Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Was bedeutet Erheben von Daten im Kontext der DSGVO? Einer der wichtigsten Begriffe

0

Die Verarbeitung von Daten beginnt bereits mit dem Erheben personenbezogener Daten, der frühestmöglichen Verarbeitungstätigkeit. Daraus kann bereits eine Verantwortlichkeit gemäß DSGVO samt zahlreicher Pflichten entstehen. Nur wer Daten erhebt, kann verantwortlich sein. Doch was bedeutet Erheben von Daten?

Warum ist die Datenerhebung ein wichtiger Begriff?

Das Erheben von Daten ist gleichbedeutend mit dem Verarbeiten von Daten. Nur wer personenbezogene Daten verarbeitet oder eine Verarbeitung bei anderen veranlasst, kann verantwortlich dafür sein (und ist es oft auch, wenn Zweck und Mittel bestimmt werden).

Wer Verantwortlicher im Sinne der DSGVO ist, muss sich an die Vorschriften der DSGVO halten. Daher ist es ausgesprochen wichtig zu wissen was Erheben von Daten bedeutet. Der Gesetzestext der Datenschutzgrundverordnung definiert hierzu nichts.

Die folgenden Begriffe werden von mir zur Erklärung dessen, was mit der Erhebung von Daten gemeint ist, eingeführt:

  • Adresse
  • Behälter (im Sinne von Briefkasten oder Puffer)
  • Sammeln
  • Angebot

Sicher wundern Sie sich jetzt über manche dieser Begrifflichkeiten im Kontext der Datenerhebung. Vor allem der Begriff des Behälters, den ich hier einführe, dürfte in Datenschutzkreisen neu sein, wenn man von Aktenvernichtung absieht. Auch die anderen Begriffe tauchen im Gesetzestext der DSGVO nicht (oder teilweise nur sehr eingeschränkt) auf. Vielleicht ist der Begriff Briefkasten besser verständlich, wenngleich er zu konkret und somit unscharf ist.

Weiterhin wird im folgenden zwischen Datenerhebung und Verantwortlichkeit unterschieden. Die Datenerhebung an sich ist noch kein kritisches Datenschutzthema, sondern wird es wohl erst, wenn eine Verantwortung entsteht. Eine Verantwortung wiederum kann nur vorhanden sein, wenn eine Datenerhebung stattfand. Für keine Datenerhebung verantwortlich zu sein ist gleichbedeutend mit keiner Verantwortung.

Einleitung

In Art. 4 Nr. 2 DSGVO ist das Verarbeiten von Daten definiert durch

[…] das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

Definition des Begriffs Datenverarbeitung gemäß Art. 4 Nr. 2 DSGVO

Im Englischen Gesetzestext wird das Wort collection (von to collect) für Erheben verwendet.

Im Gesetzestext findet sich zum Begriff des Erhebens keine Definition. Daher musste ich diesen Artikel schreiben, um Klarheit zu geben.

In diesem Beitrag werden nur Erhebungen personenbezogener Daten im nichtprivaten Bereich betrachtet, die entweder automatisiert oder teilautomatisiert stattfinden oder in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dies entspricht dem in Art. 2 DSGVO geregelten Anwendungsbereich der Datenschutzgrundverordnung, exklusive der in Abschnitt 2 genannten Ausnahmen.

Datenerhebung ist die erste Verarbeitungstätigkeit

Es fällt auf, dass die Tätigkeiten, die eine Verarbeitung bedeuten, in geordneter Folge angegeben sind. Die Ordnung besteht darin, dass die erstgenannte Tätigkeit, das Erheben, die zeitlich erste stattfindende mögliche Tätigkeit der Verarbeitung ist und alle weiteren spätere Verarbeitungsprozesse bedeuten.

Die drei im Gesetzestext letztgenannten Tätigkeiten, die Einschränkung, das Löschen und die Vernichtung klammere ich im Folgenden aus, weil es sich um destruktive Tätigkeiten handelt, die datenschutzrechtlich eher positiv zu bewerten sind, weil sie eine Verantwortlichkeit reduzieren oder wegfallen lassen.

Die Tätigkeiten, die eine Datenverarbeitung bedeuten, sind gemäß Art. 4 Nr. 2 in zeitlich aufsteigender, nämlich in der im Gesetzestext genannten Reihenfolge:

  1. Erheben, danach erst kann das
  2. Erfassen folgen, danach erst ist die
  3. Organisation möglich, ebenso das
  4. Ordnen, danach (oder auch ohne Organisation oder Ordnen) ist die
  5. Speicherung möglich, danach (oder wahlweise vor der Speicherung) die
  6. Veränderung, aber erst nach der Speicherung das
  7. Auslesen oder das
  8. Abfragen. Mit oder ohne Speicherung folgt die Möglichkeit der
  9. Verwendung oder die
  10. Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, ebenso der
  11. Abgleich oder die Verknüpfung.

Diese Reihenfolge ist also kein Zufall und kann kein Zufall sein, da es 11! (11 Fakultät) Möglichkeiten gibt, diese Liste aufzustellen. 11! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39.916.800, also knapp 40 Millionen. Selbst wenn man zwei der elf Begriffspärchen als gleichwertig ansieht, ist die Zahl der Möglichkeiten bei über 300.000. Die Wahrscheinlichkeit, dass die Liste zufällig zustande kam, läge somit bei 1/362.880 = 0,0000028

Der Gesetzgeber hat also ganz eindeutig und ohne jeden Zweifel an den Beginn einer Datenverarbeitung die Erhebung gestellt. Dies wird auch am Titel des Art. 13 DSGVO deutlich: “Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person”.

Wer Daten erhebt, verarbeitet Daten. Die Datenerhebung ist der frühestmögliche Datenverarbeitungsvorgang!

Fazit aus Art. 4 Nr. 2 DSGVO

Die Datenerhebung findet vor der Datenerfassung statt, wie das Gesetz besagt. Erheben bedeutet laut Duden zusammentragen oder sammeln, was sich auch aus dem englischen Gesetzestext (to collect) ableiten lässt.

