litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 18

Czcionka:

f) Pseudonyme Daten

55

Im Gegensatz zu anonymen Daten bleibt die natürliche Person bei pseudonymen Daten für den Verantwortlichen re-identifizierbar, weil die Auflösung des Pseudonyms durch ihn durch Heranziehung zusätzlicher (separat aufbewahrter) für ihn jedoch zugänglicher Informationen nach allgemeinem Ermessen wahrscheinlich ist. Pseudonyme Daten sind deshalb (zumindest für den Verantwortlichen) als personenbezogene Daten einzustufen, ErwG 26 Satz 2. Die DSGVO findet auf pseudonyme Daten demnach weiterhin Anwendung (ausführlich dazu unten Rn. 124).

III. Verarbeitung (Nr. 2)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

56

Wie schon die EG-DSRl, enthält auch die DSGVO eine Definition des Begriffs der „Verarbeitung“. Hierbei handelt es sich – im Gegensatz zu der im BDSG a.F. verwendeten Terminologie – um den Sammelbegriff, unter dem jegliche Formen des Umgangs mit personenbezogenen Daten zusammengefasst werden. Insoweit entspricht der Begriff der Verarbeitung gem. Art. 4 Nr. 2 DSGVO dem auf Basis des BDSG a.F. verwendeten, dort aber nicht legaldefinierten Begriff des „Umgangs“ mit personenbezogenen Daten. Die Verarbeitung i.S.d. § 3 Abs. 4 Satz 1 BDSG a.F. umfasste (nur) das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Die Erhebung personenbezogener Daten i.S.d. § 3 Abs. 3 BDSG a.F. und das Nutzen personenbezogener Daten gem. § 3 Abs. 5 BDSG a.F. fielen hingegen nicht unter den Begriff der Verarbeitung i.S.d. § 3 Abs. 4 BDSG. Der Begriff der Verarbeitung nach Art. 4 Nr. 2 DSGVO umfasst auch diese Verarbeitungsformen.

57

Demgegenüber ist die „eigentliche“ Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO fast wortgleich mit der in Art. 2 lit. b DSRl enthaltenen Definition der Verarbeitung. Beide bestehen aus zwei Teilen: der „eigentlichen“ Definition sowie aus Beispielen für Verarbeitungsformen. Nach Art. 2 lit. b DSRl bezeichnete der Begriff „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Die in Art. 4 Nr. 2 DSGVO enthaltene Definition unterscheidet sich hiervon nur insoweit, als der Verordnungsgeber das Wort „solche“ vor dem Wort „Vorgangsreihe“ eingefügt hat. Inhaltliche Änderungen der Definition sind hiermit aber nicht verbunden. Unterschiede bestehen zwischen den beiden Begriffsdefinitionen hingegen bei den im Anschluss an diese „eigentliche“ Definition genannten Beispielen für eine Verarbeitung. Auch hierdurch ergeben sich inhaltlich keine Änderungen beim Begriff der „Verarbeitung“, da es sich bei den in der jeweiligen Definition genannten Verarbeitungsformen lediglich um eine nicht abschließende Aufzählung von Beispielen für eine Verarbeitung personenbezogener Daten handelt. Die Beispiele wurden vielmehr vor allem an die im Rahmen der DSGVO verwendete Terminologie angepasst. So nennt Art. 4 Nr. 2 DSGVO nunmehr z.B. die Offenlegung als Verarbeitungsform, also eine Verarbeitungsform, auf die z.B. im Rahmen der Begriffsdefinition des Empfängers in Art. 4 Nr. 9 DSGVO Bezug genommen wird (siehe unten Rn. 265f.).

58

Der Begriff der „Verarbeitung“ bzw. einzelne Datenverarbeitungsformen werden in der DSGVO durchgehend verwendet. Insbesondere dient er gem. Art. 2 DSGVO auch dazu, den sachlichen Anwendungsbereich der DSGVO festzulegen. So setzt die Anwendbarkeit der DSGVO die Verarbeitung personenbezogener Daten voraus. Erfolgt mit anderen Worten keine Verarbeitung, findet auch die DSGVO keine Anwendung (siehe ausführlich zum sachlichen Anwendungsbereich der DSGVO Art. 2 Rn. 6ff.). Ebenso spielt der Begriff im Rahmen der räumlichen Anwendbarkeit der DSGVO gem. Art. 3 DSGVO eine gewichtige Rolle, z.B. indem Art. 3 Abs. 1 DSGVO im Rahmen des Niederlassungsprinzips verlangt, dass die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt (siehe ausführlich zum räumlichen Anwendungsbereich der DSGVO Art. 3 Rn. 7ff.).

