Dateisystem (Art. 4 Nr. 6 DSGVO)
Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Bei manueller Verarbeitung ist der Begriff die entscheidende Schwelle für den Anwendungsbereich der DSGVO.
Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird. Der Begriff ist für die Praxis vor allem bei manueller, nicht automatisierter Verarbeitung relevant: Nur wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, unterfällt eine solche Verarbeitung überhaupt dem Anwendungsbereich der DSGVO (Art. 2 Abs. 1 DSGVO).
Das Wichtigste in Kürze
- Ein Dateisystem liegt vor, wenn personenbezogene Daten strukturiert nach bestimmten Kriterien zugänglich sind, unabhängig davon ob sie digital oder auf Papier vorliegen.
- Bei vollautomatisierter Verarbeitung spielt der Begriff keine Rolle, weil die DSGVO dann unabhängig vom Dateisystem gilt.
- Entscheidend für manuelle Sammlungen ist der gleichartige Aufbau: Eine einheitliche Struktur, die das schnelle Auffinden von Daten ermöglicht, genügt.
- Eine Mindestanzahl von Betroffenen oder Akten ist nicht erforderlich; auch sehr kleine Sammlungen können ein Dateisystem bilden.
- Ungeordnete Akten ohne Erschließungskriterium fallen nicht unter den Begriff und damit nicht in den Anwendungsbereich der DSGVO (Erwägungsgrund 15 DSGVO).
1. Überblick
1.1 Bedeutung des Begriffs
Das Dateisystem ist einer der zentralen Anknüpfungspunkte für den sachlichen Anwendungsbereich der DSGVO. Bei vollautomatisierter Verarbeitung greift die Verordnung stets, ohne dass es auf das Vorliegen eines Dateisystems ankäme. Bei nicht-automatisierter, also manueller Verarbeitung ist das Dateisystem dagegen die maßgebliche Hürde: Fehlt eine strukturierte Sammlung im Sinne des Art. 4 Nr. 6 DSGVO, unterfällt die Verarbeitung dem Datenschutzrecht nicht.
Praktisch bedeutet das: Unstrukturierte handschriftliche Notizen, unsortierte Papierstapel oder nach keinem nachvollziehbaren Kriterium angelegte Ablagesammlungen sind vom Schutzbereich ausgenommen. Sobald jedoch eine systematische Struktur erkennbar ist, die das Auffinden bestimmter Daten erlaubt, ist die Schwelle überschritten.
1.2 Entstehungsgeschichte und Vorgängerrecht
Der Begriff knüpft inhaltlich an Art. 2 lit. c der früheren Datenschutz-Richtlinie 95/46/EG an, wo noch von „Datei" die Rede war. Die DSGVO hat die Begrifflichkeit leicht angepasst, den sachlichen Gehalt aber im Wesentlichen beibehalten.
2. Voraussetzungen des Dateisystems
2.1 Strukturierte Sammlung
Das Kernmerkmal ist die Struktur: Die Daten müssen nach Kriterien geordnet sein, die einen gezielten Zugriff auf einzelne Datensätze oder bestimmte Kategorien von Daten ermöglichen. Das Ordnungskriterium kann personenbezogen sein (Name, Geburtsdatum, Personalnummer, Adresse) oder sachbezogen, sofern es letztlich die Erschließung von Daten zu bestimmten Personen erlaubt (z.B. Aktenzeichen, Kfz-Kennzeichen, Berufsbezeichnung, Region).
Rein sachbezogene Merkmale, die keinen Bezug zu einer natürlichen Person herstellen, genügen dagegen nicht.
2.2 Gleichartiger Aufbau als Indiz
Bei Aktensammlungen ist die einheitliche Gestaltung das entscheidende Indiz. Sind Akten nach ihrer äußeren Beschriftung gleichartig aufgebaut, z.B. nach dem Muster Name, Vorname, Personalnummer, liegt in der Regel bereits ein Dateisystem vor. Entscheidend ist, dass die einheitliche Struktur das Erschließen und Auffinden von Daten erleichtert.
Das gilt auch für Akten, die nach Sachgebieten, Personen oder Kunden gegliedert sind, ebenso für gleichartig aufgebaute Formulare und Vorgänge.
Ob die Daten auf Papier, als Karteikarten oder in digitaler Form vorliegen, ist für den Begriff des Dateisystems ohne Bedeutung. Der Gesetzgeber hat bewusst auf eine technologieneutrale Formulierung gesetzt (Erwägungsgrund 15 DSGVO).
