Elektronische Datenverarbeitung: Begriff, Bedeutung und Einordnung
Elektronische Datenverarbeitung (EDV) bezeichnet die automatische Erfassung, Speicherung, Veränderung, Übermittlung und Auswertung von Informationen durch technische Systeme. Gemeint sind typische Vorgänge in Computern, Netzwerken, Cloud-Diensten, mobilen Endgeräten und eingebetteten Systemen. Rechtlich relevant ist EDV immer dann, wenn dabei personenbezogene Daten, Geschäftsgeheimnisse, urheberrechtlich geschützte Inhalte oder sonstige schutzbedürftige Informationen betroffen sind oder wenn elektronische Aufzeichnungen verbindliche Wirkungen entfalten.
EDV ist ein Querschnittsthema: Es vereint Fragen des Datenschutzes, der Informationssicherheit, des Vertrags- und Haftungsrechts, des geistigen Eigentums, des Arbeits- und Verwaltungsrechts sowie des Beweis- und Signaturrechts. Für Laien hilfreich ist die Unterscheidung zwischen Daten (Inhalte), Verarbeitung (Vorgänge) und Systemen (Infrastruktur). Die rechtliche Beurteilung knüpft an diese drei Ebenen an.
Rechtliche Grundprinzipien der Datenverarbeitung
Transparenz, Zweckbindung und Datenminimierung
Verarbeitungen sollen für Betroffene nachvollziehbar sein. Informationen über Zwecke, Kategorien von Daten, Empfänger, Speicherdauer und Rechte der Betroffenen bilden den Kern der Transparenz. Daten dürfen grundsätzlich nur für festgelegte, legitime Zwecke verarbeitet und nicht in unvereinbarer Weise weiterverwendet werden. Außerdem gilt der Grundsatz, nur so viele Daten zu verarbeiten, wie für den Zweck erforderlich sind.
Rechtsmäßigkeit der Verarbeitung
Personenbezogene Daten dürfen nur auf einer rechtlichen Grundlage verarbeitet werden. Anerkannte Grundlagen sind typischerweise Einwilligung, Vertragserfüllung, gesetzliche Pflicht, Schutz lebenswichtiger Interessen, Wahrnehmung einer öffentlichen Aufgabe oder ein überwiegendes berechtigtes Interesse. Welche Grundlage einschlägig ist, hängt vom jeweiligen Verarbeitungszweck ab.
Richtigkeit, Speicherbegrenzung und Integrität
Daten sollen sachlich richtig und aktuell sein. Sie werden nur so lange gespeichert, wie es für den Zweck oder zur Erfüllung rechtlicher Aufbewahrungspflichten erforderlich ist. Es bestehen Anforderungen an Sicherheit und Vertraulichkeit, um unbefugte Verarbeitung, Verlust oder Schäden zu vermeiden.
Rechte betroffener Personen
Betroffene haben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen. Bei Entscheidungen, die allein automatisiert erfolgen und erhebliche Wirkung entfalten, bestehen erhöhte Transparenz- und Prüfungspflichten.
Rollen und Verantwortlichkeiten
Verantwortliche Stelle, Auftragsverarbeitung, gemeinsame Verantwortung
Als Verantwortliche gelten diejenigen, die über Zwecke und Mittel der Verarbeitung entscheiden. Dienstleister, die im Auftrag verarbeiten, sind Auftragsverarbeiter. Zwischen verantwortlicher Stelle und Auftragsverarbeiter ist ein Vertrag erforderlich, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien von Daten und betroffenen Personen sowie technische und organisatorische Maßnahmen regelt. Arbeiten mehrere Stellen gemeinsam über Zwecke und Mittel der Verarbeitung, liegt gemeinsame Verantwortung vor, die eine klare Zuweisung der Zuständigkeiten erfordert.
Nachweis- und Dokumentationspflichten
Es bestehen Pflichten zur Führung von Verarbeitungsverzeichnissen, zur Festlegung von Löschkonzepten, zur Bewertung von Risiken sowie zur Dokumentation der getroffenen Sicherheitsmaßnahmen. In bestimmten Fällen sind Risikoanalysen und eine vertiefte Folgenabschätzung für die Verarbeitung mit hohen Risiken für Rechte und Freiheiten erforderlich.