59

Im Laufe des Gesetzgebungsverfahrens erfuhr die Definition der Verarbeitung keine wesentlichen Änderungen. So wurde – von rein sprachlichen Anpassungen abgesehen – lediglich in der Fassung des Rates der Europäischen Union das Wort „solche“ vor dem Wort „Vorgangsreihe“ ergänzt, welches – wie oben unter Rn. 57 beschrieben – den einzigen Unterschied zur „eigentlichen“ Definition der Verarbeitung gem. Art. 2 lit. b DSRl ausmacht. Außerdem wurde als Beispiel für einen Datenverarbeitungsvorgang noch die Einschränkung ergänzt.146 In der amtlichen Fassung wurde als Ergebnis der Trilog-Verhandlungen zudem im Rahmen der Beispiele für eine Datenverarbeitung noch das Wort „Weitergabe“ durch „Offenlegung“ ersetzt, sodass nun eine „Offenlegung“ durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen kann und keine „Weitergabe“. Diese Änderung trägt dem Umstand Rechnung, dass das Wort „Weitergabe“ eine aktive Komponente seitens eines „Datenversenders“ enthält, wohingegen das Wort „Offenlegung“ offener ist und auch auf semantischer Ebene besser die Möglichkeit berücksichtigt, dass Daten auch zum Abruf bereitgehalten werden können und der Datentransfer an sich durch den Datenempfänger (aktiv) initiiert wird.

2. Allgemeine Definition der Verarbeitung

60

Art. 4 Nr. 2 DSGVO definiert die Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

61

Die „eigentliche“ Definition der Verarbeitung enthält also insgesamt drei Voraussetzungen:

 1. Es muss ein Vorgang oder eine Vorgangsreihe ausgeführt werden.

 2. Dies muss mit oder ohne Hilfe automatisierter Verfahren erfolgen.

 3. Dies muss im Zusammenhang mit personenbezogenen Daten erfolgen.

Ein subjektiver Verarbeitungswille der verarbeitenden Stelle wird vom Wortlaut der Norm hingegen nicht vorausgesetzt.

a) Ausgeführte(r) Vorgang/Vorgangsreihe

62

Ein ausgeführter Vorgang bzw. eine ausgeführte Vorgangsreihe setzt eine Handlung voraus, die zur Folge hat, dass etwas mit den Daten geschieht bzw. ein Umgang mit ihnen erfolgt.147 In der Regel geht damit die Veränderung des Zustands der Daten einher, so z.B., dass Daten, die vorher nicht bei einer Stelle vorlagen, dort nun vorliegen oder Daten, die bisher nicht gespeichert waren, nunmehr gespeichert sind.148 Unerheblich ist es in diesem Zusammenhang, ob nur ein einzelner Vorgang stattfindet oder eine Reihe aufeinanderfolgender Vorgänge (z.B. zunächst eine Erhebung, danach eine Speicherung und danach eine Offenlegung).149 Dies hat der Verordnungsgeber in der Definition gem. Art. 4 Nr. 2 DSGVO dadurch klargestellt, dass eine Verarbeitung nicht nur durch einen Vorgang, sondern auch durch eine Vorgangsreihe erfolgen kann. Sofern ein Gebäudeeigentümer Akten in seinem Gebäude bloß lagert, ohne diese dort selbst eingelagert zu haben und er mit diesen Akten nicht weiter „umgeht“, er diese also z.B. nicht sichtet, umlagert oder sortiert, stellt dies nach Auffassung des OVG Hamburg keine Handlung und damit auch keinen Vorgang und im Ergebnis keine Datenverarbeitung dar.150

b) Mit oder ohne Hilfe automatisierter Verfahren

63

Die zweite Voraussetzung einer Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO besteht darin, dass der Vorgang bzw. die Vorgangsreihe mit oder ohne Hilfe automatisierter Verfahren erfolgt. Ein automatisierter Vorgang liegt vor, wenn er mit Hilfe von Datenverarbeitungsanlagen, wie z.B. Computern, Servern, Smartphones, Tablets oder auch Wearables erfolgt.151 Demgegenüber liegt ein nichtautomatisierter Vorgang vor, wenn er ohne die Hilfe von Datenverarbeitungsanlagen, also i.d.R. manuell erfolgt.152 Der Sinn und Zweck dieser Voraussetzung erschließt sich vor diesem Hintergrund nicht unmittelbar, da es mit anderen Worten unerheblich ist, ob die Daten mit Hilfe einer Datenverarbeitungsanlage verarbeitet werden oder nicht. Daher kann diese Voraussetzung nur eine klarstellende Funktion haben.153