Das deutsche Wort zusammentragen klingt zunächst etwas befremdlich. Mir ist es nach einigem Nachdenken gelungen, den Begriff zu ergründen und zu belegen.

Das Erheben von Daten bedingt eine Empfängeradresse.

Meine Erkenntnis zur Definition des Begriffs der Datenerhebung.

Eine Datenerhebung kann nur dann stattfinden, wenn eine Adresse benannt ist, an die eine Person eine Nachricht schicken kann. Aus der Adresse kann erstaunlicherweise der Begriff des Erhebens abgeleitet werden! Wie gezeigt wird, muss die Adresse nicht einmal die eines eigentlichen Empfängers sein, sondern kann die eines beliebigen Empfängers sein.

Die Erhebung von Daten kommt also nach dem Empfang und vor dem Erfassen (recording).

Eine Adresse impliziert einen Sammelbehälter. Dies erscheint noch erstaunlicher. Mich erfüllt diese Erkenntnis mit einer gewissen Zufriedenheit, zumal diese Art der Herleitung nirgends zu finden ist.

Ein Behälter wird im Englischen, aber auch in der Informatik, als Container oder Collection bezeichnet. Die Programmiersprache Java kennt das Konzept der Collection und des Containers auch.

Beispiele für Adressen mit Angabe des zugehörigen Behälters sind:

  • Postadresse: Briefkasten
  • E-Mail Adresse: Posteingang (genauer: Posteingangs-Server)
  • IP-Adresse beim Aufruf einer Webseite: Hauptspeicher des Servers
  • Persönliche Unterhaltung: Gehirn des Angesprochenen (Gedächtnis)
  • Telefonnummer/Telefonat: dito
  • Telefonnummer/Anrufbeantworter: “Band”-Aufzeichnung (mittlerweile ja meist digital)

Eine Adresse ist ein über eine eindeutige Kennzeichnung zugänglicher Behälter, dessen Inhalt einem Empfänger offenbart werden kann.

Meine Definition von Adresse im Kontext der DSGVO

Ein toter Briefkasten, der (warum auch immer) objektiv von niemandem geleert werden kann, ist keine Adresse in diesem Sinne. Die Möglichkeit, Kenntnis von Nachrichten zu erlangen, besteht hier nicht. Es gibt in der Informatik das Nullgerät als “virtuelles Ausgabegerät”, “das alles, was an es geschrieben wird, verwirft” (Quelle: Wikipedia, deren Aussage ich als Informatiker bestätigen kann). Das Nullgerät wird auch als NUL-Ziel bezeichnet und ist keine Adresse im Sinne der DSGVO, weil es quasi unmöglich ist, Kenntnis von empfangenen Nachrichten zu erlangen.

Ein Sonderfall ist eine Adresse mit einem Behälter, der nur eine Nachricht gleichzeitig aufnehmen kann. Wird der Behälter nicht rechtzeitig geleert, gehen Nachrichten verloren. Dies ist übrigens bei jedem Behälter mit höherer Nachrichtenkapazität ebenso denkbar. Aus der Praxis ist sicher das Problem eines vollen E-Mail Postfachs bekannt, das keine weiteren Nachrichten aufnehmen kann, bis es geleert wurde. Ein Erheben weiterer Nachrichten ist somit nicht möglich, weil alleine schon das Empfangen nicht möglich war.

Der Begriff des Sammelns (im Behälter) meint zunächst nur eine zwischenzeitliche Aufbewahrung, keine Speicherung oder dauerhafte Speicherung. Dass eine dauerhafte Speicherung bei einigen Behältern möglich ist, steht dem nicht entgegen (Beispiel: E-Mail-Postfach).

Datenerhebung ist die mögliche Kenntnisnahme einer Nachricht durch einen Empfänger, die an eine Adresse gesandt wurde.

Meine Definition des Begriffs der Datenerhebung. Art. 2 Abs. 1 DSGVO muss Anwendung finden

Eine Datenerhebung bedeutet also die mögliche Kenntnisnahme einer Nachricht, die an eine Adresse geschickt wurde. Die tatsächliche Kenntnisnahme kann dabei auch automatisiert erfolgen (dies steht auch in Art. 4 Nr. 2 DSGVO), beispielsweise durch einen Server, der eine Webseite bereitstellt. Die Kenntnisnahme erfolgt durch einen Empfänger. Die Datenverarbeitung muss dabei gemäß Art. 2 Abs 1. DSGVO stattfinden.

Die mögliche Kenntnisnahme wird in der DSGVO mit dem Begriff Empfänger hinterlegt, der in Art. 4 Nr. 9 definiert ist. Ein Empfänger ist demnach eine natürliche oder juristische Person, der personenbezogene Daten “offengelegt” werden.

Unterschied zum Empfangen von Daten

Das Erheben von Daten ist ein späterer Prozess als das Empfangen von Daten. Ein Synonym für empfangen ist erhalten (bekommen). Die Zustellung im postalischen Sinne ist erfolgt, wenn eine Nachricht korrekt bei einer richtigen Adresse angekommen ist, also dediziert empfangen wurde.

Ein Briefkasten empfängt also Nachrichten. Diese gelten in dem Moment als erhalten oder empfangen und in dem Moment des bestimmungsgemäßen Ablegens im Briefkasten als erhoben. Wäre der Briefkasten voll, wären sowohl der Empfang als auch das Erheben der Nachricht nicht möglich (außen vor gelassen, dass ein Postbote den Brief persänlich angeben könnte o.ä.). Geht ein Brief bei einer falschen Adresse ein, etwa durch einen Fehler des Postboten, hat der Inhaber des Briefkastens die Nachricht empfangen, sie aber nicht erhoben.

