Notizen als "Dateisystem" nach der DSGVO?

 Das Verfahren des EuGH (C-25/17) zum Thema „Notizen und Notizbücher“ als „Daten“ ist seit 10.7.2018 entschieden.   

 

 

  • „ausschließlich persönliche oder familiäre Tätigkeit“ / Haushaltsausnahme
  • Handschriftliche Notizen im Anwendungsbereich des Datenschutzrechts
  • Prinzipien der „gemeinsamen Verantwortlichen

 

 

 

Zum vorherigen Artikel: http://www.dataprotect.at/notizen-und-datenschutz/

 

  

„ausschließlich persönliche oder familiäre Tätigkeit“ / Haushaltsausnahme"

 

Als erste Frage klärte der EuGH, ob Notizen, die von einem Verantwortlichen im Rahmen von Gesprächen durch Personen, die für eine Organisation tätig sind, angefertigt werden, als „ausschließlich persönliche oder familiäre Tätigkeit“ anzusehen ist, und damit nicht den datenschutzrechtlichen Vorgaben unterliegt.

 

Die Entscheidung erging zur Datenschutz-Richtlinie, insbes. deren Art 3 Abs 1:

„Diese RL gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die einer Datei gespeichert sind oder in einer Datei gespeichert werden sollen.“

 

In Art 3 Abs 2 findet man aber zwei Ausnahmen:

„Diese RL findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

 

  1. die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, wie zum Beispiel […] Verarbeitung betreffend die öffentliche Sicherheit, die Landesverteidigung, Sicherheit des Staates (…) und die Tätigkeit des Staates im strafrechtlichen Bereich. 
  2.  die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden.“

 

Die Rechtslage nach der DSGVO ist identisch, denn dort findet sich die Haushaltsausnahme in Art 2 Abs 2 DSGVO

Der EuGH hat zu RL Abs. 1 (Punkt 1) im Jahr 2017 entschieden, dass nur spezifische Tätigkeiten nicht unter diese RL fallen. Diese Ausnahmen sind in der Vorschrift beispielhaft ausgeführt.

 

 

Die Ausnahme ist nur dann anwendbar, wenn tatsächlich ausschließlich persönliche und familiäre Tätigkeiten erfolgen, und die Tätigkeit keinen sonstigen (zB gewerblichen, unternehmerischen oder auch einen sonstigen ideellen oder weltanschaulichen) Zweck hat. Nach der Rechtsprechung ist die Tätigkeit der Mitglieder der Zeugen Jehovas nicht ausschließlich privat, da sie zum Zweck hat, den Glauben und die Werte der Vereinigung zu vermitteln, und in diesem Rahmen die Datenerhebung und sonstige Verarbeitung erfolgt. 

 

„handschriftliche Notizen“ im Anwendungsbereich des Datenschutzrechts"

 

Die zweite Frage, die geklärt werden musste war, ob die handschriftlichen Notizen, die von den Zeugen Jehovas im Rahmen der Missionierung angefertigt werden, als „Datei“ oder „Dateisystem“ im Sinne der datenschutzrechtlichen Bestimmungen anzusehen sind, oder nicht.  Die Definition des Begriffs „Dateisystem“ findet man in Art. 4 DSGVO Abs. 6: „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, […].“

 

Die Datenschutzgrundverordnung (und auch die DSRL) ist grundsätzlich technologieneutral und betrifft sämtliche strukturierten Daten unabhängig von der Frage, ob diese automationsunterstützt oder manuelle verarbeitet werden. Da die Daten nach gewissen funktionalen Kriterien strukturiert werden müssen, um zum Beispiel Listen von Personen, die nicht mehr besucht/ noch einmal besucht werden wollen, zu erstellen, ist die Frage nach welchem Kriterium Daten organisiert werden ohne Belang, soweit der Datensatz einer Person in der Sammlung leicht wiederzufinden ist. Dies ist aber vom Gericht in jedem Fall einzeln zu prüfen. Der EuGH kam also zum Schluss, dass es sich im Fall der Zeugen Jehovas um ein Dateisystem handelt. Weitere Ausführungen dazu finden sich im Erwägungsgrund 15 der DSGVO. Dieser lautet:

 

"Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen."

  

 

„gemeinsam Verantwortliche“

Als dritte und letzte Frage wurde noch geklärt ob die Vereinigung der Zeugen Jehovas mit deren Mitgliedern, die von Haus zu Haus gehen und Daten sammeln, gemeinsam als Verantwortliche für die Verarbeitung (im Sinne der DSGVO) angesehen werden können und, ob es erforderlich ist, dass die Vereinigung Zugriff auf die Daten hat bzw. Anweisung oder Anleitungen zur Sammlung der Daten gegeben hat.

 

Im Art. 4 Abs. 7 findet man die Definition des „Verantwortlichen“: „… die natürliche oder juristische Person, […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. […]“

 

Demnach bezieht sich der Begriff Verantwortlicher nicht zwingend auf eine einzelne natürliche oder juristische Person. Jeder beteiligte Akteur würde also den Datenschutzbestimmungen unterliegen.

 

Wie aus einer anderen Entscheidung des EuGH (GZ: C-210/16; siehe dazu auch: https://www.dataprotect.at/2018/06/27/facebook-fanpages-konsequenzen-aus-dem-urteil/)  hervorgeht soll der Begriff des Verantwortlichen breit definiert sein, um umfassenden Schutz für Betroffene zu bieten. Aus der DSGVO kann auch nicht entnommen werden, dass Entscheidungen über Mittel und Zwecken durch Anweisungen oder schriftlich zu erfolgen haben. Hingegen kann aber daraus geschlossen werden, dass eine nat./jur. Person, die aus Eigeninteresse Einfluss auf die Verarbeitung von Daten nimmt und somit auch auf die Zwecke oder auch Mittel nimmt, auch als Verantwortlicher zu sehen ist.

 

 

Im vorliegenden Falls ist es zwar Sache der Verkündigenden, welche Daten und auf welche Art sie Daten erheben, dieses Verhalten wird aber auf jeden Fall von der Vereinigung unterstützt und auch gefördert. Diese führt auch Listen von Personen, die wünschen noch einmal oder nicht mehr besucht werden wollen. Die Erhebung der Daten dient folglich zur Verbreitung des Glaubens der Organisation.             

 

 

 

Autor: Michael Schweiger, zert. DSBA (TÜV)