64

Sofern der Vorgang automatisiert erfolgt, ist es nach hier vertretener Ansicht nicht zwingend erforderlich – wenngleich in der Praxis die Regel –, dass diese Handlung durch einen Menschen initiiert wurde.154 Für ein solches Erfordernis bietet der Wortlaut der Definition keinen Anhaltspunkt. Insbesondere folgt eine solche Anforderung nach hier vertretener Meinung nicht aus dem in Art. 4 Nr. 2 DSGVO verwendeten Begriff „ausführen“, da auch eine Maschine einen Vorgang ausführen kann.155 Auch die systematische Auslegung der DSGVO, insbesondere die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO, erfordert es nach hier vertretener Ansicht nicht, dass ein Mensch den jeweiligen Vorgang initiiert. So ist es zwar zutreffend, dass ein Verantwortlicher (nur) derjenige ist, der über die Zwecke und Mittel der Datenverarbeitung entscheidet. Hieraus lässt sich jedoch nicht ableiten, dass ein Vorgang i.S.d. Art. 4 Nr. 2 DSGVO nicht autonom durch eine Maschine initiiert werden kann bzw. eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO nur dann vorliegt, wenn ein Mensch den jeweiligen Vorgang initiiert hat.156 So kann die Definition des Verantwortlichen nicht die Definition der Verarbeitung beschränken. Vielmehr muss auf Basis des feststehenden Sachverhalts (also des stattfindenden Vorgangs) untersucht werden, wer für die jeweilige Datenverarbeitung verantwortlich ist. Die Definition der Verarbeitung ist mit anderen Worten die Basis, die nicht durch die Definition des Verantwortlichen eingeschränkt werden kann.

65

Soweit der Vorgang nicht automatisiert erfolgt, ist aber darauf zu achten, dass der Anwendungsbereich der DSGVO bei der nichtautomatisierten Verarbeitung gem. Art. 2 Abs. 1 DSGVO nur dann eröffnet ist, wenn personenbezogene Daten verarbeitet werden, die in einem Dateisystem i.S.d. Art. 4 Nr. 6 DSGVO gespeichert sind oder gespeichert werden sollen (siehe hierzu ausführlich Art. 2 Rn. 10ff.).

c) Im Zusammenhang mit personenbezogenen Daten

66

Schließlich muss der (nicht) automatisierte Vorgang bzw. die (nicht) automatisierte Vorgangsreihe noch im Zusammenhang mit personenbezogenen Daten erfolgen. Dies ist der Fall, wenn die (nicht) automatisierte Handlung personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO (siehe hierzu ausführlich Rn. 2ff.) betrifft. Die englischsprachige Fassung von Art. 4 Nr. 2 DSGVO spricht insoweit auch präziser von „any operation or set of operations which is performed on personal data or on sets of personal data“.157

d) Verarbeitungswille

67

Das Vorliegen einer Verarbeitung ist objektiv zu bestimmen. Der subjektive Verarbeitungswille der verarbeitenden Stelle ist bei der Bestimmung, ob eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO vorliegt, daher grundsätzlich unbeachtlich (siehe auch oben Rn. 64).158 Allerdings kann der (fehlende) Verarbeitungswille unter Umständen bei der Bestimmung des „Verantwortlichen“ gem. Art. 4 Nr. 7 DSGVO eine Rolle spielen.

3. Beispiele für Verarbeitungsformen

68

Im Anschluss an diese „eigentliche“ Definition der Verarbeitung listet der Verordnungsgeber in Art. 4 Nr. 2 DSGVO insgesamt 16 Beispiele für Verarbeitungsformen auf. Diese Liste mit Verarbeitungsformen ist aber nicht abschließend, wie aus dem Wortlaut von Art. 4 Nr. 2 DSGVO eindeutig hervorgeht („wie das Erheben, das Erfassen, die...“). Somit können also auch andere in Art. 4 Nr. 2 DSGVO nicht ausdrücklich genannte Verarbeitungsformen eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO darstellen, sofern sie die Voraussetzungen der gerade erläuterten „eigentlichen“ Definition der Verarbeitung erfüllen.

69

Die in Art. 4 Nr. 2 DSGVO genannte Liste mit Beispielen beinhaltet 1. das Erheben, 2. das Erfassen, 3. die Organisation, 4. das Ordnen, 5. die Speicherung, 6. die Anpassung, 7. die Veränderung, 8. das Auslesen, 9. das Abfragen, 10. die Verwendung, 11. die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, 12. den Abgleich, 13. die Verknüpfung, 14. die Einschränkung, 15. das Löschen und 16. die Vernichtung.

a) Das Erheben personenbezogener Daten (1. Alt.)

70

Das Erheben personenbezogener Daten bezeichnet – in Anlehnung an § 3 Abs. 4 BDSG a.F. – das Beschaffen von Daten über die betroffene Person. Erhoben werden können die Daten entweder direkt von der betroffenen Person oder von einem Dritten i.S.d. Art. 4 Nr. 10 DSGVO.159

71

Unerheblich ist dabei, ob die Daten dem Verantwortlichen zuvor bereits bekannt waren bzw. ob er schon zuvor über diese Daten verfügte oder nicht.160 Es spielt ebenfalls keine Rolle, ob der Verantwortliche die Daten zur Kenntnis nimmt/genommen hat oder nicht. Es reicht aus, dass der Verantwortliche über die Daten verfügt und die Möglichkeit hat, diese zur Kenntnis zu nehmen.161

72

Erforderlich ist hingegen ein aktives Tun des Verantwortlichen, also ein vom Willen des Verantwortlichen getragener Vorgang, die Daten zu erhalten. Dies ergibt sich aus der Bedeutung des Wortes „beschaffen“.162 Werden die Daten dem Verantwortlichen „aufgezwängt“ oder ihm ohne seinen Willen zugesendet, liegt kein Erheben i.S.d. Art. 4 Nr. 2 DSGVO vor.163 Sofern z.B. auf einer Webseite nur Kontaktdaten, wie die E-Mail-Adresse, angegeben werden und eine Person daraufhin ohne Aufforderung personenbezogene Daten an den Betreiber dieser Webseite sendet, liegt kein Erheben i.S.d. Art. 4 Nr. 2 DSGVO vor.164 Allerdings muss der Verantwortliche die ihm ohne seinen Willen zugesendeten Daten dann auch löschen. Verarbeitet der Verantwortliche diese Daten hingegen weiter, kann dies als Erheben gewertet werden.165

b) Das Erfassen personenbezogener Daten (2. Alt.)

73

Ein Erfassen personenbezogener Daten liegt vor, wenn diese auf einem Datenträger fixiert, z.B. aufgeschrieben, aufgenommen oder auf andere Weise verkörpert werden.166 Das Erfassen unterscheidet sich damit von der Speicherung insoweit, als dass sich der Begriff „Erfassen“ auf den Vorgang der Fixierung bezieht, wohingegen sich die Speicherung auf die ggf. anschließende Aufbewahrung bezieht (siehe unten Rn. 76).167

c) Die Organisation personenbezogener Daten (3. Alt.)

74

Die Organisation von Daten beschreibt die Strukturierung von gespeicherten Daten.168 Hierbei ist es unerheblich, auf welche Art und Weise die Organisation erfolgt. In der Regel erfolgt diese – ebenso wie das Ordnen personenbezogener Daten, mit dem sich die Organisation von Daten überschneidet – zu dem Zweck, Daten schneller aufzufinden.169 Zudem ist die Organisation der Daten (eine) Voraussetzung dafür, dass aus unstrukturierten Daten ein Dateisystem i.S.d. Art. 4 Nr. 6 DSGVO wird (siehe hierzu unten Rn. 157ff.).170 Erfolgt die Verarbeitung nichtautomatisiert, ist dies nach Art. 2 Abs. 1 DSGVO Voraussetzung dafür, dass die DSGVO sachlich anwendbar ist.

d) Das Ordnen personenbezogener Daten (4. Alt.)

75

Das Ordnen von personenbezogenen Daten erfordert, dass diese nach bestimmten Gesichtspunkten, Überlegungen, Vorstellungen oder Ähnlichem, wie z.B. der Chronologie oder dem Alphabet, systematisiert werden.171 Mithin erfordert das Ordnen von Daten eine feinere Strukturierung als der Oberbegriff des Organisierens, wovon das Ordnen ein Unterfall ist.172

e) Die Speicherung personenbezogener Daten (5. Alt.)