Sicherheit der Verarbeitung
Technische und organisatorische Maßnahmen
Die Sicherheit bemisst sich am Stand der Technik, am Risiko und an der Eintrittswahrscheinlichkeit von Schäden. Typische Maßnahmen umfassen Zugriffskontrollen, Verschlüsselung, Pseudonymisierung, Protokollierung, Notfallmanagement, Berechtigungskonzepte und regelmäßige Prüfungen. Auch organisatorische Elemente wie Richtlinien, Schulungen und Rollenverteilungen gehören dazu.
Datenschutz durch Technikgestaltung
Systeme und Prozesse sollen so gestaltet sein, dass Datenschutzgrundsätze bereits in der Konzeption und durch datenschutzfreundliche Voreinstellungen berücksichtigt werden. Dazu zählt die Begrenzung von Standardfreigaben, die Sichtbarkeitssteuerung und die Reduzierung von Datenfeldern auf das notwendige Maß.
Sicherheitsvorfälle und Datenpannen
Bei Verletzungen des Schutzes personenbezogener Daten kommen Melde- und Benachrichtigungspflichten in Betracht. Entscheidend ist die Einschätzung, ob ein Risiko oder ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht. Dokumentationspflichten gelten unabhängig von einer Meldepflicht.
Besondere Datenkategorien und Kontexte
Gesundheits-, biometrische und Kommunikationsdaten
Für Daten mit hoher Sensibilität bestehen erhöhte Anforderungen. Dazu zählen Informationen zur Gesundheit, biometrische Merkmale zur eindeutigen Identifikation sowie Kommunikationsinhalte und -metadaten. Verarbeitungsvorgänge in diesen Bereichen erfordern besondere Schutz- und Rechtfertigungselemente.
Beschäftigtendaten
Im Arbeitsverhältnis sind Verarbeitungen an den Erfordernissen des Beschäftigungsverhältnisses auszurichten. Videoüberwachung, Leistungs- und Verhaltenskontrollen sowie Ortungs- und Telemetriedaten unterliegen strengen Abwägungen. Betriebs- oder Dienstvereinbarungen können ergänzende Regelungen enthalten.
Kinder und Minderjährige
Bei Diensten für Minderjährige gelten erhöhte Schutzstandards. Abhängig vom Alter kommen zusätzliche Anforderungen an Einwilligungen und Gestaltung von Informationsangeboten in Betracht.
Internationale Datenübermittlungen und Cloud-Nutzung
Grenzüberschreitende Datenflüsse
Werden personenbezogene Daten in Staaten außerhalb des europäischen Rechtsrahmens übermittelt, sind zusätzliche Garantien erforderlich. Dazu zählen vertragliche Zusicherungen, interne Regelwerke innerhalb von Konzernstrukturen und ergänzende Sicherheitsmaßnahmen. Zudem ist zu prüfen, ob das Schutzniveau im Empfängerland angemessen ist.
Cloud, Outsourcing und Subdienstleister
Bei Cloud- und Outsourcing-Lösungen sind Rechenzentrumsstandorte, Zugriffsmöglichkeiten, Verschlüsselungskonzepte, Unterauftragsverhältnisse sowie Transparenz- und Prüfrechte vertraglich zu regeln. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung verbleibt bei der verantwortlichen Stelle.
Verträge, Haftung und Sanktionen
Auftragsverarbeitung und Weisungsbindung
Auftragsverarbeiter handeln an die Weisungen der verantwortlichen Stelle gebunden. Verträge müssen Mindestinhalte abdecken, darunter Sicherheitsmaßnahmen, Vertraulichkeit, Unterstützung bei Betroffenenrechten sowie Regelungen zur Rückgabe oder Löschung von Daten nach Vertragsende.
Kontrollen, Audits und Nachweise
Die Einhaltung vertraglicher und rechtlicher Pflichten wird durch Prüf- und Nachweisrechte abgesichert. Dazu gehören Auditklauseln, Zertifizierungen und Berichte über technische und organisatorische Maßnahmen.
