Kategorien
Neueste Beiträge
Mündliche Übermittlung eine Verarbeitung gemäß der DSGVO
Ein finnisches Gericht legte dem EuGH (Europäischer Gerichtshof) am 2.12.2022 u. a. die Frage vor, ob eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung gemäß Art. 4 Nr. 2 DSGVO darstellt (Rechtssache: C-740/22). Während wir gespannt auf die Antworten des EuGH warten, spekulieren wir, wie eine Antwort für oder gegen die Einordnung einer mündlichen Übermittlung personenbezogener Daten als Verarbeitung i. S. d. DSGVO-Definition begründet werden könnte und was die Folgen für Verantwortliche wären, falls eine mündliche Übermittlung als „Verarbeitung“ einzuordnen ist.
Verarbeitung gemäß der DSGVO
Schauen wir uns also zuerst an, was gemäß der DSGVO unter der Verarbeitung von personenbezogenen Daten zu verstehen ist. Art. 4 Nr. 2 DSGVO sagt, dass „[…] jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung […]“ eine Verarbeitung personenbezogener Daten darstellt. Kurz gefasst kann man sagen, dass alles, was ein Verantwortlicher mit Informationen über lebende Menschen macht, als Verarbeitung im Datenschutzsinn angesehen wird. Die Definition ist denkbar weit, um einen umfassenden Schutz personenbezogener Daten zu gewährleisten. – Mehr zur Verarbeitung personenbezogener Daten können Sie hier lesen. –
Übermittlung als Verarbeitung
Die DSGVO nennt die Übermittlung personenbezogener Daten also klar als eine Verarbeitungstätigkeit. Ob diese Übermittlung dabei nun schriftlich oder mündlich erfolgen muss, spezifiziert sie nicht. Die Folge ist also, dass auch mündlich, also bei Gesprächen – welcher Art auch immer – darauf zu achten ist, keine personenbezogenen Daten ohne Rechtsgrundlage mitzuteilen.
Der sachliche Anwendungsbereich der DSGVO
Es ist allerdings auch wichtig, den sachlichen Anwendungsbereich der DSGVO zu beachten. Dafür müssen wir uns Art. 2 DSGVO ansehen. Dabei gibt Abs. 1 dieses Artikels an, dass die DSGVO „[…] für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, gilt. Folglich stellen auch – grob gesagt – ohne Computer ausgeführte Verfahren Verarbeitungen gemäß der DSGVO dar, wobei das Gesetz nur Beispiele nennt, die nicht abschließend sind. Dies geht aus den Worten „wie das“ (Art. 4 Nr. 2 DSGVO) hervor.
Die mündliche Übermittlung ist eine nicht automatisierte Verarbeitung von Daten, die nicht in einem Dateisystem gespeichert sind, sondern im Gehirn der Person, die die Information mündlich preisgibt und der Person, die die Information erhält. Es kommt also für den Anwendungsbereich der DSGVO bei mündlich übermittelten Daten darauf an, ob diese in einem Dateisystem gespeichert werden sollen, ob sich der Empfänger die Informationen also systematisch notieren soll. Ohne Absicht der systematischen Datenerfassung wäre die mündliche Übermittlung zwar eine Verarbeitung gemäß der DSGVO, die aber nicht in den Anwendungsbereich der DSGVO fiele.
