DSGVO - BDSG - TTDSG

55

Im Gegensatz zu anonymen Daten bleibt die natürliche Person bei pseudonymen Datenfür den Verantwortlichen re-identifizierbar, weil die Auflösung des Pseudonyms durch ihn durch Heranziehung zusätzlicher (separat aufbewahrter) für ihn jedoch zugänglicher Informationen nach allgemeinem Ermessen wahrscheinlich ist. Pseudonyme Daten sind deshalb (zumindest für den Verantwortlichen) als personenbezogene Daten einzustufen, ErwG 26 Satz 2. Die DSGVO findet auf pseudonyme Daten demnach weiterhin Anwendung (ausführlich dazu unten Rn. 124).

56

Wie schon die EG-DSRl, enthält auch die DSGVO eine Definition des Begriffs der „Verarbeitung“. Hierbei handelt es sich – im Gegensatz zu der im BDSG a.F. verwendeten Terminologie – um den Sammelbegriff, unter dem jegliche Formen des Umgangsmit personenbezogenen Daten zusammengefasst werden. Insoweit entspricht der Begriff der Verarbeitung gem. Art. 4 Nr. 2 DSGVO dem auf Basis des BDSG a.F. verwendeten, dort aber nicht legaldefinierten Begriff des „Umgangs“ mit personenbezogenen Daten. Die Verarbeitung i.S.d. § 3 Abs. 4 Satz 1 BDSG a.F. umfasste (nur) das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Die Erhebung personenbezogener Daten i.S.d. § 3 Abs. 3 BDSG a.F. und das Nutzen personenbezogener Daten gem. § 3 Abs. 5 BDSG a.F. fielen hingegen nicht unter den Begriff der Verarbeitung i.S.d. § 3 Abs. 4 BDSG. Der Begriff der Verarbeitung nach Art. 4 Nr. 2 DSGVO umfasst auch diese Verarbeitungsformen.

57

Demgegenüber ist die „eigentliche“ Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO fast wortgleichmit der in Art. 2 lit. b DSRlenthaltenen Definition der Verarbeitung. Beide bestehen aus zwei Teilen: der „eigentlichen“ Definition sowie aus Beispielen für Verarbeitungsformen. Nach Art. 2 lit. b DSRl bezeichnete der Begriff „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Die in Art. 4 Nr. 2 DSGVO enthaltene Definition unterscheidet sich hiervon nur insoweit, als der Verordnungsgeber das Wort „solche“ vor dem Wort „Vorgangsreihe“ eingefügt hat. Inhaltliche Änderungen der Definition sind hiermit aber nicht verbunden. Unterschiede bestehen zwischen den beiden Begriffsdefinitionen hingegen bei den im Anschluss an diese „eigentliche“ Definition genannten Beispielen für eine Verarbeitung. Auch hierdurch ergeben sich inhaltlich keine Änderungen beim Begriff der „Verarbeitung“, da es sich bei den in der jeweiligen Definition genannten Verarbeitungsformen lediglich um eine nicht abschließende Aufzählung von Beispielen für eine Verarbeitung personenbezogener Daten handelt. Die Beispiele wurden vielmehr vor allem an die im Rahmen der DSGVO verwendete Terminologie angepasst. So nennt Art. 4 Nr. 2 DSGVO nunmehr z.B. die Offenlegung als Verarbeitungsform, also eine Verarbeitungsform, auf die z.B. im Rahmen der Begriffsdefinition des Empfängers in Art. 4 Nr. 9 DSGVO Bezug genommen wird (siehe unten Rn. 265f.).

