BDSG - EINFÜHRUNG - TEIL 4-2: Terminologie des BDSG - automatisierte und nicht-automatisierte Datei

Für die Eröffnung des sachlichen Anwendungsbereichs des Bundesdatenschutzgesetzes ist gem. § 3 Abs. 2 BDSG eine Abgrenzung zwischen automatisierter und nicht-automatisierter Verarbeitung vorzunehmen. In diesem Zusammenhang findet keine Unterscheidung zwischen öffentlichen und nicht-öffentlichen Bereichen statt, wie das nach der vor dem 23. Mai 2001 geltenden Fassung des BDSG der Fall war.

Findet die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in einer automatisierten Datei statt, ist für die Anwendbarkeit des Bundesdatenschutzgesetzes nur und ausschließlich das Merkmal der automatisierten Erhebung, Verarbeitung oder Nutzung von Relevanz. Dies wird gemäß Absatz 2 Satz 1 als Verarbeitung unter Einsatz von Datenverarbeitungsanlagen definiert. Dabei liegt eine automatisiert geführte Datei bereits dann vor, wenn eine Sammlung personenbezogener Daten automatisch auswertbar ist.

Eine nicht-automatisierte Datei ist im Gegensatz dazu jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Der Begriff der ,,Datei`` umfasst jede strukturierte Sammlung personenbezogener Daten. Das Erfordernis der ,,gleichartig aufgebauten Sammlung`` charakterisiert die äußere Form der Datei. Bestimmend ist also, dass die einzelnen Aufbauelemente einheitlich und gleichartig gestaltet sind. Damit ist eine Anwendung des BDSG auf nicht strukturierte Akten ausgeschlossen. Entscheidend ist weiter, dass die Datensammlung ,,nach bestimmten Merkmalen zugänglich`` ist. Merkmale in diesem Sinne sind solche Kriterien, die für eine sinnvolle Ordnung der Datei notwendig sind, also z.B. die alphabetische oder chronologische Sortierung einer Kartei. Es ist nicht erforderliche, dass die Merkmale selbst personenbezogene Daten sind, sie müssen sich jedoch auf die in der Sammlung genannten natürlichen Personen beziehen. Somit unterfallen nicht-automatisierte Sammlungen personenbezogener Daten nur dann den Regelungen des Bundes­datenschutzgesetzes, wenn sie die in § 3 Abs. 2 Satz 2 BDSG genannten Kriterien erfüllen.