Die Verarbeitung von personenbezogenen Daten ist der Auslöser der Anwendbarkeit der DSGVO und des Datenschutzrechts insgesamt. Solange also keine Daten verarbeitet werden, ist die DSGVO nicht einschlägig. Daher ist es wichtig zu wissen, was genau unter einer “Datenverarbeitung” zu verstehen ist.
Ein Blick ins Gesetz… (äh, in die Verordnung)
Ein Blick in das Gesetz hat seit jeher die Rechtsfindung erleichtert. Das ist in Zeiten von EU-Verordnungen nicht anders. Also schauen wir uns die DSGVO an. In Artikel 2 Absatz 1 DSGVO wird über den Anwendungsbereich der Verordnung gesprochen.
Dort heißt es:
“Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”
Leider hilft uns das bei der Begriffsdefinition nicht wirklich weiter. Denn die Definition wird hier schon vorausgesetzt. Es wird nur unterschieden zwischen einer ganz oder teilweise automatisierten und einer nichtautomatisierten Verarbeitung.
Damit ist zumindest schon einmal klar gestellt, dass eine Automatisierung der Datenverarbeitung gar nicht erforderlich ist. Die DSGVO gilt also grundsätzlich auch dann, wenn Daten “manuell”, “analog”, also nicht automatisiert verarbeitet werden. Nötig ist “nur” ein so genanntes “Dateisystem”. Das das wieder sein soll, habe ich in einem anderen Beitrag erklärt.
Also schauen wir weiter und finden in Artikel 4 DSGVO allgemeine Begriffsbestimmungen. In Artikel 4 Nummer 2 DSGVO wird die “Verarbeitung” definiert als
“jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung”
Das heißt?
Schaut man sich die Aufzählung dessen an, was alles als Datenverarbeitung zu verstehen ist, kann man mit guten gründen zusammenfassen, dass letztlich alles, was mit Daten gemacht werden kann auch als “Datenverarbeitung” bezeichnet wird.
Es spielt also keine Rolle, ob es um das erstmalige Erheben von Daten, das Speichern, das Weitergeben, ja sogar das Löschen geht. Jede einzelne Handlung ist einer Datenverarbeitung im Sinne der DSGVO.
Das wiederum bedeutet, dass auch alles, was mit personenbezogenen Daten gemacht wird (auch diesen Begriff habe ich in einem anderen Beitrag erklärt) den Anwendungsbereich der DSGVO eröffnet, also eine Prüfung der Vorschriften der Datenschutzgrundverordnung auslöst.
Und dann kann man wieder zurückspringen auf den Artikel 2 DSGVO, der in seinem zweiten Absatz Ausnahmen von der Regel beschreibt. So ist, als m.E. praxisrelevantester Anwendungsfall, trotz einer Verarbeitung personenbezogener Daten eine Ausnahme von der Anwendung des Datenschutzrechts dann gegeben, wenn die Datenverarbeitung
“durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten”
erfolgt.
Fazit
Wir merken uns aber am Schluss nochmals:
Grundsätzlich ist alles, was man mit Daten machen kann, erst einmal eine “Datenverarbeitung”. Betrifft diese auch personenbezogene Daten, sind wir im Anwendungsbereich der DSGVO. Wollen wir wieder aus dem Anwendungsbereich herauskommen, müssen wir Artikel 2 Absatz 2 DSGVO (und Artikel 3 DSGVO, der den räumlichen Anwendungsbereich betrifft) prüfen.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man