58

Der Begriff der „Verarbeitung“ bzw. einzelne Datenverarbeitungsformen werden in der DSGVO durchgehend verwendet. Insbesondere dient er gem. Art. 2 DSGVO auch dazu, den sachlichen Anwendungsbereich der DSGVOfestzulegen. So setzt die Anwendbarkeit der DSGVO die Verarbeitung personenbezogener Daten voraus. Erfolgt mit anderen Worten keine Verarbeitung, findet auch die DSGVO keine Anwendung (siehe ausführlich zum sachlichen Anwendungsbereich der DSGVO Art. 2 Rn. 6ff.). Ebenso spielt der Begriff im Rahmen der räumlichen Anwendbarkeit der DSGVO gem. Art. 3 DSGVO eine gewichtige Rolle, z.B. indem Art. 3 Abs. 1 DSGVO im Rahmen des Niederlassungsprinzips verlangt, dass die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt (siehe ausführlich zum räumlichen Anwendungsbereich der DSGVO Art. 3 Rn. 7ff.).

59

Im Laufe des Gesetzgebungsverfahrenserfuhr die Definition der Verarbeitung keine wesentlichen Änderungen. So wurde – von rein sprachlichen Anpassungen abgesehen – lediglich in der Fassung des Rates der Europäischen Union das Wort „solche“ vor dem Wort „Vorgangsreihe“ ergänzt, welches – wie oben unter Rn. 57 beschrieben – den einzigen Unterschied zur „eigentlichen“ Definition der Verarbeitung gem. Art. 2 lit. b DSRl ausmacht. Außerdem wurde als Beispiel für einen Datenverarbeitungsvorgang noch die Einschränkung ergänzt.146 In der amtlichen Fassung wurde als Ergebnis der Trilog-Verhandlungen zudem im Rahmen der Beispiele für eine Datenverarbeitung noch das Wort „Weitergabe“ durch „Offenlegung“ ersetzt, sodass nun eine „Offenlegung“ durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen kann und keine „Weitergabe“. Diese Änderung trägt dem Umstand Rechnung, dass das Wort „Weitergabe“ eine aktive Komponente seitens eines „Datenversenders“ enthält, wohingegen das Wort „Offenlegung“ offener ist und auch auf semantischer Ebene besser die Möglichkeit berücksichtigt, dass Daten auch zum Abruf bereitgehalten werden können und der Datentransfer an sich durch den Datenempfänger (aktiv) initiiert wird.

60

Art. 4 Nr. 2 DSGVO definiert die Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

61

Die „eigentliche“ Definition der Verarbeitung enthält also insgesamt drei Voraussetzungen:

1. Es muss ein Vorgang oder eine Vorgangsreihe ausgeführt werden.

2. Dies muss mit oder ohne Hilfe automatisierter Verfahren erfolgen.

3. Dies muss im Zusammenhang mit personenbezogenen Daten erfolgen.

Ein subjektiver Verarbeitungswilleder verarbeitenden Stelle wird vom Wortlaut der Norm hingegen nicht vorausgesetzt.

62

Ein ausgeführter Vorgang bzw. eine ausgeführte Vorgangsreihe setzt eine Handlungvoraus, die zur Folge hat, dass etwas mit den Daten geschieht bzw. ein Umgang mit ihnen erfolgt.147 In der Regel geht damit die Veränderung des Zustands der Daten einher, so z.B., dass Daten, die vorher nicht bei einer Stelle vorlagen, dort nun vorliegen oder Daten, die bisher nicht gespeichert waren, nunmehr gespeichert sind.148 Unerheblich ist es in diesem Zusammenhang, ob nur ein einzelner Vorgang stattfindet oder eine Reihe aufeinanderfolgender Vorgänge (z.B. zunächst eine Erhebung, danach eine Speicherung und danach eine Offenlegung).149 Dies hat der Verordnungsgeber in der Definition gem. Art. 4 Nr. 2 DSGVO dadurch klargestellt, dass eine Verarbeitung nicht nur durch einen Vorgang, sondern auch durch eine Vorgangsreihe erfolgen kann. Sofern ein Gebäudeeigentümer Akten in seinem Gebäude bloß lagert, ohne diese dort selbst eingelagert zu haben und er mit diesen Akten nicht weiter „umgeht“, er diese also z.B. nicht sichtet, umlagert oder sortiert, stellt dies nach Auffassung des OVG Hamburg keine Handlung und damit auch keinen Vorgang und im Ergebnis keine Datenverarbeitung dar.150