Tobias Rothkegel - Praxishandbuch DSGVO

Ein weiteres bedeutsames Merkmal zur Bestimmung des Anwendungsbereichs ist die „Datenverarbeitung“ gem. Art. 4 Nr. 2 DSGVO. Die DSGVO fasst unter dem Merkmal der Datenverarbeitung eine ganze Reihe von Nutzungsvorgängen zusammen:14 Umfasst ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

– das Erheben;

– das Erfassen;

– die Organisation;

– das Ordnen;

– die Speicherung;

– die Anpassung oder die Veränderung;

– das Auslesen;

– das Abfragen;

– die Verwendung;

– die Offenlegung durch Übermittlung;

– die Verbreitung oder eine andere Form der Bereitstellung;

– der Abgleich oder die Verknüpfung;

– die Einschränkung;

– das Löschen oder die Vernichtung.

Praxishinweis

Ein automatisiertes Verfahren liegt vor, wenn bestimmte Aufgaben mit Hilfe einer informationstechnischen Infrastruktur, wie z.B. Hardware, Software oder Übertragungsnetze, unter Einbeziehung personenbezogener Daten wahrgenommen werden (bspw. über PCs, Netzwerke mit Servern, Notebooks, Smartphones oder auch den Einsatz digitaler Kamerasysteme etc.).

Weiterhin sollte darauf geachtet werden, dass das „aufbau- und ablauforganisatorische Umfeld“ in seiner Gesamtheit berücksichtigt wird. Dazu zählen Speichermedien, wie Disketten, USB-Sticks, externe Festplatten und CDs, aber auch Videokameras, Kopierer, Multifunktionsgeräte sind Datenverarbeitungsanlagen. Diese spielen bei der Beurteilung eine Rolle, da dort personenbezogene Daten zwischengespeichert oder gar langfristig gespeichert werden können.15

Ein nicht-automatisiertes Verfahren ist bei einer manuellen Verarbeitung gegeben. Trotz manueller Verarbeitung werden von der DSGVO dennoch sog. Dateisysteme gem. Art. 4 Nr. 6 DSGVO erfasst, also z.B. Karteien. Nicht umfasst bleiben allerdings unstrukturierte Akten, Aufzeichnungen oder Notizen, wie z.B. Papierakten, in denen die Daten selbst nicht strukturiert sind.16

15

Der zentrale Begriff zur Bestimmung des persönlichen Anwendungsbereichs der DSGVO ist derjenige des Verantwortlichen. Der Verantwortliche ist der hauptsächliche Träger der Pflichten nach der DSGVO. Der Begriff des Verantwortlichen ist in Art. 4 Nr. 7 DSGVO definiert. Verantwortlicher ist danach derjenige, der alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.17 Dies kann eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle sein. Eine solche Verantwortlichkeit kann sich für jeden, der Daten für sich verarbeitet, ergeben. Letzteres unterscheidet den Verantwortlichen auch vom Auftragsverarbeiter,18 der Daten nicht für sich selbst, sondern lediglich „im Auftrag“ und auf Weisung eines Verantwortlichen verarbeitet.

16

Der Begriff des Verantwortlichen ist auch nicht auf eine einzelne Stelle limitiert. Denkbar ist gem. Art. 26 Abs. 1 Nr. 1 DSGVO eine gemeinsame Verantwortlichkeit.19 Eine solche ist dann gegeben, wenn zwei oder mehrere Stellen gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dies ist gekennzeichnet durch eine gemeinsame Kontrolle über die Datenverarbeitungsprozesse, wobei die Verantwortlichen hierbei grundsätzlich auch einen gemeinsamen Zweck verfolgen müssen.20 Für die gemeinsame Kontrolle bedarf es keiner gleichberechtigten oder gleichmäßigen Verantwortung, vielmehr können die Verantwortlichen unterschiedlich stark und in unterschiedlicher Weise in die Datenverarbeitung eingebunden sein.21

10Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 9. 11Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 30. 12Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 47. 13Kühling/Buchner/Klar/Kühling, Art. 4 DSGVO Rn. 34. 14Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 20. 15BeckOK-DS/Schild, Art. 4 DSGVO Rn. 34. 16BeckOK-DS/Schild, Art. 4 DSGVO Rn. 33. 17Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 55. 18Zur Auftragsverarbeitung siehe Kap. 7. 19Zur gemeinsamen Verantwortlichkeit s. Kap. 8 Rn. 3ff. 20BeckOK-DS/Spoerr, Art. 26 DSGVO. 21BeckOK-DS/Spoerr, Art. 26 DSGVO; EuGH, EuZW 2018, 534, 537 Rn. 43.

