DSGVO - BDSG - TTDSG

75

Das Ordnen von personenbezogenen Daten erfordert, dass diese nach bestimmten Gesichtspunkten, Überlegungen, Vorstellungen oder Ähnlichem, wie z.B. der Chronologie oder dem Alphabet, systematisiert werden.171 Mithin erfordert das Ordnen von Daten eine feinere Strukturierung als der Oberbegriff des Organisierens, wovon das Ordnen ein Unterfall ist.172

76

Die Speicherung umfasst die Aufbewahrungpersonenbezogener Daten in verkörperter Form auf einem Datenträger (wie z.B. einer Festplatte, einem Server, USB-Stick etc.) mit dem Ziel, die Daten zu einem späteren Zeitpunkt weiterverarbeiten zu können.173 Unerheblich ist dabei, ob sich der Datenträger im Eigentum, Besitz oder unter der Verfügungsgewalt des Verantwortlichen befindet. Entscheidend ist, dass er auf die gespeicherten Daten zugreifen kann, sodass auch auf Cloud-Servern verkörperte Daten „gespeichert“ sind.174 Ein Gebäudeeigentümer, der Akten bloß in seinem Gebäude lagert, ohne sie zuvor dort selbst eingelagert zu haben, und der mit ihnen nicht anderweitig „umgeht“, sie also z.B. auch nicht sichtet, umlagert oder sortiert, speichert nach Auffassung des OVG Hamburg keine personenbezogenen Daten.175

77

Die Anpassung personenbezogener Daten ist ein Unterfall der Veränderung (siehe unten Rn. 78) und bezeichnet die Umgestaltung des Inhalts der in einem personenbezogenen Datum enthaltenen Information in einer Art und Weise, dass er im Hinblick auf ein anderes personenbezogenes Datum hin adaptiertwird, z.B. im Hinblick auf den neuen Familienstand der betroffenen Person oder eine neue Bankverbindung.176 Gegebenenfalls kann die Adaptierung auch im Hinblick auf einen anderen Verarbeitungszweck oder einen anderen Verarbeitungsvorgang hin erfolgen.177

78

Die Veränderung bezieht sich auf den Inhalt der in einem personenbezogenen Datum enthaltenen Information. Eine Veränderung i.S.d. Art. 4 Nr. 2 DSGVO liegt vor, wenn dieser Informationsinhalt umgestaltetwird.178 Der Informationsgehalt muss sich also ändern. Eine reine Reduktion des Informationsgehalts stellt grundsätzlich keine Veränderung i.S.d. Art. 4 Nr. 2 DSGVO dar, weil sich hierdurch i.d.R. der Informationsgehalt des personenbezogenen Datums nicht ändert.179 Aus diesem Grunde stellen die Löschung und die Anonymisierung i.d.R. keine Veränderung dar.180 Beim Hinzuspeichern von Daten kommt es darauf an, ob die bereits vorhandenen Daten durch die hinzugespeicherten Daten einen anderen Inhalt bekommen.181

79

Das Auslesen umfasst die Wiederherstellunggespeicherter personenbezogener Daten zu Zwecken der weiteren Verarbeitung oder um diese zur Kenntnis zu nehmen.182

80

Das Abfragen von personenbezogenen Daten bedeutet, einen Datenträger gezielt anhand bestimmter Kriterien, wie z.B. bestimmten (Such-)Begriffen, zu durchsuchen.183 Hierbei ist es unerheblich, ob der durchsuchte Datenträger unter der Verfügungsgewalt des Verantwortlichen steht oder ob es sich hierbei um eine externe Datenbank handelt.184 Für eine solche Einschränkung findet sich weder im Wortlaut noch in der Systematik der Vorschrift bzw. der DSGVO ein Hinweis.

81

Die Verwendung personenbezogener Daten erfasst jeden Umgang mit personenbezogenen Daten– mit Ausnahme der Erhebung –185 und stellt somit einen Auffangtatbestand für Verarbeitungsformen dar, die nicht ausdrücklich in Art. 4 Nr. 2 DSGVO genannt werden.186 Wenn man insoweit nicht von einem redaktionellen Fehler ausgeht, verdeutlicht sich der Auffangcharakter dieses Begriffs insbesondere auch in ErwG 50 zur Zweckänderung, in dem der Begriff als Sammelbegriff für (sämtliche) Verarbeitungsformen verwendet wird.187

82

In Abhängigkeit vom jeweiligen Zusammenhang kann auch die Anonymisierungals Verwendung zu qualifizieren sein,188 vorausgesetzt, dass dabei mit personenbezogenen Daten umgegangen wird.

