Dipl.-Volksw. Fritz Schmidt
2.1 Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach der Rechtsprechung des Europäischen Gerichtshofs ist der Begriff der personenbezogenen Daten weit auszulegen.
2.2 Besondere Kategorien personenbezogener Daten
Weiter gehenden Schutz genießen die besonderen Kategorien personenbezogener Daten ("sensible Daten"). Nach Art. 9 DSGVO handelt es sich dabei um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso fallen darunter genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
2.3 Betroffener (Art. 4 Nr. 1 DSGVO)
"Betroffener" ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.
2.4 Unternehmen (Art. 4 Nr. 18 DSGVO) und Unternehmensgruppe (Art. 4 Nr. 19 DSGVO)
"Unternehmen" ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform.
Eine "Unternehmensgruppe" ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Jedes Unternehmen der Unternehmensgruppe wird als eigenständige Einheit behandelt und hat für sich die Verpflichtungen aus der DSGVO zu erfüllen.
Erleichterungen für Unternehmensgruppen bestehen nur nach Art. 37 Abs. 2 DSGVO und Erwägungsgrund 48. So darf die Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er von jeder Niederlassung aus leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO), und es dürfen personenbezogene Daten (einschließlich Kunden- und Beschäftigtendaten) innerhalb der Unternehmensgruppe für interne Verwaltungszwecke übermittelt werden. Für alle anderen Verarbeitungen innerhalb der Unternehmensgruppe gelten die allgemeinen Regelungen der DSGVO.
2.5 Empfänger (Art. 4 Nr. 9 DSGVO)
"Empfänger" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden.
2.6 Verantwortlicher (Art. 4 Nr. 7 DSGVO)
"Verantwortlicher" ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Bei Kapitalgesellschaften oder Genossenschaften ist Verantwortlicher das Unternehmen, nicht die Geschäftsleitung. Das Geschäftsführungsorgan bestimmt zwar im Rahmen der Geschäftsführungsbefugnis die Organisation und die Betriebsmittel, doch sind dies die Betriebs- und Organisationsmittel der Kapitalgesellschaft. Scheidet das Geschäftsführungsorgan aus, bleiben die Betriebs- und Organisationsmittel der Kapitalgesellschaft unverändert.
Zum Verantwortlichen bei der Wohnungseigentumsverwaltung siehe Datenschutz bei der Verwaltung von Wohnungseigentum.
In verschiedenen Gerichtsurteilen werden auch die Geschäftsführungsorgane als Verantwortliche i. S. d. DSGVO angesehen. Diese Rechtsprechung ist abzulehnen und Ausfluss des § 41 BDSG i. V. m. § 30 OWiG, da nach § 30 OWiG die Verhängung von Bußgeldern gegen Unternehmen nur möglich ist, wenn ein Geschäftsführungsorgan eine Pflichtverletzung begangen hat und gegen dieses Geschäftsführungsorgan auch ein Bußgeld verhängt wird. Vor dem EuGH ist ein Verfahren anhängig, ob aus Art. 83 DSGVO direkt ein Bußgeld gegen Unternehmen verhängt werden kann, ohne dass eine Pflichtverletzung des Geschäftsführungsorgans vorliegen muss (vgl. Sanktionen bei Datenschutzverstößen.
Nach der DSGVO haben Verantwortliche zahlreiche Verpflichtungen zu erfüllen, z. B. Dokumentations- und Informationspflichten. Wären neben dem Unternehmen auch die Geschäftsführungsorgane Verantwortliche i. S. d. DSGVO, so hätten sie neben dem Unternehmen Dokumentationen zu führen und Informationspflichten zu erfüllen, die mit denen des Unternehmens identisch wären. Bei mehreren natürlichen Personen als Geschäftsführungsorgane hätte man dann diese Pflichten für jedes Mitglied des Geschäftsführungsorgans zu erfüllen. Dies würde den mit der Einhaltung der DSGVO verbundenen Bürokratieaufwand vervielfachen, aber zu keiner Verbesserung beim Datenschutz führen. Eine Klarstellung ergibt sich ggf. durch das beim EuGH anhängige Verfahren C 807/21.
2.7 Technisch organisatorische Maßnahmen
Unter die technischen und organisatorischen Maßnahmen (TOM) fällt die Gesamtheit der organisatorischen (z. B. Zugangskontrollen, Zugriffsrechte, Arbeitsanweisungen) und technischen Maßnahmen (z. B. Datensicherungen, Zugriffsrechte auf das IT-System) des Unternehmens,...