Datenverarbeitung

Was ist Datenverarbeitung?

Datenverarbeitung ist gemäß Art. 4 Nr. 2 Datenschutzgrundverordnung (DSGVO) "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (dazu gehört: das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten von Daten)."

Die DSGVO macht sich den Umgang mit dem Thema Datenverarbeitung etwas einfacher als das ehemalige Bundesdatenschutzgesetz (BDSG-alt) und erleichtert auch Unternehmen, durch die Definitionen im Gesetzestext das Verständnis. Unterschiede bei den Vorschriften über die Verarbeitung von Daten ergeben sich danach, welche Kategorien von personenbezogenen Daten verarbeitet werden.

Grundsätze der Datenverarbeitung nach DSGVO

Unternehmen müssen vor allem verstehen, dass Datenschutz sich auf jeden Verarbeitungsvorgang von personenbezogenen Daten bezieht. Ähnlich klar wie bei der Definition verfährt die DSGVO bei den allgemeinen Grundsätzen für das Verarbeiten von Daten. Hier gelten nach Art. 5 Abs. 1 DSGVO für jeden Verarbeitungsvorgang folgende Grundsätze:

• Rechtmäßigkeit
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Außerdem hat der Verantwortliche eine Rechenschaftspflicht über die Einhaltung der genannten Grundsätze.

Verarbeitung als Schlüsselbegriff im Datenschutz

Alle Unternehmen sind seit dem 25. Mai 2018 mit der Begrifflichkeit der Verarbeitung personenbezogener Daten konfrontiert. Da sich daran entsprechende Vorgaben und Rechtsfolgen anknüpfen, sollten Unternehmen grundsätzlich jede Tätigkeit mit personenbezogenen Daten als Verarbeitung dieser ansehen und das Regelwerk des Datenschutzes berücksichtigen. Das Thema bleibt hoch aktuell, insbesondere mit Blick auf die hohen Bußgelder, die nach der DSGVO verhängt werden können. Bevor Daten erhoben und einer Weiterverarbeitung zugeführt werden dürfen, bedarf es zwingend einer Einwilligung für deren Erhebung, Nutzung und Weiterverarbeitung.

Elektronische Datenverarbeitung

Unter elektronischer Datenverarbeitung versteht man die EDV eines Unternehmens. Obwohl diese grundsätzlich nicht explizit mit Datenschutz zu tun hat, spielt die (automatisierte) Verarbeitung hingegen im Datenschutzrecht eine wichtige Rolle. Dadurch wird der sachliche Anwendungsbereich der DSGVO eröffnet (siehe Art. 2 DSGVO Abs. 1 DSGVO). Dabei können entweder in analoger Form (z.B. Akten) Daten und Informationen erhoben werden oder aber digitalisiert (automatisiert) als Datei über EDV-Systeme (Computer, E-Mail, Software, etc.). Sollten Sie hierbei für Ihr Unternehmen fachkundige Unterstützung brauchen, hilft Ihnen Ihr Datenschutzbeauftragter umfassend weiter.

Auftragsverarbeitung als Sonderform

Wenn Daten im Auftrag eines anderen Unternehmens verarbeitet werden, müssen Verantwortlicher und Auftragsverarbeiter einen gesonderten Vertrag über die Datenverarbeitung (AV-Vertrag) schließen. Dieser muss inhaltlich den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen. Typische Anwendungen hierfür sind Callcenter, externe Lohnabrechnungen und vieles mehr.

Datenverarbeitung in Konzernen

Konzerne sind nicht privilegiert, wenn es um den konzerninternen Austausch von personenbezogenen Daten geht. Der Datenaustausch zwischen konzernangehörigen Gesellschaften bedarf ebenso einer Rechtsgrundlage wie der Austausch von personenbezogenen Daten zwischen einander fremden Unternehmen. Die Verordnung spricht in Erwägungsgrund 48 lediglich an, dass es ein berechtigtes Interesse geben kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln. Ein sogenanntes Konzernprivileg, welches eine Rechtsgrundlage für die Datenübermittlung entfallen ließe, besteht für den Konzerndatenschutz jedoch nicht.