Haftung und Sanktionen
Verstöße können zu behördlichen Maßnahmen, Bußgeldern und Schadensersatzansprüchen führen. Maßgeblich sind Schwere, Dauer und Art des Verstoßes, das Ausmaß des verursachten Schadens sowie getroffene Abhilfemaßnahmen.
Urheberrecht, Lizenzen und Software in der EDV
Lizenzmodelle und Compliance
Software ist regelmäßig urheberrechtlich geschützt. Die Nutzung richtet sich nach Lizenzbedingungen, etwa für proprietäre Programme oder offene Lizenzmodelle. Relevante Punkte sind Nutzungsumfang, Bearbeitungen, Weitergabe, Quellcodezugang, Gewährleistungsausschlüsse und Auditrechte des Rechteinhabers.
Softwarepflege, Updates und Support
Verträge regeln Update- und Upgrade-Zyklen, Fehlerbehebung, Reaktionszeiten und Service-Level. Sicherheitsupdates haben besondere Bedeutung, da sie den Schutzstandard der EDV-Infrastruktur beeinflussen.
Elektronische Dokumente, Beweis und Aufbewahrung
Beweiswert elektronischer Aufzeichnungen
Elektronische Dokumente können Beweisfunktionen erfüllen. Integrität, Authentizität, Nachvollziehbarkeit und lückenlose Protokollierung sind maßgebliche Kriterien. Zeitnahe, manipulationssichere Ablagen und nachvollziehbare Berechtigungsvergaben erhöhen die Beweisfähigkeit.
Elektronische Signaturen und Zeitstempel
Elektronische Signaturen dienen der Zuordnung zu einer Person und der Integritätssicherung. Der rechtliche Wert hängt von der eingesetzten Signaturart und den flankierenden technischen und organisatorischen Maßnahmen ab. Zeitstempel belegen, dass ein Dokument zu einem bestimmten Zeitpunkt vorlag.
Archivierung und Aufbewahrung
Aufbewahrungsfristen ergeben sich aus handels-, steuer- oder branchenspezifischen Pflichten. Archivsysteme müssen Unveränderbarkeit, Lesbarkeit über die Zeit, geordnete Ablage und Zugriffsbeschränkungen sicherstellen. Löschkonzepte sind mit den Aufbewahrungspflichten abzugleichen.
Automatisierte Entscheidungen, KI und Profilbildung
Transparenz und Eingriffsmöglichkeiten
Werden Entscheidungen ohne menschliches Zutun getroffen und entfalten erhebliche Wirkungen, greifen erhöhte Informations- und Prüfpflichten. Betroffene können Auskunft über die zugrunde liegende Logik, die Tragweite und die angestrebten Auswirkungen verlangen sowie Rechte auf menschliches Eingreifen geltend machen.
Diskriminierungsrisiken und Fairness
Profilbildung und lernende Systeme bergen Risiken systematischer Benachteiligung. Datenqualität, Repräsentativität, Erklärbarkeit und nachvollziehbare Kriterien sind zentrale Faktoren zur Bewertung der Fairness. Dokumentation und regelmäßige Überprüfung dienen der Rechenschaft.
Telemetrie, Tracking und Endeinrichtungen
Einsatz von Cookies und ähnlichen Technologien
Das Speichern von Informationen auf Endgeräten oder der Zugriff darauf ist grundsätzlich zustimmungsbedürftig, sofern es nicht technisch erforderlich ist. Entscheidend sind Zweck, Notwendigkeit für den Dienst und Transparenz gegenüber den Nutzenden. Zusätzlich gelten die allgemeinen Anforderungen an die Verarbeitung personenbezogener Daten.
Öffentlicher Sektor und Verwaltungsverfahren
Behörden verarbeiten Daten zur Erfüllung gesetzlicher Aufgaben. Besondere Regelungen betreffen Register, Identitäts- und Meldewesen, E-Akte, elektronische Zustellung und Transparenzanforderungen. Der Grundrechtsschutz und der Verhältnismäßigkeitsgrundsatz prägen die Ausgestaltung von EDV im staatlichen Bereich.
Compliance-Management und Governance
EDV-Compliance umfasst Organisationspflichten, Zuständigkeiten, Richtlinien, Sensibilisierung der Mitarbeitenden, Lieferkettenmanagement und kontinuierliches Monitoring. Bestimmte Organisationen benennen interne Zuständige für Datenschutz und Informationssicherheit, pflegen Risiko- und Maßnahmenpläne und überprüfen regelmäßig die Wirksamkeit der getroffenen Vorkehrungen.
