dass die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Darüber hinaus ist davon auszugehen, dass neben Verstorbenen auch Nascituri (Ungeborene) nicht vom Begriff der natürlichen Person umfasst sind.[31] Die MS können jedoch auf nationaler Ebene Regelungen für den Umgang mit Daten von Verstorbenen vorsehen.
Von einer eindeutigen Identifizierung spricht man, wenn die Identität der betroffenen Person unmittelbar aus der Information selbst ableitbar ist. Eine Identifizierbarkeit ergibt sich hingegen aus der Kombination mit anderen Informationen.[32] Sofern es sich nur um anonymisierte Daten handelt, gelangt die DSGVO nicht zur Anwendung.
1.3.2 Verarbeitung
Unter Verarbeitung ist gemäß Art 4 Z 2 DSGVO jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, zu verstehen“. Dabei handelt es sich um einen zentralen Begriff in der DSGVO, der sämtliche datenschutzrechtlich relevante Vorgänge in Bezug auf personenbezogene Daten umfassen soll. Die Aufzählung der Verarbeitungsvorgänge ist demgemäß lediglich demonstrativ.[33]
Die Bestimmung spricht von Vorgängen, die „mit oder ohne Hilfe automatisierter Verfahren“ durchgeführt werden können. Dabei handelt es sich um einen Verweis auf die Technikneutralität der DSGVO.[34] Sofern der sachliche Anwendungsbereich der DSGVO (zB Speicherung im Dateisystem) eröffnet ist, kann die Verarbeitung auch manuell (nicht-automatisiert) erfolgen.
1.3.3 Verantwortlicher und Auftragsverarbeiter
Abgesehen von der betroffenen Person als sogenanntes „Schutzsubjekt“ der DSGVO nehmen die beiden zentralen Rollen der DSGVO der Verantwortliche und der Auftragsverarbeiter ein:
Verantwortlicher im Sinne des Art 4 Z 7 DSGVO ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Verantwortliche ist derjenige, der dafür Sorge zu tragen hat, dass die Vorgaben der DSGVO eingehalten werden. Er ist somit Hauptadressat der Pflichten aus der DSGVO.[35]
Auftragsverarbeiter ist nach Art 4 Z 8 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Entscheidend ist daher, dass der Auftragsverarbeiter ausschließlich im Auftrag des Verantwortlichen tätig wird. Er ist in der Verarbeitung der personenbezogenen Daten streng weisungsgebunden. Sobald der Auftragsverarbeiter personenbezogene Daten zu eigenen Zwecken verarbeitet bzw. eigenständig über Mittel und Zwecke der Verarbeitung bestimmt, ist er als Verantwortlicher zu qualifizieren.
1.4 Grundprinzipien der DSGVO
Art 5 DSGVO enthält Grundsätze, denen jede Verarbeitung personenbezogener Daten – soweit diese in den Anwendungsbereich der DSGVO fällt – entsprechen muss.[36]
1.4.1 Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz
Personenbezogene Daten müssen auf
+rechtmäßige Weise,
+nach Treu und Glauben und
+in einer für die betroffene Person nachvollziehbaren Weise
verarbeitet werden.
Art 5 Abs 1 lit a DSGVO enthält somit drei Grundsätze:
1.4.1.1Rechtmäßigkeit
Damit eine Datenverarbeitung vorgenommen werden darf, muss sich diese auf eine Einwilligung der betroffenen Person oder eine andere gesetzliche Erlaubnisgrundlage (Art 6 Abs 1 DSGVO) stützen.[37] Weitere Anforderungen an die Rechtmäßigkeit ergeben sich aus den Regelungen zur Einwilligung (Art 7 und Art 8 DSGVO), zur Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art 9 DSGVO), zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Kapitel V der DSGVO) und für besondere Verarbeitungssituationen (Kapitel IX der DSGVO).[38]
1.4.1.2Treu und Glauben
Aus dem Grundsatz der Verarbeitung nach Treu und Glauben ergibt sich das Erfordernis einer fairen Verarbeitung.[39] Dementsprechend besteht die Möglichkeit, dass eine grundsätzlich rechtmäßige Datenverarbeitung als rechtswidrig qualifiziert wird, wenn sie unfair ist, beispielsweise weil sie das Vertrauen der betroffenen Person missbraucht.[40] Gleiches könnte gelten, wenn eine betroffene Person durch die an sich rechtmäßige Verarbeitung ihrer personenbezogenen Daten benachteiligt wird und ein Kräfteungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen besteht.[41] Letzteres wird im B2C-Bereich regelmäßig der Fall sein.
1.4.1.3Transparenz
Eine Datenverarbeitung muss gegenüber der betroffenen Person hinreichend transparent erfolgen. Dem Betroffenen soll es daher möglich sein, zu erkennen, dass und in welchem Umfang die sie betreffenden personenbezogenen Daten verarbeitet werden bzw. werden sollen. Diesbezügliche Informationen und Mitteilungen müssen verständlich und in klarer und einfacher Sprache abgefasst werden[42] und für die betroffene Person außerdem leicht zugänglich sein. Insbesondere betrifft dies die Information über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und etwaige Risiken im Zusammenhang mit der Datenverarbeitung (ErwGr 39 DSGVO). Diese Transparenzanforderungen werden durch die Bestimmungen der Art 12 bis Art 15 DSGVO ergänzt.
Die Pflicht, umfassend zu informieren, muss jedoch von Unternehmen nicht zum Anlass genommen werden, über alle nur denkbaren Verarbeitungsschritte und Verwendungssituationen zu informieren. Von überschießenden Informationen ist Abstand zu nehmen, wenn es die Verständlichkeit und Einfachheit der erteilten Informationen negativ beeinflusst. Vielmehr ist es erforderlich, situationsgerecht zu informieren, d. h. es sollen nur jene Informationen bereitgestellt werden, die für die jeweilige Handlungs- und Entscheidungssituation relevant sind.[43]
Der Grundsatz der Transparenz betrifft auch Systeme der Informationstechnik. Ein solches System muss so ausgestaltet sein, dass für die betroffene Person erkennbar ist, was das System tut bzw. tun kann und wie sich das System mit der Zeit verändern kann.[44]
1.4.2 Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art 5 Abs 1 lit b DSGVO).
Die Zwecke der Datenverarbeitung müssen jedenfalls schon vor der Datenerhebung – in dokumentierter Form[45] – festgelegt werden.[46] Auch sollten Unternehmen zu unspezifische Zweckbeschreibungen vermeiden. Als zu unspezifisch gelten wohl Formulierungen wie „Die Daten werden zu Marketing-Zwecken“ oder „zur Verbesserung der Benutzerfreundlichkeit erhoben“.[47]
Ändert sich der Zweck der Datenverarbeitung, werden durch den Zweckbindungsgrundsatz nur solche Weiterverarbeitungen ausgeschlossen, deren Zwecke
