Betriebsvereinbarung eine bestimmte Datenverarbeitung erforderlich, so wird sie über § 26 Abs. 1 S. 1 BDSG erlaubt. Es können in solche Betriebsvereinbarungen aber auch weitergehende, datenschutzrechtliche Erlaubnistatbestände integriert werden.45

c) Einsicht in Personalakten

44

Datenschutzrechtlich besitzen auch Beschäftigte nach Art. 15 DSGVO ein Recht auf Auskunft über die zu ihrer Person durch den Arbeitgeber gespeicherten personenbezogenen Daten.

45

Parallel hat ein Arbeitnehmer nach § 83 Abs. 1 S. 1 BetrVG im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Dieser Anspruch ist sehr breit angelegt und überschneidet sich inhaltlich mit dem datenschutzrechtlichen Auskunftsanspruch. So wird unter „Personalakte“ nach herrschender Meinung jede Sammlung von Unterlagen verstanden, die mit dem Arbeitnehmer in einem inneren Zusammenhang steht, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt wird.46

Praxishinweis

Diese Parallelität ist wichtig zu beachten, weil dem Arbeitnehmer unter Umständen auf Basis einer etwa parallel zu einem Auskunftsanspruch geltend gemachten Personalakteneinsicht mehr Informationen herauszugeben sind. So ist das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 4 DSGVO beschränkt durch die Rechte und Freiheiten anderer Personen47. Das Einsichtsrecht des Arbeitnehmers in seine Personalakte nach § 83 Abs. 1 S. 1 BetrVG ist gesetzlich hingegen nicht in gleicher Weise eingeschränkt. Das Einsichtsrecht des Arbeitnehmers besteht bezüglich aller Aufzeichnungen, die sich mit seiner Person und dem Inhalt der Entwicklung seines Arbeitsverhältnisses befassen und kann deshalb auch Informationen über andere Personen umfassen, soweit diese Daten in der Personalakte gespeichert sind, z.B. Hinweise anderer Mitarbeiter auf ein etwaiges Fehlverhalten des Arbeitnehmers.48

d) Kündigungsschutz für Datenschutzbeauftragte

46

Ein weiterer praxisrelevanter Anknüpfungspunkt zum Arbeitsrecht ergibt sich aus § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 S. 2 und 3 BDSG. Danach gilt für den betrieblichen Datenschutzbeauftragten ein besonderer Kündigungsschutz: Die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten ist hiernach unzulässig, es sei denn, dass Tatsachen vorliegen, welche eine Kündigung aus wichtigem Grund zulassen würden. Dieser Sonderkündigungsschutz besteht noch ein Jahr nach dem Ende der Tätigkeit als Datenschutzbeauftragter fort.

47

Diese Regelung ist auch europarechtlich wirksam; insbesondere bedarf es hierfür keiner Öffnungsklausel in der DSGVO, weil es sich im Kern nicht um eine datenschutzrechtliche, sondern eine arbeitsrechtliche Regelung handelt.49

