Eine breite Definition von Daten, Dateien und deren Verarbeitung

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Wir glauben zu wissen, was personenbezogene Daten sind (beachten Sie, dass der Begriff nicht im Singular verwendet wird, wahrscheinlich weil für die Verarbeitung mindestens zwei Daten – beispielsweise ein Name und eine Adresse – erfasst werden müssen). Aber Vorsicht: Um Fehler zu vermeiden, berücksichtigen wir die Definition in Artikel 4 der Verordnung: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Obwohl der Wortlaut alles andere als fließend ist, lässt er keinen Zweifel an der weiten Bedeutung des Begriffs. „Jede Information“, die mit einer Person verknüpft ist, stellt personenbezogene Daten dar. Die Liste der Adjektive, die mit der „Identität“ der Person verknüpft sind, unterstreicht gegebenenfalls die Tragweite des Wortes „Information“. 

Die CNIL hat den Begriff der personenbezogenen Daten in einem Kommentar zu Artikel 2 des Datenschutzgesetzes präzisiert: „Daten gelten als „persönlich“, wenn sie sich auf direkt oder indirekt identifizierte natürliche Personen beziehen. Eine Person ist identifiziert, wenn beispielsweise ihr Name in einer Datei erscheint.“

Eine Person ist identifizierbar, wenn eine Datei Informationen enthält, die ihre Identifizierung indirekt ermöglichen (z. B. IP-Adresse, Name, Registrierungsnummer, Telefonnummer, Foto, biometrische Elemente wie Fingerabdruck, DNA, nationale Studentenidentifikationsnummer (INE), Informationen, die eine Diskriminierung einer Person innerhalb einer Bevölkerung ermöglichen (bestimmte statistische Dateien), wie z. B. Wohnort, Beruf, Geschlecht und Alter). Daten, die Sie möglicherweise als anonym betrachten, können personenbezogene Daten darstellen, wenn sie die indirekte Identifizierung einer bestimmten Person oder durch Querverweise ermöglichen. Dabei kann es sich um Informationen handeln, die nicht mit dem Namen einer Person in Verbindung gebracht werden, die es aber leicht ermöglichen, diese Person zu identifizieren und ihre Gewohnheiten oder Vorlieben zu kennen.

In diesem Sinne umfassen personenbezogene Daten auch alle Informationen, die durch Querverweise die Identifizierung einer bestimmten Person ermöglichen (z. B. ein Fingerabdruck, DNA, ein Geburtsdatum in Verbindung mit einer Wohngemeinde) …

Die DSGVO schließt die Aktivitäten von Staaten im Zusammenhang mit ihrer Sicherheit aus (16^e Erwägungsgrund) und natürlich Tätigkeiten rein innerstaatlicher Natur (Art. 2). Andererseits betrifft die Verordnung alle Unternehmen (und Verwaltungen sowie Organisationen und Verbände), die Daten europäischer Bürger verarbeiten, unabhängig davon, ob sie auf dem Kontinent ansässig sind oder nicht. Ebenso muss ein Unternehmen, das einen Subunternehmer mit Sitz außerhalb der EU einsetzt, die Vorschriften einhalten (Art. 3).

Da diese Daten in Dateien gespeichert werden, sei auch die Definition dieses Begriffs erwähnt: „Jede strukturierte Sammlung personenbezogener Daten, auf die nach bestimmten Kriterien zugegriffen werden kann, unabhängig davon, ob diese Sammlung zentral, dezentral oder funktional oder geografisch verteilt ist.“ Auch hier ist klar, dass wir nicht schlau vorgehen dürfen, wenn wir versuchen, Daten in Datenbanken zu speichern, die nicht als „Dateien“ bezeichnet werden können. Nicht nur würde unser Tool neu klassifiziert werden, sondern die Aufsichtsbehörde würde dies zweifellos auch als erschwerenden Umstand betrachten.

Auch ein Handwerker, der sich der Computerisierung widersetzt und seine Kunden in Papierform alphabetisch geordnet führt, kommt an der DSGVO nicht vorbei (Art. 2 Abs. 1).

Gerade weil sie verarbeitet werden sollen, müssen die Daten in Dateien geschützt werden. Was ist Verarbeitung? „Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Abs. 2). Die Liste der Wörter ist nahezu erschöpfend: Sobald wir mit Daten in Berührung kommen, verarbeiten wir sie und unterliegen somit der Verordnung. Und erst recht muss Profiling – also die Verarbeitung von Daten zur Auswertung oder Vorhersage von Verhalten – streng überwacht werden.

Die DSGVO empfiehlt, soweit möglich, eine Pseudonymisierung vorzunehmen, damit die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer natürlichen Person zugeordnet werden können. „Die Pseudonymisierung personenbezogener Daten kann Risiken für betroffene Personen verringern und Verantwortliche und Auftragsverarbeiter bei der Erfüllung ihrer Datenschutzpflichten unterstützen“ (28).^e angesichts).  

Die Kontrolle über die Verarbeitung wird bis an die Grenzen ausgereizt, da sie sich über Grenzen erstreckt. Daten, die außerhalb der Europäischen Union übermittelt werden, unterliegen weiterhin dem europäischen Recht – sowohl für die Übermittlung selbst als auch für die anschließende Verarbeitung. Zudem ist zu befürchten, dass es zu Rechtsstreitigkeiten kommen könnte, insbesondere mit China oder den USA. Um Partner außerhalb der EU im Voraus zu informieren, empfiehlt die Verordnung die Unterzeichnung verbindlicher Unternehmensregeln (Binding Corporate Rules, BCR) oder die Übernahme von Standardvertragsklauseln, die von der europäischen Behörde validiert wurden.

Abschließend sei klargestellt, dass eine Verletzung des Schutzes personenbezogener Daten eine „Verletzung der Sicherheit ist, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 Abs. 12). Auch hier ist der Begriff also sehr weit zu verstehen.