2.3 Keine Mindestzahl erforderlich
Für das Vorliegen eines Dateisystems ist keine Mindestanzahl von Betroffenen, Akten oder Datensätzen erforderlich. Schon zwei strukturiert abgelegte Vorgänge können genügen. Ausschlaggebend ist allein die Art der Organisation, nicht der Umfang der Sammlung.
3. Abgrenzung: Dateisystem oder nicht?
Die folgende Tabelle fasst typische Beispiele zusammen:
| Sammlung | Dateisystem? | Begründung |
|---|---|---|
| Personalakten mit einheitlichem Deckblatt (Name, Personalnummer) | Ja | Gleichartiger Aufbau, gezielte Erschließung möglich |
| Patientenkartei / Krankenkarten | Ja | Klassische Kartei, stets strukturiert |
| Prüfungsunterlagen als Papierakte, nach Matrikelnummer geordnet | Ja | Kriterium ermöglicht gezielten Zugriff |
| Nach Aktenzeichen geordnete Gerichtsakten | Ja | Erschließungsmerkmal vorhanden |
| Handschriftliche Notizen aus Haustürbesuchen, nach Namen sortierbar | Ja | Strukturierbarkeit genügt (EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas) |
| Lose, unsortiert in eine Kiste eingelegte Notizzettel | Nein | Kein Erschließungskriterium erkennbar |
| Unstrukturierter Papierstapel ohne erkennbare Ordnung | Nein | Fehlende Struktur, Erwägungsgrund 15 DSGVO |
| Rein sachbezogene Akte ohne Personenbezug im Ordnungsmerkmal | Nein | Kriterium stellt keinen Personenbezug her |
4. Reichweite: auch manuelle und handschriftliche Sammlungen
Der Begriff erfasst ausdrücklich beide Erscheinungsformen: analoge Sammlungen auf Papier und digitale Sammlungen. Karteien, z.B. für Patienten oder Kunden, sind stets ein Dateisystem.
Auch handschriftliche Aufzeichnungen können in den Anwendungsbereich fallen. Maßgeblich ist, ob sich der Inhalt leicht erschließen lässt und die einzelnen Daten ohne unverhältnismäßigen Aufwand auffindbar sind. Der EuGH hat dazu klargestellt, dass weder ein besonderes Registersystem noch ein formalisiertes Ablagesystem erforderlich sind; es genügt, wenn die Daten anhand bestimmter Kriterien wiederauffindbar sind (EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas).
5. Bezug zur manuellen Verarbeitung und Anwendungsbereich der DSGVO
Der praktische Hauptanwendungsfall des Begriffs liegt in der Abgrenzung: Auf manuelle Verarbeitungsvorgänge findet die DSGVO nur Anwendung, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Fehlt diese Voraussetzung, liegt das Geschehen rechtlich außerhalb des datenschutzrechtlichen Regelungsbereichs.
Das Dateisystem ist damit zugleich eine Schutzlücke und eine Systemgrenze: Der Gesetzgeber hat bewusst entschieden, rein unstrukturierte manuelle Tätigkeiten nicht zu erfassen, weil der mit der DSGVO verbundene Aufwand für solche Konstellationen unverhältnismäßig wäre. Wer personenbezogene Daten aber auch nur mit dem Ziel erfasst, sie später in einer geordneten Sammlung zugänglich zu machen, unterfällt bereits dem Anwendungsbereich.
Verarbeitung
Art. 4 Nr. 2 DSGVO: Bei manueller Verarbeitung ist das Dateisystem Voraussetzung für die Anwendbarkeit der DSGVO.
Personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Das Dateisystem muss personenbezogene Daten enthalten.
EuGH, Zeugen Jehovas (C-25/17)
Handschriftliche Aufzeichnungen bei Haustürbesuchen als Dateisystem; weiter Dateibegriff.
Art. 4 Nr. 6 DSGVO
Legaldefinition des Dateisystems im Wortlaut der Verordnung.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Pseudonymisierung (Art. 4 Nr. 5 DSGVO)
Pseudonymisierung als technische und organisatorische Maßnahme: Trennung der Zuordnungsinformationen, Abgrenzung zur Anonymisierung, fortbestehender Personenbezug und Sonderformen wie Verschlüsselung und Depersonalisierung.
Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Wer über Zwecke und Mittel der Verarbeitung entscheidet, ist Verantwortlicher und zentraler Pflichtenträger der DSGVO: Definition, Abgrenzung zu Auftragsverarbeiter und gemeinsamer Verantwortlichkeit, Fallgruppen.