Datenverarbeitung

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
An den Terminus der "Verarbeitung personenbezogener Daten" knüpfen eine Vielzahl datenschutzrechtlicher Vorschriften an. Unternehmen sollten sich deshalb mit dem Begriff Datenverarbeitung und den diesem zugrundeliegenden gesetzlichen Regelungen auseinandersetzen, um dem eigenen datenschutzrechtlichen Aufgaben- und Pflichtenkreis genau nachkommen zu können.
Datenverarbeitung
Die wichtigsten Erkenntnisse
  • Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 2 DSGVO definieren und verstehen.
  • DSGVO-Grundsätze: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität.
  • Auftragsverarbeitung erfordert gesonderten Vertrag nach Art. 28 Abs. 3 DSGVO.
  • Konzerninterner Datenaustausch benötigt auch Rechtsgrundlage, kein Konzernprivileg.
  • Elektronische Datenverarbeitung ist zentral im Datenschutz, erfordert oft fachkundige Unterstützung.

Was ist Datenverarbeitung?

Datenverarbeitung ist gemäß Art. 4 Nr. 2 Datenschutzgrundverordnung (DSGVO) "jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (dazu gehört: das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten von Daten)."

Die DSGVO macht sich den Umgang mit dem Thema Datenverarbeitung etwas einfacher als das ehemalige Bundesdatenschutzgesetz (BDSG-alt) und erleichtert auch Unternehmen, durch die Definitionen im Gesetzestext das Verständnis. Unterschiede bei den Vorschriften über die Verarbeitung von Daten ergeben sich danach, welche Kategorien von personenbezogenen Daten verarbeitet werden.

Grundsätze der Datenverarbeitung nach DSGVO

Unternehmen müssen vor allem verstehen, dass Datenschutz sich auf jeden Verarbeitungsvorgang von personenbezogenen Daten bezieht. Ähnlich klar wie bei der Definition verfährt die DSGVO bei den allgemeinen Grundsätzen für das Verarbeiten von Daten. Hier gelten nach Art. 5 Abs. 1 DSGVO für jeden Verarbeitungsvorgang folgende Grundsätze:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Außerdem hat der Verantwortliche eine Rechenschaftspflicht über die Einhaltung der genannten Grundsätze.

Verarbeitung als Schlüsselbegriff im Datenschutz

Alle Unternehmen sind seit dem 25. Mai 2018 mit der Begrifflichkeit der Verarbeitung personenbezogener Daten konfrontiert. Da sich daran entsprechende Vorgaben und Rechtsfolgen anknüpfen, sollten Unternehmen grundsätzlich jede Tätigkeit mit personenbezogenen Daten als Verarbeitung dieser ansehen und das Regelwerk des Datenschutzes berücksichtigen. Das Thema bleibt hoch aktuell, insbesondere mit Blick auf die hohen Bußgelder, die nach der DSGVO verhängt werden können. Bevor Daten erhoben und einer Weiterverarbeitung zugeführt werden dürfen, bedarf es zwingend einer Einwilligung für deren Erhebung, Nutzung und Weiterverarbeitung.

Elektronische Datenverarbeitung

Unter elektronischer Datenverarbeitung versteht man die EDV eines Unternehmens. Obwohl diese grundsätzlich nicht explizit mit Datenschutz zu tun hat, spielt die (automatisierte) Verarbeitung hingegen im Datenschutzrecht eine wichtige Rolle. Dadurch wird der sachliche Anwendungsbereich der DSGVO eröffnet (siehe Art. 2 DSGVO Abs. 1 DSGVO). Dabei können entweder in analoger Form (z.B. Akten) Daten und Informationen erhoben werden oder aber digitalisiert (automatisiert) als Datei über EDV-Systeme (Computer, E-Mail, Software, etc.). Sollten Sie hierbei für Ihr Unternehmen fachkundige Unterstützung brauchen, hilft Ihnen Ihr Datenschutzbeauftragter umfassend weiter.

Auftragsverarbeitung als Sonderform

Wenn Daten im Auftrag eines anderen Unternehmens verarbeitet werden, müssen Verantwortlicher und Auftragsverarbeiter einen gesonderten Vertrag über die Datenverarbeitung (AV-Vertrag) schließen. Dieser muss inhaltlich den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen. Typische Anwendungen hierfür sind Callcenter, externe Lohnabrechnungen und vieles mehr.

Datenverarbeitung in Konzernen

Konzerne sind nicht privilegiert, wenn es um den konzerninternen Austausch von personenbezogenen Daten geht. Der Datenaustausch zwischen konzernangehörigen Gesellschaften bedarf ebenso einer Rechtsgrundlage wie der Austausch von personenbezogenen Daten zwischen einander fremden Unternehmen. Die Verordnung spricht in Erwägungsgrund 48 lediglich an, dass es ein berechtigtes Interesse geben kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln. Ein sogenanntes Konzernprivileg, welches eine Rechtsgrundlage für die Datenübermittlung entfallen ließe, besteht für den Konzerndatenschutz jedoch nicht.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!