AOK Logo
AOK
Wählen Sie Ihre AOK
Baden-Württemberg Bayern Bremen-Bremerhaven Hssen Niedersachsen Mecklenburg-Vorpommern Berlin Brandenburg Schleswig-Holstein Westfalen-Lippe Thüringen Sachsen Rheinland-Pfalz Saarland HamburgRheinland Sachsen-Anhalt
Willkommen bei Ihrer AOK für Unternehmen
Schrift anpassen: A-AA+

Pfadnavigation

Hauptinhalt

Datenschutz - Begriffsbestimmungen

 Information 

1. Allgemeines

Der wirksame Datenschutz im Betrieb setzt bei Arbeitgeber und Personalern die Kenntnis der einschlägigen Begriffe voraus. Die Definitionen der EU-DSGVO wurden teilweise 1 : 1 vom Bundesgesetzgeber übernommen. Das EU-Recht enthält aber noch weitere Definitionen, die der nationale Gesetzgeber nicht 1 : 1 wiedergibt. Die Umsetzung der EU-DSGVO in deutsches Recht hat wieder einmal klargemacht, wie das Arbeitsleben durch Daten und die Verarbeitung von Daten bestimmt wird. Was früher oft gedankenlos erfasst, gesammelt und aufbewahrt wurde, hat nun eine feinmaschige Struktur bekommen. Der Begriff "Verarbeiten" in § 46 Nr. 2 BDSG (s. dazu auch Art. 4 Nr. 2 EU-DSGVO) scheint jetzt alles zu erfassen, was arbeitsrechtlich nur irgendwie mit personenbezogenen Beschäftigtendaten gemacht werden kann (s. dazu auch das Stichwort Datenschutz - Datenverarbeitung).

Praxistipp:

Der Verantwortliche (§ 46 BDSG) und der Auftragsverarbeiter (§ 46 BDSG) bestellen gemäß § 38 Abs. 1 Satz 1 BDSG einen Datenschutzbeauftragten, "soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

Im neuen BDSG dreht sich alles um personenbezogene Daten, die es zu schützen gilt (s. dazu Gliederungspunkt 2). Personenbezogene Daten sind nach § 46 Nr. 1 BDSG "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann". Manchmal hilft die Rechtsprechung bei der Auslegung mehrdeutiger oder unvollständiger Begriffsbestimmungen (s. dazu Gliederungspunkt 3).

2. Das Begriffs-Alphabet

Die EU-DSGVO enthält "Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten" (Art. 1 Abs. 1 EU-DGVO). Sie schützt die "Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten" (Art. 1 Abs. 2 EU-DSGVO).

Das BDSG richtet sich vorrangig an öffentliche Stellen (§ 1 Abs. 1 Satz 1 BDSG). Für "nichtöffentliche Stellen" gilt das BDSG "für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" (§ 1 Abs. 1 Satz 2 BDSG, s. auch § 1). Sonderregelungen für Arbeitgeber und Arbeitnehmer enthält § 26 BDSG ("Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses").

Nach den Erwägungsgründen zur EU-DSGVO (EWG Nr. 15) soll der Schutz natürlicher Personen

  • für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten

  • wir für die manuelle Verarbeitung von personenbezogenen Daten, wenn dieses Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Und wörtlich heißt es in EWG Nr. 15 Satz 3: "Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen."

2.1 Dateisystem

Begriff: Ein Dateisystem i.S.d. § 46 Nr. 6 BDSG (s. dazu auch Art.4 Nr. 6 EU-DSGVO) ist "jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird".

Praktische Bedeutung: Der Arbeitgeber führt eine elektronische Personalakte, hat EDV-mäßig aufbereitete Lohn- und Gehaltslisten und viele andere Aufzeichnungen, in denen er persönliche Daten seiner Mitarbeiter sammelt. Diese Sammlungen sind Dateisysteme i.S.d. § 46 Nr. 6 BDSG.

