Datenverarbeitung

Begriff und rechtliche Grundlagen der Datenverarbeitung

Datenverarbeitung bezeichnet sämtliche Vorgänge, bei denen personenbezogene oder nicht-personenbezogene Daten erfasst, gespeichert, geordnet, verändert, abgerufen, übermittelt oder gelöscht werden. Im juristischen Kontext ist der Begriff besonders durch die Datenschutzgesetzgebung, insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG), normiert. Wesentlich ist die Abgrenzung zwischen der automatisierten und nicht-automatisierten Verarbeitung sowie der Zweckbindung der jeweiligen Datenverarbeitung.

Datenverarbeitung im Datenschutzrecht

Definition der Datenverarbeitung

Nach Art. 4 Nr. 2 DSGVO umfasst die Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Anwendungsbereich

Personenbezogene und nicht-personenbezogene Daten

Das Datenschutzrecht stellt vor allem auf die Verarbeitung personenbezogener Daten ab. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Nicht-personenbezogene Daten können zwar verarbeitet werden, stehen aber regelmäßig außerhalb der Geltung des Datenschutzrechts, es sei denn, eine Verbindung zu personenbezogenen Informationen besteht – etwa durch Re-Identifizierungsmöglichkeiten.

Automatisierte und nicht-automatisierte Verarbeitung

Die DSGVO und das BDSG differenzieren zwischen der voll- oder teilautomatisierten Verarbeitung von Daten (z. B. durch Software, Apps, Cloud-Dienste) und der nicht-automatisierten Verarbeitung (z. B. strukturierte analoge Datenbestände).

Zulässigkeit der Datenverarbeitung

Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine gesetzliche Grundlage nach Art. 6 DSGVO besteht. Hierzu zählen unter anderem:

• Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO)
• Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
• Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
• Wahrung berechtigter Interessen, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO)

Einwilligungen müssen dabei freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen. Widerrufsmöglichkeiten sind jederzeit zu gewähren.

Zweckbindung und Datenminimierung

Entsprechend dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) ist die Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke erlaubt. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass Datenverarbeitung auf das dem Zweck angemessen notwendige Maß beschränkt ist.

Anforderungen und Pflichten bei der Datenverarbeitung

Transparenz- und Informationspflichten

Verantwortliche Stellen müssen betroffene Personen zum Zeitpunkt der Datenerhebung umfassend über den Zweck, die Empfänger der Daten sowie die Dauer der Verarbeitung aufklären (Art. 13, 14 DSGVO). Diese Informationspflicht umfasst auch Hinweise auf Rechte der Betroffenen, wie Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung.

Technische und organisatorische Maßnahmen

Nach Art. 32 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren. Dazu zählen Maßnahmen wie Verschlüsselung, Zugangskontrollen oder die Anonymisierung von Daten.

Auftragsverarbeitung

§ 28 DSGVO regelt die Verarbeitung durch Auftragsverarbeiter. Beauftragt ein Verantwortlicher eine externe Stelle mit der Datenverarbeitung, muss dies durch einen entsprechenden Vertrag gemäß den gesetzlichen Anforderungen abgesichert werden. Auftragsverarbeiter dürfen die erhaltenen Daten ausschließlich im Rahmen der weisungsgebundenen Verarbeitung nutzen.

Melde- und Dokumentationspflichten

Verantwortliche müssen alle personenbezogenen Datenverarbeitungsvorgänge in einem Verzeichnis nach Art. 30 DSGVO dokumentieren. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten (sog. „Datenpanne“), besteht eine Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO).

Besondere Aspekte der Datenverarbeitung

Übermittlung an Dritte und Drittstaaten

Die Weitergabe von Daten an Empfänger außerhalb der eigenen Organisation – insbesondere in Staaten außerhalb der EU/des EWR („Drittstaaten“) – ist nur unter strengen Voraussetzungen erlaubt (Art. 44 ff. DSGVO). Erforderlich sind entweder ein angemessenes Schutzniveau, Standardvertragsklauseln oder ausdrückliche Einwilligung der betroffenen Person.

Spezielle Arten personenbezogener Daten

Der Umgang mit besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten oder Daten über die ethnische Herkunft (Art. 9 DSGVO), unterliegt besonders strengen Anforderungen; die Verarbeitung ist grundsätzlich verboten und nur in eng begrenzten Ausnahmefällen zulässig.

Datenverarbeitung im Beschäftigungskontext

Im Beschäftigungs- und Arbeitsverhältnis sind ergänzende Anforderungen des § 26 BDSG sowie weiterer spezialgesetzlicher Regelwerke zu beachten, insbesondere beim Umgang mit Mitarbeiterdaten im Rahmen von Bewerbungsverfahren, Arbeitsverhältnissen oder Beendigungen von Beschäftigungsverhältnissen.