Ein Briefkasten, dessen Inhalt nur manuell verarbeitet wird bzw. nicht in einem Dateisystem gespeichert wird oder werden soll, ist außerhalb der Betrachtung. Vgl. Art. 2 Abs. 1 DSGVO. Einige Unternehmen setzen aber insbesondere Scanner ein, um jedwede Post automatisiert zu verarbeiten.Insofern wäre der Inhalt des Briefkasten dieser Unternehmen im Anwendungsbereich der DSGVO. Auch das Nutzen von Daten in einer E-Mail oder das Versenden dieser Daten durch eine E-Mail entspricht dem automatisierten Speichern in einem Dateisystem.

Ein Einwurfeinschreiben verdeutlicht den Erhalt bzw. die Erhebung sogar rechtsverbindlich, sofern die Nachricht an die richtige Adresse und in einem ordentlichen Zustand ausgeliefert wurde und der Empfänger faktisch Kenntnis von der Nachricht haben könnte. Als Zustelldatum gilt das von der Post zum Einschreiben fixierte Datum, zu dem der Brief in den Briefkasten des Empfängers gesteckt wurde (oder teilweise dem Empfänger persönlich übergeben wurde, was einen Schritt weiter ginge). Sollte ein ordnungsgemäß zugestelltes Einschreiben direkt danach und nachweislich und ohne Verschulden des Empfängers von einem Dieb aus dem Briefkasten entwendet werden, liegt letztendlich keine Datenerhebung beim Empfänger vor, weil dieser keine faktische Möglichkeit der Kenntnisnahme der Nachricht haben konnte.

Anhand des Einwurfeinschreibens wird die Pflicht deutlich, die ein intendierter Empfänger hat. Ein solcher Empfänger ist faktisch verpflichtet, seinen Briefkasten regelmäßig zu leeren (sofern dies zumutbar ist, würde ich sagen). Wer eine Abmahnung erhält, kann sich bei Verstreichen der Frist schlechterdings darauf berufen, dass er den Briefkasten seit sieben Tagen nicht geleert hat, weil das Wetter so schlecht war. Diese Verpflichtung geht jedoch nicht aus der DSGVO hervor, sondern höchstens aus anderen Rechtsvorschriften, die ich allerdings bisher nicht ausfindig machen konnte und die es anscheinend explizit auch nicht gibt. Rechtsauffassungen aus Urteilen und Meinungsäußerungen durch Juristen lassen aber auf diese Pflicht schließen.

Kenntnisnahme einer Nachricht

Erst, wenn eine Nachricht aus dem Briefkasten genommen wurde, gelangt sie zur Kenntnis. Bei vom Empfänger geleerten Postbriefkästen leuchtet dies unmittelbar ein. Bei Behältern wie dem Gehirn findet dieser Vorgang implizit statt.

Ein Behälter dient dem Ansammeln von Objekten.

Meine Definition des Behälter-Begriffs. im Kontext von Datenschutz sind Daten die Objekte

Bei Behältern (technisch: Container) wie dem Hauptspeicher eines Servers einer Webseite findet der Vorgang der Kenntnisnahme einer Nachricht für den Laien implizit, aber aus technischer Sicht explizit statt (der Server wurde entsprechend programmiert). Ein Server mit einer einzigen eingehenden Netzwerkleitung kann nur ein Signal gleichzeitig verarbeiten. Die Verarbeitung dauert für gewöhnlich länger als die Zustellung. Damit kein Signal (= Nachricht oder Anfrage) verloren geht, puffert ein Server eingehende Signale, bis er sie abarbeiten kann. Ein Puffer ist ein Behälter.

Ist ein Server überlastet und muss somit eine Anfrage verwerfen, war eine Kenntnisnahme faktisch nicht möglich. Dies schließt allerdings ein, dass die Anfrage aus technischen Gründen gar nicht erst angenommen werden konnte, also aufgrund der Limitation der Hardware scheiterte und nicht erst Software-technisch geblockt wurde.

Wer ist Verantwortlicher gemäß DSGVO?

Die bloße Erhebung von Daten macht noch kein Aua. Sie müssen auch verantwortlich für die Datenerhebung sein, damit daraus Pflichten entstehen.

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) ist, wer “allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet”. Wer also personenbezogene Daten zu einem gegebenen Zweck und mit vorgegebenen Mitteln erhebt, ist insbesondere Verantwortlich gemäß DSGVO und muss gemäß Art. 13 DSGVO der betroffenen Person Informationen bereitstellen.

Den Begriff Zweck könnte man auch mit dem Begriff Angebot definieren. Die Bedeutung des Begriffs Angebot ist im weitesten Sinne zu verstehen und von mir hier gewählt, weil Zweck ein recht abstrakter Begriff ist. Ein Angebot kann ein Informationsangebot sein, eine Dienstleistung und dergleichen mehr.

Eine Verantwortlichkeit entsteht erst aufgrund eines Angebots.

Meine Feststellung (für eine tatsächliche Verantwortlichkeit müssen weitere Bedingungen eintreffen)

Ohne Angebot findet keine Verantwortlichkeit statt. Schickt Ihnen jemand unaufgefordert seine Krankenakte, die in Ihren Händen landet, findet bei Ihnen zwar (wahrscheinlich) eine Datenerhebung statt, Sie sind aber nicht verantwortlich dafür.

Sind Sie aber Arzt und bitten Sie einen Patienten, dass er Ihnen die Befunde seines Klinikaufenthalts zukommen lässt, erhebt Ihre Praxis Daten, sobald Ihre Praxis die Befunde Ihres Patienten erhält und diese zur Kentnnis einer Person in Ihrer Praxis gelangen können.

Wäre eine Verantwortlichkeit auch ohne Angebot möglich, könnte jeder einen Dritten zum Verantwortlichen wider Willen machen.