22 Auer-Reinsdorff/Conrad/Conrad/Treeger, § 34 Rn. 503. 23 Taeger/Louven, DSRITB 2019, 703, 708f. 24 BKartA, BeckRS 2019, 4895. 25 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 742. 26 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 18. 27 OLG Düsseldorf, Beschl. v. 26.8.2019 – VI-Kart 1/19 (V), MMR 2019 Rn. 45. 28 Vgl. Bunte, EWiR 2019, 575. 29 OLG Frankfurt, GRUR-RR 2017, 231. 30 So für Einwilligungserklärungen: Forgó/Helfrich/Schneider/Ehmann, Teil IX Kap. 1 Rn. 27 unter Verweis u.a. auf BGH, Urt. v. 1.2.2018, GRUR 2018, 545. 31 OLG Hamburg, GRUR-RR 2015, 361 Rn. 48ff. 32 Wendehorst/Graf von Westphalen, NJW 2016, 3745, 3750. 33 LG Berlin, Urt. v. 16.1.2018, MMR 2018, 328, 330. 34 LG Berlin, Urt. v. 16.1.2018, MMR 2018, 328, 330. 35 So ausdrücklich LG Berlin, Urt. v. 16.1.2018, MMR 2018, 328, 331. 36 Wendehorst/Graf von Westphalen, NJW 2016, 3745, 3750. 37 Siehe hierzu das Muster von Arning, in: Moos, Datenschutz- und Datennutzungsverträge, 2. Aufl. 2018, § 41. 38 Siehe hierzu Kap. 15 Rn. 79. 39 Wybitul, NJW 2014, 3605, 3609; Fülbier/Splittgerber, NJW 2012, 1995, 1999; Plath/Stamer/Kuhnke, § 32 BDSG Rn. 98ff.; Weth/Herberger/Wächter/Baumgartner, S. 363, 380; mit weiterführender Argumentation Thüsing, § 3 Rn. 75ff. 40 LAG Niedersachsen, Urt. v. 31.5.2010 – 12 Sa 875/09, MMR 2010, 639; LAG Berlin-Brandenburg, Urt. v. 16.2.2011 – 4 Sa 2132/10, NZA-RR 2011, 342, 343f.; VG Karlsruhe, Urt. v. 27.5.2013 – 2 K 3249/12, NVwZ-RR 2013, 797, 801. 41 Richtlinie (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl. EG Nr. L 157 vom 15.6.2016, S. 1. 42 Siehe hierzu im Detail Kap. 15. 43 Kühling/Buchner/Maschmann, § 26 BDSG Rn. 29 m.w.N. 44 Kühling/Buchner/Maschmann, § 26 BDSG Rn. 29. 45 BeckOK-DS/Riesenhuber, 34. Ed. 1.11.2020, § 26 BDSG Rn. 52. 46 BAG, Urt. v. 7.5.1980 – 4 AZR 214/78, BeckRS 1980, 30706869 Rn. 11. 47 Gola/Franck, Art. 15 DSGVO Rn. 33. 48 LAG Baden-Württemberg, Urt. v. 20.12.2018 – 17 Sa 11/18, NZA-RR 2019, 242, 249. 49 So LAG Nürnberg, Urt. v. 19.2.2020 – 2 Sa 274/19, NZA-RR 2020, 299, 301.

Kapitel 3 Anwendungsbereich des Datenschutzrechts

Übersicht

1

Die Vorschriften der DSGVO sind nur dann zu beachten, wenn ihr Anwendungsbereich eröffnet ist. Von der Eröffnung des Anwendungsbereichs hängt zudem ab, ob die Aufsichtsbehörde für den Datenschutz sachlich nach Art. 55 Abs. 1, 51 Abs. 1 DSGVO zuständig ist.1

1 Vgl. hierzu Kap. 15 Rn. 5ff.

I. Überblick über die einschlägigen Regelungen der DSGVO

2

Art. 99 bestimmt den zeitlichen Anwendungsbereich der DSGVO. Art. 2 und 3 DSGVO enthalten die zentralen Vorschriften, welche den sachlichen und den räumlichen Anwendungsbereich der Verordnung festlegen.

3

Nach Art. 2 Abs. 1 DSGVO ist vom sachlichen Anwendungsbereich der Verordnung die ganz oder teilweise automatisierte Verarbeitung von personenbezogenen Daten, aber auch die nichtautomatisierte Verarbeitung von Daten erfasst, sofern letztere in einem Dateisystem gespeichert sind oder werden sollen. Art. 2 Abs. 2 DSGVO enthält einige Ausnahmen, bei denen die Verordnung keine Anwendung findet.

4

Eine spezifische Regelung zum persönlichen Anwendungsbereich findet sich in der Verordnung nicht. Allerdings sieht die Regelung über den räumlichen Anwendungsbereich in Art. 3 DSGVO vor, dass die Verordnung nur für Verarbeitungen durch Verantwortliche oder durch Auftragsverarbeiter gilt, wofür im Übrigen auch natürliche Personen in Betracht kommen.

