ich habe hier einen Sachverhalt, denn ich alleine nicht lösen kann. Ich hoffe, dass mir die Schwarmintelligenz hier helfen kann.
Sachverhalt:
Es gibt eine App, in der die Nutzer pdf hochladen können. Diese pdf enthalten
personenbezogene Daten des Nutzers
personenbezogene Daten von Dritten
Die personenbezogenen Daten werden erstmal nicht weiterverarbeitet, sondern liegen lediglich im pdf Dokument vor. Auch eine OCR Funktionalität ist nicht gegeben.
Ist das eine Verarbeitung personenbezogener Daten iSd DSGVO?
Mit der Folge des Bestehen von Informationspflichten nach Art. 14 DSGVO?
Probleme bereiten mir die weiteren Folgen wie Auskunftsersuchen.
Nehmen wir an, wir haben eine Million pdf Dokumente auf einem Server liegen und Person X macht ein vollumfängliches Auskunftsersuchen geltend. Dann müssten alle pdf Dokumente durchsucht werden. Das kann doch nicht Sinn der DSGVO sein.
Im Gegensatz dazu, wenn die Daten als Datenfelder vorliegen und durchsucht, danach geordnet werden könnten oder eine Logik dahintersitzt (if name = mueller, do…).
Für die Erfüllung der Informationspflichten müsste ich die Dokumente scannen und hätte dann natürlich eine Verarbeitung, die lediglich der Erfüllung des Art. 14 dient. Ein Zirkelschluss.
Dafür spricht auch die Überlegung bei Videoaufnahmen. Diese werden regelmäßig als personenbezogenes Datum gesehen, wenn eine Person dort identifizierbar ist. Auskunftsersuchen → 10 TB Videomaterial → alles manuell durchsuchen (Gesichtserkennungssoftware ist meines Wissens nach nicht sehr verbreitet)
Andererseits ist die DSGVO auch Technikneutral und das Vermerken von personenbezogenen Daten auf Papier soll eine Verarbeitung darstellen.
Das kommt darauf an, was genau hier von wem verarbeitet wird: Wenn es sich um einen Cloud-Dienst handelt, bei dem Anwender Daten speichern können und diese durch den Serverbetreiber aufgrund von Verschlüsselung gar nicht lesbar sind, dann kann der auch nichts verarbeiten.
Wenn der Serverbetreiber aber etwas mit den Daten macht, dann gibt es natürlich auch eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Und dann natürlich auch die Informations- und die Auskunftspflicht.
Man stelle sich nur vor, der Server wird gehackt und die Daten werden von unberechtigten gelesen oder gar veröffentlicht. Dann hat der Serverbetreiber einen schönen Datenschutz-Vorfall. Umso schlimmer, je kritischer die Daten in den PDF-Files.
Kritisch könnte übrigens auch sein, wenn Anwender Daten von Dritten hochladen für deren Erfassung bzw. Weitergabe sie keine Einwilligung haben.
Und abschließend: Die pure Größe oder Menge schützt natürlich nicht vor der Anwendbarkeit von Recht. Dann muss der Serverbetreiber mehr Leute einstellen oder für angemessene Prozesse sorgen.
Die Gefahr besteht bei jeder Verarbeitung und jeder Verantwortliche muss entsprechende Maßnahmen treffen.
Die Frage ist, ob die DSGVO für die Anwender überhaupt anwendbar ist Art. 2 Abs. 2 lit. c) DSGVO.
Das natürlich nicht, aber die Menge kann den Sinn und Zweck der DSGVO kritisch hinterfragen.
Beispiel dazu: Es gab die Überlegung, ob das reine Merken von personenbezogenen Daten schon eine Verarbeitung iSd DSGVO darstellt, mit allen Konsequenzen.
Dort kann man auch argumentieren, dass dies aufgrund des enormen Ausuferungspotentials nicht gewollt ist.
“sich etwas merken” fällt nicht in den Anwendungsbereich der DSGVO, weil Artikel 2:
“Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”
Ansonsten stellt nach Artikel 4 Abs.2 (Begriffsbestimmungen!) eine Speicherung von Daten eine Art der Verarbeitung im Sinne der DSGVO dar . Hier stellt sich eher die Frage, wer “verantwortlich” für diese Datenspeicherung ist - derjenige muss dann evtl. Auskunfts- und Informationspflichten erfüllen, sofern die betreffenden Daten nicht “durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” verarbeitet werden.
Somit gilt, was bdsb schreibt “es kommt darauf an, was genau hier von wem verarbeitet wird”.
Ist das eine Verarbeitung personenbezogener Daten iSd DSGVO? JA
Mit der Folge des Bestehen von Informationspflichten nach Art. 14 DSGVO? JA
Es spielt überhaupt keine Rolle, ob die personenbezogenen Daten in einer Datenbank oder in Form von PDF´s gespeichert oder verarbeitet werden. Die DSGVO gilt auch für analoge Verfahren (z.B. Verbandsbuch in einer Arzpraxis, Mitarbeiterakte etc.)