Verarbeitung

Begriff und Bedeutung der „Verarbeitung“ im Recht

Die „Verarbeitung“ stellt einen zentralen Begriff zahlreicher rechtlicher Materien dar, insbesondere im Datenschutzrecht, Arbeitsrecht, Vertragsrecht sowie in verschiedenen spezialgesetzlichen Normen. Im juristischen Kontext beschreibt Verarbeitung sämtliche Operationen oder Vorgänge, die mit Daten, Dokumenten, Inhalten oder auch physischen Gegenständen vorgenommen werden können und denen eine rechtliche Bedeutung innewohnt.

Verarbeitung im Datenschutzrecht

Definition gemäß Datenschutz-Grundverordnung (DSGVO)

Im Datenschutzrecht ist der Begriff der „Verarbeitung“ durch Art. 4 Nr. 2 der Datenschutz-Grundverordnung (DSGVO) definiert. Nach dieser Vorschrift umfasst die Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.“ Dies beinhaltet:

• das Erheben,
• das Erfassen,
• die Organisation,
• das Ordnen,
• die Speicherung,
• die Anpassung oder Veränderung,
• das Auslesen,
• das Abfragen,
• die Verwendung,
• die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
• den Abgleich oder die Verknüpfung,
• die Einschränkung,
• das Löschen oder
• die Vernichtung.

Die Definition ist bewusst weit gefasst, um sämtliche existierenden und künftigen Formen des Umgangs mit personenbezogenen Daten zu erfassen.

Rechtliche Bedeutung und Reichweite

Die umfassende Definition der Verarbeitung bewirkt, dass nahezu jeder Umgang mit personenbezogenen Daten – von der erstmaligen Erhebung bis hin zur endgültigen Löschung – von den Regelungen der DSGVO erfasst wird. Damit sind alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten verarbeiten, verpflichtet, die gesetzlichen Vorgaben zum Datenschutz einzuhalten.

Typische Prozesse der Verarbeitung

Im betrieblichen und behördlichen Kontext zählen unter anderem folgende Prozesse zur Verarbeitung:

• Automatisierte und manuelle Erfassung von personenbezogenen Daten
• Speicherung und Archivierung in Datenbanken, Clouds oder Aktenarchiven
• Übermittlung an externe Stellen, wie beispielsweise Behörden oder Dienstleister
• Anonymisierung und Pseudonymisierung zur Einhaltung datenschutzrechtlicher Vorgaben
• Löschung und Vernichtung von Daten nach Ablauf gesetzlicher Aufbewahrungsfristen

Verarbeitung im Arbeitsrecht

Im arbeitsrechtlichen Zusammenhang wird der Begriff der Verarbeitung insbesondere dort relevant, wo personenbezogene Mitarbeiterdaten verarbeitet werden. Hier stehen Verarbeitungsvorgänge im Zentrum, die im Rahmen des Beschäftigungsverhältnisses erfolgen. Grundlage hierfür bilden § 26 Bundesdatenschutzgesetz (BDSG) und ergänzende Normen der DSGVO.

Zweckbindung und Rechtmäßigkeit

Jede Verarbeitung von Arbeitnehmerdaten muss einem konkreten, legitimen Zweck dienen und auf eine gesetzliche Grundlage oder eine wirksame Einwilligung gestützt werden. Unzulässige oder exzessive Datenerhebung und -verarbeitung sind untersagt und können zu arbeitsrechtlichen und datenschutzrechtlichen Konsequenzen führen.

Spezielle Verarbeitungsvorgänge in anderen Rechtsgebieten

Vertragsrecht

Auch im Vertragsrecht kann der Begriff der Verarbeitung eine Rolle spielen, insbesondere bei der Be- oder Weiterverarbeitung von Vertragsinhalten, Vertragsdokumenten oder Vertragsdaten im Rahmen der Vertragsabwicklung. Hier ist maßgeblich, dass die Verarbeitung im Einklang mit Vertragsbestimmungen sowie geltenden gesetzlichen Regelungen erfolgt.

Zivilrechtliche Aspekte

Im allgemeinen Zivilrecht wird unter Verarbeitung häufig jede Veränderung, Bearbeitung oder Umgestaltung einer Sache verstanden. Insbesondere im Sachrecht – etwa im Zusammenhang mit der Bearbeitung oder Umgestaltung von beweglichen Sachen (§ 950 BGB) – finden sich spezifische Regelungen zur Verarbeitung.

