Datenschutz-Akademie » Datenschutz-Wiki » Datenverarbeitung

Elektronische Datenverarbeitung DSGVO

Datenverarbeitung

Die Datenverarbeitung im Sinn der Datenschutz-Grundverordnung betrifft nahezu jede Organisationen und reguliert mittels datenschutzrechtlicher Vorschriften  die Art und Weise wie Daten erhoben, erfasst oder generell verarbeitet werden. Dementsprechend essenziell ist es, dass sich Unternehmen mit diesem Thema auseinandersetzten und über die gesetzlichen Regelungen informiert sind.

Was ist Datenverarbeitung?

Die Datenschutzgrundverordnung versteht die Datenverarbeitung in Artikel 4 Abs. 2 als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Was sind Grundsätze der Datenverarbeitung nach der DSGVO?

Die Grundsätze der Datenverarbeitung werden in Artikel 5 DSGVO festgeschrieben und können unter den folgenden Stichwörtern zusammengefasst werden.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Verarbeitung als Schlüsselbegriff im Datenschutz

Der Begriff der „(Daten-)Verarbeitung“ sollte spätestens seit in Kraft treten der Datenschutzgrundverordnung im Jahr 2018 jedem ein Begriff sein. Definiert wird die „Verarbeitung“ im Artikel 4 Abs. 2 DSGVO und findet in vielen weiteren Artikeln Erwähnung. Die Verarbeitung ist so entscheidend im Datenschutz, dass ebenfalls Vorlagen und Rechtsfolgen an sie gebunden sind.

Wann ist eine Datenverarbeitung zulässig?

Artikel 6 Abs. 1 DSGVO regelt die Zulässigkeit beziehungsweise Rechtmäßigkeit der Datenverarbeitung, indem bestimmte Bedingungen zur Erfüllung vorgegeben werden. Von den beschriebenen Bedingungen muss mindestens eine erfüllt sein, damit die Verarbeitung rechtmäßig ist.

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.)

Welche Rechtslage ist die Richtige?

Die allgemeine Rechtsgrundlage für den Umgang mit personenbezogenen Daten bildet Artikel 6 Abs. 1 DSGVO. Für den nicht-öffentlichen Bereich ist vor allem der Buchstabe f maßgeblich. Im Gegensatz dazu verweist die DSGVO für den öffentlichen Bereich in Abs. 3 auf das nationale Recht. Dieser Absatz hat einen Richtliniencharakter, wobei nationale Gesetzgeber dazu angehalten sind die darin gefragten Vorgaben verbindlich zu regeln.

„Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.“

Durch zahlreiche Öffnungsklauseln in der DSGVO ist es Mitgliedstaaten zudem möglich in vielen Bereichen selbst nationale Regelungen zu erlassen, um den Schutz der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten zu gewährleiten.

Einwilligung als Rechtsgrundlage

Als Einwilligung versteht die DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten  einverstanden ist.“ (Artikel 4 Abs. 11 DSGVO ). Auch Bedingungen für die Einwilligung werden in der Datenschutzgrundverordnung festgehalten und sind in Artikel 7 sowie Artikel 8 nachzulesen. Fällt die Wahl auf die Einwilligung als Rechtsgrundlage ist vor allem zu beachten, dass Betroffene die Möglichkeiten haben müssen eine Einwilligung zu verweigern oder eine bereits erteilte Einwilligung zu widerrufen. Daraus ergibt sich eine erhebliche Unsicherheit in Bezug auf den Fortbestand der Datenverarbeitung.

Folglich ist eine Einwilligung als Rechtsgrundlage nur in wenigen Konstellationen die richtige Lösung. Verarbeitungen, bei welchen die Einwilligung als Legitimationsbasis angemessen ist, ist die Verarbeitung besonderer Kategorien personenbezogener Daten, von Daten, die einen starken Persönlichkeitseingriff beinhalten oder deren vertragliche Vereinbarungen in ein gesetzliches Verbot umgehen würde.