Abgrenzungen und typische Missverständnisse
EDV ist mehr als IT-Betrieb
Neben Technik geht es um Rechte, Pflichten und Verantwortlichkeiten. Rechtliche Fragen entstehen nicht erst beim Datenleck, sondern bereits bei der Planung.
Einwilligung ist nicht der einzige Erlaubnistatbestand
Häufig besteht eine andere, passendere Rechtsgrundlage. Die Wahl der Grundlage richtet sich nach Zweck und Kontext der Verarbeitung.
Cloud-Verarbeitung entbindet nicht von Verantwortung
Auch bei ausgelagerter Infrastruktur bleibt die verantwortliche Stelle für Rechtmäßigkeit, Sicherheit und Betroffenenrechte zuständig.
Technische Sicherheit ersetzt keine rechtliche Prüfung
Starke Technik ist erforderlich, aber ohne klare Zwecke, Transparenz und Rechteumsetzung nicht ausreichend.
Häufig gestellte Fragen (FAQ)
Was bedeutet „Elektronische Datenverarbeitung“ im rechtlichen Sinne?
Rechtlich umfasst EDV alle automatisierten Vorgänge, durch die Daten erfasst, gespeichert, genutzt, übermittelt oder gelöscht werden. Sobald personenbezogene Daten betroffen sind, gelten die datenschutzrechtlichen Grundsätze, ergänzt um Anforderungen an Sicherheit, Transparenz und Rechenschaft.
Welche Pflichten bestehen beim Einsatz von Auftragsverarbeitern?
Es ist ein Vertrag mit Mindestinhalten erforderlich, der insbesondere Zweck, Dauer, Kategorien von Daten, Sicherheitsmaßnahmen, Vertraulichkeit, Unterstützungsleistungen bei Betroffenenrechten sowie Rückgabe oder Löschung nach Ende der Leistungen regelt. Unterauftragsverhältnisse bedürfen klarer Freigaben und vertraglicher Bindungen.
Welche Rechte haben betroffene Personen gegenüber EDV-Systemen?
Betroffene können Auskunft verlangen, unrichtige Daten berichtigen lassen, Löschung verlangen, die Verarbeitung einschränken, Daten in einem übertragbaren Format erhalten und aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung widersprechen. Bei allein automatisierten Entscheidungen bestehen zusätzliche Schutzmechanismen.
Wann sind internationale Datenübermittlungen zulässig?
Zulässig sind Übermittlungen, wenn ein angemessenes Schutzniveau besteht oder geeignete Garantien vorgesehen sind und durchsetzbare Rechte sowie wirksame Rechtsbehelfe bestehen. Ergänzend sind technische und organisatorische Maßnahmen zu prüfen, die den Zugriffschutz und die Integrität der Daten stärken.
Wie werden Sicherheitsvorfälle rechtlich eingeordnet?
Sicherheitsvorfälle, die zu einer Verletzung des Schutzes personenbezogener Daten führen, können Melde- und Benachrichtigungspflichten auslösen. Maßgeblich ist die Bewertung des Risikos für die Rechte und Freiheiten der betroffenen Personen. Unabhängig davon bestehen Dokumentationspflichten.
Wie ist der Einsatz von Cookies und Tracking rechtlich einzuordnen?
Das Ablegen von Informationen auf Endgeräten oder der Zugriff darauf ist grundsätzlich zustimmungsbedürftig, sofern nicht zwingend erforderlich, um den ausdrücklich gewünschten Dienst bereitzustellen. Zusätzlich gelten die allgemeinen Regeln für die Verarbeitung personenbezogener Daten, insbesondere Transparenz und Zweckbindung.
Welche Anforderungen gelten für elektronische Signaturen?
Der rechtliche Wert elektronischer Signaturen hängt von der eingesetzten Signaturart und den Nachweis- und Sicherheitsmechanismen ab. Mit zunehmendem Sicherheitsniveau steigt die Beweiskraft hinsichtlich Authentizität, Integrität und Verbindlichkeit.
