Begriffsbestimmungen und Anwendungsbereich der DSGVO

 

 

  

1. Personenbezogene Daten

 

  

Personenbezogene Daten sind alle Angaben, die sich einer bestimmten natürlichen Person (also einem Menschen) zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen können (Art. 4 Abs. 1 DSGVO).

Beispiele: Name, Geburtsdatum, Kontaktdaten wie Adressen und Telefonnummern, Kontodaten, Sozialversicherungsnummern, Ortungsinformationen, Suchhistorie, Fotos.

 

 

Abgrenzung zu sachbezogenen Daten:

 

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, Art. 4 DSGVO.

 

Sachbezogene Daten sind demgegenüber alle Daten, die Tatsachen oder Bewertungen von Sachverhalten sind.

Problematisch sind diejenigen Daten, die nicht als solche Identifizierungskriterien sind (z.B. Kontonummer, Online-Kennung), sondern die an sich Sachdaten sind (z.B. Standortdaten), aber mit der Person so eng verknüpft sind, dass sie zu personenbezogenen Daten werden (z.B. Standortdaten bei einem einer Person ausschließlich zugewiesenen Mobiltelefon).

 

Mögliche Abgrenzung: Amtswalterdaten / Identifikationsdaten

Aktuell sehr umstritten ist, ob sog. Amtswalterdaten, also die zur Identifikation eines bestimmten Amtswalters erforderlichen – und genügenden – Daten nicht als personenbezogene Daten angesehen werden müssen und deshalb dem Anwendungsbereich der DSGVO entzogen sind.

Generell sollten die zur bloßen Identifikation einer bestimmten Person üblichen Daten (Nachname, Vorname, Titel, Amtsbezeichnung, Adresse, Kommunikationsdaten) nicht als personenbezogene Daten iSd DSGVO angesehen werden. Die Verarbeitung solcher Daten ist die Grundvoraussetzung, um überhaupt eine Beziehung zur Einzelperson herzustellen und die spezifischen Garantien der DSGVO zu erfüllen - umgekehrt macht es keinen Sinn, die Einzelperson gemäß Art. 13 DSGVO darüber zu informieren, dass ihr Name gespeichert wird.

 

 

  

2. Datei

 

Die DSGVO bezieht sich auf die Verarbeitung personenbezogener Daten und die Speicherung in Dateisystemen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe. Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. Die Speicherung in Dateisystemen kann sowohl digital als auch analog (Akten) erfolgen; auch eine Akte ist eine „strukturierte Datenbank“. Das Gegenstück zur automatisierten Verarbeitung ist die manuelle Verarbeitung. Insgesamt gilt die DSGVO nicht nur für die IT-gestützte Personalarbeit, sondern auch dann, wenn die Personalarbeit rein manuell und analog erfolgt.

  

 

§ 26 BDSG:

Erweiterung des Anwendungsbereichs zum Beispiel auf handschriftlich gefertigte Notizen während eines Bewerbungsgesprächs oder die Informationserhebung in Gesprächen oder eine Übermittlung durch Telefonate.