Welche Daten und Handlungen sind von der Datenschutzgrundverordnung erfasst?

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Daten und Handlungen von der Datenschutzgrundverordnung erfasst werden.
Der Begriff der personenbezogenen Daten ist ähnlich umfassend, wie unter den bisher bestehenden Regelungen. Unter „personenbezogene Daten“ versteht man nach der Datenschutzgrundverordnung alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Datenschutzgrundverordnung umfasst personenbezogene Daten

Im Ergebnis ist von personenbezogenen Daten und damit grundsätzlich einer Anwendbarkeit des Datenschutzrechts nach der Datenschutzgrundverordnung immer auszugehen, wenn Informationen oder Daten in irgendeinem Zusammenhang mit einer natürlichen Person stehen oder ein solcher Zusammenhang hergestellt werden kann. Die Definition ist also sehr weit.
Unternehmensdaten, wie nach österreichischem Vorbild diskutiert, wurden nicht in den Anwendungsbereich der Verordnung einbezogen. Dafür werden die Begriffe „genetische Daten“ und „biometrische Daten“ erstmals ausdrücklich definiert. Sie alle stellen besondere Kategorien personenbezogener Daten dar (sog. „sensible Daten“, siehe dazu Frage 16.e.).

Datenschutzgrundverordnung fasst den Begriff der Verarbeitung weit

Auch der Begriff der Verarbeitung ist weit gefasst, als jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
Somit beinhaltet Verarbeitung praktisch jede Art des Umgangs mit personenbezogenen Daten. Insbesondere wird jeder Umgang mit personenbezogenen Daten erfasst, die in Computern oder anderen digitalen Medien gespeichert sind. Der Begriff des Profilings wird ausdrücklich definiert und geregelt (siehe hierzu näher Frage 17 in der Checkliste zur Datenschutzgrundverordnung). Anonyme Daten werden nach den Erwägungsgründen vom Anwendungsbereich der Verordnung ausdrücklich nicht abgedeckt, für sie gelten die datenschutzrechtlichen Regeln nicht. Schließlichm enthält die Verordnung spezifische Bestimmungen für die Verarbeitung von Daten von Kindern.