17

Das Datenschutzrecht fokussiert – wie gezeigt – auf den Schutz natürlicher Personen bei der Verarbeitung der auf sie bezogenen Daten. Vor allem der vorstehend erläuterte „ Personenbezug“ grenzt das Datenschutzrecht von anderen rechtlichen Vorgaben im Umgang mit Informationen (ohne Personenbezug) im Unternehmen ab. Daneben grenzt der Begriff der „ Datenverarbeitung“ das Datenschutzrecht von anderen rechtlichen Vorgaben im Hinblick auf den Umgang mit den jeweiligen Personengruppen – also im Wesentlichen Kunden und Mitarbeiter (ohne Bezug zu einer Datenverarbeitung) – ab.

18

In der Unternehmensrealität müssen die verschiedenen rechtlichen Anforderungenaber zumeist in Deckung gebracht werden und das Datenschutzrecht bildet nur eine Facette, die bei der Umsetzung einer konkreten Maßnahme zu beachten ist. Nachfolgend soll deshalb ein grober Überblick über typische „ Schnittmengen“ mit anderen Rechtsbereichen gegeben werden, um für das Zusammenspiel mit anderen Regelungsmaterien die notwendige Sensibilität zu erzeugen:

19

Eine Schnittmenge des Datenschutzrechts zum Wettbewerbsrecht besteht insbesondere im Bereich der Werbung. In Deutschland gilt es im Hinblick auf belästigende Werbung, die lauterkeitsrechtliche Regelung des § 7 UWG zu berücksichtigen. Dabei gilt, dass gem. § 7 UWG z.B. E-Mail-Werbung nur zulässig ist, soweit eine vorherige ausdrückliche Einwilligung i.S.v. § 7 Abs. 2 Nr. 3 UWG vorliegt oder die Voraussetzungen des § 7 Abs. 3 UWG erfüllt sind. Im Verhältnis zur DSGVO ergeben sich im Hinblick auf die Voraussetzungen der Einwilligung im Direktmarketing hierbei spezielle Anforderungen.22

Praxishinweis

Gerade bei Werbeaktionen, wie z.B. Gewinnspielen und Newslettern etc., muss den Anforderungen beider Rechtsbereiche entsprochen werden. Bei einer Zusendung von Werbung via E-Mail handelt es sich gemäß § 7 Abs. 1, Abs. 2 Nr. 3 UWG um eine unzulässige Belästigung, es sei denn, es liegt eine vorherige ausdrückliche Einwilligung des Adressaten hierzu vor. Selbiges gilt z.B. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher, § 7 Abs. 1, Abs. 2 Nr. 2 UWG.

20

Die datenschutzrechtliche Wertung folgt dabei grundsätzlich der wettbewerbsrechtlichen Bewertung: Soweit das UWG eine (z.B. postalische) Kontaktaufnahme ohne vorherige Einwilligung explizit gestattet, wird regelmäßig auch die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen ausgehen. Insoweit ist zu berücksichtigen, dass die Regelung in § 7 UWG großteils der Umsetzung des Art. 13 RL 2002/58/EG dient – es sich europarechtlich also um datenschutzrechtliche Regelungen handelt, auch wenn der deutsche Gesetzgeber sich für eine Umsetzung im UWG entschieden hat.

21

Auch das Kartellrecht weist Schnittmengen mit dem Datenschutzrecht auf. Vor allem steht hierbei die Fragestellung des Marktmissbrauchs durch unfaire Datenverarbeitungspraktiken oder durch Verweigerung des Zugangs zu bestimmten Daten im Vordergrund.23

22

Dies verdeutlichte das Bundeskartellamt mit seiner Facebook-Entscheidung, in der es erstmals einen sog. Konditionenmissbrauch aus einer Datenschutzverletzung ableitete.24 Die Behörde untersagte dem sozialen Netzwerk, Nutzungsbedingungen zu verwenden, die ohne Einwilligung der Nutzer eine Zusammenführung von Nutzerdaten über verschiedene Produkte und Drittangebote hinweg beinhalteten.