Verantwortlichkeit für erhobene, aber nicht zur Kenntnis gelangte Daten

Hat jemand Daten erhoben und noch keine Kenntnis der Daten erlangt, stellt sich die Frage der faktischen Verantwortlichkeit. Hat jemand also aufgrund seines Angebots eine Nachricht in seinem Briefkasten erhalten und gelangt dieser Brief ohne, dass er Kenntnis vom Inhalt des Brief erlangt hat, an Dritte, ist er dafür verantwortlich? Es kommt darauf an. Ich vermute, dass hier die Sorgfaltspflicht und andere rechtliche Verpflichtungen eine Rolle spielen. Wenn jemand seinen Briefkasten nicht abschließt, ist er nach meinem Dafürhalten datenschutzrechtlich verantwortlich, wenn Dritte den Inhalt des Briefkastens unberechtigte an sich nehmen.

Daten, die dem Verantwortlichen und auch anderen nicht zur Kenntnis gelangten, sondern vom Verantwortlichen ohne Kenntnisnahme erhoben wurden, erzeugen zunächst keine Probleme, aber Verpflichtungen. Ein Dateninhaber kann immerhin die Löschung verlangen, welche dann derart duchzuführen ist, dass der Verantwortliche sich Kentnnis von den erhobenen Daten verschaffen muss, um diese anschließend ordnungsgemäß löschen zu können, ohne andere Daten zu gefährden.

Ähnlich wie bei nicht zur Kenntnis gelangten Daten verhält es sich m.E. auch bei Daten, die man dauerhaft speichert, aber nicht verarbeitet und nicht an Dritte weitergibt. Daraus entsteht kein Problem, aber eine Verpflichtung, beispielsweise eine Sorgfaltspflicht. Ein Löschbegehren wäre dann mit verkürztem Prozess als im vorigen Fall umsetzbar, weil die Kenntnisnahme bereits erfolgte.

Wer Dritte anweist, selbst erhobene, aber nicht zur Kenntnis gelangte Daten weiterzugeben, ist dafür auch verantwortlich.

Gelangen nicht automatisiert und nicht in einem Dateisystem erhobene Daten nicht nur Kenntnis, stellt sich die Frage, ob eine Kenntnis faktisch möglich war und ob anschließend eine automatisierte Verarbeitung oder eine Ablage in einem Dateisystem vorgesehen war. Wenn dies vorgesehen war, sage ich, liegt eine Datenerhebung auch ohne Kenntnisnahme vor.

Beispiel für Datenerhebung: Webseite

Eine (Webseite ist ein Angebot, das den Zweck durch einen Inhalt bestimmt. Es wird durch das Mittel des Internets und anderer technischer Gegebenheiten (HTML etc.) bereitgestellt. In Art. 8 Abs. 1 DSGVO wird der Angebotsbegriff übrigens auch (und zwar erstmals) erwähnt, allerdings bezogen auf die Bereitstellung von elektronischen Diensten, was auf Webseiten zutrifft.

Als Webseite wird hier eine öffentlich zugängliche Internetpräsenz verstanden. Eine passwortgeschützte Präsenz ist ein anderer Fall. Der Passwortschutz muss allerdings direkt auf Server-Ebene stattfinden, damit der Fall ein anderer ist als eine öffentlich zugängliche Webseite. Dies kann durch eine Direktive in der sogenannten .htaccess-Datei bewerkstelligt werden.

Die IP-Adresse ist ein personenbezogenes Datum. Bei jedem Aufruf einer Webseite wird aufgrund des Internet Standards TCP (Transmission Control Protocol) die IP-Adresse des Aufrufers an den Server, der die Webseite bereitstellt, übertragen. Insofern gilt die DSGVO für jede öffentlich zugängliche Webseite.

Daraus entsteht gemäß Art. 4 Nr. 7 DSGVO eine Verantwortlichkeit, weil

  1. eine Datenerhebung stattfindet (siehe weiter oben),
  2. personenbezogene Daten erhoben werden (nämlich mindestens IP-Adressen),
  3. der Zweck vorgegeben wird (Angebot über Inhalt der Webseite),
  4. die Mittel bestimmt werden (Internet etc.)

Jede öffentlich zugängliche Webseite, die einen Zweck verfolgt, bedarf einer Datenschutzerklärung

Grund: Für derartige Webseiten besteht eine Verantwortlichkeit gemäß Art. 4 Nr. 7 DSGVO

Deswegen muss jede öffentlich zugängliche Webseite eine Datenschutzerklärung vorweisen. Die einzige mögliche Ausnahme könnte eine Webseite sein, die kein Angebot darstellt, die also beispielsweise komplett ohne jeglichen Inhalt ist. Aber selbst eine Landing Page einer verfügbaren Web-Adresse, die oft in wenigen Worten die Adresse der gerade besuchten Webseite zum Verkauf anbietet, ist offensichtlich ein Angebot. Auch eine Web-Visitenkarte ist ein Angebot. Wäre sie keines, warum ist sie dann da? Erst recht gilt eine ansonsten leere Webseite mit Impressum als Angebot, außer, das Impressum wurde nachweislich aus einer Übervorsichtigkeit heraus vogehalten. Entweder ist das Impressum nämlich nach § 5 TMG vorgehalten. Dann liegt ein geschäftsmäßiges Angebot vor. Oder das Impressum wurde nach §18 MStV vorgehalten. Dann liegt ein Informationsangebot vor. Oder beides (dies ist der häufigste Fall).

Beispiel für Datenerhebung:E-Mail Kommunikation

Hier sind mehrere Fälle zu unterscheiden, beispielsweise:

  1. E-Mail-Angabe im Impressum einer Webseite: Sie bieten an, dass man Sie anschreibt (in dem Fall, weil Sie gemäß § 5 TMG oder § 18 MStV dazu verpflichtet sind). Jemand nutzt dieses für eine allgemeine Anfrage per E-Mail, und nicht aus rechtlichen Erwägungen heraus
  2. Allgemeines Kontaktformular: Sie bieten ein solches auf Ihrer Webseite an. Jemand nutzt dieses für eine allgemeine Anfrage. Im Hintergrund wird eine E-Mail an Sie geschickt
  3. E-Mail-Angabe als Kontaktmöglichkeit bei Beratungsbedarf: Sie bieten an, dass man Sie anschreibt. Jemand nutzt dieses, weil er Ihr Beratungsangebot annehmen möchte
  4. Kontaktformular bei Beratungsbedarf: Sie bieten ein solches auf Ihrer Webseite an. Jemand nutzt dieses, weil er Ihr Beratungsangebot wahrnehmen möchte. Im Hintergrund wird eine E-Mail an Sie geschickt
  5. Jemand hat mit Ihnen telefoniert. Sie bitten ihn darum, dass er ihnen über die auf Ihrer Webseite genannte Mail-Adresse etwas zuschickt, beispielsweise seine Kontaktdaten, damit Sie dem Anrufer per Mail ein Angebot zusenden können