2.2 Datenschutzverletzung

Begriff: Eine Verletzung des Schutzes personenbezogener Daten liegt nach § 46 Nr. 10 BDSG (s. dazu Art. 4 Nr. 12 EU-BDSG) bei einer "Verletzung der Sicherheit" vor, "die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden".

Praktische Bedeutung: Geben Arbeitgeber und Personaler beispielsweise zu Werbezwecken persönliche Arbeitnehmerdaten an Dritte weiter, ist das eine Verletzung des Schutzes personenbezogener Daten i.S.d. § 46 Nr. 10 BDSG.

2.3 Dritter

Begriff: Während das BDSG selbst auf eine Definition "Dritter" in § 46 verzichtet, sagt die EUR-DSGVO in Art. 4 Nr. 10: "'Dritter' [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten".

Praktische Bedeutung: Dritter kann jeder sein, der nicht zu den im BDSG oder in der EU-DSGVO besonders bezeichneten Akteuren zählt.

2.4 Einwilligung

Begriff: Die Verarbeitung personenbezogener Daten setzt regelmäßig die Einwilligung des Betroffenen voraus. "Einwilligung" ist "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist" (§ 46 Nr. 17 BDSG, s. dazu auch Art. 4 Nr. 11 EU-DSGVO).

Praktische Bedeutung: Bevor Arbeitgeber, Personaler und Personalabteilung personenbezogene Daten von Bewerbern und Arbeitnehmern verarbeiten, müssen sie - wenn kein BDSG-Ausnahmefall (s. dazu § 26 BDSG und das Stichwort Datenschutz - Beschäftigungsverhältnis) vorliegt - die Einwilligung der Betroffenen haben.

2.5 Empfänger

Begriff: Der Adressat von Daten ist ihr Empfänger, das heißt nach § 46 Nr. 9 BDSG (s. dazu auch Art. 4 Nr. 9 EU-DSGVO): "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung".

Praktische Bedeutung: Der Arbeitgeber, Personaler und Mitarbeiter in der Personalabteilung geben nahezu täglich Daten an das Finanzamt, die Einzugsstellen, Aufsichtsbehörden, berufsständische Organisationen und die Bundesagentur für Arbeit weiter. Auch der Betriebsrat bekommt personenbezogene Daten mitgeteilt. Sie alle sind Empfänger i.S.d. § 46 Nr. 9 BDSG.

2.6 Personenbezogene Daten

Begriff: Personenbezogene Daten sind nach § 46 Nr. 1 BDSG (s. dazu Art. 4 Nr. 1 EU-DSGVO) "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".

Praktische Bedeutung: Arbeitnehmer sind natürliche Personen. Ihre Daten sind personenbezogene Daten i.S.d. § 46 Nr. 1 BDSG.

2.7 Profiling

Begriff: Profiling ist "jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftliche Lage, der Gesundheit, der persönliche Vorlieben, der Interessen, der Zuverlässigkeit, des Verhalten, der Aufenthaltsort oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen" (§ 46 Nr. 4 BDSG - s. dazu auch Art. 4 Nr. 4 EU-DSGVO).

Praktische Bedeutung: Profiling i.S.d. § 46 Nr. 4 BDSG kann u.a. bei der Suche nach einem geeigneten Bewerber oder bei der nachfolgenden Bewerberauswahl angewendet werden. Profiling bietet sich ebenfalls an, wenn die Leistung oder die krankheitsbedingten Ausfallzeiten eines Mitarbeiters im Verhältnis zu seinen Kollegen bewertet werden soll.

2.8 Verantwortlicher

Begriff: Verantwortlicher - so § 46 Nr. 7 BDSG (s. dazu auch Art. 4 Nr. EU-DSGVO) - ist "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet."

Praktische Bedeutung: Arbeitgeber und Personaler als natürliche Person, bei juristischen Personen der/die Geschäftsführer oder die Gremien, entscheiden, welche persönlichen Arbeitnehmerdaten für welche Zwecke wie gespeichert werden. Sie sind - bzw. können - Verantwortliche i.S.d. § 46 Nr. 7 BDSG sein.

