Datenverarbeitung
- Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO definieren und verstehen.
- DSGVO-Grundsätze: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität.
- Auftragsverarbeitung erfordert gesonderten Vertrag nach Art. 28 Abs. 3 DSGVO.
- Konzerninterner Datenaustausch benötigt auch Rechtsgrundlage, kein Konzernprivileg.
- Elektronische Datenverarbeitung ist zentral im Datenschutz, erfordert oft fachkundige Unterstützung.
- Item A
- Item B
- Item C
Was ist Datenverarbeitung?
Datenverarbeitung ist gemäß Art. 4 Nr. 2 Datenschutzgrundverordnung (DSGVO) "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (dazu gehört: das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten von Daten)."
Die DSGVO macht sich den Umgang mit dem Thema Datenverarbeitung etwas einfacher als das ehemalige Bundesdatenschutzgesetz (BDSG-alt) und erleichtert auch Unternehmen, durch die Definitionen im Gesetzestext das Verständnis. Unterschiede bei den Vorschriften über die Verarbeitung von Daten ergeben sich danach, welche Kategorien von personenbezogenen Daten verarbeitet werden.
Grundsätze der Datenverarbeitung nach DSGVO
Unternehmen müssen vor allem verstehen, dass Datenschutz sich auf jeden Verarbeitungsvorgang von personenbezogenen Daten bezieht. Ähnlich klar wie bei der Definition verfährt die DSGVO bei den allgemeinen Grundsätzen für das Verarbeiten von Daten. Hier gelten nach Art. 5 Abs. 1 DSGVO für jeden Verarbeitungsvorgang folgende Grundsätze:
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Außerdem hat der Verantwortliche eine Rechenschaftspflicht über die Einhaltung der genannten Grundsätze.
Verarbeitung als Schlüsselbegriff im Datenschutz
Alle Unternehmen sind seit dem 25. Mai 2018 mit der Begrifflichkeit der Verarbeitung personenbezogener Daten konfrontiert. Da sich daran entsprechende Vorgaben und Rechtsfolgen anknüpfen, sollten Unternehmen grundsätzlich jede Tätigkeit mit personenbezogenen Daten als Verarbeitung dieser ansehen und das Regelwerk des Datenschutzes berücksichtigen. Das Thema bleibt hoch aktuell, insbesondere mit Blick auf die hohen Bußgelder, die nach der DSGVO verhängt werden können. Bevor Daten erhoben und einer Weiterverarbeitung zugeführt werden dürfen, bedarf es zwingend einer Einwilligung für deren Erhebung, Nutzung und Weiterverarbeitung.
Elektronische Datenverarbeitung
Unter elektronischer Datenverarbeitung versteht man die EDV eines Unternehmens. Obwohl diese grundsätzlich nicht explizit mit Datenschutz zu tun hat, spielt die (automatisierte) Verarbeitung hingegen im Datenschutzrecht eine wichtige Rolle. Dadurch wird der sachliche Anwendungsbereich der DSGVO eröffnet (siehe Art. 2 DSGVO Abs. 1 DSGVO). Dabei können entweder in analoger Form (z.B. Akten) Daten und Informationen erhoben werden oder aber digitalisiert (automatisiert) als Datei über EDV-Systeme (Computer, E-Mail, Software, etc.). Sollten Sie hierbei für Ihr Unternehmen fachkundige Unterstützung brauchen, hilft Ihnen Ihr Datenschutzbeauftragter umfassend weiter.
Auftragsverarbeitung als Sonderform
Wenn Daten im Auftrag eines anderen Unternehmens verarbeitet werden, müssen Verantwortlicher und Auftragsverarbeiter einen gesonderten Vertrag über die Datenverarbeitung (AV-Vertrag) schließen. Dieser muss inhaltlich den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen. Typische Anwendungen hierfür sind Callcenter, externe Lohnabrechnungen und vieles mehr.
Datenverarbeitung in Konzernen
Konzerne sind nicht privilegiert, wenn es um den konzerninternen Austausch von personenbezogenen Daten geht. Der Datenaustausch zwischen konzernangehörigen Gesellschaften bedarf ebenso einer Rechtsgrundlage wie der Austausch von personenbezogenen Daten zwischen einander fremden Unternehmen. Die Verordnung spricht in Erwägungsgrund 48 lediglich an, dass es ein berechtigtes Interesse geben kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln. Ein sogenanntes Konzernprivileg, welches eine Rechtsgrundlage für die Datenübermittlung entfallen ließe, besteht für den Konzerndatenschutz jedoch nicht.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.