Der wissenschaftliche Dienst des Bundestages
Ein erster Hinweis gibt der wissenschaftliche Dienst des Bundestages, der seiner Ausarbeitung „COVID-19-Impfnachweis als Bedingung für einen Vertragsschluss“ unter 2.2 schreibt, das „[…] bloße In-Augenschein-Nehmen von Daten ohne schriftliche Fixierung fällt dagegen nicht in den Anwendungsbereich der DSGVO, da keine Daten in einem Dateisystem gespeichert werden.“
Ein Urteil des EuGH
Dagegen spricht wiederum ein Urteil des EuGH (Rechtssache: C‑25/17). Hier spricht der EuGH zwar von der Richtlinie 95/46, die durch die DSGVO abgelöst wurde, aber es gibt einen Hinweis auf eine etwaige Entscheidung des EuGH. Demnach „[…] regelt Art. 2 Buchst. c der Richtlinie 95/46 weder die Modalitäten, nach denen eine Datei strukturiert werden muss, noch die Form, die sie aufweisen muss. Insbesondere geht weder aus dieser noch aus irgendeiner anderen Bestimmung dieser Richtlinie hervor, dass die in Rede stehenden personenbezogenen Daten in spezifischen Kartotheken oder Verzeichnissen oder einem anderen Recherchesystem enthalten sein müssten, damit das Vorliegen eines Dateisystems im Sinne dieser Richtlinie bejaht werden kann.“ Könnte man hiernach das Gehirn in abstrakter Weise eventuell doch als „Dateisystem“ auffassen?
Des Weiteren macht der EuGH im selben Urteil die Aussage, dass „[…] mit dem Erfordernis, dass die Sammlung personenbezogener Daten „nach bestimmten Kriterien strukturiert“ sein muss, nur gemeint ist, dass die Daten über eine bestimmte Person leicht wieder auffindbar sind.“ Auch das spricht gegen die Einordnung des Gehirns als Dateisystem. Die Person, die eine bestimmte Information zu einer Person hat, erinnert sich kurz, „schaut also mal soeben in den eigenen Dateien nach“.
Juristische Kommentarliteratur
Zu dem Ergebnis, dass eine Übermittlung jeglicher Art eine Verarbeitung gemäß der DSGVO darstellt, kommt jedenfalls ohne vertiefte Problematisierung die juristische Kommentarliteratur in Deutschland:
„Bei einer Übermittlung kommen alle Formen der Bekanntgabe in Betracht. Dabei spielt auch die Form der Weitergabe (schriftlich, mündlich, per Fax, E-Mail oder durch Weitergabe von Datenträgern selbst) keine Rolle (Roßnagel DatenschutzR-HdB/Schild Kap. 4.2 Rn. 72).“ (BeckOK DatenschutzR/Schild, 42. Ed. 1.11.2022, DS-GVO Art. 4 Rn. 50)
„„Übermittlung“ („transmission“) ist die Mitteilung an individuell bestimmte Adressaten, sei es mündlich, schriftlich, elektronisch oder in anderer Weise. Dass die Zahl der Adressaten hoch sein mag (wie bei einem E-Mail-Newsletter an einen großen Verteiler), ändert nichts an der Qualität als Übermittlung an jeden einzelnen.“ (Sydow/Marsch DS-GVO/BDSG/Reimer, 3. Aufl. 2022, DS GVO Art. 4 Rn. 69)
„„Offenlegung“ (disclosure) wird in der DS-GVO als Oberbegriff für alle Vorgänge verwendet, durch die der Verantwortliche personenbezogene Daten anderen Stellen in der Weise zugänglich macht, dass diese Kenntnis vom Informationsgehalt der betreffenden Daten erlangen können.“ (Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 4 Nr. 2 Rn. 29)
„Eine Übermittlung liegt vor, wenn personenbezogene Daten gezielt einem oder mehreren individuell bestimmten Adressaten mitgeteilt werden. Die Art und Weise der Übermittlung spielt insoweit keine Rolle, sodass die Übermittlung z.B. schriftlich, elektronisch, mündlich oder auch durch Übergabe eines Datenträgers erfolgen kann.“ (Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4 Rn. 88, 89).
Mögliche Entscheidung
Wenn wir das Urteil des EuGH einbeziehen, besteht die Möglichkeit, dass der EuGH die Frage, ob eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung gemäß Art. 4 Nr. 2 DSGVO darstellt, mit einem Ja beantworten könnte.