2.9 Verarbeitung von Daten

Begriff: Verarbeitung ist nach § 46 Nr. 2 BDSG (s. dazu Art. 4 Nr. 2 EU-DSGVO) jeder "mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" (s. dazu das Stichwort Datenschutz - Datenverarbeitung).

Praktische Bedeutung: Der Arbeitgeber erfasst Namen und Adressen seiner Mitarbeiter ebenso wie deren Steuermerkmale und andere Informationen. Er speichert und nutzt diese Daten und braucht sie nahezu täglich für seine Personarbeit. Bei ihm findet einer Verarbeitung von Daten i.S.d. § 46 Nr. 2 BDSG statt.

2.10 Weitere Definitionen

Das BDSG und die EU-DSGVO enthalten noch viele weitere Begriffsbestimmungen, die hier - mit Link auf das Gesetz - nur kurz in alphabetischer Reihenfolge vorgestellt werden:

  • Aufsichtsbehörde, § 46 Nr. 15 BDSG (Art. 4 Nr. 21 EU-DSGVO)

  • Auftragsverarbeiter, § 46 Nr. 8 BDSG

  • besondere Kategorien personenbezogener Date (z.B. religiöse Überzeugung und sexuelle Orientierung), § 46 Nr. 14 BDSG

  • betroffene Aufsichtsbehörde, Art. 4 Nr. 22 EU-DSGVO

  • biometrische Daten, § 46 Nr. 12 BDSG (Art. 4 Nr. 14 EU-DSGVO)

  • Dienst der Informationsgesellschaft, Art. 4 Nr. 25 EU-DSGVO

  • Einschränkung der Verarbeitung, § 46 Nr. 3 BDSG (Art. 4 Nr. 3 EU-DSGVO)

  • genetische Daten, § 46 Nr. 11 BDSG (Art. 4 Nr. 13 EU-DSGVO)

  • Gesundheitsdaten, § 46 Nr. 13 BDSG (Art. 4 Nr. 15 EU-DSGVO)

  • grenzüberschreitende Verarbeitung, Art. 4 Nr. 23 EU-DSGVO

  • Hauptniederlassung, Art. 4 Nr. 16 EU-DSGVO

  • internationale Organisation, § 46 Nr. 16 BDSG (Art. 4 Nr. 26 EU-DSGVO)

  • maßgeblicher und begründeter Einspruch, Art. 4 Nr. 24 EU-DSGVO

  • Pseudonymisierung, § 46 Nr. 5 BDSG

  • Unternehmen, Art. 4 Nr. 19 EU-DSGVO

  • Unternehmensgruppe, Art. 4 Nr. 19 EU-DSGVO

  • verbindliche interne Datenschutzvorschriften, Art. 4 Nr. 20 EU-DSGVO

  • Vertreter, Art. 4 Nr. 17 EU-DSGVO

3. Rechtsprechungs-ABC

An dieser Stelle werden einige der interessantesten Entscheidungen zum Thema Begriffsbestimmungen beim Datenschutz in alphabetischer Reihenfolge nach Stichwörtern geordnet vorgestellt:

3.1 Anonymisierung

Personenbezogene Daten eines Beschäftigten durften nach § 32 Abs. 1 Satz 1 BDSG a.F. (jetzt: § 26 BDSG) verarbeitet werden, wenn die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG a.F. liegen auch dann vor, wenn ihre Erhebung und die anschließende Nutzung zunächst anonymisiert erfolgen, die Anonymisierung dann aber ohne großen Aufwand aufgehoben werden kann. Ein Umkehrschluss aus § 3 Abs. 6 BDSG a.F. lässt es ausreichen, "dass die betroffene Person ohne besondere Schwierigkeiten bestimmbar ist" (BAG, 17.11.2016 - 2 AZR 730/15 - mit Hinweis auf EuGH, 19.10.2016 - C-582/14 - Rn. 49).

