117
Zudem müssen nach Art. 4 Nr. 6 die Daten und Einzelangaben nach bestimmten personenbezogenen Kriterien zugänglich sein. Das Kriterium bezeichnet dabei die Merkmale und Kategorien (etwa Name, Beruf, Alter oder Anschrift einer Person) anhand derer die Daten zugänglich gemacht werden.[282] Zugänglich sind die Daten und Einzelangaben dann, wenn sie anhand der Merkmale und Kategorien inhaltlich erschlossen und verfügbar gemacht werden können.[283]
118
Aufgrund der heutigen technischen Möglichkeiten ist daher davon auszugehen, dass jede Form der geeigneten und strukturierten Speicherung von Daten, die eine Auswertung anhand verschiedener Kriterien ermöglicht, als Dateisystem im Sinne des Art. 4 Nr. 6 anzusehen ist.[284] So fallen etwa Personenverzeichnisse oder alphabetische Sortierungen unter die Begriffsdefinition. Auch Akten oder Aktensammlungen unterfallen laut ErwG 15 S. 3 der DS-GVO, sofern sie die Begriffsdefinition des Dateisystems erfüllen.
119
In der Rechtssache C-25/17 (Zeugen Jehovas) befasste sich der EuGH u.a. mit der Frage, welche Anforderungen an den Begriff der „Datei“ nach Art. 2 lit. c DSRL zu stellen sind. Orientiert am größtmöglichen Schutz der betroffenen Person durch eine Datenverarbeitung, losgelöst davon, ob die Verarbeitung personenbezogener Daten automatisiert oder manuell erfolgt, sei der Begriff der „Datei“ weit zu verstehen.[285] Die Voraussetzungen einer Datei sind dann erfüllt, „sofern es sich um eine Sammlung personenbezogener Daten handelt und diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind“.[286] Um unter den Begriff der Datei zu fallen, „muss eine solche Sammlung nicht aus spezifischen Karthoteken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen“.[287] Da sich inhaltlich keine Unterschiede zur Begriffsbestimmung der DS-GVO erkennen lassen, wird man die vom EuGH aufgestellten Parameter auch auf die neue Rechtslage übertragen können. Somit sind die Voraussetzungen eines Dateisystems dann erfüllt, wenn es sich um eine Sammlung personenbezogener Daten handelt und diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie zur späteren Verwendung leicht wiederauffindbar sind.
3. Digitalisierung von Daten und Akten
120
In der Praxis ist insbesondere die Frage bedeutsam, ob die Digitalisierung von ursprünglich nur in Papierform bestehenden Daten und Akten unter die Begriffsdefinition des „Dateisystems“ nach Art. 4 Nr. 6 fällt. Nach ErwG 15 S. 3 fallen Akten oder Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind, nicht in den Anwendungsbereich der DS-GVO. Entscheidend ist deshalb, ob im Rahmen der Digitalisierung von Datenbeständen Ordnungskriterien erstellt werden, die die personenbezogenen Daten zugänglich machen. Sofern die Daten und Akten lediglich als solches eingescannt und abgelegt werden, wird dies nicht der Fall sein. Sobald aber die Dokumente nach einem vorher festgelegten Ordnungsschema abrufbar sind, kann sich die Beurteilung ändern.[288]
1. Allgemeines
121
Art. 4 Nr. 7 definiert den Begriff des „Verantwortlichen“ als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
122
Die Norm weist damit den Verantwortlichen als denjenigen, der über Zweck und Mittel der Datenverarbeitung entscheidet und damit als Adressat der Pflichten aus, die sich aus der DS-GVO ergeben. Art. 4 Nr. 7 bestimmt somit, an wen sich die Vorgaben der DS-GVO bei der Verarbeitung personenbezogener Daten richten und nimmt damit eine Zuweisung der Verantwortung vor.[289]
123
Die Vorgängerregelung von Art. 4 Nr. 7 stellt auf europäischer Ebene Art. 2 lit. d DSRL dar. Während Art. 2 lit. d DSRL den Begriff des „für die Verarbeitung Verantwortlichen“ verwendete, spricht die DS-GVO nunmehr schlicht von „Verantwortlicher“. Inhaltlich ergeben sich aus der geänderten Begrifflichkeit keine Änderungen.[290]
124
Auf nationaler Ebene sprach § 3 Abs. 7 BDSG a.F. – wohl entgegen den Vorgaben der DSRL – von der „verantwortlichen Stelle“. Dabei war insbesondere entscheidend, dass die verantwortliche Stelle die personenbezogenen Daten „für sich“, also für die verantwortliche Stelle selbst, verarbeitet.[291] Damit wurde die Möglichkeit mehrerer gemeinsamer Verantwortlicher nicht erfasst und die Entscheidung über Zwecke und Mittel der Verarbeitung nicht übernommen.[292] Unabhängig von der Frage nach einer daraus folgenden Notwendigkeit einer entsprechenden richtlinienkonformen Auslegung des BDSG a.F.[293], hat dieser Begriff keine Entsprechung in der DS-GVO gefunden und kann mangels Öffnungsklausel nicht beibehalten werden.[294] Ebenfalls nicht zulässig ist das Bestimmen einer Verantwortlichkeit mittels eines nationalen Gesetzes.
125
Art. 4 Nr. 7 ist im Rahmen des Gesetzgebungsverfahrens weitgehend unverändert geblieben. So wurde lediglich im Laufe des Trilog-Verfahrens der anfänglich in den Entwurfsfassungen vorgeschlagene Begriff des „für die Verarbeitung Verantwortlichen“ durch den schlankeren Begriff des „Verantwortlichen“ ersetzt.[295]
126
Der „Verantwortliche“ stellt einen der zentralen Begriffe der DS-GVO dar. Besondere Bedeutung hat die Begrifflichkeit insbesondere im Rahmen der Art. 5 Abs. 2, 24[296],[297], 26[298] und 28[299]DS-GVO. Art. 5 Abs. 2 betrifft die Rechenschaftspflicht des Verantwortlichen. Art. 24 beschreibt die grundsätzliche Verantwortung des Verantwortlichen und der Auftragsverarbeiter. Art. 26 nimmt auf die Begrifflichkeit der gemeinsam Verantwortlichen Bezug, während Art. 28 die Abgrenzung zum Auftragsverarbeiter und dessen Aufgabenkreis betrifft.
127
Daneben ist vor allem die Verzahnung und Abgrenzung zu den Begriffen des Auftragsverarbeiters, Empfängers und des Dritten aus Art. 4 Nr. 8, 9 und 10 zu beachten.
2.