Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Wiki»Datenverarbeitung

Datenverarbeitung

Begriff und Bedeutung der Datenverarbeitung

Datenverarbeitung bezeichnet jeden Vorgang im Umgang mit Daten, insbesondere mit Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Der Begriff ist weit gefasst und umfasst den gesamten Lebenszyklus von Daten, von der Erhebung bis zur Löschung. Er ist zentraler Anknüpfungspunkt des Datenschutzrechts und legt fest, unter welchen Voraussetzungen mit Daten umgegangen werden darf.

Typische Verarbeitungsvorgänge

Zum Begriff der Datenverarbeitung zählen insbesondere:

  • Erheben und Erfassen (z. B. Eingabe in ein Formular)
  • Ordnen, Speichern und Strukturieren
  • Anpassen oder Verändern
  • Auslesen, Abfragen und Verwenden
  • Weitergabe, Übermittlung oder Offenlegung
  • Abgleich oder Verknüpfung
  • Einschränkung, Löschung und Vernichtung

Arten von Daten und Abgrenzungen

Nicht jede Information unterliegt denselben rechtlichen Maßstäben. Wesentlich ist die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten:

  • Personenbezogene Daten: Informationen, die sich auf eine bestimmte Person beziehen oder eine Identifizierung ermöglichen (z. B. Name, Kontaktangaben, Kennnummern, Online-Kennungen, Standortdaten).
  • Pseudonymisierte Daten: Daten, die ohne zusätzliche Informationen nicht mehr einer konkreten Person zugeordnet werden können. Sie bleiben rechtlich personenbezogene Daten, solange eine Re-Identifizierung möglich ist.
  • Anonymisierte Daten: Daten, die nicht mehr einer Person zugeordnet werden können. Auf sie findet das Datenschutzrecht im Regelfall keine Anwendung.
  • Besonders schutzbedürftige Daten: Informationen, die ihrer Natur nach ein erhöhtes Risiko für die betroffene Person begründen (z. B. Gesundheitsdaten, biometrische Daten, Herkunft, religiöse Überzeugungen). Ihre Verarbeitung ist nur unter strengeren Voraussetzungen zulässig.

Rollen und Verantwortlichkeiten

Rechtlich bedeutsam ist, wer Zwecke und Mittel der Verarbeitung festlegt:

  • Verantwortlicher: Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Sie trägt die Hauptverantwortung für die Einhaltung der Datenschutzanforderungen.
  • Auftragsverarbeiter: Stelle, die Daten im Auftrag des Verantwortlichen verarbeitet, an dessen Weisungen gebunden. Grundlage ist ein Vertrag mit spezifischen Mindestinhalten.
  • Gemeinsam Verantwortliche: Mehrere Stellen legen Zwecke und Mittel gemeinsam fest und bestimmen transparent ihre jeweiligen Pflichten.

Rechtliche Grundlagen und Prinzipien

Grundprinzipien der Datenverarbeitung

Die Rechtmäßigkeit der Datenverarbeitung stützt sich auf grundlegende Prinzipien, die den gesamten Umgang mit Daten prägen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
  • Zweckbindung: Nutzung nur für klare, festgelegte und legitime Zwecke
  • Datenminimierung: Verarbeitung nur der für den Zweck erforderlichen Informationen
  • Richtigkeit: sachlich richtige und aktuelle Daten
  • Speicherbegrenzung: Aufbewahrung nur so lange wie erforderlich
  • Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff, Verlust und Zerstörung
  • Rechenschaftspflicht: Nachweis der Einhaltung sämtlicher Anforderungen

Zulässigkeit der Verarbeitung

Eine Verarbeitung ist nur zulässig, wenn ein anerkannter Erlaubnistatbestand vorliegt. Hierzu zählen insbesondere:

  • Einwilligung der betroffenen Person
  • Erforderlichkeit zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
  • Erfüllung rechtlicher Pflichten der verarbeitenden Stelle
  • Wahrung berechtigter Interessen, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen
  • Schutz lebenswichtiger Interessen
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse

Für besonders schutzbedürftige Daten gelten zusätzlich erhöhte Anforderungen, die nur in eng umgrenzten Konstellationen eine Verarbeitung erlauben.

