Teil 1 Grundlagen
1.2. Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich einer Verordnung definiert, in welchen Fällen sie gilt. Der Artikel 2 „Sachlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:
- Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
- Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
- im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
- durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
- durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
- durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
- Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
- Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung soll also immer dann gelten, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.
Es muss also zunächst geklärt werden, was personenbezogene Daten sind. Es handelt sich dabei um alle Informationen über identifizierte oder identifizierbare natürliche Personen. Natürliche Personen sind in Abgrenzung zu juristischen Personen (Firmen, Behörden, Vereine usw.) schlicht Menschen. Identifizierbar sind natürliche Personen, wenn eine direkte Zuordnung über Name, Kennziffer, Standortdaten, Online-Kennung, besondere Merkmals usw. möglich ist. Es müssen also nicht bspw. der Name und die Adresse bekannt sein, um personenbezogene Daten zu sein. Wenn anhand von Daten ein einzelner Mensch (wieder)erkannt werden kann, handelt es sich um personenbezogene Daten. Selbst wenn die Personenbezogenheit nicht direkt, sondern nur indirekt mithilfe der Daten Dritter hergestellt werden kann, fallen sie unter die DS-GVO. Allerdings muss diese indirekte Möglichkeit auch tatsächlich bestehen; eine rein theoretisch bestehende Möglichkeit, die aber nicht ausgeübt werden kann, reicht dafür nicht aus. Alle Informationen in Wort, Schrift, Bild, Audio oder Video heißt, dass wirklich selbst banalste Tatsachen, wie zum Beispiel, dass die Person zwei Arme hat, personenbezogene Daten sind. Es gibt im Zusammenhang mit personenbezogenen Daten keine irrelevanten Informationen.
Nachdem wir geklärt haben, was personenbezogene Daten sind, wenden wir uns der ganz oder teilweise automatisierten Verarbeitung zu. Auch hier ist zunächst zu klären, was Verarbeitung bedeutet. Artikel 4 Nummer 2 DS-GVO definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Das ist zweifellos eine Vereinfachung gegenüber der Regelung im Bundesdatenschutzgesetz (BDSG), das in § 11 noch zwischen erheben, verarbeiten und nutzen unterschieden hat. Die DS-GVO schenkt uns die Definition, dass schlicht alles, was mit personenbezogenen Daten passiert „verarbeiten“ ist.
Wenn also eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert, das heißt mithilfe von Computern, passiert, soll die DS-GVO zur Anwendung kommen.
Aber auch wenn die Verarbeitung nicht automatisiert erfolgt soll die DS-GVO gelten. Allerdings nur dann, wenn die Daten in einem Dateisystem gespeichert werden oder werden sollen. Hier gilt es nun einen weitverbreiteten Irrtum zu korrigieren. Ein Dateisystem ist gemäß Artikel 4 Nummer 6 DS-GVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ Dateisysteme sind also bei weitem nicht nur in Computern zu finden, sondern bspw. auch in Akten. Selbst in Schuhkartons gesammelte Zettel mit personenbezogenen Daten sind ein Dateisystem, wenn sie nach bestimmten Kriterien zugänglich sind. Das ist im Zweifel sogar dann schon anzunehmen, wenn sie einfach in chronologischer Reihenfolge übereinander liegen, schlicht, weil der letzte Zettel immer obenauf gelegt wird. Letzteres könnte bspw. für Messe-Notizen gelten, die immer gleich nach einem Gespräch in einen vorbereiteten Karton gelegt werden. Selbst wenn die Zettel gar nicht streng übereinander gelegt werden, sondern ohne jedes System einfach abgelegt werden, stellen sie ein Dateisystem dar, wenn die Absicht besteht, sie später, in welcher Form auch immer, zu sortieren.
Einige Ausnahmen sieht Artikel 2 allerdings vor. Die wichtigste Ausnahme für alle, die nicht Behörde sind, ist, dass alle durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiteten personenbezogenen Daten nicht unter die DS-GVO fallen sollen.