Hallo
Nein (auch an @dedlfix). Die Verordnung und damit die sich daraus ergebenden Pflichten (zum Beispiel zur Datenschutzerklärung) gilt, wenn persönliche Daten verarbeitet werden [^1] als auch wenn persönliche Daten einfach nur gespeichert werden.
Für übermittelte, aber weder verarbeitete als auch nicht gespeicherte Daten gilt die DSGVO ihrem Wortlaut nach nicht.
Wenn ein Request am Server eingeht, dann verarbeitet die Serversoftware bereits die darin enthaltenen Daten, denn der Request muss ja geparst werden. Das ist aber noch keine "Verarbeitung personenbezogener Daten [...], die in einem Dateisystem gespeichert sind oder gespeichert werden sollen". Dateisystem ist in Artikel 4 definiert als "jede strukturierte Sammlung personenbezogener Daten".
Im ursprünlich von dir zitierten Artikel 2, Absatz 1 ist von Verarbeitung oder Speicherung die Rede.
Nochmal:
DSGVO, Artikel 2, Absatz 1: Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Persönliche Daten müssen nach meiner Lesart des Satzes also nicht gespeichert werden, um in den Geltungsbereich der DSGVO zu fallen, es reicht, sie zu (etwas anderem) verarbeiten. Dass sie übermittelt werden, durch die Serversoftware laufen und dann wieder verworfen werden, ohne für irgendwas benutzt zu werden, reicht auch meiner Meinung nach nicht, um von Verarbeitung im Sinne der DSGVO zu sprechen.
Für mich zählt diese Art der Verarbeitung nicht zum Geltungsbereich, weil der Teil mit dem Dateisystem nicht erfüllt ist. Daten, die nur temporär durch mein System gehen, aber nicht gesammelt werden, sehe ich weiterhin nicht als von der Verordnung betroffen ein.
Man kann Daten auch verarbeiten, um aus ihnen andere Informationen zu generieren, die man wiederum üblicherweise speichert, ohne dass man die persönlichen Daten, aus denen dieses etwas generiert wurde, mitspeichert. In diesem Szenario fiele die Verarbeitung der persönlichen Daten meiner Meiung nach unter die DSGVO, womit sich eine Informationspflicht ergäbe.
Übrigens steht in der Verordnung auch, dass Erklärungen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln" (Artikel 12, Satz 1) sind.
… was die Datenschutzerklärungen, auch und gerade aus Angst, etwas falsch zu machen, in sehr vielen Fällen nicht tun. 😟
Wenn ich da nun Dinge hinzunehme, die ich gar nicht erwähnen muss, verkompliziert das nur die Information. Am Ende legt man sowas noch als bewusste Irreführung aus.
Da bin ich, was den ersten Satz angeht, ganz deiner Meinung und bezüglich des zweiten halte auch ich das für möglich.
Tschö, Auge
--
Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
Kleine freie Männer von Terry Pratchett