Transparenz und Informationspflichten

Betroffene Personen sollen nachvollziehen können, welche Daten zu welchen Zwecken verarbeitet werden. Dazu gehört die Bereitstellung klarer, verständlicher Informationen über die Verarbeitungszwecke, Verantwortliche, Empfänger, Speicherdauer, Rechte der Betroffenen und die maßgeblichen Grundlagen der Verarbeitung, einschließlich etwaiger Datenübermittlungen in Drittstaaten.

Rechte betroffener Personen

Überblick über die Rechte

Das Datenschutzrecht räumt betroffenen Personen umfassende Rechte ein:

  • Auskunft über die verarbeiteten Daten und deren Zwecke
  • Berichtigung unrichtiger oder unvollständiger Daten
  • Löschung, sofern gesetzliche Voraussetzungen vorliegen
  • Einschränkung der Verarbeitung in bestimmten Situationen
  • Datenübertragbarkeit in einem gängigen, maschinenlesbaren Format
  • Widerspruch gegen bestimmte Verarbeitungen, insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen oder zu Zwecken der Direktwerbung

Automatisierte Entscheidungen und Profilbildung

Bei Entscheidungen, die ausschließlich automatisiert erfolgen und rechtliche Wirkung entfalten oder erheblich beeinträchtigen, bestehen besondere Schutzmechanismen. Dazu gehören transparente Informationen über die Logik des Verfahrens, die Bedeutung und die angestrebten Auswirkungen sowie zusätzliche Sicherungen. Profilbildung unterliegt denselben Maßstäben und ist an strenge Voraussetzungen gebunden.

Sicherheit und organisatorische Anforderungen

Technische und organisatorische Maßnahmen

Die Sicherheit der Verarbeitung umfasst angemessene Maßnahmen zum Schutz der Daten. Hierzu zählen etwa Zugriffs- und Berechtigungskonzepte, Verschlüsselung und Pseudonymisierung, Protokollierung, Verfügbarkeits- und Wiederherstellungsmaßnahmen sowie regelmäßige Überprüfungen der Wirksamkeit.

Datenschutz-Folgenabschätzung

Bei Verarbeitungen mit voraussichtlich hohem Risiko für Rechte und Freiheiten ist eine strukturierte Risikoanalyse vorgesehen. Sie bewertet Notwendigkeit, Verhältnismäßigkeit und Risiken und beschreibt Maßnahmen zur Risikominimierung.

Aufzeichnungen und Nachweis der Einhaltung

Verantwortliche und Auftragsverarbeiter führen Verzeichnisse über ihre Verarbeitungstätigkeiten und gewährleisten geeignete interne Steuerungs- und Kontrollmechanismen. Verträge und Vereinbarungen bilden die Grundlage für die Zusammenarbeit, insbesondere bei Auftragsverarbeitung und gemeinsamer Verantwortung.

Datenübermittlungen und internationale Aspekte

Übermittlungen innerhalb einer Organisation und an Dritte

Weitergaben bedürfen einer klaren Zweckbestimmung und einer rechtlichen Grundlage. Intern gelten dieselben Maßstäbe wie bei externen Empfängern; auch konzerninterne Übermittlungen sind an die allgemeinen Anforderungen gebunden.

Übermittlung in Drittländer

Werden Daten in Staaten außerhalb des Geltungsbereichs des europäischen Datenschutzrechts übermittelt, sind geeignete Garantien erforderlich. Grundlage können Angemessenheitsentscheidungen, standardisierte Vertragsmechanismen oder vergleichbare Sicherungen sein. Zusätzlich ist zu prüfen, ob das Schutzniveau im Empfängerland insgesamt gewahrt ist.

Spezielle Kontexte

Beschäftigtendaten

Die Verarbeitung im Beschäftigungskontext folgt besonderen Maßstäben. Zulässigkeit und Umfang sind auf das Arbeitsverhältnis, betriebliche Abläufe und gesetzliche Verpflichtungen zugeschnitten. Transparenz, Zweckbindung und Verhältnismäßigkeit sind prägend.