In der Praxis
Mögliche Auswirkungen in der Praxis wären dann, dass beispielsweise Gesprächsbeteiligte darauf achten müssten, keine personenbezogenen Daten preiszugeben, zu deren Preisgabe sie nicht befugt sind, selbst wenn sie sich diesbezüglich nicht sicher sind. Streng gesehen, wäre demnach schon beim sogenannten „Small-Talk“ zu vermeiden, zufällig private Daten zu einem Kollegen preiszugeben. Die Preisgabe dieser Daten ist schließlich nicht notwendig, um einen Vertrag anzubahnen oder solch einen zu erfüllen (Art. 6 Abs. 1 lit. b) DSGVO). Nun wird sich ein Gegenüber die jeweiligen Informationen nicht zwangsläufig aufschreiben, sondern im Gedächtnis behalten, sofern es die Information für wichtig hält. In Abhängigkeit davon, wie der EuGH entscheidet, verarbeitet das Gegenüber diese personenbezogenen Daten dann möglicherweise gemäß der DSGVO.
Schon umgesetzt
Teilweise könnte man aber auch sagen, dass eine mögliche bejahende Antwort des EuGH in der Praxis tatsächlich schon umgesetzt wird. In Unternehmen gibt es Richtlinien, dass Passwörter nicht weiterzugeben sind, selbst wenn man es jemandem mal soeben mündlich angibt, damit er es eingeben kann. Des Weiteren gibt es oftmals Anweisungen, dass darauf zu achten ist, dass beispielsweise bei Telefonaten (z. B. mit Bewerbern, Beschäftigten etc.) unbefugte Personen nicht mithören können. Auch in einer Arztpraxis sollte der Rezeptionsbereich akustisch vom Wartebereich getrennt sein. Dies ist auch ein Beispiel dafür, dass bei Gesundheitsdaten und bei Berufsgeheimnisträgern (siehe § 203 StGB) noch strengere Anforderungen an die Offenbarung von Geheimnissen gelten.
„Haushaltsausnahme“
Allerdings ist auch in Betracht zu ziehen, wann eine mündliche Übermittlung von personenbezogenen Daten in den geschäftlichen und wann in den privaten Bereich fällt. Unterhalten sich beispielsweise Beschäftigte darüber, was ein anderer Kollege für seinen Urlaub zu einem bestimmten Datum geplant hat, kann man argumentieren, dass dies in den privaten Bereich fiele. Folglich würde die DSGVO nicht greifen.
Fazit
Egal, wie der EuGH die Frage beantwortet, Verantwortliche müssen die Vorgaben der DSGVO dennoch weiterhin umsetzen. Das schließt die Erfüllung der Informationspflicht gemäß Artt. 13 und 14 DSGVO ein (Datenschutzinformationen). Es muss Richtlinien zum Datenschutz und zur -sicherheit geben. Etwaige datenschutzrechtlich relevante Verträge sind zu prüfen und abzuschließen (Auftragsverarbeitungsverträge nach Art. 28 Abs. 3 DSGVO, Verträge zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO). Das Verzeichnis von Verarbeitungstätigkeiten ist zu führen und aktuell zu halten. Dies und weitere Dokumente zum Datenschutz sind also nicht zu vernachlässigen.
Sie wünschen Unterstützung und Beratung hierzu und zu allen Themen im Zusammenhang mit dem Datenschutz sowie eine Datenschutzsensibilisierung der Beschäftigten? Kontaktieren Sie uns gern heute für ein unverbindliches Angebot.
___________________________________________________________________
Update
Nun gab es auch ein Urteil des EuGH in der Rechtssache C‑740/22, wonach Artt. 2 Abs. 1 und 4 Nr. 2 DSGVO so auszulegen sind, dass eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten i. S. d. DSGVO darstellt. In diesem Fall ging es um die mündliche Auskunft zu möglicherweise verhängte oder bereits verbüßte Strafen bezüglich einer natürlichen Person.