83

Die Offenlegung bezeichnet ganz grundlegend den Vorgang, anderen personenbezogene Daten zugänglich zu machen, sodass diese die Möglichkeit haben, die Daten zur Kenntnis zu nehmen.189

84

Eine Offenlegung liegt allerdings nur dann vor, wenn der Adressat, dem personenbezogene Daten zugänglich gemacht werden, ein Empfänger i.S.d. Art. 4 Nr. 9 DSGVOist (siehe zum Begriff des Empfängers unten Rn. 262ff.). Die Empfängereigenschaft ist insoweit dann aber auch ausreichend. Nicht erforderlich ist es – im Gegensatz zur Übermittlung nach § 3 Abs. 4 Nr. 3 BDSG a.F. –, dass der Adressat Dritter i.S.d. Art. 4 Nr. 10 DSGVO ist.190 Dies ergibt sich aus der systematischen Auslegung von Art. 4 Nr. 2 DSGVO, insbesondere im Zusammenspiel mit der Definition des Empfängers in Art. 4 Nr. 9 DSGVO (siehe ausführlich unten Rn. 269).

85

Nach Art. 4 Nr. 9 DSGVO ist ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die prägenden Merkmale des Empfängers bestehen also darin, dass ihm gegenüber Daten offengelegt werden und es sich bei ihm nicht um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO handeln muss. Es wäre daher systematisch sinnwidrig, wenn eine Offenlegung, z.B. in Form der Übermittlung, auch gegenüber „Nicht-Empfängern“ erfolgen könnte191 oder gegenüber einem Dritten i.S.d. Art. 4 Nr. 10 DSGVO erfolgen müsste.

86

Nach hier vertretener Ansicht (siehe ausführlich unten Rn. 270ff.) sind Mitarbeiter des Verantwortlichen und andere ihm zurechenbare Personen und Stellen grundsätzlich keine Empfänger, weshalb der Verantwortliche ihnen auch nicht Daten i.S.d. Art. 4 Nr. 2 DSGVO offenlegt, wenn er ihnen Daten mitteilt.192 Mitteilungen eines Betriebes an seinen Betriebsrat stellen nach Auffassung des BAG allerdings eine Offenlegung (durch Übermittlung) dar, weil es sich beim Betriebsrat nach Ansicht des BAG insoweit um einen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO handelt.193

87

Als weitere Voraussetzung einer Offenlegung verlangt Art. 4 Nr. 2 DSGVO, dass diese durch eine Übermittlung, eine Verbreitungoder eine andere Form der Bereitstellungerfolgt.194

88

Eine Übermittlung liegt vor, wenn personenbezogene Daten gezielt einem oder mehreren individuell bestimmten Adressatenmitgeteilt werden.195

89

Die Art und Weiseder Übermittlung spielt insoweit keine Rolle, sodass die Übermittlung z.B. schriftlich, elektronisch, mündlich oder auch durch Übergabe eines Datenträgers erfolgen kann.196

90

Werden Daten, z.B. im Internet, zum Abruf oder zur Einsicht bereitgehalten, liegt noch keine Übermittlung vor, da es zu diesem Zeitpunkt (noch) an einer Mitteilung gegenüber einem individuell bestimmten Adressaten fehlt. Dies ist erst dann der Fall, wenn ein Nutzer diese Daten abruft oder einsieht (siehe auch unten Rn. 93).197 In diesem Zusammenhang ist davon auszugehen, dass die Grundsätze des Lindqvist-Urteils des EuGH unter der DSGVO fortgelten, auch wenn diese Entscheidung zur DSRl ergangen ist.198 Demnach liegt keine Übermittlung personenbezogener Daten in ein Drittland vor, wenn ein Verantwortlicher in der EU bzw. dem EWR personenbezogene Daten auf eine Webseite einstellt, die bei ihm oder einem Host-Provider in der EU/dem EWR gehostet wird und diese Webseite – und damit auch die auf ihr eingestellten personenbezogenen Daten – weltweit abgerufen werden können, also auch aus Drittstaaten außerhalb der EU/des EWR.199 Wie soeben erläutert, liegt zu diesem Zeitpunkt aber ohnehin noch keine Übermittlung vor. Allerdings müssen diese Grundsätze auch auf den Fall übertragen werden, dass ein Nutzer die Daten von der Webseite abruft bzw. diese einsieht – also eigentlich eine Übermittlung vorliegt –, da andernfalls die Erwägungen des EuGH praktisch gegenstandslos wären. Diese Grundsätze gelten aber nur für Übermittlungen in ein Drittland, also auf der sogenannten zweiten Stufe.