Rechte der betroffenen Person im Zusammenhang mit der Datenverarbeitung

• Auskunft (Art. 15 DSGVO): Betroffene haben das Recht, über Art und Umfang der sie betreffenden Datenverarbeitung informiert zu werden.
• Berichtigung (Art. 16 DSGVO): Unrichtige oder unvollständige Daten müssen korrigiert werden.
• Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO): Die betroffene Person kann die Löschung ihrer Daten verlangen, sofern keine gesetzlichen Speicher- oder Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): In bestimmten Fällen kann die Verarbeitung von Daten eingeschränkt werden.
• Datenübertragbarkeit (Art. 20 DSGVO): Das Recht auf Übertragbarkeit ermöglicht, personenbezogene Daten in einem strukturierten, gängigen Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Datenverarbeitung widersprechen, insbesondere bei Direktwerbung oder bei Verarbeitung aufgrund berechtigter Interessen.

Sanktionen und Haftung bei Verstößen gegen datenschutzrechtliche Vorschriften

Verstöße gegen die Vorschriften zur Datenverarbeitung können zu erheblichen Sanktionen führen. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens vor (Art. 83 DSGVO). Darüber hinaus kommen Schadensersatzansprüche der betroffenen Personen in Betracht (Art. 82 DSGVO).

Fazit

Die Datenverarbeitung stellt ein zentrales Element des digitalen Zeitalters dar und ist durch umfangreiche gesetzliche Regelungen geprägt. Die Einhaltung der datenschutzrechtlichen Vorgaben ist Voraussetzung für eine rechtmäßige Verarbeitung personenbezogener Daten und dient dem Schutz der Rechte und Freiheiten natürlicher Personen. Verantwortliche Stellen sind gehalten, sämtliche Prozesse und Abläufe der Datenverarbeitung anhand der aktuellen gesetzlichen Vorgaben auszurichten und regelmäßig zu kontrollieren.

Siehe auch:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Auftragsverarbeitung
• Technische und organisatorische Maßnahmen (TOMs)
• Rechte der betroffenen Person

Häufig gestellte Fragen

Wer ist datenschutzrechtlich verantwortlich für die Datenverarbeitung?

Im rechtlichen Kontext ist als „Verantwortlicher“ gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle anzusehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In der Praxis ist dies häufig das Unternehmen, das die Daten erhebt und verarbeitet, beispielsweise im Rahmen der Kundenbetreuung, im Beschäftigungskontext oder im Rahmen von Marketingmaßnahmen. Essenziell ist, dass der Verantwortliche die Entscheidungshoheit besitzt und damit auch für die Einhaltung datenschutzrechtlicher Vorgaben, wie die Rechtmäßigkeit der Verarbeitung, die Erfüllung von Informationspflichten, Umsetzung technisch-organisatorischer Maßnahmen sowie die Sicherstellung der Betroffenenrechte, haftet. In besonderen Konstellationen, wie gemeinsamen Verantwortlichkeiten nach Art. 26 DSGVO, sind die jeweiligen Zuständigkeiten klar zu regeln und transparent zu machen. Werden hingegen ausschließlich weisungsgebunden im Auftrag Daten verarbeitet, gilt grundsätzlich der Auftraggeber als Verantwortlicher, der Auftragsverarbeiter haftet nur eingeschränkt.

Welche rechtlichen Grundlagen sind für eine zulässige Datenverarbeitung zwingend erforderlich?

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach der Datenschutz-Grundverordnung (DSGVO). Zentral ist dabei Art. 6 DSGVO, der abschließend sechs mögliche Grundlagen aufführt, wie die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO), die Erforderlichkeit zur Vertragserfüllung (lit. b), die Erfüllung einer rechtlichen Verpflichtung (lit. c), den Schutz lebenswichtiger Interessen (lit. d), die Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e) oder die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (lit. f). Die Wahl der richtigen Rechtsgrundlage ist dabei abhängig vom konkreten Verarbeitungszweck und muss dokumentiert sowie im Rahmen der Informationspflichten gem. Art. 13 f. DSGVO transparent gemacht werden. Für besondere Kategorien personenbezogener Daten (sensible Daten) greift zudem Art. 9 DSGVO, der zusätzliche Voraussetzungen und Ausnahmen regelt.

Welche Informationspflichten bestehen bei der Datenverarbeitung?