Verarbeitung nach § 950 BGB

Wird durch Verarbeitung eine neue bewegliche Sache hergestellt, entsteht nach § 950 Abs. 1 BGB das Eigentum an der neuen Sache grundsätzlich bei demjenigen, der die Verarbeitung durchgeführt hat, sofern der Wert der Verarbeitung nicht wesentlich geringer ist als der Wert der Ausgangsstoffe.

Verarbeitung und technische Sicherheit

Das Erfordernis der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) steht im direkten Zusammenhang mit der Verarbeitung: Jede Verarbeitung – insbesondere personenbezogener Daten – muss mit einem angemessenen Schutzniveau hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit ausgestattet sein. Dazu zählen technische Vorkehrungen wie Verschlüsselung, Zugriffskontrollen oder regelmäßige Backups, aber auch organisatorische Maßnahmen wie Datenschutzschulungen und klare Zuständigkeitsregelungen.

Grenzen und Verbote der Verarbeitung

Sämtliche rechtlichen Kontexte kennen sowohl erlaubte als auch untersagte Formen der Verarbeitung. Besondere Verbote beziehen sich etwa auf die Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), die nur unter eng begrenzten Voraussetzungen zulässig ist.

Verstöße gegen Verarbeitungsregeln bewirken teils erhebliche Sanktionen und können unter anderem zu Bußgeldern, Haftungsansprüchen sowie weiteren aufsichtsrechtlichen Maßnahmen führen.

Rechte der Betroffenen bei der Verarbeitung

Das geltende Recht schützt insbesondere die Rechte und Freiheiten natürlicher Personen, deren Daten oder Informationen verarbeitet werden. Zu den einschlägigen Betroffenenrechten zählen:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Diese Rechte stellen sicher, dass die Verarbeitung transparent und nachprüfbar abläuft und ermöglichen eine wirksame Kontrolle durch die Betroffenen.

Fazit

Die Verarbeitung ist ein zentraler Begriff, der in zahlreichen Rechtsgebieten einen essenziellen Stellenwert einnimmt. Die weitreichenden Definitionen, insbesondere im Datenschutzrecht, sorgen dafür, dass die Verarbeitung sämtliche Vorgänge im Umgang mit Daten und Informationen erfasst und gesetzlichen Vorgaben unterliegt. Unternehmen, Behörden und sonstige datenverarbeitende Stellen müssen bei jeder Verarbeitung sämtliche rechtlichen Anforderungen beachten, um Sanktionen und Haftungsrisiken zu vermeiden.

Häufig gestellte Fragen

Welche rechtlichen Grundlagen erlauben die Verarbeitung personenbezogener Daten?

Die Verarbeitung personenbezogener Daten ist im rechtlichen Kontext insbesondere durch die Datenschutz-Grundverordnung (DSGVO) geregelt. Nach Art. 6 DSGVO ist die Verarbeitung grundsätzlich nur rechtmäßig, wenn mindestens eine der darin genannten Voraussetzungen erfüllt ist. Dazu zählen unter anderem die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen, die Erfüllung einer rechtlichen Verpflichtung, der Schutz lebenswichtiger Interessen, die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder die Ausübung öffentlicher Gewalt, sowie die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten – letzteres jedoch nur, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Nationale Gesetze, wie das Bundesdatenschutzgesetz (BDSG), können spezifische Vorgaben für die Verarbeitung bestimmter Datenarten enthalten oder etwa für öffentliche Stellen zusätzliche Regeln festlegen. Unternehmen sind zudem verpflichtet, jede Verarbeitungstätigkeit zu dokumentieren und entsprechend den Prinzipien von Transparenz, Zweckbindung, Datenminimierung und Speicherbegrenzung durchzuführen.

Wann ist für die Verarbeitung eine Einwilligung erforderlich und wie muss diese gestaltet sein?

Eine Einwilligung ist insbesondere dann erforderlich, wenn keine andere der in Art. 6 DSGVO genannten Rechtsgrundlagen greift. Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und eindeutig erfolgen. Dabei ist insbesondere auf die Zwecke der Datenverarbeitung hinzuweisen. Die betroffene Person muss über ihr Widerrufsrecht aufgeklärt werden, und die Erklärung muss aktiv abgegeben werden; das bedeutet, vorab angekreuzte Kontrollkästchen sind nicht zulässig. Die Nachweispflicht für die eingeholte Einwilligung liegt beim Verantwortlichen. Wichtig ist auch, dass die Einwilligung jederzeit widerrufen werden kann, ohne dass dies die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt. Für besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, wie Gesundheitsdaten, gelten nochmals strengere Anforderungen.

