Verarbeitung von personenbezogenen Daten – der Anwendungsbereich der DSGVO

Unterliegt der Datenverarbeitungsvorgang (DVV) der DSGVO?
Art. 2, 4 DSGVO Die DSGVO findet Anwendung auf Verarbeitungsvorgänge jeglicher personenbezogener Daten. Eine Verarbeitung ist jede Bereitstellung und Auswertung sowie das Löschen/Vernichten der Daten. Typische DVV sind das Erheben, Speichern, Übermitteln von Daten. Woraus kann sich ein Personenbezug ergeben? Art. 4 DSGVO Personenbezogene Daten sind solche, die einen Rückschluss auf tatsächliche Verhältnisse einer natürlichen Person, also eine Verknüpfung jeglicher Sachinformationen mit einer individuellen Person ermöglichen. Diese Verknüpfung erfolgt i.d.R. über einen sogenannten Primärschlüssel (PS), z.B. der unter einem Namen abgelegten Adresse oder Fahrzeugidentifikationsnummer (FIN).  
 
PRAXIS: Bereits die bloße Möglichkeit einer lediglich indirekten Identifizierbarkeit begründet den Personenbezug; das Merkmal wird sehr weit ausgelegt. An dieser Stelle „scheitert“ die datenschutzrechtliche Prüfung daher grundsätzlich nicht.
Lässt sich der Personenbezug durch technische Maßnahmen wie Anonymisierung oder Pseudonymisierung vermeiden?
 Ja, soweit sich durch die technischen Maßnahmen jegliche, auch indirekte Rückschlüsse auf den Betroffenen vermeiden lassen. Grundsätzlich lässt sich sagen, dass eine Anonymisierung Personenbezug ausschließt, eine Pseudonymisierung hingegen nicht. Letztere tauscht nur den PS durch ein Pseudonym aus. Wird dieses in einer anderen Datenbank gespeichert, ist die Identifizierung einer Person weiterhin möglich, die Daten mithin personenbezogen.
 
PRAXIS: Eine Pseudonymisierung kann dennoch vorteilhaft oder erforderlich sein, da sie die Eingriffsintensität beim Betroffenen verringert und die stets erforderliche Interessenabwägung zu Gunsten des Verantwortlichen beeinflussen kann (s. X).
Schließt eine Auftragsdatenverarbeitungsvereinbarung (ADV) die Anwendung der DSGVO aus?
 Nein. Die ADV bewirkt lediglich, dass der tatsächlich Verarbeitende dem „Lager“ des Verantwortlichen zugerechnet wird, d.h. eine tatsächliche Übermittlung an den Verarbeitenden stellt keine Übermittlung i.S.d. DSGVO dar, die stets die Weitergabe an einen Dritten voraussetzt. Diese Übermittlung der Daten unterliegt daher nicht der Anwendung der DSGVO. Der Verantwortliche muss jedoch die Anforderungen für den übrigen Verarbeitungsvorgang, der vom tatsächlich Verarbeitenden für diesen ausgeführt wird (z.B. die Speicherung oder Auswertung), erfüllen. Eine ADV schließt die Anwendung der DSGVO daher nicht aus.
 
PRAXIS: Eine ADV kann dennoch vorteilhaft oder erforderlich sein, nämlich dann, wenn eine Übermittlung an Dritte nicht erforderlich und daher nicht zulässig wäre. Dies ist häufig der Fall im Beschäftigtendatenschutz, wenn Beschäftigtendaten durch Dritte verwaltet werden (z.B. Lohnsteuer).


SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30