76

Die Speicherung umfasst die Aufbewahrung personenbezogener Daten in verkörperter Form auf einem Datenträger (wie z.B. einer Festplatte, einem Server, USB-Stick etc.) mit dem Ziel, die Daten zu einem späteren Zeitpunkt weiterverarbeiten zu können.173 Unerheblich ist dabei, ob sich der Datenträger im Eigentum, Besitz oder unter der Verfügungsgewalt des Verantwortlichen befindet. Entscheidend ist, dass er auf die gespeicherten Daten zugreifen kann, sodass auch auf Cloud-Servern verkörperte Daten „gespeichert“ sind.174 Ein Gebäudeeigentümer, der Akten bloß in seinem Gebäude lagert, ohne sie zuvor dort selbst eingelagert zu haben, und der mit ihnen nicht anderweitig „umgeht“, sie also z.B. auch nicht sichtet, umlagert oder sortiert, speichert nach Auffassung des OVG Hamburg keine personenbezogenen Daten.175

f) Die Anpassung personenbezogener Daten (6. Alt.)

77

Die Anpassung personenbezogener Daten ist ein Unterfall der Veränderung (siehe unten Rn. 78) und bezeichnet die Umgestaltung des Inhalts der in einem personenbezogenen Datum enthaltenen Information in einer Art und Weise, dass er im Hinblick auf ein anderes personenbezogenes Datum hin adaptiert wird, z.B. im Hinblick auf den neuen Familienstand der betroffenen Person oder eine neue Bankverbindung.176 Gegebenenfalls kann die Adaptierung auch im Hinblick auf einen anderen Verarbeitungszweck oder einen anderen Verarbeitungsvorgang hin erfolgen.177

g) Die Veränderung personenbezogener Daten (7. Alt.)

78

Die Veränderung bezieht sich auf den Inhalt der in einem personenbezogenen Datum enthaltenen Information. Eine Veränderung i.S.d. Art. 4 Nr. 2 DSGVO liegt vor, wenn dieser Informationsinhalt umgestaltet wird.178 Der Informationsgehalt muss sich also ändern. Eine reine Reduktion des Informationsgehalts stellt grundsätzlich keine Veränderung i.S.d. Art. 4 Nr. 2 DSGVO dar, weil sich hierdurch i.d.R. der Informationsgehalt des personenbezogenen Datums nicht ändert.179 Aus diesem Grunde stellen die Löschung und die Anonymisierung i.d.R. keine Veränderung dar.180 Beim Hinzuspeichern von Daten kommt es darauf an, ob die bereits vorhandenen Daten durch die hinzugespeicherten Daten einen anderen Inhalt bekommen.181

h) Das Auslesen personenbezogener Daten (8. Alt.)

79

Das Auslesen umfasst die Wiederherstellung gespeicherter personenbezogener Daten zu Zwecken der weiteren Verarbeitung oder um diese zur Kenntnis zu nehmen.182

i) Das Abfragen personenbezogener Daten (9. Alt.)

80

Das Abfragen von personenbezogenen Daten bedeutet, einen Datenträger gezielt anhand bestimmter Kriterien, wie z.B. bestimmten (Such-)Begriffen, zu durchsuchen.183 Hierbei ist es unerheblich, ob der durchsuchte Datenträger unter der Verfügungsgewalt des Verantwortlichen steht oder ob es sich hierbei um eine externe Datenbank handelt.184 Für eine solche Einschränkung findet sich weder im Wortlaut noch in der Systematik der Vorschrift bzw. der DSGVO ein Hinweis.

j) Die Verwendung personenbezogener Daten (10. Alt.)

81

Die Verwendung personenbezogener Daten erfasst jeden Umgang mit personenbezogenen Daten – mit Ausnahme der Erhebung –185 und stellt somit einen Auffangtatbestand für Verarbeitungsformen dar, die nicht ausdrücklich in Art. 4 Nr. 2 DSGVO genannt werden.186 Wenn man insoweit nicht von einem redaktionellen Fehler ausgeht, verdeutlicht sich der Auffangcharakter dieses Begriffs insbesondere auch in ErwG 50 zur Zweckänderung, in dem der Begriff als Sammelbegriff für (sämtliche) Verarbeitungsformen verwendet wird.187

82

In Abhängigkeit vom jeweiligen Zusammenhang kann auch die Anonymisierung als Verwendung zu qualifizieren sein,188 vorausgesetzt, dass dabei mit personenbezogenen Daten umgegangen wird.

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
106