Verarbeitungen im Rahmen der DSGVO
Home » DSGVO » Wichtigste Konzepte » Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen » Analyse von Artikel 25. Datenschutz durch Technikgestaltung » Verarbeitungen im Rahmen der DSGVO

Im Folgenden wird analysiert, was die Datenschutz-Grundverordnung unter einem Verarbeitungsvorgang versteht.

Art. 5 Absatz 1 Buchstabe fDSGVO besagt, dass der „Schutz vor unbefugter […] Verarbeitung“ gewährleistet sein muss.Dies bedeutet, dass die normale Verarbeitung genehmigt werden muss.Aus dem Kontext geht auch hervor, dass diese Genehmigung von dem Verantwortlichen erteilt werden muss, der die volle Verantwortung für die Verarbeitung trägt.Aber wie kann ein Verantwortlicher die Verarbeitung auf das beschränken, was erlaubt ist?

Eine Teilantwort auf diese Frage findet sich in Art. 29 DSGVO: „Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten […].“Auch Art. 32 Absatz 4DSGVO verwendet eine sehr ähnliche Formulierung.Art. 29 DSGVO impliziert die folgende Konzeption:

  • Die Verarbeitung wird von einer „natürlichen Person, die demVerantwortlichen oder dem Auftragsverarbeiter unterstellt ist“ durchgeführt.Diese Personen sind meist Angestellte des Verantwortlichen, können aber auch für einen Auftragsverarbeiter arbeiten oder ohne tatsächliche Beschäftigung tätig sein[1]. Sie werden im Folgenden als Humanressourcen bezeichnet.Es ist zu beachten, dass diese Personen ihrerseits technische Mittel kontrollieren, die die Verarbeitung[2] unterstützen oder teilweise automatisieren.
  • Das Mittel, mit dem ein Verantwortlicher sicherstellt, dass nur zulässige Verarbeitungen stattfinden, ist die Erteilung von Anweisungen.

Um sicherzustellen, dass nur zulässige Verarbeitungen stattfinden, müssen die Anweisungen alle relevanten Aspekte der Verarbeitungstätigkeit angeben: wer, wann, was und wie. Mit anderen Worten: Die Mitarbeiter dürfen nur auf Anweisung (wer, wann) und wie angewiesen (was, wie) handeln.

Wenn auch weniger klarführt die Datenschutz-Grundverordnung auch an, dass technische Mittel erforderlich sind.Dies wird in Erwägungsgrund 39 (Satz 12) sehr deutlich, in dem von „Geräten, mit denen [Daten] verarbeitet werden“ die Rede ist.Andere Begriffe im Zusammenhang mit technischen Mitteln, die in der DSGVO verwendet werden, sind „Datenverarbeitungsanlagen“ in Art. 58 Absatz 1 Buchstabe f und „Systeme“ in Art. 32 Absatz 1 Buchstabe b.

Während die Datenschutz-Grundverordnung den Begriff Anweisung nur im Zusammenhang mit menschlichen Ressourcen verwendet, ist klar, dass auch technische Ressourcen Anweisungen benötigen, um nur zulässige Verarbeitungen durchzuführen.Im technischen Bereich wird hier der Begriff Maschinenanweisungen verwendet.Eine wichtige Art solcher Anweisungen ist Software.

Zusammenfassend lässt sich sagen, dass die Datenschutz-Grundverordnung bei der Betrachtung einer individuellen (menschlichen oder technischen) Ressource die folgende Vorstellung von einer Verarbeitung hat:

Einzelverarbeitungsvorgang
=
Ausführung der Anweisungen des Verantwortlichen durch eine einzige Ressource

In den meisten Fällen handelt es sich bei den gesamten Verarbeitungsvorgängen um ein System aus einer Vielzahl von interagierenden menschlichen und technischen Ressourcen. Dies kommt im Folgenden zum Ausdruck:

Gesamtverarbeitungsvorgänge

eine Vielzahl von einzelnen Verarbeitungsvorgängen
die von einzelnen menschlichen und technischen Ressourcen ausgeführt werden

Abbildung 5: Das Konzept der DSGVO für einen Verarbeitungsvorgang.

Abbildung 5 veranschaulicht das Konzept der Datenschutz-Grundverordnung für Verarbeitungsvorgänge in einem größeren Zusammenhang.Der Verantwortungsbereich des Verantwortlichen wird durch einen gestrichelten Kasten dargestellt.Der Verantwortliche legt die zulässigen Verarbeitungsvorgänge fest, indem er Anweisungen sowohl an die ihm unterstellten Humanressourcen (HR) (siehe Artikel 29 DSGVO) als auch an die seiner Kontrolle unterstehenden technischen Ressourcen (TR) erteilt oder auswählt/genehmigt[3].Alle Ressourcen wirken zusammen und bilden das gesamte Verarbeitungssystem.Der Kontext dieses Verarbeitungssystems wird durch die betroffenen Personen definiert, die mit den personellen und/oder technischen Ressourcen interagieren, sowie gegebenenfalls durch Dritte, die Empfänger sind (siehe Art. 4 Absatz 9 und 10DSGVO), an die die Ressourcen personenbezogene Daten weitergeben.

Dieses Modell der Verarbeitungsvorgänge stellt die vom Verantwortlichen genehmigte Verarbeitung dar.Es wird im nächsten Abschnitt verwendet, um besser zu verstehen, was die Festlegung der Mitteltatsächlich bedeutet.

 

Quellenangaben

1Siehe auch EDSA-Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der Datenschutz-Grundverordnung, Absatz 88, für eine Diskussion der Bedeutung von „Personen, die unter der unmittelbaren Aufsicht des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten“.

2Es ist zu beachten, dass auch bei einer „vollautomatischen Verarbeitung“ immer ein Mensch diese Verarbeitung steuert, indem er sie startet und stoppt.Die Kontrolle durch den Menschen wird noch deutlicher, wenn es sich um computergestützte „Tools“ handelt, die von Menschen über eine Mensch-Maschine-Schnittstelle verwendet werden.

3Die Auswahl und Genehmigung von Anweisungen durch den Verantwortlichen erfolgt z. B. beim Erwerb von Standardsoftware oder wenn der Verantwortliche den Dienst eines bestimmten Auftragverarbeiters wählt.

 

Skip to content