5

Nach Art. 3 Abs. 1 DSGVO ist der räumliche Anwendungsbereich für Datenverarbeitungen eröffnet, die im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgen.2 Hat ein Verantwortlicher oder ein Auftragsverarbeiter keine Niederlassung in einem Mitgliedstaat, gilt die DSGVO gemäß Art. 3 Abs. 2, wenn dieser Daten von Personen verarbeitet, die sich in der Union befinden und die Datenverarbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an solche Personen erfolgt oder das Verhalten solcher Personen in einem Mitgliedstaat beobachtet wird.

6

Eine Rechtswahl im Rahmen eines Vertrages, mit der die Anwendung der DSGVO abbedungen werden soll, dürfte unwirksam sein, da es sich bei datenschutzrechtlichen Vorschriften um Eingriffsnormen i.S.v. Art. 9 Abs. 1 Rom I-VO handelt, bei denen eine Rechtswahl unzulässig ist.3

Praxishinweis

Zu beachten ist, dass der Anwendungsbereich jeweils für einen bestimmten Datenverarbeitungsvorgang, durchgeführt durch eine bestimmte datenverarbeitende Stelle, eröffnet ist.4 Es ist daher denkbar, dass dieselbe Stelle dieselben personenbezogenen Daten sowohl innerhalb als auch außerhalb des Anwendungsbereichs der Verordnung verarbeitet.5

7

Die Verordnung eröffnet den Mitgliedstaaten an vielen Stellen die Möglichkeit, die Vorschriften der Verordnung durch eigene datenschutzrechtliche Vorschriften zu präzisieren oder einzuschränken.

8

Soweit sich eine Datenverarbeitung im Rahmen dieser Öffnungsklauseln bewegt, ist daher noch zu prüfen, welches mitgliedstaatliche Recht zur Ausfüllung zur Anwendung kommt. Die Verordnung selber macht hierzu keine Vorgaben.6 Es bleibt daher den Mitgliedstaaten überlassen, den Anwendungsbereich der nationalen Regelung zu bestimmen.

[Rn. 9–11 entfallen]

2 Das Gebiet der Union bestimmt sich nach Art. 52 EUV und Art. 355 AEUV. 3 Simitis/Hornung/Spiecker gen. Döhmann/Hornung, Art. 3 DSGVO Rn. 70; Kühling/Buchner/Klar, Art. 3 DSGVO Rn. 105. 4 Vgl. in Bezug auf den räumlichen Anwendungsbereich auch BeckOK-DS/Hanloser, Art. 3 DSGVO Rn. 10; Gola/Piltz, Art. 3 DSGVO Rn. 18. Art. 2 Abs. 1 „gilt für die ... Verarbeitung“; Art. 3 Abs. 2 „... findet Anwendung auf die Verarbeitung ... durch einen Verantwortlichen ...“. 5 Gola/Piltz, Art. 3 DSGVO Rn. 18. 6 Lediglich in Erwägungsgrund 153 S. 6 gibt der Unionsgesetzgeber eine Art kollisionsrechtliche Empfehlung.

II. Sachlicher Anwendungsbereich
1. Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO

12

Nicht jede Verarbeitung personenbezogener Daten eröffnet den sachlichen Anwendungsbereich der Verordnung. So ist zum Beispiel die Verarbeitung personenbezogener Daten durch die betroffene Person selbst schon nicht vom Schutzzweck der DSGVO umfasst.7

13

Zudem muss es sich laut Art. 2 Abs. 1 DSGVO entweder um eine ganz oder teilweise automatisierte Verarbeitung handeln oder um eine nichtautomatisierte Verarbeitung, bei der die Daten in einem Dateisystem gespeichert werden oder werden sollen.

14

Der Begriff „automatisiert“ wird in der DSGVO nicht näher definiert. Erwägungsgrund 15 DSGVO stellt dem Begriff der automatisierten Verarbeitung den Begriff der „manuellen“ Verarbeitung gegenüber und verdeutlicht damit zugleich, dass „manuell“ gleichbedeutend ist mit „nichtautomatisiert“.

