Aktuelles

Auch persönliche Notizen unterfallen der DSGVO

Auch persönliche Notizen unterfallen der DSGVO

Von Thomas Waetke 18. Juli 2018

Auf Messen, Tagungen oder Netzwerktreffen werden Visitenkarten ausgetauscht, und man notiert sich ggf. wichtige Elemente aus einem Gespräch als Gedächtnisstütze. Hotels und Dienstleister notieren sich gerne Gewohnheiten und Hobbies von Gästen bzw. Kunden, um ihren Servive beim nächsten Mal optimieren zu können.

Solche Notizen können den Anforderungen der Datenschutz-Grundverordnung (DSGVO) unterfallen! So hat der Europäische Gerichtshof (EuGH) in einem Verfahren gegen die Zeugen Jehovas entschieden, dass deren handschriftliche Notizen bei Haustürbesuchen eine Datenverarbeitung darstellen (können):

Die Vorschriften über den Schutz personenbezogener Daten sind grundsätzlich nur dann auf die manuelle Verarbeitung von Daten anwendbar, wenn diese Daten in einer Datei gespeichert seien oder gespeichert werden sollten, stellt der EuGH klar. Soweit, soweit auch kein Problem.

Auch handschriftliche Notizen?

Was ist nun aber mit nicht automatisierter, da nur handschriftlicher, Verarbeitung?

Das löst der EuGH so: Handschriftliche Notizen gelten dann als “Datei”, wenn die Daten nach bestimmten Kriterien so strukturiert seien, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar seien. Ein Ordnungssystem als solches ist aber nicht notwendig (z.B. Karteikarten, Verzeichnisse).

So regelt auch Art. 4 Nr. 2 DSGVO:

“Der Ausdruck Datenverarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung”

und Art. 4 Nr. 6:

Dateisystem bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird”.

Also:
Egal ob handschriftlich oder digital: Der Unternehmer muss Maßnahmen zum Schutz fremder personenbezogener Daten ergreifen.

Dazu muss er auch prüfen, wer diese Daten bei ihm verarbeitet: Es kann sich dabei um einen Auftragsverarbeiter handeln (dann muss er einen Auftragsverarbeitungsvertrag schließen), oder einen gemeinsam Verantwortlichen (siehe Art. 4 Nr. 7 DSGVO, dann muss eine Vereinbarung über diese gemeinsamen Verantwortlichkeiten getroffen werden), oder um einen eigenen Beschäftigten, der insoweit unter die eigenen Maßnahmen fällt.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Handschriftliche Notiz: © jcomp - Fotolia.com