# Dateisystem (Art. 4 Nr. 6 DSGVO)

Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Bei manueller Verarbeitung ist der Begriff die entscheidende Schwelle für den Anwendungsbereich der DSGVO.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/begriffe-und-definitionen/1.2.6-dateisystem
> Sprache: de



Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird. Der Begriff ist für die Praxis vor allem bei manueller, nicht automatisierter Verarbeitung relevant: Nur wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, unterfällt eine solche Verarbeitung überhaupt dem Anwendungsbereich der DSGVO ([Art. 2 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-2-dsgvo/)).

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Ein Dateisystem liegt vor, wenn personenbezogene Daten strukturiert nach bestimmten Kriterien zugänglich sind, unabhängig davon ob sie digital oder auf Papier vorliegen.
  * Bei vollautomatisierter Verarbeitung spielt der Begriff keine Rolle, weil die DSGVO dann unabhängig vom Dateisystem gilt.
  * Entscheidend für manuelle Sammlungen ist der gleichartige Aufbau: Eine einheitliche Struktur, die das schnelle Auffinden von Daten ermöglicht, genügt.
  * Eine Mindestanzahl von Betroffenen oder Akten ist nicht erforderlich; auch sehr kleine Sammlungen können ein Dateisystem bilden.
  * Ungeordnete Akten ohne Erschließungskriterium fallen nicht unter den Begriff und damit nicht in den Anwendungsbereich der DSGVO ([Erwägungsgrund 15 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-15/)).
</Callout>

## 1. Überblick [#1-überblick]

### 1.1 Bedeutung des Begriffs [#11-bedeutung-des-begriffs]

Das Dateisystem ist einer der zentralen Anknüpfungspunkte für den sachlichen Anwendungsbereich der DSGVO. Bei vollautomatisierter Verarbeitung greift die Verordnung stets, ohne dass es auf das Vorliegen eines Dateisystems ankäme. Bei nicht-automatisierter, also manueller Verarbeitung ist das Dateisystem dagegen die maßgebliche Hürde: Fehlt eine strukturierte Sammlung im Sinne des Art. 4 Nr. 6 DSGVO, unterfällt die Verarbeitung dem Datenschutzrecht nicht.

Praktisch bedeutet das: Unstrukturierte handschriftliche Notizen, unsortierte Papierstapel oder nach keinem nachvollziehbaren Kriterium angelegte Ablagesammlungen sind vom Schutzbereich ausgenommen. Sobald jedoch eine systematische Struktur erkennbar ist, die das Auffinden bestimmter Daten erlaubt, ist die Schwelle überschritten.

### 1.2 Entstehungsgeschichte und Vorgängerrecht [#12-entstehungsgeschichte-und-vorgängerrecht]

Der Begriff knüpft inhaltlich an Art. 2 lit. c der früheren Datenschutz-Richtlinie 95/46/EG an, wo noch von „Datei" die Rede war. Die DSGVO hat die Begrifflichkeit leicht angepasst, den sachlichen Gehalt aber im Wesentlichen beibehalten.

## 2. Voraussetzungen des Dateisystems [#2-voraussetzungen-des-dateisystems]

### 2.1 Strukturierte Sammlung [#21-strukturierte-sammlung]

Das Kernmerkmal ist die Struktur: Die Daten müssen nach Kriterien geordnet sein, die einen gezielten Zugriff auf einzelne Datensätze oder bestimmte Kategorien von Daten ermöglichen. Das Ordnungskriterium kann personenbezogen sein (Name, Geburtsdatum, Personalnummer, Adresse) oder sachbezogen, sofern es letztlich die Erschließung von Daten zu bestimmten Personen erlaubt (z.B. Aktenzeichen, Kfz-Kennzeichen, Berufsbezeichnung, Region).

Rein sachbezogene Merkmale, die keinen Bezug zu einer natürlichen Person herstellen, genügen dagegen nicht.

### 2.2 Gleichartiger Aufbau als Indiz [#22-gleichartiger-aufbau-als-indiz]

Bei Aktensammlungen ist die einheitliche Gestaltung das entscheidende Indiz. Sind Akten nach ihrer äußeren Beschriftung gleichartig aufgebaut, z.B. nach dem Muster Name, Vorname, Personalnummer, liegt in der Regel bereits ein Dateisystem vor. Entscheidend ist, dass die einheitliche Struktur das Erschließen und Auffinden von Daten erleichtert.

Das gilt auch für Akten, die nach Sachgebieten, Personen oder Kunden gegliedert sind, ebenso für gleichartig aufgebaute Formulare und Vorgänge.

<Callout type="info">
  Ob die Daten auf Papier, als Karteikarten oder in digitaler Form vorliegen, ist für den Begriff des Dateisystems ohne Bedeutung. Der Gesetzgeber hat bewusst auf eine technologieneutrale Formulierung gesetzt ([Erwägungsgrund 15 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-15/)).
</Callout>

### 2.3 Keine Mindestzahl erforderlich [#23-keine-mindestzahl-erforderlich]

Für das Vorliegen eines Dateisystems ist keine Mindestanzahl von Betroffenen, Akten oder Datensätzen erforderlich. Schon zwei strukturiert abgelegte Vorgänge können genügen. Ausschlaggebend ist allein die Art der Organisation, nicht der Umfang der Sammlung.

