Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 65

10

Die DSGVO findet auch auf die nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem Anwendung. Nichtautomatisiert ist eine rein manuelle Verarbeitung.20 Der Begriff Dateisystem ist in Art. 4 Nr. 6 DSGVO legaldefiniert (siehe Art. 4 Rn. 160ff.) und umfasst strukturierte Datensammlungen, in denen Informationen nach bestimmten Kriterien zugänglich sind. Damit wird der Anwendungsbereich auf nicht digitale Inhalte erstreckt, wie Akten, Aktensammlungen und dazugehörige Deckblätter, die dieses Kriterium erfüllen.21 Die Intention für die Erstreckung des Anwendungsbereichs über klassische rechnergestützte Verarbeitungen hinaus ist es, die technologieneutrale Anwendbarkeit des Datenschutzrechts sicherzustellen, die Gefahr von Umgehungen des Datenschutzrechts zu vermeiden und einen umfassenden Schutz der Betroffenen zu gewährleisten.22

11

Damit nichtautomatisierte, dateibezogene Verarbeitungen in den Anwendungsbereich der DSGVO fallen, muss ihr Inhalt nach Kriterien strukturiert sein, die den Zugriff erleichtern. In der Legaldefinition eines Dateisystems in Art. 4 Nr. 6 DSGVO wird dafür der Plural verwendet („Kriterien“). Dennoch wird teilweise angenommen, dem Sinn und Zweck der Norm folgend sei es auch hinreichend, wenn die Strukturierung nur anhand eines Kriteriums erfolge.23 Aufgrund des insofern klaren Wortlauts ist aber die Gegenauffassung überzeugend, nach der mindestens zwei Kriterien zur Strukturierung genutzt werden müssen, damit ein Dateisystem vorliegt.24 Da praktisch jede aktenmäßige Informationssammlung nach bestimmten Kriterien strukturiert ist, etwa durch eine chronologische oder alphabetische Abheftung, nach dem Sinn der Norm aber gewisse nicht digitale Akten vom Anwendungsbereich der DSGVO ausgeschlossen sein sollen, wird vertreten, das Tatbestandsmerkmal der Strukturierung sei teleologisch einschränkend auszulegen. Um den Anwendungsbereich der DSGVO für nichtautomatisierte Verarbeitungen zu eröffnen, müsste sich daher aus der Struktur unmittelbar die Zugriffsmöglichkeit auf personenbezogene Informationen ergeben.25 Dass es dieser teleologischen Reduktion bedarf, ist jedoch nicht zwingend. Zum einen ist der Anwendungsbereich der DSGVO bewusst weit gefasst und zum anderen ergibt sich ein Ausschluss dateibezogener Verarbeitungen, soweit diese nur nach einem Kriterium strukturiert sind.

12

Für den Beschäftigtendatenschutz hat der deutsche Gesetzgeber mit § 26 Abs. 7 BDSG entsprechend der ursprünglichen deutschen Rechtslage den Anwendungsbereich auch auf Verarbeitungen außerhalb von Dateisystemen erstreckt (siehe § 26 BDSG Rn. 101). Zum erweiterten Anwendungsbereich für deutsche öffentliche Stellen siehe § 1 BDSG Rn. 8f.