Wenn am 25.05.2018 die Datenschutz-Grundverordnung anzuwenden ist, ändern sich zahlreiche Begriffe und Definitionen. Dabei geht es häufig gar nicht um neue Inhalte. In vielen Fällen werden vertraute Begriffe sprachlich neu gefasst. Dieser Blog-Beitrag gibt einen Überblick über die Änderungen der Begriffe, die am häufigsten in der Praxis verwandt werden.

Das Ende des Dreiklangs aus Erheben, Verarbeiten und Nutzen

Wer das Bundesdatenschutzgesetz (BDSG) liest, wird dort immer wieder Regelungen finden, die sich gemeinsam auf die „Erhebung, Verarbeitung und Nutzung“ personenbezogener Daten beziehen (z. B. §§ 1, 3, 3a, 4, 4a, 4d, 4e, 5, 7, 8, 9, 11, 19a, 20, 21, 27, 28, 30a, 32, 33, 35, 38, 41, 45 sowie § 46 BDSG).

Was sich wie ein roter Faden durch das Bundesdatenschutzgesetz zieht, wird in der Datenschutz-Grundverordnung verschwinden. Zentraler Begriff der Datenschutz-Grundverordnung ist die Verarbeitung. Diese wird definiert als „jeder mit und ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Erhebungen sind künftig also ein Unterfall der Verarbeitung. Die Nutzung ist nicht mehr als eigenständiger Sachverhalt geregelt, sie werden aber ebenfalls regelmäßig mit Verarbeitungen im vorgenannten Sinne verbunden sein. Das bedeutet, dass immer dort, wo die Datenschutz-Grundverordnung von Verarbeitung spricht, die Vorschriften auch auf Erhebungs- und Nutzungsvorgänge anzuwenden sind.

Weitere Begriffsänderungen

Die wichtigsten weiteren Begriffsänderungen sind in folgender Tabelle dargestellt.

 

Begriff nach dem BDSG

Begriff nach der Datenschutz-Grundverordnung

 „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG)

 „der für die Verarbeitung Verantwortliche“/
 „Verantwortlicher“ (Art. 4 Nr. 7 DS-GVO)
 „der Betroffene“ (§ 3 Abs. 1 BDSG) „die betroffene Person“ (Art. 4 Nr. 1 DS-GVO)
 „Auftragnehmer“ einer
  Auftragsdatenverarbeitung (§ 11 BDSG)
 „Auftragsverarbeiter“ (Art. 4 Nr. 8 DS-GVO)
 „Scoring“ (§ 28b BDSG) „Profiling” (Art. 4 Nr. 4 DS-GVO)
 „Sperren“ von Daten (§ 3 Abs. 4 Satz 2 Nr. 4 BDSG) „Einschränkung der Verarbeitung“ (Art. 4 Nr. 3 DS-GVO)
 „nicht-automatisierte Datei“ (§ 3 Abs. 2 S. 2 BDSG) „Dateisystem“ (Art. 4 Nr. 6 DS-GVO)

 

Neue und entfallene Definitionen – alte Begriffe neue Inhalte

Zum Teil enthält die Datenschutz-Grundverordnung weitere neue Begriffsdefinitionen, die im BDSG nicht verwendet wurden („genetische Daten“, „biometrische Daten“, „Hauptniederlassung“, „Unternehmen“, „grenzüberschreitende Verarbeitung“ etc.).

Andere Definitionen, die im BDSG enthalten waren, finden sich in der Datenschutz-Grundverordnung nicht mehr wieder („Speichern“, „Verändern“, „Übermitteln“, „Löschen“, „mobile personenbezogene Speicher- und Verarbeitungsmedien“ und „Beschäftigte“ etc.).

Manche Begriffe bleiben erhalten, ohne dass sie sich inhaltlich ändern (z. B. „Empfänger“). Dies gilt auch grundsätzlich für die Begriffe in der oben stehenden Tabelle. Andere Begriffe wurden übernommen, erhalten aber in der DS-GVO einen leicht abweichende Bedeutung (z. B. „der Dritte“).

Fazit

Bei der Anwendung der DS-GVO lohnt es sich also, genau hinzusehen. Unerkannte Änderungen von Begriffen und Definitionen können sonst zu Missverständnissen und Fehlinterpretationen führen.

Dort, wo Begriffe und Definitionen in Verträgen, Betriebsvereinbarungen oder Dienstvereinbarungen aus dem BDSG übernommen wurden, sollte geprüft werden, ob diese Regelungen angepasst werden müssen.

Dazu passende Artikel