Verantwortliche sind dazu verpflichtet, betroffene Personen gemäß Art. 12-14 DSGVO klar, verständlich und umfassend über die Verarbeitung ihrer Daten zu informieren. Dazu zählen Angaben über die Identität und Kontaktdaten des Verantwortlichen, ggf. die des Datenschutzbeauftragten, die Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger oder Kategorien von Empfängern, die Absicht einer Datenübermittlung in ein Drittland sowie die Dauer der Speicherung. Weiterhin müssen bestehende Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht) sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde genannt werden. Erfolgt die Datenerhebung nicht direkt beim Betroffenen, sind zusätzlich die Kategorien der verarbeiteten Daten sowie deren Herkunft anzugeben. Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden, üblicherweise in Form einer Datenschutzerklärung.

Was sind die Anforderungen an eine Auftragsverarbeitung aus rechtlicher Sicht?

Eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO liegt vor, wenn ein externer Dienstleister personenbezogene Daten im Auftrag und auf Weisung eines Verantwortlichen verarbeitet. Rechtlich verpflichtend ist dabei der Abschluss eines schriftlichen oder elektronischen Vertrags zur Auftragsverarbeitung (AV-Vertrag), der insbesondere Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen sowie die Verpflichtungen des Auftragsverarbeiters detailliert regelt. Diese Verpflichtungen umfassen u.a. Vertraulichkeit, Sicherstellung technisch-organisatorischer Maßnahmen, Unterstützung bei der Wahrnehmung von Betroffenenrechten, Löschung bzw. Rückgabe nach Abschluss der Verarbeitung und Nachweispflichten. Der Verantwortliche trägt außerdem die Pflicht zur sorgfältigen Auswahl und regelmäßigen Kontrolle des Auftragsverarbeiters.

Welche Rechte haben betroffene Personen im Hinblick auf die Datenverarbeitung?

Die DSGVO räumt betroffenen Personen weitgehende Rechte in Bezug auf ihre personenbezogenen Daten ein, die strikt durchzusetzen sind. Dazu zählen insbesondere das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16), das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17), das Recht auf Einschränkung der Verarbeitung (Art. 18), das Recht auf Datenübertragbarkeit (Art. 20), sowie das Widerspruchsrecht gegen bestimmte Verarbeitungen (Art. 21). Diese Rechte müssen einfach ausübbar und unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, umgesetzt werden. Der Verantwortliche muss zudem die Identität des Antragsstellers, soweit erforderlich, überprüfen und alle Maßnahmen dokumentieren. Ausnahmen gelten bei Missbrauchsverdacht oder wenn gesetzliche Aufbewahrungspflichten entgegenstehen.

Unter welchen Voraussetzungen ist die Übermittlung personenbezogener Daten ins Ausland zulässig?

Die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR ist nur unter bestimmten rechtlichen Voraussetzungen zulässig. Zunächst muss eine eigene Rechtsgrundlage für die Übermittlung nach Art. 6 DSGVO vorliegen. Zusätzlich fordert die DSGVO entweder einen Angemessenheitsbeschluss der Europäischen Kommission für das jeweilige Drittland (Art. 45), geeignete oder angemessene Garantien wie Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften (BCR), oder spezifische Ausnahmetatbestände nach Art. 49. Liegt keine dieser Bedingungen vor, ist eine Übermittlung grundsätzlich unzulässig. Besondere Aufmerksamkeit gilt dabei insbesondere für Datenexporte in die USA oder andere Länder ohne Angemessenheitsbeschluss, da hier erhöhte Prüf- und Dokumentationspflichten und ggf. ergänzende technische und organisatorische Maßnahmen erforderlich sind.

Welche gesetzlichen Aufbewahrungsfristen sind bei der Datenverarbeitung zu beachten?

Im rechtlichen Kontext unterliegt die Speicherung personenbezogener Daten verschiedenen gesetzlichen Aufbewahrungsfristen, die sich aus dem Handelsrecht, Steuerrecht oder spezialgesetzlichen Regelungen ergeben können. So gelten z.B. nach § 257 HGB und § 147 AO für bestimmte Geschäftsunterlagen Aufbewahrungsfristen von 6 bzw. 10 Jahren. Im datenschutzrechtlichen Sinne sind Daten grundsätzlich zu löschen oder zu anonymisieren, sobald sie für die ursprünglichen Zwecke nicht mehr erforderlich sind (Art. 5 Abs. 1 lit. e DSGVO). Eine weitere Speicherung ist nur zulässig, wenn und solange eine gesetzliche Pflicht zur Aufbewahrung besteht. Die Daten dürfen in dieser Zeitspanne jedoch nur noch für die festgelegten Zwecke verwendet werden; nach Ablauf der Fristen ist eine sichere und vollständige Löschung obligatorisch nachzuweisen und zu dokumentieren.