In allen Fällen liegt eine Datenerhebung vor. Die Fälle 1 und 2 stellen allerdings kein (ersichtliches) Angebot dar, weil kein bestimmter Zweck verfolgt wird (bei rechtlichen Auseinandersetzungen, die über einen Impressumskontakt entstanden sind, mag dies anders sein). Die Fälle 3 bis 5 hingegen stellen ein Angebot mit einem bestimmten Zweck dar.

Aus einer bloßen Datenerhebung ergibt sich zunächst keine Verpflichtung!

Die Verpflichtung entsteht erst, wenn weitere Voraussetzungen zutreffen

Aus einer Datenerhebung ergibt sich an sich noch keine Verpflichtung. Vielmehr müssen Sie für die Datenerhebung verantwortlich sein, damit Verpflichtungen für Sie gemäß DSGVO entstehen.

Bezogen auf die o.g. Fälle der E-Mail-Kommunikation bedeutet dies konkret:

  • Fall 1, die Angabe einer E-Mail-Adresse zur allgemeinen Kontaktaufnahme, weist keinen bestimmten Zweck auf. Aus einer hierüber unaufgefordert erhaltenen Mail entsteht keine Verantwortlichkeit. Analog wäre es, wenn jemand Ihre Mail-Adresse (oder Postadresse) einem Verzeichnis oder Telefonbuch entnimmt und Sie kontaktiert
  • Fall 2, das allgemeine Kontaktformular (ohne Auswahl oder Vorfestlegung eines Anliegens), weist keinen bestimmten Zweck auf. Aus einer hierüber unaufgefordert erhaltenen Botschaft (per Mail oder anders) entsteht keine Verantwortlichkeit
  • Fall 3, die Angabe einer E-Mail-Adresse zum Zweck, Beratung anzubieten (Beratungsangebot), bedeutet das Entstehen einer Verantwortlichkeit
  • Fall 4, das Bereitstellen eines Kontaktformulars, um Beratung anzubieten, bedeutet das Entstehen einer Verantwortlichkeit
  • Fall 5, das Auffordern, dass jemand Ihnen eine persönliche Information zusendet, bedeutet das Entstehen einer Verantwortlichkeit. Sie geben hier das Angebot ab, sich um etwas zu kümmern.

In den Fällen 1 und 2 bestimmen Sie die Mittel, aber nicht den Zweck. In den Fällen 3 bis 5 bestimmen Sie die Mittel und den Zweck, sind also deswegen verantwortlich. Zum Kontaktformular ist regelmäßig eine Einzelfallbetrachtung notwendig, um zu klären, ob tatsächlich ein Angebot vorliegt oder ein Äquivalent zur Angabe einer E-Mail-Adresse zur allgemeinen Kontaktaufnahme (am besten ohne vordergründig werbliche Interessen). Dies ist aber keine Datenschutzfragestellung, sondern eine andere.

Wer ungefragt personenbezogene Daten erhält, sollte eine mögliche Verantwortlichkeit dadurch ausschließen, indem er diese Daten löscht. Beispielsweise könnte eine Datenpanne ansonsten zusätzliche Probleme verursachen (ob dies so ist, müsste man im Einzelfall prüfen).

Ein Verantwortlicher ist oder war ein Empfänger

Nur wer Empfänger von Daten ist oder war oder den Empfang von Daten bei einem Dritten veranlasst, kann Verantwortlicher werden. In den Erwägungsgründen 31, 61, 68 DSGVO sowie in Art. 14 Abs. 3 c DSGVO finden sich für diese Belege an sich logische Konsequenz.

Nur wer Empfänger von Daten war oder ist oder (später) den Empfang bei anderen veranlasst, kann Verantwortlicher werden.

Logische Schlussfolgerung aus dem Gesetzestext der DSGVO

Das Vorhandensein einer Empfänger-Rolle beim Verantwortlichen oder auf Veranlassung durch den Verantwortlichen lässt sich auch dadurch begründen, dass ein Ansammeln von Daten (to collect) nur möglich ist, wenn Daten zum Ansammeln da sind. Diese Daten fallen nicht vom Himmel und werden beim Erheben auch nicht durch Kombination anderer Daten gewonnen, wie die Auflistung in Art. 4 Nr. 2 DSGVO zur Datenverarbeitung klarstellt. Auch die Ausführungen in der DSGVO zur Übermittlung personenbezogener Daten an Drittländer ohne ausreichendes Datenschutzniveau zeigen, dass eine Übermittung notwendig ist, damit ein Datenverarbeitungsvorgang beginnen und eine Verantwortlichkeit entstehen kann. Eine Übermittlung wiederum setzt einen Empfänger voraus.

Veranlassung eines Empfangs durch einen Verantwortlichen

Ihr Hausarzt bitte Sie um Zusendung Ihrer Röntgenbilder, die Sie in der Klinik erhalten haben. Er teilt Ihnen eine falsche Adresse mit. Sie senden Ihre Daten an diese falsche Adresse. Ihr Arzt ist nicht Empfänger der Daten, aber hat den Empfang bei anderen veranlasst. Er ist damit verantwortlich für die Datenerhebung (beim anderen).