15

Letztlich gibt es bei dem Begriff „automatisiert“ in der Praxis keine Schwierigkeiten in der Handhabung. Sofern es sich um elektronische Datenverarbeitung handelt, handelt es sich grundsätzlich auch um automatisierte Datenverarbeitung. Dem Wortlaut des Art. 2 Abs. 1 DSGVO ist wohl auch zu entnehmen, dass das Vorliegen einer nur teilweise automatisierten Verarbeitung dazu führt, dass das Datenschutzrecht auch auf die nichtautomatisierten Bestandteile dieser Verarbeitung Anwendung finden kann. Unter Heranziehung der Legaldefinition des Verarbeitungsbegriffs in Art. 4 Nr. 2 DSGVO bedeutet dies, dass sowohl die automatisierten als auch die nichtautomatisierten Bestandteile eines Vorgangs beziehungsweise einer Vorgangsreihe in ihrer Gesamtheit im sachlichen Anwendungsbereich des Datenschutzrechts liegen können.8 Und zwar selbst dann, wenn der manuelle Bestandteil des Vorgangs für sich genommen nicht die Voraussetzungen für die Eröffnung des sachlichen Anwendungsbereichs für nichtautomatisierte Verarbeitungen erfüllen würde.

Beispiel

Die manuelle Erhebung von Daten im Rahmen einer Kundenbefragung oder Umfrage ist als Bestandteil einer teilweise automatisierten Verarbeitung vom sachlichen Anwendungsbereich umfasst, wenn die Daten anschließend elektronisch weiterverarbeitet werden, da die Erhebung zur gleichen Vorgangsreihe zu zählen ist.

16

Im Gegensatz zur automatisierten Verarbeitung liegt die nichtautomatisierte bzw. manuelle Verarbeitung personenbezogener Daten nur dann im sachlichen Anwendungsbereich der Verordnung, wenn die Daten in einem Dateisystem gespeichert werden bzw. gespeichert werden sollen. Das Ziel der Speicherung in einem Dateisystem muss dabei hinreichend konkret sein (Englisch: „intended“). Die bloße Möglichkeit oder Wahrscheinlichkeit einer solchen Speicherung reicht nicht.9

17

Der Begriff des „Dateisystems“ ist in Art. 4 Nr. 6 DSGVO legaldefiniert als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.10 Die konkreten Ordnungskriterien sind unerheblich. Es reicht, dass die Daten so strukturiert sind, dass sie in der Praxis zur späteren, dem Erhebungszweck entsprechenden Verwendung leicht wiederauffindbar sind.11 In Erwägungsgrund 15 wird demgegenüber erwähnt, dass Akten, Aktensammlungen und ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der Verordnung fallen.

Beispiel

Auch personenbezogene Daten auf Papier können somit im sachlichen Anwendungsbereich der Verordnung liegen, sofern sie entweder Bestandteil einer teilweise automatisierten Datenverarbeitung sind oder wenn sie Bestandteil einer strukturierten Sammlung von Daten in Papierform sind (z.B. in Personal- und Krankenakten oder Kundenlisten). Der Umgang mit einem einzelnen Ausdruck eines Datenbankauszugs oder handschriftlichen Notizen aus einer Datenbank wird dagegen häufig außerhalb des sachlichen Anwendungsbereichs liegen, da diese in der Regel weder Bestandteil des Datenverarbeitungsvorgangs sind, zu dem die Datenbank gehört, noch Bestandteil einer strukturierten Sammlung von Daten in Papierform. Es gibt insofern keine über den Datenverarbeitungsvorgang hinausgehende Fortwirkung der Anwendbarkeit des Datenschutzrechts.12 Werden mehrere solcher Ausdrucke oder Notizen zusammen strukturiert abgelegt, kann jedoch eine strukturierte Sammlung und damit ein Dateisystem entstehen, welches dann wieder in den sachlichen Anwendungsbereich der Verordnung fiele.