Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Im Weitergehen noch zwei Blicke zurück auf Artikel 3:
(1) Ein Beispiel zum kleinen Anwendungsbereich von Absatz 3 erhielt ich noch zugeschickt (Dank an artikel91.eu): Mitarbeiterexzess in einer EU/EWR-Botschaft. Fiktiver Fall: Das Botschafts-Einlasspersonal nimmt die Liste der Tagesbesucher und nutzt sie, um Werbeprospekte zu verschicken.
(2) Und auf meine Schlussfrage zu Artikel 3 Absatz 1 (Wo gilt die DS-GVO schon am längsten?) war die Antwort nicht korrekt. Sie haben es alle bemerkt, aber taktvoll geschwiegen? Richtig ist wohl: Diejenige Botschaft eines EU/EWR-Staates, die in östlicher Richtung der Datumsgrenze am nächsten liegt. Ziemlich wahrscheinlich in Neuseeland. Oder gibt es solche Botschaften auch in Kiribati? Samoa?
Beim Spazieren sieht man ihn langsam näher rücken: Artikel 4 liegt lang gestreckt mit 26 einzelnen Nummern vor uns. Die Begriffsdefinitionen für Zwecke dieser Verordnung habe ich – Entschuldigung – erstmals für diesen Blogbeitrag komplett gelesen. Natürlich gibt es alte Bekannte:
Nummer 1
Art. 4 Nr. 1 klärt die personenbezogenen Daten, also vielleicht den absoluten Grundbegriff des Datenschutzrechts überhaupt. Die Schweizer sprechen übrigens von Personendaten. Schön ist dieser Begriff auch nicht, aber vielleicht etwas kürzer und weniger sperrig?
Wer bis hierhin mitspaziert ist, hat bemerkt, dass die DS-GVO durchaus ein beachtliches, oft unterschätztes Erholungs- und Heiterkeitspotenzial besitzt, auf das wir uns konzentrieren. Schließlich gehen wir spazieren und arbeiten nicht. In diesem Sinne: Art. 4 Nr. 1 ist ein wunderschönes Beispiel für die klare und einfache Sprache, in der wir Datenschutzrechtler uns bemühen, Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form […] zu übermitteln„: Beraubt man den zweiten Halbsatz seiner Füllung ergibt sich die Aussage: „Als identifizierbar wird eine natürliche Person angesehen, die […] identifiziert werden kann.“ Das ist … naja. Logisch richtig und einwandfrei.
Die Informationen aus der soeben weggelassenen Satz-Füllung bei Nr. 1 sind wenig hilfreich: Wenn direkte oder indirekte Identifikation genügt, dann heißt das: Es genügt jede Identifizierung. Auch die beispielhafte Aufzählung der Identifizierungsmöglichkeiten schafft eher Verwirrung – warum wird physisch und physiologisch unterschieden?
Die wichtige Information, dass nur lebende Menschen als Betroffene geschützt werden sollen (Erwägungsgrund 27) fehlt, ebenso die noch wichtigere Abgrenzung, wann von einer Identifizierbarkeit auszugehen ist. Dazu äußert sich Erwägungsgrund 26, vor allem in Sätzen 3 und 4: „Um festzustellen, ob eine [natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die […] wahrscheinlich genutzt werden […]. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich […] genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Wäre das nicht schön in Nr. 1?
Stattdessen bringt Nr. 1 in der deutschen Sprache noch einen Übersetzungsfehler mit. Bei „im Folgenden ,betroffene Person´“ fehlt in anderen Sprachen das im Folgenden – und zwar zu Recht, weil der Begriff betroffene Person ja schon in Artikel 3 benutzt wird.
Nummer 2
Aber schlimmer geht immer, bemerkt man bei der Definition für den Begriff Verarbeitung: Streicht man alles Überflüssige und Inhaltslose, dann bezeichnet „Verarbeitung jeden […] Vorgang oder jede […] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Das ist wenig Inhalt in einem verwirrenden, langen Satz. So dürfen wir bitte keine Datenschutzinformationen schreiben.
Nummer 3
Sogar eindeutig falsch ist dann die Begriffsdefinition in Nr. 3: Eine Einschränkung der Verarbeitung ist natürlich nicht die Markierung von Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Wer in einer Karteikiste die Karteikarten zu ausgeschiedenen Mitarbeitern mit roten Klebezetteln versieht, hat die Verarbeitung der entsprechenden Daten noch nicht eingeschränkt. Merke: Man hat Ziele noch nicht erreicht, wenn man sie sich setzt.
Nummer 4
Auch bei Nr. 4 ist die Definition schiefgegangen. Profiling kann sinnvoll verwendet werden für die „Verarbeitung personenbezogener Daten mit dem Ziel, künftiges Verhalten vorherzusagen“. Der zweite Satzteil in Nr. 4 ist also korrekt. Der erste jedoch nicht: Profiling ist nicht schon die „Datenverarbeitung zur Bewertung persönlicher Aspekte“: Person A misst 1,95 m; das finde ich groß.
Nummer 7
Beim Verantwortlichen ist momentan der zweite Teil der Definition noch nicht abschließend sicher: Könnten die Europäische Union oder der Mitgliedstaat wirklich Verantwortliche nach Belieben festlegen? Kann zum Beispiel die Bundesrepublik gesetzlich bestimmen, dass für alle Datenverarbeitungen deutscher Zollbehörden das Hauptzollamt Dresden verantwortliche Stelle ist?
Nummer 12
Die Verletzung des Schutzes personenbezogener Daten hat bei den Artikeln 33 und 34 Bedeutung. Nach der Definition in Nr. 12 liegt eine solche Verletzung nur vor, wenn es tatsächlich „zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten“ kommt. Verdachtsfälle sind nach dieser Definition keine Verletzung, also auch nicht meldepflichtig.
Mit einem kurzen Überblick über wesentliche Formulierungen aus Artikel 4 ist das kurze erste Kapitel der DS-GVO schon abgewandert. Auf zu Kapitel 2!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.