In einem früheren Beitrag sind wir bereits auf die Entscheidungsfreudigkeit des Europäischen Gerichtshofes (EuGH) und einige hieraus resultierenden Urteile vom 7. März 2024 eingegangenen. Neben den Entscheidungen zum Personenbezug hat der EuGH an diesem Tag noch eine weitere „Grundsatzentscheidung“ gefällt. In der Rechtssache C-740/22 wird u.a. der Begriff der Verarbeitung personenbezogener Daten adressiert. Mit der Entscheidung des EuGH und deren Auswirkungen wollen wir uns im nachfolgenden Beitrag befassen.
Was verstehen wir unter der Verarbeitung personenbezogener Daten?
Bevor wir jedoch näher auf die Entscheidung eingehen, richten wir unser Augenmerk vorab auf die gesetzlichen Grundlagen. Der Begriff der Verarbeitung personenbezogener Daten ist zunächst für die Anwendung des Datenschutzrechtes und mithin der DS-GVO ausschlaggebend. In Art. 2 Abs. 1 DS-GVO – welcher den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung regelt – wird festgelegt, dass die DS-GVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gilt. Durch die Schwierigkeiten der Bestimmung des Anwendungsbereiches sind wir bereits spaziert. Allem zum Trotz: Gemeinsamer Nenner der automatisierten und der nicht-automatisierten Verarbeitung ist die Verarbeitung personenbezogener Daten.
Doch was verstehen wir hierunter? Wie so häufig erleichtert ein Blick ins Gesetz vermeintlich die Rechtsfindung. Wenden wir also den Blick auf Art. 4 Nr. 2 DS-GVO so hält dieser, die folgende Legaldefinition von Verarbeitung bereit:
„Verarbeitung“ [meint] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Zum besseren Verständnis sei noch auf Art. 4 Nr. 6 DSGVO verweisen, der ein Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird, definiert.
Auch an dieser Stelle haben wir bei einem Spaziergang durch die DSGVO aber bereits festgestellt, verbleibt nach der Streichung von allem Überflüssigen und Inhaltslosen noch „Verarbeitung[meint] jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Damit ist eigentlich klar, wir brauchen einen Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Klar? Nun ja, nicht wirklich. Wie im Beispiel des Spaziergangs aufgegriffen gibt es schlicht und ergreifend Abgrenzungsschwierigkeiten: Wann beginnt eine Verarbeitung personenbezogener Daten?
An dieser Stelle kommt nun der EuGH ins Spiel…
Der Rechtssache C-740/22 liegt eine Vorlagefrage aus Finnland zugrunde, wobei das vorlegende Gericht wissen wollte, ob Art. 2 Abs. 1 DS-GVO und Art. 4 Nr. 2 der DS-GVO dahin auszulegen sind, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten im Sinne der Verordnung darstellt.
Im Ergebnis bejaht der EuGH diese Frage: Hierbei verweist er zunächst auf die – oben bereits dargestellte – Definition aus Art. 4 Nr. 2 DSGVO. Insbesondere aus dem Ausdruck jeder Vorgang sei demnach zu entnehmen, dass der Unionsgesetzgeber den Begriff der Verarbeitung weit fassen wollte. Dies wird auch dadurch bekräftigt, dass die anschließende Aufzählung möglicher Vorgänge nicht abschließend ist.
Darüber hinaus umfasst die Aufzählung „u.a. die Offenlegung durch Übermittlung, die Verbreitung und „[jede] andere Form der Bereitstellung“, wobei diese Vorgänge automatisiert oder nicht automatisiert erfolgen können“. Der EuGH kommt daher zum (Zwischen-)Ergebnis, dass Art. 4 Nr. 2 DS-GVO keine Bedingungen an die Form der Verarbeitung stellt und das auch mündliche Übermittlungen erfasst sind. Zudem wird dies durch die Ziele der DS-GVO bestätigt, die ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personenbei der Verarbeitung personenbezogener Daten gewährleisten wollen und die „Möglichkeit, die Anwendung [der DS-GVO] dadurch zu umgehen, dass personenbezogene Daten mündlich statt schriftlich übermittelt werden, liefe diesem Ziel nämlich offensichtlich zuwider.“
Außerdem…
… kommt der EuGH noch auf Art. 2 Abs. 1 DS-GVO zu sprechen und hinterfragt, ob eine solche mündliche Verarbeitung in den – ebenfalls eingangs dargestellten – sachlichen Anwendungsbereich der DS-GVO fällt. Hierzu führt der EuGH weiter aus, dass die DS-GVO „genauso für die automatisierte, wie für die manuelle Verarbeitung personenbezogener Daten gilt, damit der Schutz, den [die DS-GVO] den von der Datenverarbeitung betroffenen Personen verleiht, nicht von den verwendeten Techniken abhängt und nicht ernsthaft Gefahr läuft, umgangen zu werden“. Und weiter: „Allerdings geht daraus ebenfalls hervor, dass [die DS-GVO] für manuelle Verarbeitungen personenbezogener Daten nur dann gilt, wenn die verarbeiteten Daten „in einer Datei gespeichert sind oder gespeichert werden sollen“.
Da die mündliche Übermittlung nicht als automatisierte Datenverarbeitung zu bewerten ist, ist erforderlich, dass die die Daten, die Gegenstand der Verarbeitung sind, in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Zu den Voraussetzungen gilt mit dem EuGH (vgl. Rs. C-25/17), dass grundsätzlich jede strukturierte Sammlung personenbezogener Daten einbezogen wird und mit dem Erfordernis nach bestimmten Kriterien strukturiert nur gemeint ist, dass die Daten über eine bestimmte Person leicht wiederauffindbar sind.
FAZIT
Es bleibt demnach festzuhalten, dass die mündliche Weitergabe von Informationen sehr wohl als Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DS-GVO angesehen werden kann, da diese Verarbeitungen als nicht automatisierte Verarbeitungen einzustufen sind. Voraussetzung ist allerdings, dass die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Mögliche Sonderfälle wie z.B. nach § 26 Bundesdatenschutzgesetz für den Beschäftigtendatenschutz bleiben hiervon unberührt. Damit ist klar, dass nicht zwangsläufig jede Form der mündlichen Weitergabe bzw. Übermittlung oder andere Form der Verarbeitung eine Datenverarbeitung im Sinne der Art. 2 Abs. 1 DS-GVO und Art. 4 Nr. 2 DS-GVO darstellt. Richtigerweise ist der Begriff der Verarbeitung personenbezogener Daten zur Sicherstellung der Schutzziele der DS-GVO aber weit zu verstehen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.