Welche Rolle spielt das Verarbeitungsverzeichnis und welche Informationen muss es enthalten?

Das Verzeichnis von Verarbeitungstätigkeiten ist zentraler Bestandteil der Rechenschaftspflichten nach Art. 30 DSGVO. Es dient dem Nachweis darüber, dass die Verarbeitung rechtmäßig erfolgt. Jedes Unternehmen und jede Behörde, die personenbezogene Daten verarbeiten, ist verpflichtet, dieses Verzeichnis zu führen – nur unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Mitarbeitern davon ausgenommen werden. Das Verzeichnis muss Angaben enthalten wie den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, eine Beschreibung der betroffenen Personengruppen und Datenkategorien, die Empfänger personenbezogener Daten, Übermittlungen an Drittländer, Fristen für die Löschung der Daten sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.

Unter welchen Bedingungen dürfen personenbezogene Daten in Drittländer übermittelt werden?

Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) bedarf besonderer rechtlicher Voraussetzungen nach Kapitel V der DSGVO. Grundsätzlich muss das Schutzniveau im Empfängerland angemessen sein, was die EU-Kommission durch einen Angemessenheitsbeschluss feststellen kann. Fehlt ein solcher Beschluss, müssen geeignete Garantien vorliegen, etwa in Form von Standarddatenschutzklauseln, genehmigten verbindlichen Unternehmensregelungen („Binding Corporate Rules“) oder besonderen vertraglichen Klauseln. In Ausnahmefällen können Datenübermittlungen auch gestützt auf ausdrückliche Einwilligungen, die Erfüllung eines Vertrags mit der betroffenen Person oder auf zwingende öffentliche Interessen erfolgen. Zusätzlich müssen Betroffene über die Risiken solcher Übermittlungen aufgeklärt werden, wenn sie auf diese Ausnahmetatbestände gestützt werden.

Welche Informationspflichten hat der Verantwortliche im Kontext der Datenverarbeitung?

Im Rahmen der Datenverarbeitung muss der Verantwortliche nach Art. 13 und 14 DSGVO eine Vielzahl von Informationen bereitstellen. Diese Informationspflichten umfassen insbesondere den Zweck und die Rechtsgrundlage der Verarbeitung, die Kontaktdaten des Verantwortlichen und (sofern benannt) des Datenschutzbeauftragten, die Empfänger oder Kategorien von Empfängern der Daten, die Speicherdauer oder die Kriterien für deren Festlegung sowie Informationen zu den Rechten der betroffenen Person (etwa Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Recht auf Datenübertragbarkeit und Beschwerderecht bei einer Aufsichtsbehörde). Werden die Daten nicht direkt bei der betroffenen Person erhoben, muss auch deren Herkunft angegeben werden. Die Informationen müssen in klarer und verständlicher Sprache bereitgestellt werden, meist im Rahmen von Datenschutzinformationen oder -erklärungen.

Welche Pflichten bestehen bezüglich der Datensicherheit während der Verarbeitung?

Die DSGVO schreibt in Art. 32 vor, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies schließt unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit zur fortlaufenden Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen mit ein. Im Falle einer Verletzung des Schutzes personenbezogener Daten sind zudem Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde sowie unter bestimmten Voraussetzungen gegenüber der betroffenen Person zu erfüllen.

Welche rechtlichen Folgen drohen bei unrechtmäßiger Verarbeitung personenbezogener Daten?

Kommt es zu einer Verarbeitung ohne Rechtsgrundlage oder unter Verstoß gegen die in der DSGVO und im BDSG geregelten Pflichten, drohen sowohl zivilrechtliche als auch verwaltungsrechtliche Sanktionen. Die DSGVO sieht erhebliche Bußgelder vor, die – abgestuft nach Art und Schwere des Verstoßes – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können. Darüber hinaus können Schadensersatzansprüche durch betroffene Personen geltend gemacht werden. Auch strafrechtliche Konsequenzen sind abhängig von der jeweiligen nationalen Gesetzgebung möglich. Die Aufsichtsbehörden sind berechtigt, Anordnungen zu erlassen, die Verarbeitung zu untersagen oder bestimmte Maßnahmen zur Wiederherstellung eines rechtmäßigen Zustands vorzugeben. Unternehmen sind daher verpflichtet, die Verarbeitung personenbezogener Daten kontinuierlich auf ihre Rechtmäßigkeit zu überprüfen und Risiken zu minimieren.