Die DSGVO knüpft an die Verarbeitung personenbezogener Daten durch den Verantwortlichen an. Aber was genau versteht man unter personenbezogenen Daten? Wann genau liegt eine Verarbeitung vor und wer ist der Verantwortliche? Die wichtigsten Begrifflichkeiten der DSGVO sollen hier geklärt werden.
Personenbezogene Daten
Der elementare Begriff im Datenschutzrecht ist der Begriff der personenbezogenen Daten. Nur wenn personenbezogene Daten vorliegen, ist der Anwendungsbereich der DSGVO eröffnet.
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Identifizierbarkeit ist weit zu verstehen, es genügt, wenn eine Information einer natürlichen Person in irgendeiner Weise, direkt oder indirekt, zuordenbar ist. Beispiele für Informationen, die einer natürlichen Person direkt zuordenbar sind, sind ihr Name oder ihr Aussehen. Ein Beispiel für eine indirekte Zuordnung einer Information zu einer Person ist ihre IP-Adresse. Zwar kann der Webseitenbetreiber selber bei Erhebung der IP-Adressen aller Besucher ohne weitere Angaben keinen Bezug zu einer natürlichen Person herstellen. Für den Internetprovider des Webseitenbesuchers ist es jedoch möglich den Namen des Anschlussinhabers der IP-Adresse zu ermitteln. Somit handelt es sich bei IP-Adressen um personenbezogene Daten.
Auch personenbezogene Daten, die anonymisiert oder verschlüsselt wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen weiterhin in den Anwendungsbereich der DSGVO.
Weitere Beispiele für personenbezogene Daten sind Anschrift, E-Mail-Adresse, Kontodaten, Kfz-Kennzeichen und Standortdaten, aber auch Auftreten und Verhalten von Personen.
Betroffene Person
Als betroffene Person im Sinne der DSGVO wird jede natürliche Person bezeichnet, deren Daten verarbeitet werden. Das können in Bezug auf ein Unternehmen beispielsweise Kunden, Arbeitnehmer, Lieferanten, Besucher einer Website oder Newsletter-Abonnenten sein.
Verantwortlicher
Der Verantwortliche ist in Art. 4 Nr. 7 DSGVO legaldefiniert. Demnach handelt es sich bei dem Verantwortlichen um die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Maßgeblich ist die Entscheidungsbefugnis über die Verarbeitung. Unter dem Zweck der Verarbeitung personenbezogener Daten versteht man das erwartete oder beabsichtigte Ergebnis, als Mittel wird die Art und Weise der Zielerreichung bezeichnet.
Entscheiden mehrere Stellen gemeinsam über Zwecke und Mittel der Datenverarbeitung, liegt eine gemeinsame Verantwortlichkeit vor, vgl. Art. 4 Nr. 7, Art. 26 Abs. 1 S. 1 DSGVO. Ein Beispiel für eine gemeinsame Verantwortlichkeit ist eine Facebook-Fanpage. Darunter versteht man im Gegensatz zu einem privaten Facebook Profil eine Seite, auf der sich ein Unternehmen vorstellt. Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich (vgl. EuGH C-210/16). Abzugrenzen ist die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung, welche später noch näher erläutert wird. Bei der Auftragsverarbeitung bestimmt eine Stelle verbindlich über die Zwecke und Mittel der Verarbeitung personenbezogener Daten und die andere Stelle führt nur weisungsabhängig aus. Im Gegensatz dazu nehmen bei der gemeinsamen Verantwortlichkeit beide Stellen tatsächlich Einfluss auf die Entscheidung.
Den oder die Verantwortlichen treffen verschieden Pflichten, beispielsweise Informationspflichten (Art. 12 ff. DSGVO) und Meldepflichten (Art. 33 DSGVO) bei der Verletzung des Schutzes personenbezogener Daten.
Verarbeitung
Der Begriff der Datenverarbeitung ist in Art. 4 Nr. 2 DSGVO legaldefiniert und beschreibt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang. Er ist sehr weit zu verstehen, weswegen darunter praktisch jeder erdenkliche Umgang mit personenbezogenen Daten fällt. Beispiele sind das Erheben, Speichern, Ordnen, Auslesen, Verändern, Übermitteln und Löschen von Daten. Dies findet in der Praxis beispielsweise bei einer Videoaufzeichnung, dem Versand von Werbemails oder Lohnbuchhaltung statt sowie in einer Vielzahl weiterer Fälle.