Ohne Kontakt zur betroffenen Person kann auch eine Verantwortlichkeit entstehen: Auf einem Plakat bewirbt jemand seine Dienste. Das Plakat fordert zum Zusenden von Daten auf. Die Empfängeradresse wurde falsch angegeben, es handelt sich aber um eine Adresse eines Dritten. Der für das Plakat Verantwortliche wird verantwortlich für die bei einem anderen Empfänger erhobenen Daten, ohne zuvor Kontakt zur betroffenen Person gehabt zu haben. Der Verantwortliche kennt nicht einmal die Daten der betroffenen Person und wird sie ggfs. auch nie kennenlernen.

In diesem Artikel werden Fälle wie diese meistens der Einfachheit halber ausgeklammert. Es wird deswegen verkürzt nur vom Empfänger von Daten gesprochen. Bei externen Links macht es aber einen Unterschied, weshalb dazu später genauer auf diese Thematik eingegangen wird.

Gemeinsame Verantwortlichkeit

Empfängt jemand Daten, weil ein anderer ihm diese zugeleitet hat, kann eine gemeinsame Verantwortlichkeit entstehen. Dies geht u.a. aus dem EuGH-Urteil vom 29.07.2019 – C‑40/17 (“Fashion ID”) hervor. Das EuGH-Urteil thematisiert das Facebook-Plugin. Ein Plugin auf einer Webseite einzubinden heißt technisch, dass (zunächst) sowohl der Betreiber der Webseite als auch Facebook dieselben Daten von Nutzern erhalten (können). Erst, wenn ein Nutzer auf einen vom Plugin bereitgestellten Link oder Button klickt, der zu Facebook führt, kann Facebook weitere Daten erheben, die im ursächlichen Zusammenhang mit der ursprünglichen Datenerhebung stehen.

Welche Auswirkungen das Wissen eines Verantwortlichen bzgl. der Datenverarbeitung bei einem Dritten, dem der Verantwortliche Daten zuleitet, hat, wurde vom EuGH im Fashion-ID Urteil (s.u., RN. 77) thematisiert. Gemeint war dort wohl: Bindet jemand auf seiner Webseite ein Plugin ein und weiß, dass die Verkehrsdaten (mindestens aber die IP-Adresse) des Webseitenbesuchers vom Plugin-Betreiber ausgewertet werden, ist er dafür mit verantwortlich. Dies ist insbesondere dann anzunehmen, wenn der Datenempfänger ein Internetunternehmen ist, dessen Geschäftsmodell auf dem Ausbeuten von Daten basiert.

Als Empänger muss also möglicherweise eine Gruppe von Akteuren verstanden werden, sofern ein Verantwortlicher einem anderen verantwortlichen Daten weiterleitet.

Zuvor kann Facebook allerdings Daten, die Facebook früher vom Nutzer erhalten hat, mit den neuen Daten abgleichen. Dieser Abgleich findet laut EuGH-Urteil nur in der Verantwortlichkeit von Facebook statt (weil Facebook alleinig einen Teil der abgeglichenen Daten empfangen hat). Diese Art der Datenverarbeitung, die nur von Facebook und ohne direkte Weisung durch den Webseitenbetreiber durchgeführt wird, hat auch nur Facebook zu verantworten, wie der EuGH klarstellte (etwa Rn. 85 des Urteils). Allerdings ist das möglicherweise nur dann richtig, wenn der Webseiten-Betreiber nicht wissentlich von diesem Abgleich profitiert.

Irgendwann müssen Daten empfangen worden sein, damit eine Verantwortlichkeit entstehen kann. Wenn auf einer Webseite mehrere Unternehmen als gemeinsam Verantwortliche genannt sind, reicht es aus, dass einer dieser Verantwortlichen Daten empfangen hat, damit die anderen als gemeinsam genannten Verantwortlichen auch dafür (mit) verantwortlich sind. Hier liegt also unter Umständen kein echter, aber ein logischer Datenempfang vor. Zumindest hat eine Gruppe gemeinsam Verantwortlicher (gemeinsam) Daten empfangen. Ein Empfang durch einen in der Gruppe bedeutet gleichzeitig quasi einen Empfang durch alle in der Gruppe bei der Klärung der Frage der Verantwortlichkeit im Außenverhältnis.

Die Gruppe gemeinsam Verantwortlicher ist nach außen hin eine Einheit, aus der man sich wahlweise einen oder alle rauspicken kann. Das gilt jedenfalls für Abmahnungen, soweit ich weiß. Im Innenverhältnis mag es zur Klärung einer Schuldfrage unter den Mitgliedern der Gruppe relevant sein, wer (als einziger) in der Gruppe der Verantwortlichen die Daten tatsächlich empfangen bzw. erhoben hat, damit eine interne Schuldabrechnung stattfinden kann, die eine (außerhalb der Gruppe stehende) betroffene Person aber nicht interessieren muss.

Entsteht eine Verantwortlichkeit beim Einbinden externer Bilder?

Bindet eine Webseite ein Bild von einer Drittadresse ein, werden dabei personenbezogene Daten des Besuchers der Webseite zum Dritten übertragen, und zwar auf Veranlassung des Webseitenbetreibers.

Der Webseitenbetreiber (bzw. der Verantwortliche für die Webseite, der meist identisch ist) ist somit verantwortlich für die Einbindung des externen Bildes. Es geht hier nur um ganz gewöhnliche, statische Bilder eines Dritten, nicht um Zählpixel o.ä. Der Dritte weiß in diesem Beispiel auch nichts von seinem Glück und bietet auch keine Dienstleistung an, wenn das Bild eingebunden wird.

Der Verantwortliche für die Einbindung des externen Bildes muss entweder einen AVV gegenüber dem Dritten vorweisen oder er haftet gemäß Art. 5 Abs .1 c DSGVO (Prinzip der Datenminimierung). Für das externe Einbinden eines statischen Bildes gibt es keinerlei Rechtfertigung, aufgrund derer eine lokale Einbindung nicht möglich oder nicht zumutbar sei.

Bilder sollten somit immer lokal eingebunden werden. In jedem Fall ist das Urheberrecht zu prüfen.

Entsteht eine Verantwortlichkeit beim Setzen externer Links?

