Iñigo de Miguel Beriain (UPV/EHU)
Dieser Teil der Leitlinien wurde von Daniel Jove Villares, Universidade Da Coruna, Spanien, geprüft.
Dieser Teil des Leitfadens wurde von Marko Sijan, Senior Advisor Specialist, (HR DPA) überprüft und bestätigt.
Definition
Nach Artikel 4 Absatz 2 DSGVObezeichnet der Ausdruck Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung .“
Der Begriff der Verarbeitung ist daher weit gefasst. Er umfasst ein breites Spektrum von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, einschließlich manueller oder automatisierter Vorgänge, wenn sie Teil eines strukturierten Ablagesystems sind, d. h. einer strukturierten Menge personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (Art. 4 Absatz 6).
Die in Artikel 4 Absatz 2 enthaltene Liste ist natürlich nicht erschöpfend, was bedeutet, dass auch andere Vorgänge mit personenbezogenen Daten, die gut mit der allgemeinen Definition übereinstimmen, als Verarbeitung im Sinne der Datenschutz-Grundverordnung gelten sollten. Einige Beispiele für Verarbeitungen sind: Personalverwaltung und Lohnbuchhaltung; Zugriff auf eine Kontaktdatenbank, die personenbezogene Daten enthält; Versand von Werbe-E-Mails; Schreddern von Dokumenten, die personenbezogene Daten enthalten; Einstellen eines Fotos einer Person auf eine Website; Speichern von IP-Adressen oder MAC-Adressen; Videoaufzeichnungen (CCTV), usw.[1]
Verarbeitung als Schlüsselbegriff in der Datenschutz-Grundverordnung
Die Verarbeitung ist ein wesentliches Element im Hinblick auf die Datenschutzrechte. Was die DSGVO wirklich regelt, sind nicht die Daten selbst, sondern die Verarbeitung von personenbezogenen Daten. Diese Verwendung von Daten löst die Anwendung der Datenschutzbestimmungen aus. So heißt es in Artikel 1 Absatz 1 der DSGVO: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“
Die Umstände der Verarbeitung bestimmen die wesentlichen Regelungselemente: die Notwendigkeit (oder Nichtnotwendigkeit), einen Grund für die Verarbeitung der Daten zu finden, wenn es sich um eine besondere Kategorie handelt; die geeignete Legitimationsgrundlage; die Frage, ob es sich um eine Einzelverarbeitung oder eine Verarbeitung in großem Umfang handelt; das spezifische Risikoniveau; die anzuwendenden Garantien usw. Jede Verarbeitung ist, kurz gesagt, ein separater, unabhängiger Vorgang mit eigenen Merkmalen und eigenem Umfang. Daher muss immer davon ausgegangen werden, dass die Datenschutzvorschriften für jede einzelne Verarbeitung gelten.
Quellenangaben
1EU-Kommission, Was umfasst Datenverarbeitung, unter:https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-constitutes-data-processing_de. ↑