## 3. Abgrenzung: Dateisystem oder nicht? [#3-abgrenzung-dateisystem-oder-nicht]

Die folgende Tabelle fasst typische Beispiele zusammen:

| Sammlung                                                            | Dateisystem? | Begründung                                                                                                                                 |
| ------------------------------------------------------------------- | :----------: | ------------------------------------------------------------------------------------------------------------------------------------------ |
| Personalakten mit einheitlichem Deckblatt (Name, Personalnummer)    |      Ja      | Gleichartiger Aufbau, gezielte Erschließung möglich                                                                                        |
| Patientenkartei / Krankenkarten                                     |      Ja      | Klassische Kartei, stets strukturiert                                                                                                      |
| Prüfungsunterlagen als Papierakte, nach Matrikelnummer geordnet     |      Ja      | Kriterium ermöglicht gezielten Zugriff                                                                                                     |
| Nach Aktenzeichen geordnete Gerichtsakten                           |      Ja      | Erschließungsmerkmal vorhanden                                                                                                             |
| Handschriftliche Notizen aus Haustürbesuchen, nach Namen sortierbar |      Ja      | Strukturierbarkeit genügt ([EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas](/docs/dsgvo-hub/rechtsprechung/1.4.41-eugh-zeugen-jehovas)) |
| Lose, unsortiert in eine Kiste eingelegte Notizzettel               |     Nein     | Kein Erschließungskriterium erkennbar                                                                                                      |
| Unstrukturierter Papierstapel ohne erkennbare Ordnung               |     Nein     | Fehlende Struktur, Erwägungsgrund 15 DSGVO                                                                                                 |
| Rein sachbezogene Akte ohne Personenbezug im Ordnungsmerkmal        |     Nein     | Kriterium stellt keinen Personenbezug her                                                                                                  |

## 4. Reichweite: auch manuelle und handschriftliche Sammlungen [#4-reichweite-auch-manuelle-und-handschriftliche-sammlungen]

Der Begriff erfasst ausdrücklich beide Erscheinungsformen: analoge Sammlungen auf Papier und digitale Sammlungen. Karteien, z.B. für Patienten oder Kunden, sind stets ein Dateisystem.

Auch handschriftliche Aufzeichnungen können in den Anwendungsbereich fallen. Maßgeblich ist, ob sich der Inhalt leicht erschließen lässt und die einzelnen Daten ohne unverhältnismäßigen Aufwand auffindbar sind. Der EuGH hat dazu klargestellt, dass weder ein besonderes Registersystem noch ein formalisiertes Ablagesystem erforderlich sind; es genügt, wenn die Daten anhand bestimmter Kriterien wiederauffindbar sind ([EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas](/docs/dsgvo-hub/rechtsprechung/1.4.41-eugh-zeugen-jehovas)).

## 5. Bezug zur manuellen Verarbeitung und Anwendungsbereich der DSGVO [#5-bezug-zur-manuellen-verarbeitung-und-anwendungsbereich-der-dsgvo]

Der praktische Hauptanwendungsfall des Begriffs liegt in der Abgrenzung: Auf [manuelle Verarbeitungsvorgänge](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung) findet die DSGVO nur Anwendung, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Fehlt diese Voraussetzung, liegt das Geschehen rechtlich außerhalb des datenschutzrechtlichen Regelungsbereichs.

Das Dateisystem ist damit zugleich eine Schutzlücke und eine Systemgrenze: Der Gesetzgeber hat bewusst entschieden, rein unstrukturierte manuelle Tätigkeiten nicht zu erfassen, weil der mit der DSGVO verbundene Aufwand für solche Konstellationen unverhältnismäßig wäre. Wer personenbezogene Daten aber auch nur mit dem Ziel erfasst, sie später in einer geordneten Sammlung zugänglich zu machen, unterfällt bereits dem Anwendungsbereich.

<Cards>
  <Card title="Verarbeitung" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.2-verarbeitung" description="Art. 4 Nr. 2 DSGVO: Bei manueller Verarbeitung ist das Dateisystem Voraussetzung für die Anwendbarkeit der DSGVO." />

  <Card title="Personenbezogene Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten" description="Art. 4 Nr. 1 DSGVO: Das Dateisystem muss personenbezogene Daten enthalten." />

  <Card title="EuGH, Zeugen Jehovas (C-25/17)" href="/docs/dsgvo-hub/rechtsprechung/1.4.41-eugh-zeugen-jehovas" description="Handschriftliche Aufzeichnungen bei Haustürbesuchen als Dateisystem; weiter Dateibegriff." />

  <Card title="Art. 4 Nr. 6 DSGVO" href="https://dsgvo-gesetz.de/art-4-dsgvo/" description="Legaldefinition des Dateisystems im Wortlaut der Verordnung." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.