Ist ein Linkgeber, also jemand, der auf seiner Webseite einen Link auf eine Dritt-Webseite setzt, für diesen Link datenschutzrechtlich verantwortlich?

Zunächst ist festzustellen, dass eine Datenweitergabe vom Linkgeber an das Linkziel im technischen Sinne nicht stattfindet. Diese findet im Browser des Nutzers statt und zwar auf Veranlassung des Nutzers, weil dieser den Link selbst angeklickt hat. Der Fall, dass ein Link angeklickt werden “muss”, etwa, weil er sich in einem Bestellprozess befindet, soll hier der Einfachheit halber ausgeklammert sein.

Der Linkgeber erhält jedenfalls in seinem Behälter (Briefkasten) nicht dieselben Daten, die beim Klick auf einen Link anfallen. Er erhebt also keine Daten aufgrund des Klicks auf einen Link. Ausgeklammert sei hier der Fall, dass ein Linkgeber sehr wohl die Möglichkeit hätte, Klicks auf Links nachzuverfolgen, etwa mit Hilfe von Google Analytics oder durch eigene JavaScript-Logiken. Dieser Fall würde andere Fragestellungen aufwerfen, die weniger mit externen Links als eher mit dem Nachverfolgen von Nutzern zu tun haben (vgl. etwa Art. 5 Abs. 1 c DSGVO oder § 15 Abs. 3 TMG).

Der Linkgeber bestimmt die Zwecke und Mittel für den externen Link. Der Linkgeber veranlasst den Empfang personenbezogener Daten beim Linkziel. Dafür ist der Linkgeber demnach verantwortlich.

Das Linkziel erhält ausschließlich technisch notwendige Daten durch den Klick auf den Link, die der Linkgeber bereitstellt, durch einer Person. Angenommen sei, dass der Linkgeber in keiner geschäftlichen oder sonstigen vertraglichen Beziehung zum Linkziel steht und die hinter dem Linkziel stehende Verantwortliche auch nicht kennt.

Das Linkziel ist für Datenerhebungen bei sich selbst auch selbst verantwortlich. Es gibt gemäß der eben getroffenen Annahmen keine gemeinsame Verantwortlichkeit. Dies hat auch der EuGH im o.g. Urteil zu Fashion ID festgestellt.

Die Linkquelle ist also zwar verantwortlich, aber im Endeffekt für nichts. Null multpliziert mit Verantwortlichkeit ergibt null. Insofern existiert zwar (in den allermeisten Fällen) eine theoretische, aber keine faktische Verantwortlichkeit beim Linkgeber.

Anders mag es bei Links auf Adressen aussehen, die einen Datenransfer in ein unsicheres Drittland bedeuten. Hier spielt Art. 44 DSGVO eine Rolle, der insbesondere nach dem Privacy Shield Urteil (“Schrems II”) relevant wurde. Ich gehe davon aus, dass der Nutzer beim Klick auf einen erkennbaren externen Link sein Einverständnis für eventuell vorhandene Risiken gegeben hat, wenn er vorher die Chance hatte, davon zu erfahren. Ohne dieses Informationsangebot durch den Verantwortlichen entstünde m.E. eine weitergehende Verantwortlichkeit, die ich hier nicht weiter diskutieren kann.

Die Frage, wie es aussieht, wenn der Linkgeber in Verbindung mit dem Linkziel steht, etwa durch einen Vertrag, soll hier nicht weiter betrachtet werden. Dieser Fall ist übrigens auch sehr selten, verglichen mit dem überwiegendsten Teil an externen Links, für die keine vertragliche o.ä. Beziehung zwischen Linkgeber und Linkziel existiert.

Das Setzen von Links auf rechtswidrige Inhalte oder auf Inhalte, deren Aufruf zu Problemen bei der Einreise in die USA führen könnten, ist eher ein inhaltliches Problem (§ 7 TMG?).

Wann entsteht eine gegenseitige Verantwortlichkeit?

Der Begriff der gegenseitigen Verantwortlichkeit ist von mir und nur hilfsweise eingeführt. Gegenseitige Verantwortlichkeit soll hier heißen, dass zwei Personen miteinander kommunizieren und sich, jeweils auf Veranlassung der vorigen Nachricht des anderen, gegenseitig eine Nachricht als Antwort zusenden.

Die Frage der gegenseitigen Verantwortlichkeit ist eigentlich bereits beantwortet bzw. durch obige Ausführungen beantwortbar, soll aber zur Klarstellung an einem Beispiel illustriert werden.

Jemand schickt Ihnen in Ihrer Funktion als Privatmann unaufgefordert eine Email. Sie antworten. In Ihrer Antwort ist Ihre Privatadresse enthalten, um die Sie aber nicht gebeten wurden (vielmehr ist Ihre Privatadresse in Form einer automatisch eingefügten Signatur Bestandteil jeder Ihrer Mails).

Zunächst sind Sie für die unaufgefordert erhaltene E-Mail nicht verantwortlich im Sinne der DSGVO. Sie haben die erhaltenen Daten nur erhoben, aber kein Angebot gemacht, dass Ihnen die Nachricht geschickt werden soll. Sie verfolgen keinen Zweck damit, dass Ihnen jemand unaufgefordert eine Nachricht schickt.

Der Empfänger Ihrer Antwort erhebt Ihre Daten. Er ist verantwortlich für die aufgrund seiner Anfrage erhaltenen personenbezogenen Daten, nach denen er gefragt hat. Er ist zunächst nicht verantwortlich für die Daten, die Sie ihm unaufgefordert und ohne Zusammenhang zu seiner Anfrage zugeschickt haben. Ob Teile einer Antwort in Zusammenhang mit einer Anfrage stehen könnten, obwohl nicht danach gefragt wurde, muss im Einzelfall geprüft werden. Beispielsweise könnte eine E-Mail Signatur zwingend vorgeschrieben sein (etwa bei geschäftlicher Korrespondenz), woraus eine Verantwortlichkeit beim Empfänger entstehen könnte.

