Jansen, SGB X § 67 Begriffsbestimmungen / 2.2 Begriffsbestimmungen nach Art. 4 DSGVO

Rz. 16

Seit dem 25.5.2018 gelten für den Umgang mit personenbezogenen Daten europaweit und unmittelbar die Begrifflichkeiten der DSGVO, die in Art. 4 DSGVO bestimmt werden. Art. 9 DSGVO ergänzt Art. 4 DSGVO um die "Verarbeitung besonderer Kategorien personenbezogener Daten", die unter einem besonderen Schutz gestellt sind und grundsätzlich nur unter besonderen Voraussetzungen verarbeitet werden dürfen (vgl. auch Rz. 64 ff.).

Ergänzt werden diese Begriffsdefinitionen im deutschen Datenschutzrecht durch Anwendung der Öffnungsklausel des Art. 6 Abs. 2 DSGVO mit § 2 BDSG und § 67 (vgl. Rz. 4 ff.).

Rz. 17

Nachfolgend werden aus Art. 4 DSGVO die für die Verarbeitung von Sozialdaten bedeutsamsten Begriffe aus Art. 4 DSGVO kommentiert.

2.2.1 Personenbezogene Daten und betroffene Person (Art. 4 Nr. 1 DSGVO)

Rz. 18

Art. 4 Nr. 1DSGVO definiert die Begriffe personenbezogene Daten und betroffene Person.

Danach versteht man unter betroffener Person eine identifizierte oder identifizierbare natürliche Person. Identifizierbar ist eine natürliche Person, wenn sie "direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind".

Personenbezogene Daten sind dem entsprechend alle Informationen, die sich auf die betroffene Person beziehen. Der Begriff der personenbezogenen Daten ist im Sozialdatenschutz ein Kriterium zur Definition von Sozialdaten (vgl. Rz. 5 ff.).

2.2.2 Datenverarbeitung (Art. 4 Nr. 2 DSGVO)

Rz. 19

Art. 4 Nr. 2 DSGVO fasst unter dem Begriff Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zusammen. Seit 25.5.2018 fallen somit alle Phasen des Umganges mit personenbezogenen Daten (Vorgang oder Vorgangsreihe) unter den Begriff Verarbeitung; also auch die bis dahin im deutschen Datenschutzrecht getrennt definierten Phasen (Vorgänge) der Erhebung und Nutzung (§ 67 Abs. 5 und 7 SGB X a. F.).

Rz. 20

Art. 2 Nr. 2 DSGVO zählt dann die wesentlichen Vorgänge des Umganges mit personenbezogenen Daten auf. Aus dem Wort "wie" im Gesetzestext ergibt sich, dass es sich nicht um eine abschließende Aufzählung handelt.

Konkret benannt werden "das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung".

2.2.2.1 Erheben

Rz. 21

Seit 25.5.2018 umfasst die Verarbeitung von personenbezogenen Daten nach Art. 4 Nr. 2 DSGVO auch das Erheben (Rz. 19).

Art. 4 Nr. 2 DSGVO selbst definiert den Begriff Erheben nicht. An die Definition des § 67 Abs. 5 SGB X a. F. anknüpfend, die Erheben als "das Beschaffen" von Daten definierte, und den allgemeinen Definitionen in der Forschung folgend, die die Datenerhebung z. B. als die systematische Beschaffung entscheidungsrelevanter Informationen bezeichnet, kann das Erheben zusammengefasst als das Beschaffen, Aufnehmen und Sammeln von Daten bezeichnet werden.

Rz. 22

§ 67a SGB X sieht auch in der Fassung ab 25.5.2018 besondere Voraussetzungen für eine zulässige Erhebung von Sozialdaten vor. Die in § 67a Abs. 2 bis 5 SGB X a. F. darüber hinaus vorgesehenen Informationspflichten ergeben sich seit dem 25.5.2018 unmittelbar aus Art. 13 DSGVO bei Erhebung bei der betroffenen Person und aus Art. 14 DSGVO bei Erhebung bei anderen Stellen oder Personen.

Hinweis

Die Voraussetzungen für eine zulässige Datenerhebung können der Komm. zu § 67a SGB X entnommen werden. Die Informationspflichten im Zusammenhang mit der Erhebung von Sozialdaten nach §§ 82 und 82a SGB X i. V. m. Art. 13 und 14 DSGVO sind in der Komm. zu § 82 SGB X und der Komm. zu § 82a SGB X enthalten.

2.2.2.2 Organisation, Ordnen

Rz. 23

Art. 4 Nr. 2 DSGVO benennt als Vorgänge der Verarbeitung auch die bisher im (Sozial-)Datenschutzrecht nicht definierten Begriffe der Organisation und des Ordnens von Daten, ohne beide Begriffe zu bestimmen.

Synonyme für Organisation in diesem Zusammenhang sind z. B. Aufbau, Organisierung, Architektur, Aufbau, Bau, Gebilde, Gefüge, Struktur, System, Komposition, Konstruktion, Formation oder Formierung,

Ordnen von Daten kann mit anders oder neu gruppieren bzw. sortieren beschrieben werden.

2.2.2.3 Erfassen, Speicherung

Rz. 24

Bis 24.5.2018 definierte § 67 Abs. 6 Nr. 2 SGB X a. F. den Begriff des Speichern, als "das Erfassen, Aufnehmen oder Aufbewahren von Sozialdaten auf Datenträgern jeder Art, also auch auf Papier".

Seit 25.5.2018 enthalten die Begriffsbestimmungen des Art. 4 Nr. 2 DSGVO die Begriffe Erfassen und Speicherung nebeneinander als Vorgänge der Verarbeitung, ohne diese selbst näher zu definieren.

Nach allgemeiner Bedeutung ist Datenerfassung ein Arbeitsvorgang, mit dem anfallende Daten in eine maschinenlesbare Form gebracht und auf D...