Gilt die DSGVO auch für Ausdrucke, die in Ordnern oder Akten abgelegt werden?

Art 2 Abs 1 DSGVO legt den „sachlichen Anwendungsbereich“ wie folgt fest:

 

1.     Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

 

 

 

Es gibt daher zwei Anwendungsbereiche,

 

·       die „ganz oder teilweise automatisierte Verarbeitung“ und

 

·       die „nicht-automatisierte (manuelle) Verarbeitung, sofern die Daten in ein Dateisystem einfließen (sollen)“.

 

 

 

ErwGr 15 erläutert dies wie folgt:

 

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

 

 

 

Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

 

 

 

Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

 

 

 

 

 

Würde man die Regelungen der DSGVO nur auf die automatisierte Verarbeitung von personenbezogenen Daten anwenden, dann könnten die Verpflichtungen zB im internationalen Datenverkehr dadurch umgangen werden, dass die Daten aus einer Verarbeitung in der EU ausgedruckt, dann in Papierform in ein Drittland übermittelt, und dort vom Empfänger der Ausdrucke wieder eingelesen und mittels automatischer Systeme kategorisiert werden.

 

 

 

Sobald die Daten in einem „Dateisystem“ gespeichert werden sollen, sind auch manuelle Daten (siehe insbes ErwGr 15) im sachlichen Anwendungsbereich der DSGVO. Der deutsche Begriff „Dateisystem“ ist mE verwirrend, aber der Begriff, der in der englischen Fassung verwendet wird, illustriert es besser: „filing system“. Ein „file“ ist ein Akt, ein Aktenordner, aber auch eine Datei, und ein „filing system“ ein Ablage- oder Registratursystem.

 

 

 

Auch der EuGH hat sich schon in der Entscheidung Zeugen Jehovas (C 25/17) mit der manuellen Verarbeitung von Daten auf Notizzetteln beschäftigt, und in der Pressemitteilung vom 10.8.2018 steht:

 

 

 

Sodann weist der Gerichtshof einschränkend darauf hin, dass die unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten nur dann auf die manuelle Verarbeitung von Daten anwendbar sind, wenn diese Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Da im vorliegenden Fall die Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, stellt sich die Frage, ob die verarbeiteten Daten in einer Datei gespeichert sind oder gespeichert werden sollen. Insoweit gelangt der Gerichtshof zu dem Ergebnis, dass der Begriff „Datei“ jede Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.

 

 

 

 

 

Das Information Commissioners Office (ICO) in Großbritannien hat sich mit dieser Thematik auch auseinandergesetzt, und verweist auf den sog. „temp test“. Ein „temp“ ist ein Praktikant („temporary administrative assitant“) in einer Organisation. Es geht darum, ob ein temp (Praktikant) in der Lage ist, aus der Summe der personenbezogenen Daten eine bestimmte Information zu einer bestimmten natürlichen Person ohne Kenntnisse über die bisherige Arbeitsweise oder die Daten zu haben.

 

 

 

Es ist gewissermaßen ein „Neuling“, der die Aufgabe bekommt, aus einer Sammlung von Daten eine bestimmte Information zu einer definierten natürlichen Person zu finden. Der Neuling erhält eine kurze Einführung, Anleitung oder eine Bedienungsanleitung.

 

 

 

Das ICO beschreibt drei Szenarien für den „temp-test“:

 

 

 

Hans Müller ist ein Mitarbeiter. Er bittet um Angaben zu dem Urlaub, den er in den letzten sechs Monaten genommen hat. Sie haben eine Sammlung von Personalakten. Diese Dateien enthalten jeweils eine einzige Informationskategorie:

 

 

 

a)     Wenn es ein Ablagesystem mit dem Titel "Abwesenheiten Personal" gibt, das alphabetische Unterteilungen enthält, hat der Praktikant keine Schwierigkeiten, die Informationen zu John Smith in der Ablage unter dem Kriterium "S" zu finden. Es liegt ein Dateisystem iSd DSGVO vor.

 

 

 

b)     Wenn es einen Ablagestapel oder einen Ordner mit dem Titel „Hans Müller“ gibt, der alle Personaldatensätze für Hans Müller enthält, würde der Praktikant keine Mühe haben, in diesem Ablagesystem den Urlaubseintrag von Hans Müller zu finden. Es liegt ein Dateisystem iSd DSGVO vor.  

 

c)     Wenn einen Akt mit der Bezeichnung „Hans Müller“ in einer Sammlung von Akten gibt, die den Urlaubsdatensatz der Mitarbeiter enthält, und Urlaubsdaten auf Standardformularen erfasst werden, die in chronologischer Reihenfolge in separaten Unterakten pro Angestelltem abgelegt sind, müsste der Praktikant auch große Anstrengungen unternehmen, um die relevanten Information zu finden. Es liegt ein Dateisystem iSd DSGVO vor

 

 

 

 

 

Fazit: nahezu alle manuellen Aktensammlungen, Ablagesystem oder Ordner werden in einer bestimmten Art strukturiert aufgebaut sein, und zwar zB chronologisch, alphabetisch oder nach anderen festgelegten Ordnungskriterien.