Der Verantwortliche
Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; der also bestimmt „warum“ und „wie“ personenbezogene Daten erhoben und verarbeitet werden.
Die einzelnen Einrichtungen, lokalen Gruppierungen, Vorstandsmitglieder, sowie Mitarbeiter eines Vereins sind als ein und derselbe für die Verarbeitung Verantwortliche anzusehen, solange sie in der Ausübung der Missionen des Vereins aktiv sind. Die Mitglieder und Dachverbände sind hingegen prinzipiell in Bezug auf den Verein als Dritte anzusehen.
Der Auftragsverarbeiter
Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag und auf Anweisung des Verantwortlichen verarbeitet.
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person kann:
- direkt (z.B. durch ihren Namen, Vornamen, ihre Adresse oder eine namentliche E-Mail-Adresse); oder
- indirekt identifiziert werden (z.B. mittels Zuordnung zu einem Benutzernamen (Mitgliedsnummer), zu einer Kennnummer (Telefonnummer), zu biometrischen Daten (Fingerabdrücke) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck seiner physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind).
Eine Person kann identifiziert werden auf Grund von:
- nur einer einzigen Information (z.B.: der Name, Vorname oder eine namentliche E-Mail-Adresse);
- einer Kombination von mehreren Daten, ohne den Vornamen und Namen der betroffenen Person zu erwähnen (z.B.: ein Sportler, geboren an jenem Datum, der während einem bestimmten Wettkampf an diesem Tag und Ort einen nationalen Rekord über die 100 Meter erzielt hat).
Bei anonymen oder anonymisierten Daten (Informationen, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr vom Verantwortlichen oder einem Dritten identifiziert werden kann) appliziert sich die DSGVO nicht. Das vorherige Beispiel des Sportlers, der einen nationalen Rekord aufgestellt hat, zeigt jedoch, dass das Löschen des Namens, Vornamens und der Adresse nicht ausreichend ist, um einen ganzen Datensatz zu anonymisieren. In diesem Fall ist von pseudonymisierten Daten die Rede, welche in den Anwendungsbereich der DSGVO fallen.
Verarbeitung personenbezogener Daten
Eine Verarbeitung von personenbezogenen Daten ist jeder ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, ganz gleich welches Verfahren benutzt wurde. Die DSGVO zählt eine ganze Reihe von verschiedenen Verarbeitungsarten auf, wie zum Beispiel das Erheben, die Speicherung, die Anpassung oder Veränderung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, oder auch das Löschen oder die Vernichtung.
Eine Datenverarbeitung muss nicht automatisiert sein: geordnete Papierakten (z.B: alphabetisch oder chronologisch) sind ebenfalls betroffen und müssen auf die gleiche Art und Weise geschützt werden.
Hinzu kommt, dass die DSGVO nicht für personenbezogene Daten Verstorbener gilt, wie zum Beispiel im Falle einer Veröffentlichung in einer Vereinszeitung eines Nachrufes betreffend ein ehemaliges Mitglied, unter der Bedingung, dass die Würde und das Privatleben der Familienangehörigen des Verstorbenen respektiert werden.
Zusammenfassend finden Sie nachfolgend ein Beispiel, das die verschiedenen Begriffe beinhaltet: Ein Sportsverein, der durch seinen Präsidenten und die anderen Mitglieder des Vorstandes (Entscheidungsorgan) vertreten wird, ist insgesamt als ein und derselbe für die Verarbeitung Verantwortliche anzusehen, in dem er das „warum“ und „wie“ der Datenverarbeitungen entscheidet. Der Verein entschließt sich, eine Excel-Tabelle auszuarbeiten, die eine Liste mit den aktiven und nicht-aktiven Mitgliedern beinhaltet. Diese Liste enthält folgende Informationen: Namen, Vornamen, Postadressen und E-Mail-Adressen. Diese Datei dient zur Verschickung von Newsletter und zur Einberufung der Generalversammlungen. Der Sportsverein hat eine Firma WWW damit beauftragt, eine Internetseite zu erstellen, damit Personen sich informieren und dem Verein beitreten können.
Die erhobenen Daten sind als personenbezogene Daten einzustufen, da die Mitglieder eindeutig identifiziert werden können. Die Daten werden für eindeutige Zwecke erhoben: die administrative Verwaltung der Mitglieder, das Verschicken von Newsletter und die Einberufung der Generalversammlungen. Die einzelnen Vorgänge, wie das Erfassen und Verschicken von Informationen, sind als verschiedene Verarbeitungen anzusehen. Schlussendlich ist die Firma WWW als Auftragsverarbeiter des Sportsvereins zu betrachten, indem sie nur im Auftrag und auf Anweisung des Vereins handelt.