Datenverarbeitung

 

Worum geht es?

Das Wort „Datenverarbeitung“ mag für Manchen sehr abstrakt klingen. In unserer datenschutzrechtlichen Praxis fragt man uns immer wieder, ob in einem spezifischen Sachverhalt nun personenbezogene Daten verarbeitet werden oder eben nicht. Es fällt auf, dass das allgemeine Verständnis des Wortes „Verarbeitung“ oft davon abweicht, was die Datenschutz-Grundverordnung (DS-GVO) und das für evangelische kirchliche Stellen geltende Datenschutzgesetz (DSG-EKD) unter „Verarbeitung“ verstehen.

Verarbeitung im datenschutzrechtlichen Sinn

Die Verarbeitung ist in Art. 4 Nr. 2 DS-GVO bzw. § 4 Nr. 3 DSG-EKD identisch geregelt. Wörtlich ist eine Datenverarbeitung aus Sicht des Datenschutzes jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dies umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Diese mühsam zu lesende Definition lässt sich aus datenschutzrechtlicher Sicht einfacher so ausdrücken: Eine Verarbeitung ist jeglicher organisierte Umgang mit personenbezogenen Daten, egal ob maschinell oder manuell. Dies wird durch die sehr weit gefasste Aufzählung verschiedener Verarbeitungstätigkeiten deutlich. Das heißt nicht nur, wenn Softwareanwendungen etwas mit personenbezogenen Daten machen, sondern auch wenn Daten auf Papier geschrieben werden, liegt eine Verarbeitung vor.

Fazit

Was bedeutet das für den Arbeitsalltag und die Prozesse im Unternehmen oder in der sozialen Einrichtung?

Wer personenbezogene Daten „in die Hand nimmt“, verarbeitet diese. Jedes System, dass Daten erfasst, weiterleitet, speichert oder löscht, verarbeitet diese. Dies passiert tagtäglich in großem Stil in jedem Unternehmen und jeder Einrichtung. Die datenschutzrechtlichen Anforderungen sind also zwingend zu beachten.

Manchmal ist eine Datenverarbeitung offensichtlich, manchmal passiert diese eher im Verborgenen. Damit man umfassend feststellen kann, in welchen Unternehmensprozessen personenbezogene Daten verarbeitet werden, muss man diese analysieren und in einem Verfahrensverzeichnis dokumentieren. Nur wenn das bekannt ist, kann man auch die entsprechenden datenschutzrechtlichen Anforderungen umsetzen. Wir unterstützen Sie als externer Datenschutzbeauftragter dabei gerne.

Verfasser: Bastian Maute, 19.05.2020