Ist die Weitergabe von unaufgefordert erhaltenen Daten zulässig?

Ja, wenn es hierfür eine Rechtsgrundlage gibt. Beispielsweise dürfen Strafverfolgungsbehörden von Ihnen informiert werden, wenn Sie Inhalte erhielten, die Sie für rechtswidrig halten oder durch die Sie sich bedroht fühlen. Jüngst gab es einen Fall eines Käufers einer Festplatte auf eBay. Der Käufer stellte fest, dass die Festplatte Daten des Vorinhabers der Festplatte, der ungleich dem Verkäufer ist, enthielt. Der Käufer kontaktiere den Vorinhaber als Dateninhaber und übermittelte so die Daten des Dateninhabers an diesen zurück. Wenn ein Dateninhaber seine eigenen Daten von jemandem “zurückerhält”, welcher diese ungewollt erhielt, entsteht hieraus für gewöhnlich kein Problem. Ein Problem könnte entstehen, wenn etwa der Sender eine grob fahrlässige Übermittlungsmethode wählen würde. Auch die kostenfreie, aus Gefälligkeit stattfindende Nachbarschaftshilfe bringt (aus anderen Gründen als dem Datenschutz) erhebliche Pflichten für den Helfenden mit sich!

Die Rechtsgrundlagen der DSGVO für die Datenverarbeitung sind in Art. 6 DSGVO definiert. Im eben genannten Beispiel der Strafverfolgung kann es sein, dass Rechtsgrundlagen aus anderen Gesetzen eine Rolle spielen, denn bei einer Bedrohung geht es im Kern nicht um den Datenschutz. Auch sagt die DSGVO, dass “Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten,” nicht als Empfänger gelten. Sofern Ihre Datenweitergabe an eine Behörde also legitim ist, entsteht der Behörde dadurch keine Verantwortlichkeit gemäß DSGVO, weil ohne Empfänger keine Datenerhebung stattfindet. Ich hoffe, dies stimmt so und nehme gemäß Art. 2 DSGVO an, dass (deswegen) für Behörden eigene Gesetze existieren, die deren Vverantwortlichkeit regeln.

Dürfen Daten beliebig lange aufbewahrt werden?

Mit Daten sind hier personenbezogene Daten gemeint, die ein Verantwortlicher erhoben hat. Sofern eine Person eine Löschung gemäß Artikel 17 DSGVO erlangt, sind Daten entsprechend zu löschen.

Andere Rechtsvorschriften außerhalb der DSGVO erzwingen möglicherweise hingegen eine längere Aufbewahrung, beispielsweise in Steuersachen.

Daten dürfen nur für bestimmte Zwecke verwendet werden und nur unter Einhaltung der Rechtsgrundlagen aus Art. 6 DSGVO. Eine Weiterverarbeitung für andere Zwecke ist gemäß Art. 5 Abs. 1 b DSGVO nicht erlaubt. Eine Aufbewahrung ist allerdings keine Weiterverarbeitung, weswegen diese Rechtsvorschrift nicht greift.

Sofern aufbewahrte Daten nicht weiterverarbeitet werden, ist eine beliebig lange Aufbewahrung meiner Einschätzung nach also erlaubt, sofern der Dateninhaber dem nicht berechtigt widerspricht o.ä. Natürlich gegen auch aus einer Aufbewahrung Pflichten hervor. Ich habe dies nicht tiefer untersucht und freue mich über Rückmeldungen.

Fazit

Die Definition des Begriffs Erheben ist meines Erachtens plausibel und logisch herleitbar. Klar ist, dass Datenerhebung die erstmögliche Datenverarbeitungstätigkeit darstellt. Es bedarf keiner Speicherung oder Auswertung, um Daten bereits erhoben zu haben. Klar ist auch, dass es zur Datenerhebung einer Adresse bedarf, an die eine Nachricht geschickt wird, von der ein Empfänger Kenntnis erlangen kann. Eine tatsächliche Kenntnisnahme ist nicht erforderlich. Die Möglichkeit zur Kenntnisnahme ist ausreichend.

Allerdings scheint eine rein theoretische Möglichkeit der Kenntnisnahme nicht ausreichend, damit eine Datenerhebung vorliegen kann. Vielmehr muss eine tatsächliche Möglichkeit der Kenntnisnahme vorliegen. Vgl. das Beispiel des vollen E-Mail Postfachs oder des direkt nach Briefzustellung in Flammen aufgegangenen Briefkastens.

Wer personenbezogene Daten für eigene Zwecke mit selbst gewählten Mitteln erhebt, ist verantwortlich und demnach verpflichtet, die personenbezogenen Daten nur nach den Vorgaben der DSGVO zu behandeln.

Die explizite Angabe, dass ein Verantwortlicher ein Empfänger sein muss oder den Empfang bei Dritten veranlasst haben muss, fehlt im Gesetzestext der DSGVO aus mir nicht näher bekannten Gründen (falls ich irre, bitte ich um Rückmeldung). Meine Annahme ist, dass dies dem Umstand der Komplexität der DSGVO geschuldet ist oder dass angenommen wurde, dass aus dem Begriff der Übermittlung eine Empfängerrolle offensichtlich wird. Ohne zuvor Daten empfangen zu haben, können Daten anderer nicht voliegen.

Verantwortlich wird jemand auch nur, wenn er ein Angebot bereitstellt, was in der DSGVO als Zweck bezeichnet wird.

Ich halte es für brilliant, die Datenerhebung bzw. das Sammeln (Originaltext: Collection) oder Ansammeln von Daten in der DSGVO als erstmöglichen Datenverarbeitungsvorgang definiert zu haben und überhaupt auf das Konzept des Ansammelns abgestellt zu haben. Kaum jemand käme direkt auf die Idee, dass (immer) eine Datenansammlung stattfindet, nachdem Daten für eine Adresse erhalten und dem Empfänger offengelegt wurden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Die Datenschutzerklärung ist auf vielen Webseiten nicht verfügbar, auch wenn Sie es nicht glauben