Datenschutz

Der sachliche Anwendungsbereich ist in Artikel 2 DSGVO geregelt.

Dort heißt es:

(1)Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

DSGVO Art. 2 Abs. 1

Das bedeutet: Jeder der personenbezogene Daten verarbeitet fällt in diesen Anwendungsbereich. Hier stellen sich zunächst die Fragen danach was bedeutet eigentlich „Verarbeitung“ und was sind „personenbezogene Daten“?

Verarbeitung

In der DSGVO wird der Begriff „Verarbeitung” wie folgt definiert:

Im Sinne dieser Verordnung bezeichnet der Ausdruck: ….

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

DSGVO Art. 4 Nr. 2

Somit handelt es sich beispielsweise bei der Bearbeitung von E-Mails mit Hilfe eines E-Mail-Programms um eine Verarbeitung personenbezogener Daten.
Dabei ist es nicht von Bedeutung wie lange die Daten zur Verarbeitung benötigt werden. Auch die nur kurzzeitige Verarbeitung, zum Beispiel die Übertragung personenbezogener Daten über das Internet zum Zwecke der Überprüfung, ob ein Benutzer einen Account in ihrem System hat oder nicht, selbst mit negativem Ergebnis, fällt unter die DSGVO.

Auch die Art der Verarbeitung, “… mit oder ohne Hilfe automatisierter Verfahren …” ist nicht von Belang. So ist auch bei einer manuellen Verarbeitung auf die Einhaltung der DSGVO zu achten wenn folgende Bedingungen erfüllt sind:

  • die Daten müssen in einem Dateisystem gespeichert werden
  • die Daten müssen geordnet aufbewahrt werden.

Dies bedeutet zu Beispiel, das die Patientenakten eines Hausarztes in Papierform genauso unter die DSGVO fallen wie die elektronisch geführten Patientenakten da auch die Papierdokumente in einem geordneten System, in der Regel alphabetische Sortierung, aufbewahrt werden.

Personenbezogene Daten

Stellt sich nun noch die Frage was alles zu den personenbezogenen Daten zählt. Dazu sagt die DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

DSGVO Art. 4 Nr. 1

Sobald es sich bei der Person um eine natürliche Person (juristische Personen fallen nicht darunter) handelt welche identifiziert wurde oder identifizierbar wird unterfällt sie dem Schutz der DSGVO. Die Identifikation bzw. Identifizierbarkeit liegt vor sobald ein oder mehrere der genannten Merkmale auf eine Person zutreffen. Typisch für solche Merkmale sind z. Bsp. die Angaben zu Namen, Anschriften oder auch gängige persönliche Nummern von Finanzamt oder Versicherungen. Allein die Möglichkeit mit Hilfe dieser Informationen eine natürliche Person zu identifizieren reicht dabei bereits aus.

 

Ausnahmen

Wie bei jeder Regel gibt es auch im Anwendungsbereich Ausnahmen. Diese sind in Art. 2 Abs. 2 DSGVO geregelt und gelten z. Bsp. für die Bereiche Sicherheit (lit. b) und Strafverfolgung (lit. d).
In diesem Artikel wird besonders für die Verarbeitung personenbezogener Daten unter dem Aspekt der reinen privaten oder familiären Nutzung eine weitere Ausnahme formuliert:

(2)Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
…..
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

DSGVO Art. 2 Abs. 2 lit. c)

Damit soll die Möglichkeit der Verwendung personenbezogener Daten für den reinen Privatgebrauch ohne zusätzliche gesetzliche Hürden, geschaffen werden.
Die Anwendung könnte sein: Soziale Netzwerke, Geburtstagslisten, Telefonverzeichnisse oder auch Anschriftensammlungen, um nur einige Beispiele zu nennen. Diese Ausnahme ist auch bekannt als sogenannte “Haushaltsausnahme“.

Vorsicht ist allerdings auch hier geboten.

Unter den verwendeten Daten dürfen sich ausschließlich private und somit keinerlei beruflichen Kontakte befinden.
Zu den beruflichen Kontakten zählen beispielsweise solche die wirtschaftlicher Natur sind, wobei eine Vergütung nicht zwingend Voraussetzung ist. Auch die Kontaktverwaltung unter dem Aspekt einer späteren beruflichen Nutzung fällt nicht unter die “Haushaltsausnahme“.