Was gilt für Daten auf Papier?

1. Anwendbarkeit der DSGVO für Daten auf Papier

Der sachliche Anwendungsbereich der DSGVO erstreckt sich im Ausgangspunkt sowohl auf die „ganz oder teilweise automatisierte Verarbeitung“ personenbezogener Daten als auch auf die „nichtautomatisierte Verarbeitung“ personenbezogenen Daten (siehe Art. 2 Abs. 1 DSGVO). Allerdings besteht zwischen beiden Varianten ein wichtiger Unterschied: Während die DSGVO für die ganz oder teilweise automatisierte Verarbeitung ohne weitere Voraussetzungen anzuwenden ist, gilt sie für die nicht automatisierte Verarbeitung nur, wenn die Daten „in einem Dateisystem gespeichert oder gespeichert werden sollen.“

Dies bedeutet: Die Verarbeitung von elektronischen Daten ist immer erfasst, denn sie erfolgt naturgemäß zumindest teilweise automatisiert. Die Verarbeitung von Daten auf Papier erfolgt dagegen nicht automatisiert. Sie wird von der DSGVO nur erfasst, wenn zusätzlich die Voraussetzung gegeben ist, dass die Daten bereits in einem Dateisystem gespeichert sind oder zumindest dort gespeichert werden sollen.

Der Begriff „Dateisystem“ ist in Art. 4 Nr.6 DSGVO legal definiert und hat anders, als man zunächst erwarten könnte, nichts mit der EDV zu tun. Vielmehr erfasst er „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind.“

Praktische Fälle dafür sind Fragebögen, Karteikarten und Akten, die beispielsweise nach dem Namen betroffener Personen oder auch nach Vorgangsnummern geordnet sind. Weitere praktische Beispiele: systematisch aufgebaute Hängeregistraturen und in Ordnern systematisch abgelegte Unterlagen mit personenbezogenen Daten. Dies wird durch Erwägungsgrund 13 Satz 3 der DSGVO bestätigt. Demnach fallen „Akten oder Aktensammlungen sowie ihre Deckblätter“ in den sachlichen Anwendungsbereich der DSGVO, wenn diese Dokumente „nach bestimmten Kriterien geordnet“ sind.

Nicht von der DSGVO erfasst sind dagegen Haufen ungeordneter Notizzettel sowie ohne Systematik aufgehäufte Dokumente, die nicht dazu bestimmt sind, geordnet abgelegt zu werden. Ist ein solcher „Dokumentenberg“ dagegen dazu bestimmt, in Ordnern strukturiert abgelegt zu werden, wird er bereits von der DSGVO erfasst.

Im praktischen Ergebnis lässt sich somit sagen: Die DSGVO gilt in einem ordentlich geführten Büro für nahezu alle Papierdokumente. Die wenigen Ausnahmen hiervon betreffen in der Regel nur Papiere, die nicht dauerhaft aufbewahrt werden, wie etwa Notizzettel, handschriftliche Entwürfe und dergleichen.

2. Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten

Soweit die DSGVO für Daten auf Papier gilt, sind die entsprechenden Verarbeitungen in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufzunehmen. Es gibt insoweit keine Sonderregelungen für Daten auf Papier.

3. Rechte der betroffenen Person

3.1 Ausgangspunkt

Alle Rechte der betroffenen Person, die Kapitel III der DSGVO (Art. 12 bis Art. 23) regelt, gelten auch für Daten auf Papier. Die einzige generelle Ausnahme hiervon bildet das Recht gemäß Art. 22 DSGVO, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht. Dieses Recht knüpft schon seinem Wortlaut nach gerade daran an, dass eine automatisierte Verarbeitung vorliegt. Eine nicht automatisierte Verarbeitung wird von ihm nicht erfasst.

3.2 Auskunftsrecht

Das Auskunftsrecht (Art. 15 DSGVO) kennt keine Ausnahmen, die den Besonderheiten von Daten auf Papier Rechnung tragen. Dies führt dazu, dass es bei einem Auskunftsverlangen erforderlich sein kann, mit beträchtlichem Aufwand größere Datenbestände darauf durchzusehen, ob sich dort Daten über die betroffene Person finden. Da die Auskunft grundsätzlich unentgeltlich zu erteilen ist (abzuleiten aus Art. 15 Abs. 3 Sätze 1 und 2 DSGVO), kann dies zu einer echten Belastung des Verantwortlichen führen.

3.3 Recht auf Löschung

Das Recht auf Löschung (Art. 17 DSGVO) bereitet dann Probleme, wenn in einer größeren Akte lediglich einzelne Dokumente oder Teile von Dokumenten zu löschen sind. Die DSGVO enthält keine Ausnahmeregelungen für solche Fälle. Insbesondere sieht sie nicht vor, dass dann an die Stelle der Löschung eine bloße Sperrung tritt (in der Sprache der DSGVO: Einschränkung der Verarbeitung gemäß Art. 18 DSGVO).

4. Kein „geringeres Risiko“ bei Daten auf Papier

Früher ging man allgemein davon aus, dass von Daten auf Papier geringere Risiken für die betroffenen Personen ausgehen als von elektronischen Daten. Diese Sichtweise ist ein Relikt aus der Frühzeit des Datenschutzes, als das Datenschutzrecht in erster Linie als Abwehr gegen mutmaßliche Gefahren der EDV verstanden wurde. Heute sind vor allem folgende Gesichtspunkte von Bedeutung:

• Ein unberechtigter Zugriff auf elektronische Daten lässt sich durch eine Protokollierung des Zugriffs zumindest vom Prinzip her relativ leicht nachweisen. Der Einblick in Daten auf Papier hinterlässt dagegen keine Spuren.
  
  
• Dasselbe gilt für das Anfertigen einer Kopie oder für das Abfotografieren von Daten auf Papier. Beides hinterlässt keinerlei Spuren. Selbst ein bloßer Ausdruck von elektronischen Daten ist dagegen durch eine entsprechende Protokollierung im Drucker nachweisbar.
  
  
• Schließlich lassen sich Daten auf Papier nicht verschlüsseln. Für elektronische Daten stehen dagegen zuverlässige und kostengünstige Verschlüsselungsmechanismen zur Verfügung.

All dies mahnt dazu, den Schutz von Daten auf Papier genauso ernst zu nehmen wie den Schutz elektronisch gespeicherter Daten. Die DSGVO hat daraus die Konsequenz gezogen, indem sie Daten auf Papier – bis auf wenige Ausnahmen – vollständig in deren Geltungsbereich einbezogen hat.