3.2 Datei

"Art. 2 Buchst. c der Richtlinie 95/46 ist dahin auszulegen, dass der in dieser Bestimmung genannte Begriff 'Datei' eine Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen" (EuGH, 10.07.2018 - C-25/17 - 2. Leitsatz - Finnland).

3.3 Erforderlichkeit

Bei Prüfung der Erforderlichkeit der Verarbeitung von Beschäftigtendaten i.S.d. § 32 Abs. 1 Satz 1 BDSG a.F. ist danach zu fragen, ob der Arbeitgeber ein berechtigtes Interesse an der Erhebung, Verarbeitung und Nutzung dieser Daten hat, das seine Grundlage im bestehenden Arbeitsverhältnis haben muss. Das setzt voraus, dass zwischen den Daten und der zu erfüllenden Arbeitspflicht des Beschäftigten sowie seinen sonstigen Obliegenheiten aus dem Arbeitsverhältnis und den vom Arbeitgeber einzuhaltenden Pflichten ein Zusammenhang besteht (s. dazu BAG, 07.09.1995 - 8 AZR 828/93). Die Erhebung, Verarbeitung oder Nutzung personenbezogener Beschäftigungsdaten darf den Arbeitnehmer zudem nicht übermäßig belasten und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen (BAG, 17.11.2016 - 2 AZR 730/15).

3.4 Erhebung durch Religionsgemeinschaft

"Art. 3 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass die Erhebung personenbezogener Daten, die durch Mitglieder einer Religionsgemeinschaft im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, und die anschließenden Verarbeitungen dieser Daten weder Verarbeitungen personenbezogener Daten darstellen, die für die Ausübung von Tätigkeiten im Sinne von Art. 3 Abs. 2 erster Gedankenstrich dieser Richtlinie erfolgen, noch Verarbeitungen personenbezogener Daten, die von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden, wie in Art. 3 Abs. 2 zweiter Gedankenstrich dieser Richtlinie vorgesehen" (EuGH, 10.07.2018 - C-25/17 - 1. Leitsatz - Finnland).

3.5 Gesundheitsdaten

Arbeitnehmer haben ein Recht auf informationelle Selbstbestimmung. Diese Recht wird aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gefolgert. Das Recht auf informationelle Selbstbestimmung sichert jeder Person die Befugnis, "selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu befinden" (s. dazu BVerfG, 11.03.2008 - 1 BvR 2074/05 u.a. - sowie BAG, 17.11.2016 - 2 AZR 730/15). Die Datenschutzgesetze des Bundes (BDSG) und der Bundesländer (in diesem Fall das Hessische Datenschutzgesetz - HDSG) "konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung." Sie legen fest, "in welchem Umfang im Anwendungsbereich des jeweiligen Gesetzes Eingriffe durch öffentliche und nichtöffentliche Stellen i.S.d. § 1 Abs. 2 BDSG bzw. § 3 Abs. 1 HDSG zulässig sind. Dabei gibt es für die Verwendung von Gesundheitsdaten personenbezogener Art (sensitive Daten i.S.v. § 3 Abs. 9 BDSG, § 7 Abs. 4 HDSG) spezielle Regelungen" (BAG, 29.06.2017 - 2 AZR 47/16 - mit Hinweis auf § 28 VI ff. BDSG bzw. § 7 Abs. 4 i.V.m. § 34 HDSG).

3.6 Kontrollstelle - 1

"Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt" (EuGH, 05.06.2018 - C-210/16 - 2. Leitsatz - Deutschland).

3.7 Kontrollstelle - 2

"Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen" (EuGH, 05.06.2018 - C-210/16 - 3. Leitsatz - Deutschland).

3.8 Verantwortlicher (Fanpage)

"Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des 'für die Verarbeitung Verantwortlichen' im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst" (EuGH, 05.06.2018 - C-210/16 - 1. Leitsatz - Deutschland).

3.9 Verantwortlicher (Religionsgemeinschaft)

"Art. 2 Buchst. d der Richtlinie 95/46 ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten angesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat" (EuGH, 10.07.2018 - C-25/17 - 3. Leitsatz - Finnland).