Das Aussprechen, Hören, Sehen und Merken von personenbezogenen Daten durch Menschen
Sehr geehrte Leserinnen und Leser,
im Arbeitsalltag kommt immer wieder die Frage auf, ob das Aussprechen, Hören, Sehen und Merken von personenbezogenen Daten datenschutzrechtlich relevant ist. Man denke bspw. an eine Videokonferenz, innerhalb derer für manche Teilnehmer nicht bestimmte personenbezogene Daten auf dem Bildschirm geteilt und so Daten für Unbefugte sichtbar werden. Wurden dann die Daten mit den Augen der Unbefugten verarbeitet? Auch im Zusammenhang mit per Augenschein erfolgten Kontrollen von Impfzertifikaten wurde die datenschutzrechtliche Relevanz des Ansehens von Daten diskutiert. Erst kürzlich hat ein finnisches Gericht (Rechtssache C-740/22) dem EuGH zur Vorabentscheidung die Frage vorgelegt, ob eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten ist. Ich möchte dies zum Anlass nehmen, meine Gedanken dazu zu teilen, ob das Aussprechen, Hören, Sehen und Merken von personenbezogenen Daten durch Menschen im Anwendungsbereich der DSGVO und des BDSG erfolgt.
Zunächst einmal steht fest, dass für den Anwendungsbereich der DSGVO entscheidende Begriffe grundsätzlich weit auszulegen sind, damit der durch die Verordnung intendierte Schutz wirksam gewährleistet wird. Das hat zur Folge, dass bspw. die in Art. 4 Nr. 1 und Nr. 2 DSGVO enthaltenen Definitionen nicht eng ausgelegt werden können. In der Praxis ist es deswegen häufig ein schwaches Argument, wenn man von „keinen personenbezogenen Daten“ oder „keiner Verarbeitung“ ausgeht. Doch bedeutet das in der Konsequenz auch, dass Menschen, die personenbezogene Daten aussprechen, hören, sehen oder sich diese merken, im Anwendungsbereich der DSGVO agieren?
Meiner Ansicht nach lautete die Antwort auf diese Frage „nein“. Ich muss jedoch zugeben, dass eine Herleitung aus dem eigentlichen Text der DSGVO nicht ganz einfach ist. Doch zunächst einmal vom Ergebnis her gedacht: Würde man die Vorschriften der Verordnung anwenden, dann würden von jedem Menschen täglich Informationspflichten aus Art. 13 DSGVO und Art. 14 DSGVO zu erfüllen sein. Jedes Mal, wenn eine Information über einen Menschen ausgesprochen, gehört oder gesehen wird oder jemand sich personenbezogene Daten merkt, müsste dafür eine Rechtsgrundlage aus Art. 6 DSGVO vorhanden sein. Bei sensiblen Informationen wäre es wegen der Vorgaben aus Art. 9 Abs. 2 DSGVO noch komplizierter. Außerdem würde nicht mehr „die Gedanken sind frei, wer kann sie erraten“ gelten, sondern man könnte per Auskunftsanfrage nach Art. 15 DSGVO von seinen Mitmenschen erfahren, was diese sich zu einem gemerkt haben. Oder gar, wer denn die konkreten Empfänger der ausgesprochenen Daten waren.
Zugegebenermaßen reicht es für eine juristisch belastbare Begründung natürlich nicht aus, nur das Ergebnis zu betrachten. Wenn man sich innerhalb der DSGVO auf die Suche nach einer Antwort begibt, ist diese in Art. 2 Abs. 1 DSGVO und Art. 4 Nr. 2 DSGVO zu finden. Wenn das Aussprechen, Hören, Sehen und Merken von Daten überhaupt eine Verarbeitung wäre, dann käme nur eine „nichtautomatisierte Verarbeitung“ in Frage. Schließlich sind Menschen keine Maschinen. Die DSGVO ist nur auf nichtautomatisierte Verarbeitungen anwendbar, wenn Daten in einem Dateisystem gespeichert sind oder werden sollen. Im Anwendungsbereich von § 26 BDSG entfällt die Notwendigkeit eines Dateisystems ausweislich § 26 Abs. 7 BDSG. Trotzdem muss auch hier weiterhin eine „Verarbeitung“ erfolgen, damit das BDSG überhaupt anwendbar sein kann.
Ausweislich von Art. 4 Nr. 2 DSGVO erfolgt eine Verarbeitung immer mithilfe eines „Verfahrens“, das entweder automatisiert oder nichtautomatisiert erfolgt. Es stellt sich also vor allem die Frage, ob Menschen mit ihrem Mund, den Ohren und Augen und dem Gehirn „Verfahren“ vornehmen. Meiner Ansicht nach kann man argumentieren, dass Menschen mit Sinnen und Organen keine „Verfahren“ durchführen, weil es für ein Verfahren mehr als nur eine Handlung bedarf, die ausschließlich mit dem Mund, den Ohren, den Augen oder im Gehirn erfolgt. Ich bin gespannt darauf, woraus der EuGH die Antwort auf die Vorlagefrage herleiten wird. Gleichzeitig wäre ich sehr überrascht, wenn der Gerichtshof die Vorschriften der DSGVO auf eine mündliche Übermittlung personenbezogener Daten anwenden würde.
Ihr
Philipp Quiel
Dieser Beitrag erschien als Editorial in der Ausgabe 03/2023 des Datenschutz-Berater.