Vertrag als Rechtsgrundlage

Eine vertragliche Vereinbarung ist der Einwilligung durch Betroffene vorzuziehen. Vor allem dann, wenn

  • die Verarbeitungen für den vom Unternehmen angebotenen und vom Betroffenen gewünschten Service erforderlich sind
  • die Verarbeitungen als solche eine Gegenleistung für die Gewährleistung eines Service (z.B. Verarbeitung von Daten zu Marketingzwecken als Gegenleiostung für einen Download)
  • Verarbeitungen zum Kern des Dienstverhältnisses gehören.
  • Arbeitnehmer müssen die Verarbeitung ihrer Daten tolerieren, ohne die eine Abwicklung des Arbeitsverhältnisses nicht möglich wäre. Sollten Mitarbeiter die Datenverarbeitung verweigern, kann dies eine Auflösung des Arbeitsverhältnisses zur Folge haben. Die eigentliche Rechtfertigung erfolgt mittels des Arbeitsverhältnisses des Mitarbeiters.

Interessenabwägung als Rechtsgrundlage

Kann ein Vertrag mit den Betroffenen eine Verarbeitung nicht ausreichend legitimieren, ist es möglich diese auf ein berechtigtes Interesse des Unternehmens zu stützen. In Abwägung mit dem schutzwürdigen Interesse des Betroffenen bildet sich daraus die Rechtsgrundlage. Diese Form der Rechtsgrundlage, sollte vor allem dann ergriffen werden, bei

  • Verarbeitungen, die aus einer wirtschaftlichen Risikoabwägung heraus geboten sind
  • Verarbeitungen, die aufgrund des spezifischen Dienstverhältnisses wirtschaftlich geboten sind
  • Verarbeitungen, die maßgeblich für den wirtschaftlichen Erfolg des Unternehmens sind

Gern können Sie uns als externen Datenschutzbeauftragten bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

Mehr erfahren

Formen der Datenverarbeitung

Elektronische Datenverarbeitung

Als Elektronische Datenverarbeitung wird die EDV im Unternehmen bezeichnet. Datenschutzrechtlich spielt die elektronische Datenverarbeitung eine entscheidende Rolle, da diese einen sachlichen Anwendungsbereich gemäß der DSGVO eröffnet. Aus Artikel 2 Abs. 1 DSGVO ergibt sich eine Definition als ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Demzufolge können Daten in analoger Form wie Akten, sowie in digitalisierter (automatisierter) Form erhoben werden.

Auftragsverarbeitung als Sonderform

Werden Daten im Auftrag eines anderen Unternehmens verarbeitet, ist es nötig einen gesonderten Vertrag zwischen Verantwortlichen und Auftragsverarbeiter zu schleißen. Dieser wird als Auftragsverarbeitungsvertrag (kurz AV-Vertrag) bezeichnet und wird z.B. dann nötig, wenn die Lohnabrechnung extern erfolgt, oder ein Callcenter genutzt wird.

Weitere Informationen dazu finden Sie im Artikel Auftragsverarbeitungsvertrag (AVV) DSGVO-konform erstellen.

Datenverarbeitung in Konzernen

Konzerne sind in Bezug auf den konzerninternen Austausch personenbezogener Daten nicht privilegiert. Das meint, dass ein Datenaustausch zwischen konzernangehörigen Gesellschaften ebenso eine Rechtsgrundlage benötigt, wie der Austausch mit einer fremden Gesellschaft. Helfen kann in diesem Fall Erwägungsgrund 48 mittels welchem ein berechtigtes Interesse gegeben werden kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Arbeitsschutz-Management nach ISO 45001

Das Arbeitsschutzmanagementsystem nach ISO 45001: Aufbau, Umsetzung, High Level Structure und Informationen. Jetzt lesen!

Alle Informationen zum Qualitaetsmanagement

Das wichtigste zum Qualitätsmanagement: Aufgaben, Normen und Standards, und Aufbau eines Qualitätsmanagement-Systems.

Risiko-Management im Unternehmen

Das Wichtigste zum Risikomanagement: Definitionen, Instrumente, Normen und Standards und Aufbau eines Risikomanagement-Systems.

Klicke hier, um Ihren eigenen Text einzufügen