Kinder und Minderjährige

Bei Daten Minderjähriger gelten erhöhte Schutzanforderungen. Einwilligungen und Informationspflichten sind an das Verständnis der Betroffenen anzupassen; je nach Situation können zusätzliche Voraussetzungen gelten.

Forschung und Statistik

Für wissenschaftliche oder statistische Zwecke bestehen Erleichterungen, die an strikte Schutzvorkehrungen geknüpft sind. Hierzu zählen insbesondere Zweckbindung, Datenminimierung, geeignete Sicherungen und, soweit möglich, Anonymisierung oder Pseudonymisierung.

Aufbewahrung und Löschung

Speicherbegrenzung und Löschkonzepte

Daten werden nur so lange gespeichert, wie es für die Zwecke der Verarbeitung erforderlich ist. Nach Wegfall des Zwecks sind sie zu löschen oder zu anonymisieren, sofern keine entgegenstehenden rechtlichen Aufbewahrungsgründe bestehen. Löschkonzepte strukturieren die Fristen, Zuständigkeiten und Verfahren.

Aufsicht und Durchsetzung

Aufsichtsbehörden und Befugnisse

Unabhängige Aufsichtsbehörden überwachen die Einhaltung des Datenschutzrechts. Sie sind Anlaufstelle für Beschwerden, führen Prüfungen durch und wirken auf ein einheitliches Schutzniveau hin.

Sanktionen und Haftung

Verstöße können zu Anordnungen, Untersagungen, Bußgeldern und Schadenersatzansprüchen führen. Auch immaterielle Beeinträchtigungen sind erfasst. Die Bemessung berücksichtigt Art, Schwere und Dauer des Verstoßes sowie getroffene Abhilfemaßnahmen.

Häufig gestellte Fragen

Was bedeutet „Datenverarbeitung“ rechtlich gesehen?

Datenverarbeitung umfasst jeden Umgang mit Informationen über Personen, von der Erhebung bis zur Löschung. Sie ist der zentrale Bezugspunkt des Datenschutzrechts und bestimmt, unter welchen Voraussetzungen Daten genutzt werden dürfen.

Wann ist Datenverarbeitung zulässig?

Zulässig ist eine Verarbeitung, wenn ein anerkannter Erlaubnistatbestand vorliegt, etwa eine Einwilligung, die Erforderlichkeit zur Vertragserfüllung, eine gesetzliche Pflicht, ein überwiegendes berechtigtes Interesse, der Schutz lebenswichtiger Interessen oder eine Aufgabe im öffentlichen Interesse.

Wer ist Verantwortlicher und wer Auftragsverarbeiter?

Verantwortlicher ist die Stelle, die Zwecke und Mittel der Verarbeitung festlegt. Ein Auftragsverarbeiter verarbeitet Daten für den Verantwortlichen nach dessen Weisungen auf vertraglicher Grundlage. Beide haben klar abgegrenzte Pflichten.

Welche Rechte haben betroffene Personen?

Betroffene Personen haben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Bei ausschließlich automatisierten Entscheidungen bestehen zusätzliche Schutzmechanismen.

Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung?

Bei der Pseudonymisierung werden Identifikatoren ersetzt, eine Re-Identifizierung bleibt mit Zusatzinformationen möglich. Anonymisierte Daten erlauben keine Zuordnung zu Personen mehr; auf sie findet das Datenschutzrecht regelmäßig keine Anwendung.

Wie werden internationale Datenübermittlungen rechtlich abgesichert?

Für Übermittlungen in Staaten mit abweichendem Datenschutzniveau sind geeignete Garantien erforderlich, zum Beispiel anerkannte Vertragsmechanismen oder Angemessenheitsentscheidungen, ergänzt um Prüfungen zum Gesamtschutzniveau.

Welche Folgen haben Verstöße gegen Datenschutzanforderungen?

Verstöße können behördliche Anordnungen, Bußgelder und Schadenersatzansprüche nach sich ziehen. Maßgeblich sind Schwere, Dauer und Umstände des Verstoßes sowie umgesetzte Abhilfemaßnahmen.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen